Just nu i M3-nätverket
Jump to content

Virus som skickas automatiskt med Messenger?


-Tobbe-

Recommended Posts

Det låter som den här masken:

http://securityresponse.symantec.com/avcenter/venc/data/w32.kelvir.cg.html

 

Om du har Windows Me eller XP så står det där hur du stänger av systemåterställningsfunktionen (system restore).

Om du nu inte råkar ha Norton/Symantec som antivirusprogram så kan du ju se om Symantecs online-skanning kan tala om vilka filer som är infekterade:

http://security.symantec.com/sscv6/default.asp?langid=ie&venid=sym&plfid=23&pkj=OUUWOOTGUSDJNRNJWDJ

Skriv ner alla filnamn som den hittar.

 

Starta om datorn i felsäkert läge:

http://service1.symantec.com/SUPPORT/tsgeninfo.nsf/docid/2001052409420406?OpenDocument&src=sec_doc_nam

 

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

Bocka för Visa innehållet i systemmappar

 

Ta bort alla filer som online-skanningen pekade ut.

 

Starta om datorn i normalt läge.

 

Om ovanstående inte fungerade eller som en extra koll på att allt har försvunnit så använd HijackThis:

http://www.spywareinfo.com/~merijn/downloads.html

Kör, skanna och spara loggen (inget annat).

 

I ditt svar här skriver du hur det har gått och bifogar loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

Link to comment
Share on other sites

http://securityresponse.symantec.com/avcenter/venc/data/w32.kelvir.cg.html

 

Är inte säker på om det här verktyget fungerar på "CG". Men du kan ju testa.

 

http://securityresponse.symantec.com/avcenter/venc/data/w32.kelvir.removal.tool.html

 

Eventuellt med separat rensning av "spybot.PEN" om den blivit droppad:

http://securityresponse.symantec.com/avcenter/venc/data/w32.spybot.pen.html

 

 

**************

Jädrans vad snabb Cecilia är, eller så långsam jag är...

**************

[inlägget ändrat 2005-05-24 15:56:52 av MH]

Link to comment
Share on other sites

Jag körde Symantecs online-skanning och den fan följande:

 

C:\WINDOWS\rshm7ag2.exe is infected with Adware.SAHAgent C:\WINDOWS\rundll32.exe is infected with W32.Funner C:\WINDOWS\system32\3hn11jp3.dll is infected with Adware.SAHAgent C:\WINDOWS\system32\9o3dr0i6.exe is infected with Adware.SAHAgent C:\WINDOWS\system32\explorer.exe is infected with W32.Funner C:\WINDOWS\system32\IEXPLORE.EXE is infected with W32.Funner C:\WINDOWS\system32\m5vbcfum.exe is infected with Adware.SAHAgent C:\WINDOWS\system32\userinit32.exe is infected with W32.Funner C:\WINDOWS\Downloaded Program Files\WebP2PInstaller.dll is infected with Adware.P2PNetworking C:\Program Files\Windows ServeAd\WinAtServ.dll is infected with Adware.WinTaskAd C:\Program Files\Windows ServeAd\WinServAd.exe is infected with Adware.SyncroAd C:\Program Files\Windows ServeAd\WinServSuit.exe is infected with Adware.WinTaskAd

 

Jag misstänker att w32.Funner är orsaken. Jag körde datorn i felsäkert läge och gjorde som instälningar du skrev att jag skulle göra men den hittade ändå inte filerna.

Vad gör jag nu?

 

 

Link to comment
Share on other sites

W32.Funner är inte så lätt att få bort, det kräver nog lite ändrade i registret. Har du varit inne i registret förut?

 

Trend Micros beskrivning för vad man ska göra finns här:

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FFUNNER%2EA&VSect=Sn

Läs igenom ordentligt och är det något du inte förstår så fråga här.

 

Följ beskrivningen noga för Funner-borttagning.

 

Ibland i Kontrollpanelen - Lägg till och ta bort så finns ShopAtHome (SAHAgent) eller liknande namn, börja med att ta bort det i så fall.

Skanna sedan med dessa online-skanningar så får vi se om de kan få bort de andra otrevligheterna.

http://housecall.antivirus.com/

http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm

 

Om det inte heller hjälper så är det HijackThis som gäller:

http://www.spywareinfo.com/~merijn/downloads.html

Kör, skanna och spara loggen (inget annat).

 

I ditt svar här skriver du hur det har gått och bifogar loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

PS. I framtiden håll dig i din egen tråd och hoppa inte in i andras, det blir lätt väldigt rörigt.

 

Link to comment
Share on other sites

Tanken slog mig just att det nog inte är w32.funner som är problemet. Den filen tror jag hör ihop med funny.exe, som har funnits på min dator länge utan att orsaka några större problem. Det verkar alltså som att det nya viruset inte syntes efter att ha gjort online-skanningen. Hur får jag isf tag i filen?

 

Jag har testat med HijackThis och fått fram följande logg:

 

 

 

 

[log]haha men titta det e ju du

 

Logfile of HijackThis v1.99.1

Scan saved at 15:19:08, on 2005-05-27

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

c:\windows\system32\explorer.exe

c:\windows\explorer.exe

c:\windows\rundll32.exe

c:\windows\system32\IEXPLORE.EXE

C:\Program\Messenger\msmsgs.exe

C:\WINDOWS\System32\CTsvcCDA.exe

C:\Program\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\system32\Smartscaps.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Venturi2\Client\ventc.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\Program\Logitech\ImageStudio\LogiTray.exe

C:\WINDOWS\System32\P2P Networking\P2P Networking.exe

C:\Program\D-Tools\daemon.exe

C:\Program\Java\jre1.5.0_02\bin\jusched.exe

C:\Program\MSN Apps\Updater\01.03.0000.1005\sv\msnappau.exe

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Program\Logitech\Video\LogiTray.exe

C:\Program\QuickTime\qttask.exe

C:\Program\Winamp\winampa.exe

C:\Program\iTunes\iTunesHelper.exe

C:\Program\IMT Labs Messenger Plugin\Cloud.exe

C:\Program\Creative\ShareDLL\CtNotify.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\WINDOWS\system32\9o3dr0i6.exe

C:\WINDOWS\system32\msapl32.exe

C:\WINDOWS\system32\mswindrv.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program\Creative\ShareDLL\MEDIADET.EXE

C:\Program\Creative\SBAudigy\TaskBar\CTLTray.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\Creative\SBAudigy\RemoteCenter\Rc\Rcman.exe

C:\Program\SmartTrust\SmartTrust Personal\Csp\SmartCertmover.exe

C:\Program\Logitech\ImageStudio\LowLight.exe

C:\Program\Logitech\Video\FxSvr2.exe

C:\Program\InterVideo\Common\Bin\WinCinemaMgr.exe

C:\Program\InterVideo\WinDVR\WinScheduler.exe

C:\Program Files\Venturi2\Configurator\ventcfg.exe

C:\Program\WinZip\WZQKPICK.EXE

C:\Program\Palm\HOTSYNC.EXE

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\mswindrv.exe

C:\PROGRAM\WINZIP\winzip32.exe

C:\unzipped\hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.se/0SESVSE/SAOS01

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.msn.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit32.exe,

O1 - Hosts: 222.89.98.219 www.wo365.com

O1 - Hosts: 222.89.98.219 cmfu.com

O1 - Hosts: 222.89.98.219 www.cmfu.com

O1 - Hosts: 222.89.98.219 9i0.com

O1 - Hosts: 222.89.98.219 www.9flash.com

O1 - Hosts: 222.89.98.219 9flash.com

O1 - Hosts: 222.89.98.219 www.nowok.net

O1 - Hosts: 222.89.98.219 nowok.net

O1 - Hosts: 222.89.98.219 wisa.com.cn

O1 - Hosts: 222.89.98.219 www.sia.com.cn

O1 - Hosts: 222.89.98.219 www.wisa.cn

O1 - Hosts: 222.89.98.219 wisa.cn

O1 - Hosts: 222.89.98.219 www.zhao99.com

O1 - Hosts: 222.89.98.219 zhao99.com

O1 - Hosts: 222.89.98.219 www.wo123.com

O1 - Hosts: 222.89.98.219 wo123.com

O1 - Hosts: 222.89.98.219 wo99.com

O1 - Hosts: 222.89.98.219 www.wo99.com

O1 - Hosts: 222.89.98.219 www.page.com.cn

O1 - Hosts: 222.89.98.219 page.com.cn

O1 - Hosts: 222.89.98.219 www.432.cn

O1 - Hosts: 222.89.98.219 432.cn

O1 - Hosts: 222.89.98.219 wysw.com

O1 - Hosts: 222.89.98.219 14.com.cn

O1 - Hosts: 222.89.98.219 www.14.com.cn

O1 - Hosts: 222.89.98.219 cnww.net

O1 - Hosts: 222.89.98.219 www.mv99.com

O1 - Hosts: 222.89.98.219 mv99.com

O1 - Hosts: 222.89.98.219 www.youav.com

O1 - Hosts: 222.89.98.219 www.mtvav.com

O1 - Hosts: 222.89.98.219 www.98983.com

O1 - Hosts: 222.89.98.219 98983.com

O1 - Hosts: 222.89.98.219 www.114.com.cn

O1 - Hosts: 222.89.98.219 114.com.cn

O1 - Hosts: 222.89.98.219 www.net114.com

O1 - Hosts: 222.89.98.219 www.skywz.com

O1 - Hosts: 222.89.98.219 skywz.com

O1 - Hosts: 222.89.98.219 www.hao6.com

O1 - Hosts: 222.89.98.219 hao6.com

O1 - Hosts: 222.89.98.219 www.678a.com

O1 - Hosts: 222.89.98.219 678a.com

O1 - Hosts: 222.89.98.219 www.7510.com

O1 - Hosts: 222.89.98.219 7510.com

O1 - Hosts: 222.89.98.219 www.zzkan.com

O1 - Hosts: 222.89.98.219 zzkan.com

O1 - Hosts: 222.89.98.219 www.ca183.com

O1 - Hosts: 222.89.98.219 ca183.com

O1 - Hosts: 222.89.98.219 3tom.com

O1 - Hosts: 222.89.98.219 www.yhjm.com

O1 - Hosts: 222.89.98.219 yhjm.com

O1 - Hosts: 222.89.98.219 www.k369.com

O1 - Hosts: 222.89.98.219 www.xxwww.com

O1 - Hosts: 222.89.98.219 xxwww.com

O1 - Hosts: 222.89.98.219 www.fm1000.net

O1 - Hosts: 222.89.98.219 fm1000.net

O1 - Hosts: 222.89.98.219 www.ok135.com

O1 - Hosts: 222.89.98.219 ok135.com

O1 - Hosts: 222.89.98.219 www.link999.com

O1 - Hosts: 222.89.98.219 link999.com

O1 - Hosts: 222.89.98.219 www.001wz.com

O1 - Hosts: 222.89.98.219 001wz.com

O1 - Hosts: 222.89.98.219 www.7t7t.com

O1 - Hosts: 222.89.98.219 7t7t.com

O1 - Hosts: 222.89.98.219 www.7k7k.com

O1 - Hosts: 222.89.98.219 7k7k.com

O1 - Hosts: 222.89.98.219 www.webcool.net

O1 - Hosts: 222.89.98.219 webcool.net

O1 - Hosts: 222.89.98.219 www.51sobu.com

O1 - Hosts: 222.89.98.219 51sobu.com

O1 - Hosts: 222.89.98.219 cy.51sobu.com

O1 - Hosts: 222.89.98.219 www.fj3721.com

O1 - Hosts: 222.89.98.219 fj3721.com

O1 - Hosts: 222.89.98.219 www.msncn.com

O1 - Hosts: 222.89.98.219 msncn.com

O1 - Hosts: 222.89.98.219 www.6235.com

O1 - Hosts: 222.89.98.219 6235.com

O1 - Hosts: 222.89.98.219 www.8goo.com

O1 - Hosts: 222.89.98.219 8goo.com

O1 - Hosts: 222.89.98.219 www.baimin.com

O1 - Hosts: 222.89.98.219 baimin.com

O1 - Hosts: 222.89.98.219 www.bwwz.com

O1 - Hosts: 222.89.98.219 bwwz.com

O1 - Hosts: 222.89.98.219 www.howow.net

O1 - Hosts: 222.89.98.219 howow.net

O1 - Hosts: 222.89.98.219 www.tongchi.com

O1 - Hosts: 222.89.98.219 tongchi.com

O1 - Hosts: 222.89.98.219 www.65658.com

O1 - Hosts: 222.89.98.219 65658.com

O1 - Hosts: 222.89.98.219 www.7o7o.com

O1 - Hosts: 222.89.98.219 7o7o.com

O1 - Hosts: 222.89.98.219 5126.net

O1 - Hosts: 222.89.98.219 www.5126.net

O1 - Hosts: 222.89.98.219 www.wangzhiku.com

O1 - Hosts: 222.89.98.219 wangzhiku.com

O1 - Hosts: 222.89.98.219 www.soyeah.com

O1 - Hosts: 222.89.98.219 soyeah.com

O1 - Hosts: 222.89.98.219 www.sowang.cn

O1 - Hosts: 222.89.98.219 sowang.cn

O1 - Hosts: 222.89.98.219 www.77177.com

O1 - Hosts: 222.89.98.219 77177.com

O1 - Hosts: 222.89.98.219 www.look8.net

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {8AC37100-C3EF-5FB0-DDF7-5EB7F2A0E7D3} - (no file)

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\01.02.4000.1001\sv\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\01.02.4000.1001\sv\msntb.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program\Logitech\ImageStudio\ISStart.exe

O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program\Logitech\ImageStudio\LogiTray.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [CTStartup] C:\Program\Creative\Splash Screen\CTEaxSpl.EXE /run

O4 - HKLM\..\Run: [P2P Networking] C:\WINDOWS\System32\P2P Networking\P2P Networking.exe /AUTOSTART

O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program\Messenger Plus! 2\MsgPlus.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\jre1.5.0_02\bin\jusched.exe

O4 - HKLM\..\Run: [msnappau] "C:\Program\MSN Apps\Updater\01.03.0000.1005\sv\msnappau.exe"

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKLM\..\Run: [MMSystem] c:\windows\rundll32.exe "c:\windows\system32\mmsystem.dll"", RunDll32

O4 - HKLM\..\Run: [iTunesHelper] C:\Program\iTunes\iTunesHelper.exe

O4 - HKLM\..\Run: [CloudPlugin] "C:\Program\IMT Labs Messenger Plugin\Cloud.exe"

O4 - HKLM\..\Run: [Disc Detector] C:\Program\Creative\ShareDLL\CtNotify.exe

O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [9o3dr0i6] C:\WINDOWS\system32\9o3dr0i6.exe

O4 - HKLM\..\Run: [Microsoft Application Manager] msapl32.exe

O4 - HKLM\..\Run: [Microsoft Driver Manager] mswindrv.exe

O4 - HKLM\..\RunServices: [Microsoft Driver Manager] mswindrv.exe

O4 - HKLM\..\RunOnce: [Microsoft Driver Manager] mswindrv.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NVMCTRAY.DLL,NvTaskbarInit

O4 - HKCU\..\Run: [LDM] C:\Program\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Program\Logitech\Video\ManifestEngine.exe boot

O4 - HKCU\..\Run: [MMSystem] c:\windows\rundll32.exe "c:\windows\system32\mmsystem.dll"", RunDll32

O4 - HKCU\..\Run: [TaskTray] C:\Program\Creative\SBAudigy\TaskBar\CTLTray.exe

O4 - HKCU\..\Run: [TaskBar] C:\Program\Creative\SBAudigy\TaskBar\CTLTask.exe

O4 - HKCU\..\Run: [RemoteCenter] C:\Program\Creative\SBAudigy\RemoteCenter\Rc\Rcman.exe

O4 - HKCU\..\Run: [Microsoft Driver Manager] mswindrv.exe

O4 - HKCU\..\RunOnce: [Microsoft Driver Manager] mswindrv.exe

O4 - Startup: HotSync Manager.lnk = C:\Program\Palm\HOTSYNC.EXE

O4 - Global Startup: Certificate Mover.lnk = ?

O4 - Global Startup: GStartup.lnk = C:\Program\Delade filer\GMT\GMT.exe

O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program\InterVideo\Common\Bin\WinCinemaMgr.exe

O4 - Global Startup: InterVideo WinScheduler.lnk = C:\Program\InterVideo\WinDVR\WinScheduler.exe

O4 - Global Startup: Logitech Desktop Messenger Agent.lnk = C:\Program\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O4 - Global Startup: Venturi 2.lnk = ?

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program\WinZip\WZQKPICK.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} (Web P2P Installer) -

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {88D969C0-F192-11D4-A65F-0040963251E5} (XML DOM Document 4.0) - file://C:\Documents and Settings\Daniel Thibblin.DANIEL-B1C7KBT2\Lokala inställningar\Temp\EI40_\msxml4.cab

O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C365} - http://content.netvenda.com/sites/games-se/se/games7.cab

O16 - DPF: {91413D86-9F27-402C-B5E3-DEBDD122C3B2} - http://content.netvenda.com/sites/games-se/se/games6.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {C81B5180-AFD1-41A3-97E1-99E8D254DB98} (CSS Web Installer Class) - http://www.aftonbladet.se/it/special/command/cod/cabs/cssweb.cab

O23 - Service: .NET Framework Service (.NET Connection Service) - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.exe

O23 - Service: iPod Service (iPodService) - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program\Norton AntiVirus\navapsvc.exe

O23 - Service: Nofeel FTP Server Service - Owner: Ting Xu - C:\Program\Nofeel FTP Server\Nftpdsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program\DELADE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: SmartTrust Smart Card Server (Smartscaps) - SmartTrust - C:\WINDOWS\system32\Smartscaps.exe

O23 - Service: Venturi2 Client (Venturi2) - Fourelle Systems, Inc - C:\Program Files\Venturi2\Client\ventc.exe

[/log]

 

 

Link to comment
Share on other sites

Du kanske inte märker av något problem men så här står det:

6. Attempts to send c:\funny.exe to contacts in the Microsoft MSN Messenger instant message program.

 

7. May contact the www.78p.com domain and download various components.

 

8. Adds the following entries to the Hosts file to point to an external IP address:

http://securityresponse.symantec.com/avcenter/venc/data/w32.funner.html

 

Eftersom du inte tycks ha någon ordentlig brandvägg så har du väl svårt att avgöra om punkt 7 gäller dig.

 

Eftersom MessengerPlus2 är ökänd för att installera diverse spionprogram på datorn om man inte är väldigt noggrann under installationen och avbockar allt som har med sponsorprogram att göra, så måste du avinstallera den (Kontrollpanelen - Lägg till och ta bort) om du inte är alldelse säker på att du gjorde så. Var väldigt uppmärksam på alla frågor som kommer upp under avinstallationen så att du svara/gör rätt.

 

Är det med vilje som du har P2P Networking igång ?

 

Det ser ut som många otrevligheter i din logg, men jag vågar inte rekommendera några borttagningar så länge som Funner är kvar, för om man tar bort den på fel sätt så kan man göra så att man inte längre kan logga in på datorn.

 

Link to comment
Share on other sites

Men så vitt jag vet så har jag inte MessengerPlus2. Den finns inte med under "Kontrollpanelen - Lägg till och ta bort".

P2P Networking har jag för mig att jag kryssade i förut för att få ljudkonversationer att fungera på msn.

Några tips på vad jag ska göra nu? Är totalt lost...

 

 

 

Link to comment
Share on other sites

Under rensningen så bör internetanslutningen vara urdragen så mycket som möjligt. Ha inte heller igång några "FTP server"-program eller liknande.

 

Om det var min dator så skulle jag börja med att följa Trend Micros anvisningar för att ta bort Funner.

 

Därefter så kan man börja rensa bort övriga otrevligheter.

 

Se också efter om det finns någon avinstallationsprogram i C:\Program\Messenger Plus! 2. Du kanske behöver ställa in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

Bocka för Visa innehållet i systemmappar

 

P2P Networking kan du läsa om här (har inget med ljud i MSN att göra):

http://www.kephyr.com/spywarescanner/library/p2pnetworking/index.phtml

Rekommenderar avinstallation enligt anvisningarna där.

 

När allt ovanstående är gjort så ta ut en ny HijackThis-logg och lägg hit för instruktioner om nästa steg.

 

Link to comment
Share on other sites

Det hära "haha men titta det e ju du" viruset. Jag har sökt igenom filerna med norton, ett antal gånger, men den hittar inte viruset! otroligt frustrerande, jag måste gå stänga ner

msdriv... och lite andra processer för att e inte ska bråka.

Jag läste också det som skrevs ovan, och försökte som de gjorde, men inte funkar systematec. Står att jag har nått sidan fel.

hjälp mig!

 

[inlägget ändrat 2005-05-29 10:03:16 av tonyy]

Link to comment
Share on other sites

Starta upp en egen tråd, det blir så rörigt med flera datorer med lite olika problem i samma tråd.

 

Använd HijackThis:

http://www.spywareinfo.com/~merijn/downloads.html

Kör, skanna och spara loggen (inget annat).

 

I din fråga där skriver du hur det har gått och bifogar HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i inläggsfönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

Link to comment
Share on other sites

Jag har letat efter ett borttagningsverktyg för detta virus("Haha, men det är ju du!", "haha men titta det e ju du") men har inte hittat nåt.. så, såhär måste man tyvärr göra:

 

1. Starta om din dator i säkerhetsläge(Tryck F8 när windows startar upp), detta försäkrar att filerna inte laddas in vid uppstart.

 

2. Starta register-redigeraren genom att klicka på start-knappen, klicka på "kör", skriva "regedit" och slutligen trycka på OK.

 

3. I register-redigeraren; klicka på "Redigera" och sedan "Sök..".

 

Sök efter "msapl32". Om du hittar ett ställe i registret som innehåller denna text kommer en rad att markeras. Tryck på "DEL"-knappen på ditt tangentbord. Windows kommer att fråga om du är säker på att du vill tabort, svara Ja. Tryck på knappen "F3" för att söka efter eventuella fler värden

 

när du tagit bort alla värden med innehhållet "msapl32" ska du göra om samma procedur med sökordet "mswindrv"

 

4. Nu är det dags att söka efter filer som heter "msapl32" och "mswindrv".

Tryck på Start-menyn, Sök, Efter filer och mappar. Det är mycket viktigt att du söker efter Dolda filer och mappar, denna inställing hittar du i avancerade sökalternativ.

 

När du hittat några filer med detta namn ser du till att tabort dem genom att hålla in Shift och Del-knappen samtidigt. (på det viset tas filen bort direkt och mellanlagras inte i papperskorgen)

 

Det kan också vara värt att söka efter alla filer (*.*) som innehåller orden "msapl32" och "mswindrv"

 

Tabort alla filer du hittar.

 

5. Starta om datorn

 

// Jonas

 

[inlägget ändrat 2005-05-29 12:58:12 av redRemedy]

[inlägget ändrat 2005-05-29 13:04:31 av redRemedy]

Link to comment
Share on other sites

TACK SOM F-N! Jag gjorde precis som du sa och viruset verkar vara borta nu. Tack också till Cecilia för all hjälp!

 

Link to comment
Share on other sites

Jag löste det hela på ett annat sätt: gick in i felsäkert läge och raderade hela messenger (gammal + ny version). Nu verkar viruset vara borta, bortsett från en konstig sak.

 

Precis när datorn är uppstartad är den allmänt seg och om jag öppnar Windows Task Manager, så ser jag under fliken Applications att datorn försöker köra en rar-fil som heter Ashtree. Om jag väljer end task, flyter datorn på som den ska.

 

Det är lite enerverande att behöva göra detta varje gång. Jag vet dessutom inte om viruset kommer att börja spöka om jag installerar messenger igen. Jag ska testa ditt tillvägagångssätt istället och se om det löser problemet.

 

/Jonas Henricsson

 

Link to comment
Share on other sites

Jag öppnade samma länk men mitt virusprogram upptäckte viruset och stoppade det. Men det identifierade viruset som en trojan och inte nån worm. Är det samma "visur" i alla fall?

 

Link to comment
Share on other sites

Det kan det nog vara. Se här:

http://www.idg.se/ArticlePages/200505/29/20050529220339_PFA/20050529220339_PFA.dbp.asp

Så det finns sådant som är både och.

Du kommer inte ihåg vad antivirusprogrammet sa att det var, mer än att det var en trojan? För det är alltid bra att kolla i antivirusföretagets virusdatabas om de anser att någon ytterligare åtgärd behövs för att få bort otrevligheten helt och hållet.

 

Link to comment
Share on other sites

[log]Logfile of HijackThis v1.99.1

Scan saved at 17:33:47, on 2005-05-30

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\TGTSoft\StyleXP\StyleXPService.exe

C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Symantec Shared\ccProxy.exe

C:\Program\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\Program\Java\jre1.5.0_01\bin\jusched.exe

C:\Program\Winamp\winampa.exe

C:\Program\MessengerPlus! 3\MsgPlus.exe

C:\Program\Delade filer\Symantec Shared\Security Center\UsrPrmpt.exe

C:\WINDOWS\system32\tbctray.exe

C:\Program\MSN Messenger\MsnMsgr.Exe

C:\Program\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

C:\Program\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe

C:\WINDOWS\System32\mswindrv.exe

C:\WINDOWS\System32\msiexec.exe

C:\WINDOWS\System32\wuauclt.exe

c:\program\intern~1\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\explorer.exe

C:\Program\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe

C:\Program\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe

C:\Documents and Settings\Necet\Skrivbord\HijackThis.exe

C:\Program\Symantec\LIVEUP~1\LUCOMS~1.EXE

C:\Program\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavshellex.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.qglggxuktg.com/GCgDWeBeFmMiYgaGmkzicnMlLg2dy_RcC2VPnYuJBBGpNTZCO6J9xYJnLjG7Ks2_.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.cbbqjvjytyzjnguhj.com/GCgDWeBeFmNFagFkhgTKRhz83FMUu2hMasNwjZyJfrg.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program\ICQToolbar\toolbaru.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Need2Find Bar BHO - {4D1C4E81-A32A-416b-BCDB-33B3EF3617D3} - C:\Program\Need2Find\bar\1.bin\ND2FNBAR.DLL

O2 - BHO: (no name) - {5591559F-5474-0F86-91E3-FDD43690ACC1} - C:\DOCUME~1\Necet\APPLIC~1\ISOFOU~1\RdrCurb.exe (file missing)

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program\Delade filer\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program\Delade filer\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program\ICQToolbar\toolbaru.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [urlLSTCK.exe] C:\Program\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\Program\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKLM\..\Run: [LogonStudio] "C:\Program\WinCustomize\LogonStudio\logonstudio.exe" /RANDOM

O4 - HKLM\..\Run: [hMQAAx] C:\WINDOWS\jgkyobnv.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [h$æÅõö/ØG%)ßfÏNb½¾C:\Program\ISTsvc\istsvc.exe] C:\WINDOWS\jgkyobnv.exe

O4 - HKLM\..\Run: [iCQ Lite] C:\Program\ICQLite\ICQLite.exe -minimize

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Program\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [cashbatantedart] C:\Documents and Settings\All Users\Application Data\SITEAXISCASHBAT\IDOLCOOL.exe

O4 - HKLM\..\Run: [Microsoft Driver Manager] mswindrv.exe

O4 - HKLM\..\Run: [KAV50] "C:\Program\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kav.exe" -run -n PersonalPro -v 5.0.0.0 -chkss

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program\Delade filer\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [TraySantaCruz] C:\WINDOWS\system32\tbctray.exe

O4 - HKLM\..\RunServices: [Microsoft Driver Manager] mswindrv.exe

O4 - HKLM\..\RunOnce: [Microsoft Driver Manager] mswindrv.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [sTYLEXP] C:\Program\TGTSoft\StyleXP\StyleXP.exe -Hide

O4 - HKCU\..\Run: [livemode] C:\DOCUME~1\Necet\APPLIC~1\SIXTHM~1\meta dumb.exe

O4 - HKCU\..\Run: [Microsoft Driver Manager] mswindrv.exe

O4 - HKCU\..\RunOnce: [Microsoft Driver Manager] mswindrv.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: hp psc 2000 Series.lnk = C:\Program\Hewlett-Packard\Digital Imaging\bin\hpobnz08.exe

O4 - Global Startup: hpoddt01.exe.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: &ICQ Toolbar Search - res://C:\Program\ICQToolbar\toolbaru.dll/SEARCH.HTML

O8 - Extra context menu item: &Search - http://kc.bar.need2find.com/KC/menusearch.html?p=KC

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program\ICQLite\ICQLite.exe

O16 - DPF: {665585FD-2068-4C5E-A6D3-53AC3270ECD4} (FileSharingCtrl Class) - http://appdirectory.messenger.msn.com/AppDirectory/P4Apps/FileSharing/en/filesharingctrl.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/SolitaireShowdown.cab31267.cab

O23 - Service: Adobe LM Service - Unknown owner - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe (file missing)

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

O23 - Service: Kaspersky Anti-Virus Service (KLBLMain) - Kaspersky Lab - C:\Program\Kaspersky Lab\Kaspersky Anti-Virus Personal Pro 5\kavmm.exe

O23 - Service: Norton AntiVirus Auto Protect-tjänst (navapsvc) - Symantec Corporation - C:\Program\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program\DELADE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: StyleXPService - Unknown owner - C:\Program\TGTSoft\StyleXP\StyleXPService.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe[/log]

 

Link to comment
Share on other sites

Starta din egen tråd, tack. Det blir så rörigt med olika problem i samma tråd.

I det inlägget så talar du dessutom om vad du har för problem och vad du har försökt göra för att avhjälpa det.

 

Link to comment
Share on other sites

scannat med norton scannat med ad-aware.. kollat efter fixes fixat det i regedit.. men datorn e seg å jag kan inte använda datorns sök funktion...

 

Link to comment
Share on other sites

DU ÄR UNDERBAR! TACK! allting funkar som förut nu, tog hjälp av det du hade skrivit in. TACK! räddaren i nöden:D

 

Link to comment
Share on other sites

Du verkar har fler problem med din dator än bara Messenger-viruset(som jag tror benämns som Ashtree), men om du vill söka efter filerna msapl32 och mswindrv kan du använda dosprompten för detta. Skriv 'cmd' i 'Kör' för att komma till prompten.

 

Skriv 'cd\' och tryck på enter.

Skriv sedan 'dir /s msapl32*.*' följt av enter

 

Om du hittar några filer är det bara att gå till katalogen där filen hittades och ta bort den.

 

// Jonas

 

Link to comment
Share on other sites

Att ha två antivirusprogram igång samtidigt brukar leda till seg dator.

 

Ta bort alla okända program från Kontrollpanelen - Lägg till och ta bort program.

 

Skanna med dessa online-skanningar:

http://housecall.trendmicro.com/

http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm

 

Kör antispionprogrammet Spybot S&D:

http://www.safer-networking.org/en/download/index.html

 

Om det inte är den senaste versionen av Ad-aware, dvs 1.06, du har använt, så gör du det.

http://www.lavasoft.com/

 

Ta sedan ut en ny HijackThis-logg. Skriv här hur det har gått och bifoga den nya loggen.

 

Link to comment
Share on other sites

Att gå in i regedit och fixa och trixa är onödigt och kan vara farligt.

Hijackthis verkar på likadant sett när du fixar filerna där.

Den raderar raderna i registret utan att man själv behöver pilla.

 

Allt du behöver leta upp i hjt (för Kelvir.CG) är

 

O4 - HKLM\..\Run: [Microsoft Application Manager] msapl32.exe

O4 - HKLM\..\Run: [Microsoft Driver Manager] mswindrv.exe

O4 - HKLM\..\RunServices: [Microsoft Driver Manager] mswindrv.exe

O4 - HKLM\..\RunOnce: [Microsoft Driver Manager] mswindrv.exe

 

Bocka i alla sådana och ta bort.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...