smitfraud... (igen)

[Vinterljus]

Hejsan alla.

En kompis till mig har lyckats få detta eminenta irritationsobjekt på sin dator. Eftersom jag är listig som en tångräka sökte jag här på forumet och hittade en kanonbra tråd (tack Zipp för den hjälpen) som jag tänkte applicera på denna datorn men, så enkelt var det ju inte riktigt.

Har dock laddat hem smitfraud.reg, lagt på skrivbordet och svarat ja, gjort ny mapp till HiJack och lagt den där. Men, när jag körde scannen så såg det annorlunda ut mot den i tråden... (naturligtvis) Så, här kommer den loggen då...

 

Logfile of HijackThis v1.99.1

Scan saved at 16:51:52, on 2005-06-30

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

C:\Program\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

C:\Program\Panda Software\Panda Antivirus Platinum\AVENGINE.EXE

C:\WINDOWS\Explorer.EXE

C:\Program\Java\j2re1.4.2_05\bin\jusched.exe

C:\Program\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program\Panda Software\Panda Antivirus Platinum\apvxdwin.exe

C:\Program\Panda Software\Panda Antivirus Platinum\pavProxy.exe

C:\WINDOWS\system32\notepad.exe

C:\HjT\HijackThis.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aftonbladet.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\Program\SPYWAR~1\tools\iesdsg.dll (file missing)

O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - C:\WINDOWS\system32\iasada.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [sCANINICIO] "C:\Program\Panda Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program\Panda Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [spyware Doctor] "C:\Program\Spyware Doctor\swdoctor.exe" /Q

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O23 - Service: stchost.exe (moto) - Unknown owner - C:\WINDOWS\stchost.exe (file missing)

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program\Panda Software\Panda Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program\Panda Software\Panda Antivirus Platinum\pavsrv51.exe

 

 

 

[Zipp.]

Ser inga Smitfraud filer i loggen men vi kan pröva så här.

 

Ladda ner KillBox

 

http://www.bleepingcomputer.com/files/spyware/KillBox.zip

 

Unzippa den på skrivbordet

 

[log]Avinstallera via Kontrollpanelen om det finns

 

Security IGuard

Virtual Maid

Search Maid

 

Öppna KillBoxen och bocka i Delete on Reboot

 

Sen kopiera rader nedan alla på en gång

 

 

C:\wp.exe

C:\wp.bmp

C:\bsw.exe

C:\Windows\sites.ini

C:\WINDOWS\stchost.exe

C:\Windows\popuper.exe

C:\Windows\System32\hhk.dll

C:\Windows\System32\wldr.dll

C:\Windows\System32\helper.exe

C:\Windows\System32\intmon.exe

C:\Windows\System32\shnlog.exe

C:\Windows\system32\perfcii.ini

C:\Windows\System32\intmonp.exe

C:\Windows\System32\msmsgs.exe

C:\Windows\system32\msole32.exe

C:\Windows\System32\ole32vbs.exe

 

 

Sen i KillBox klicka File > Paste from Clipboard

Då ska du se att filer är i KillBoxen.

Sen klicka på Delete (röd med vit X)

Svara ja på bägge frågor och om inte datorn startas om automatiskt så starta om den.

 

Gå sen direkt i FELSÄKERT läge.

 

 

Scanna med Hijack bocka i följande rader om dom är kvar och klicka FIX checked

 

O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - C:\WINDOWS\system32\iasada.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O23 - Service: stchost.exe (moto) - Unknown owner - C:\WINDOWS\stchost.exe (file missing)

 

 

Sen ta bort om hittas

 

C:\WINDOWS\system32\iasada.dll

 

Dessa mappar om dom finns

 

C:\Program Files\Search Maid

C:\Program Files\Virtual Maid

C:\Windows\System32\Log Files

C:\Program Files\Security IGuard

 

Starta sen normalt och ny Hijack logg.

 

 

[/log]

 

 

[Hundbert]

Mitt tips till dig:

 

Uppdatera datorn.

Uppdatera datorn.

Uppdatera datorn.

 

Sp1 släpptes i september år 2002. Snart tre år sedan.

Detta tips bjuder jag på helt gratis.

 

[inlägget ändrat 2005-06-30 20:18:08 av Hundbert]

[inlägget ändrat 2005-06-30 20:18:26 av Hundbert]

[Vinterljus]

Stort tack för hjälpen än så länge. Gjorde allt du skrev och allt förlöpte väl som förväntat men, killbox... där kunde jag inte klistra in dem..? Men men, tog dem en och en i stället. Något har iaf hänt. den blå bakgrunden med "felmeddelandet" har försvunnit men så fort datorn startas meddelar Panda AV att viruset är detekterat...

 

Efter dina rekommenderade åtgärder gjorde jag en ny scan med pav plus de åtgärder de nämner på sin hemsida för att få bort viruset men, något är iaf kvar.

 

Nya loggfilen ser ut som följer:

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Panda Software\Panda Antivirus

Platinum\Firewall\PavFires.exe

C:\Program\Panda Software\Panda Antivirus

Platinum\pavsrv51.exe

C:\Program\Panda Software\Panda Antivirus

Platinum\AVENGINE.EXE

C:\Program\Panda Software\Panda Antivirus

Platinum\apvxdwin.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Java\j2re1.4.2_05\bin\jusched.exe

C:\Program\Roxio\Easy CD Creator

5\DirectCD\DirectCD.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Program\Panda Software\Panda Antivirus

Platinum\pavProxy.exe

C:\Program\Panda Software\Panda Antivirus

Platinum\Upgrader.exe

C:\HjT\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet

Explorer\Main,Start Page = http://www.aftonbladet.se/

R0 - HKCU\Software\Microsoft\Internet

Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class -

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Program\Adobe\Acrobat

6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: PCTools Site Guard -

{5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} -

C:\Program\SPYWAR~1\tools\iesdsg.dll (file missing)

O3 - Toolbar: &Radio -

{8E718888-423F-11D2-876E-00A0C9082467} -

C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [sunJavaUpdateSched]

C:\Program\Java\j2re1.4.2_05\bin\jusched.exe

O4 - HKLM\..\Run: [AdaptecDirectCD]

"C:\Program\Roxio\Easy CD Creator

5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [sCANINICIO] "C:\Program\Panda

Software\Panda Antivirus Platinum\Inicio.exe"

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program\Panda

Software\Panda Antivirus Platinum\APVXDWIN.EXE" /s

O4 - HKCU\..\Run: [CTFMON.EXE]

C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [spyware Doctor] "C:\Program\Spyware

Doctor\swdoctor.exe" /Q

O4 - Global Startup: Microsoft Office.lnk =

C:\Program\Microsoft Office\Office\OSA9.EXE

O9 - Extra button: (no name) -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Program\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\Program\Java\j2re1.4.2_05\bin\npjpi142_05.dll

O9 - Extra button: Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Program\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Messenger -

{FB5F1910-F110-11d2-BB9E-00C04F795683} -

C:\Program\Messenger\MSMSGS.EXE

O17 -

HKLM\System\CCS\Services\Tcpip\..\{583BBA86-87A7-409A-9C46-FCAD11100B62}:

NameServer = 195.67.199.9 195.67.199.10

O23 - Service: stchost.exe (moto) - Unknown owner -

C:\WINDOWS\stchost.exe (file missing)

O23 - Service: Panda Firewall Service (PAVFIRES) -

Panda Software - C:\Program\Panda Software\Panda

Antivirus Platinum\Firewall\PavFires.exe

O23 - Service: Panda anti-virus service (PAVSRV) -

Panda Software - C:\Program\Panda Software\Panda

Antivirus Platinum\pavsrv51.exe

 

mvh Jan

 

[Vinterljus]

Månntro det...

 

jag har sp2... men, det är till home edition... han har professional... och det funkar väl inte kan jag tro?

 

men, jag ska framföra tipset.

 

Tack //Jan

 

[Zipp.]

Starta datorn i felsäkert läge

Skriv i Kör fältet services.msc sen Ok

Leta efter service med namnet

 

stchost.exe (moto)

 

Dubbelklicka på den och sen Stoppa den

Sen ändra Startmetod till Inaktiverad

Klicka Verkställ och sen Ok

Starta sen normalt.

 

Var är viruset enligt Panda?

 

[Vinterljus]

Hej igen. Eftersom det inte är min dator blir kommunikationen lite långsammare än normalt men..

Jag har gjort som du sa, DOCK var inte stchost startad (?) men jag valde "inaktiverad" som du sa.

Panda hittar fortfarande smitfraud... gång på gång på gång...

 

Vid en virusscan hittar den (och tar bort) två filer.

c:\windows\system32\wininet.dll

c:\windows\system32\WININET.dll

Dessa hittades alltså vid sista scannen.

 

alltid dessa... och när man slår på datorn så... kommer de tillbaka...

 

 

 

[Zipp.]

Starta datorn i felsäkert läge.

Sen kopiera WININET.DLL härifrån

 

C:\Windows\system32\dllcache\wininet.dll

 

sen gå i C:\Windows\system32\ mappen och byt namn på den WININET.DLL till WININET.old

 

Sen klistra in WININET.DLL du kopiera.

Stara sen normalt och titta om allt är ok.

 

 

[Vinterljus]

Hej.

 

Hittade inte wininet där du sa. Men, sökte och hittade två stycken. Den ena där panda hittar den och den andra här:

C:\Program\Delade filer\Adaptec Shared\System

 

Är det "samma" fil som du syftade på? Vågade inte prova...

 

[Zipp.]

Ladda ner den här

 

http://www.dll-files.com/dllindex/dll-files.shtml?wininet

 

Unzippa den och sen starta i felsäkert läge och använd den som jag beskrev tidigare.

 

 

 

 

[Vinterljus]

Hejsan.

Gjorde som du sa och nu har datorn fastnat i vinkelvolten... typ.

den startar inte upp, inte normalt, inte felsäkert, inte i felsökningsläge och inte med senast fungerande konfig...

 

(sitter hemma hos mig nu och skriver detta)

 

Har en plan. Om jag ändrar i bios så den bootar från a och kör in en startdiskett och tack vare den in i dos och där gör om som det var innan... skulle det funka månntro?

Kan jag döpa om wininet.old till wininet.dll? och ta bort den nya filen?

Finns det något annat som kan vara fel? Finns det ett enklare tillvägagångssätt?

 

OCH, änu viktigare (kanske)... hur var kommandona? har aldrig varit riktigt haj på det men, kan ju läsa instruktioner. Minns att det blir en hel del att skriva om man ska döpa om en fil t.ex.

 

NU börjar äventyret på riktigt va?

 

 

 

[inlägget ändrat 2005-07-01 16:01:43 av Vinterljus]

[Zipp.]

> NU börjar äventyret på riktigt va? <

 

Oops...det kan man lungt säga

 

> Har en plan <

 

Pröva jag vet faktiskt ingenting om det här med bios

 

> Kan jag döpa om wininet.old till wininet.dll? <

 

Det måste funka men hur det är problemet

 

 

> OCH, änu viktigare (kanske)... hur var kommandona? <

 

Kanske så här är inte 100 säker

In med disken och C:\Windows\system32

ren wininet.old wininet.dll och sen Enter

 

 

Undrar varför det blev så här fick du nån error när du skulle klistra in den nya filen.

 

 

 

[inlägget ändrat 2005-07-01 16:21:50 av Zipp.]

[inlägget ändrat 2005-07-01 16:44:04 av Zipp.]

[Vinterljus]

Hejsan Zipp.

 

Varit lite körigt här. Min plan var bra tänkt bara det att det är olika filsystem då (jag hade en gammal diskett)

Fixade en XP-skiva och via den in i "dos" och där såg jag felet. Filen jag klistrade in (den jag laddade ner var... 45 byte!! Inte mycket att använda.

Så, tog bort den, döpte om wininet.old till det den hette från början (wininet.dll) och startade om...

 

NU FUNKAR det... men fråga mig inte hur. Inte ens Panda klagar på något... Ska jag våga starta om?

Tack för all hjälp. det var en rolig resa.

 

mvh Jan Linnér

 

[Zipp.]

> den jag laddade ner var... 45 byte <

 

Konstigt jag pröva nyss ladda ner den och den va 570kb

 

> Ska jag våga starta om? <

 

Heh..javisst testa

 

 

[Vinterljus]

ja, håller med om att det var konstigt. För, jag minns att filen jag laddade hem var STÖRRE än den befintliga filen som var på drygt 400kb.

Så, något hände i klistringsögonblicket...

 

Nåja, startade om datorn ett antal ggr och tänka sig, den fungerar.

 

tack för supporten Zipp.

 

mvh Jan