Just nu i M3-nätverket
Jump to content

Hackad av spyware..


Tvilling66

Recommended Posts

Tvilling66

Hej,

 

jag har varit inne på amerikanska kontaktsider og gjort mistaget att ladda ner spyware.. typiskt! (för ca 3 veckor sedan)

 

Datorn var i bra skick innan jag gjorde detta, men sedan hände massa otrevligheter, internettsider kopplades aut. till försäljarsidor för virusprogram, progr. som ej svarade el. ville avslutas och problem med uppkoppling via ISDN-modem (jag bor i Norge).

Norton Antivirus-program slutade också att fungera..

 

Jag är ingen data-ekspert utan har nu sista veckan slitit med att läsa och föstå vad att göra. Jag har lastat ned AD-Adware SE Pro(köpt), Spybot - Search.., SpywareBlaster, Zone Alarm pro.

 

När jag kört AD-Adware och Spyboot har jag funnit en del otrevligheter som jag tagit bort. Datorn fungerar bra nu og varken Norman el. AD-Aware finner något galet. Men jag är orolig för om det kan finnas något kvar som det inte skulle..

 

Finns det någon som kan tyda min Highjackthis-log och se om den verkar ren/ok..?

 

Mvh Lars

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 21:22:57, on 21.05.2005

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\csrss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\System32\svchost.exe

C:\Norman\bin\Zanda.exe

C:\WINNT\system32\nvsvc32.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\stisvc.exe

C:\PROGRAMFILER\FELLESFILER\YDP\USERACCESSMANAGER\useraccess.exe

C:\WINNT\system32\ZoneLabs\vsmon.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\Norman\bin\NJEEVES.EXE

C:\Norman\Nvc\bin\nvcoas.exe

C:\Norman\Nvc\BIN\nipsvc.exe

C:\NORMAN\nvc\BIN\NVCSCHED.EXE

C:\WINNT\Explorer.EXE

C:\PROGRA~1\Adaptec\DirectCD\directcd.exe

C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

C:\Programfiler\QuickTime\qttask.exe

C:\Programfiler\Zone Labs\ZoneAlarm\zlclient.exe

C:\Norman\bin\ZLH.EXE

C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe

C:\WINNT\system32\internat.exe

C:\Programfiler\Panicware\Pop-Up Stopper Free Edition\PSFree.exe

C:\Programfiler\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe

C:\Programfiler\Fellesfiler\Microsoft Shared\Works Shared\wkcalrem.exe

C:\Programfiler\OpenOffice.org1.0.1\program\soffice.exe

C:\Norman\Nvc\BIN\NIP.EXE

C:\Norman\Nvc\bin\cclaw.exe

C:\PROGRA~1\HEWLET~1\AiO\Shared\Bin\hpoevm07.exe

C:\Programfiler\Hewlett-Packard\AiO\Shared\bin\hpOSTS07.exe

C:\Programfiler\Internet Explorer\iexplore.exe

C:\ZIPITF~1\ZipItFast.exe

C:\DOCUME~1\ADMINI~1\LOKALE~1\Temp\ztvF\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.leta.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.c2i.net/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.msn.de/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://no.msn.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [Adaptec DirectCD] C:\PROGRA~1\Adaptec\DirectCD\directcd.exe

O4 - HKLM\..\Run: [EM_EXEC] C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINNT\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [PLoader] c:\programfiler\twinmos mobile disk tools\twinmos.exe sys_auto_run C:\Programfiler\TwinMOS Mobile Disk Tools

O4 - HKLM\..\Run: [MpsOnn] C:\WINNT\system32\spool\DRIVERS\W32X86\3\MpsOnn.exe

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sBAutoUpdate] "C:\Programfiler\SpywareBlaster\sbautoupdate.exe"

O4 - HKLM\..\Run: [Zone Labs Client] C:\Programfiler\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [CreateCD] C:\PROGRA~1\Adaptec\EASYCD~1\CreateCD\CreateCD.exe -r

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - HKCU\..\Run: [PopUpStopperFreeEdition] "C:\Programfiler\Panicware\Pop-Up Stopper Free Edition\PSFree.exe"

O4 - Startup: OpenOffice.org 1.0.1.lnk = C:\Programfiler\OpenOffice.org1.0.1\program\quickstart.exe

O4 - Global Startup: HPAiODevice(hp officejet g series) - 1.lnk = C:\Programfiler\Hewlett-Packard\AiO\hp officejet g series\Bin\hpoavn07.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Programfiler\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Microsoft Works Calendar Reminders.lnk = C:\Programfiler\Fellesfiler\Microsoft Shared\Works Shared\wkcalrem.exe

O12 - Plugin for .spop: C:\Programfiler\Internet Explorer\Plugins\NPDocBox.dll

O14 - IERESET.INF: START_PAGE_URL=http://www.c2i.net/

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c6.cab

O16 - DPF: {2359626E-7524-4F87-B04E-22CD38A0C88C} (ICSScannerLight Class) - http://download.zonelabs.com/bin/free/cm/ICSCM.cab

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20021126/qtinstall.info.apple.com/sikes/no/win/QuickTimeInstaller.exe

O17 - HKLM\System\CCS\Services\Tcpip\..\{1D3E243C-66C5-4E7F-8961-F4F2F768E5A6}: NameServer = 193.216.1.10 193.216.69.10

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe

O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE

O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\bin\Zanda.exe

O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe

O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\NORMAN\nvc\BIN\NVCSCHED.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINNT\system32\nvsvc32.exe

O23 - Service: Securom User Access for Windows 2000 and Windows XP a technology by Sony DADC (UserAccess) - Unknown owner - C:\PROGRAMFILER\FELLESFILER\YDP\USERACCESSMANAGER\useraccess.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

 

[/log]

[inlägget ändrat 2005-05-21 21:21:02 av Tvilling66]

Link to comment
Share on other sites

Ta dig en titt hur din hostsfil ser ut.

Den finns i \windows\system32\drivers\etc

 

Virus använder ibland hostsfilen för att skicka dig vidare till reklamsidor när du skriver in vissa adresser.

 

Jag är lite trött just nu så jag orkade inte titta igenom scannen. Kanske kan göra det imorgon när jag är piggare. Eller att någon annan gör det.

 

Link to comment
Share on other sites

Bara lite finns kvar, så bra jobbat. :thumbsup:

 

Är du säker på att Ad-watch funktionen i betalversionen av Ad-aware är på? Den brukar synas i HijackThis-loggen, men det gör den inte.

 

För säkerhets skull så kan du skanna datorn med dessa online-skanningar:

http://housecall.trendmicro.com/

http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm

 

Var säker på att du förstår allt nedan innan du fortsätter, fråga annars.

 

För att HijackThis ska kunna spara säkerhetskopior på det den tar bort måste den körbara filen HijackThis.exe ligga i sin egen mapp, den får inte köras innifrån den nedladdade filen hijackthis.zip. Skapa en ny mapp t ex C:\HjT och lägg den körbara filen HijackThis.exe där (sedan kan du slänga den nedladdade filen hijackthis.zip).

 

Kör HijackThis och skanna. Bocka för dessa rader:

 

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

O16 - DPF: {15AD6789-CDB4-47E1-A9DA-992EE8E6BAD6} - http://static.windupdates.com/cab/MediaAccessVerisign/ie/bridge-c

6.cab

 

Avsluta alla program och fönster förutom HijackThis.

 

Tryck på Fix checked.

 

Starta om datorn.

 

Om du vill fortsätta använda Internet Explorer (och inte gå över till att använda Opera eller Mozilla Firefox) så kan du komplettera dina säkerhetsprogram med IE-SpyAd, som lägger en väldig massa otrevliga platser i zonen Ej tillförlitliga i Internet Explorer, så att de inte kan ställa till med något i din dator:

https://netfiles.uiuc.edu/ehowes/www/resource.htm

 

Det kan även vara lämpligt att du ser över säkehetsinställningarna i Internet Explorer, det finns en hel del tips här:

https://netfiles.uiuc.edu/ehowes/www/btw/ie/ie-opts.htm

 

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...