Just nu i M3-nätverket
Jump to content

Div. problem (spybot, adaware osv)


sampe

Recommended Posts

Hejsan!

 

Drog på mig ett virus häromdagen när jag var ute och surfade,

det satte sig i win.ini filen om jag minns rätt, men jag lyckades

bli av med det (om jag får tro Sophos antivirus). Dock så kom

det i sällskap med massa annat läskigt som jag än har att bli

av med.

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 22:41:25, on 2005-07-22

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\PROGRAM\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\TEMP\ICSUPP95.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\LOADQM.EXE

C:\PROGRAM\SOPHOS SWEEP\ICMON.EXE

C:\PROGRAM\SOPHOS\REMOTE UPDATE\IMONITOR.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM\INTERNET EXPLORER\IEXPLORE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

D:\PROGRAM\HIJACKTHIS\HIJACKTHIS.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Windows\TEMP\se.dll/space.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Windows\TEMP\se.dll/space.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: (no name) - {BC303BB6-ED4C-4F99-9D7B-23E5270AFFC5} - C:\WINDOWS\SYSTEM\IJKO.DLL

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - D:\PROGRAM\SPYBOT~1\SDHELPER.DLL

O4 - HKLM\..\Run: [scanRegistry] C:\Windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [interCheckMonitor] "C:\PROGRAM\SOPHOS SWEEP\ICMON.EXE" -minimised

O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\RunServices: [outpostupdate] C:\WINDOWS\SYSTEM\outpostupdate.exe

O4 - HKLM\..\RunServices: [CacheMgr] C:\PROGRAM\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE

O4 - HKLM\..\RunServices: [sweep95] C:\Program\Sophos SWEEP\ICLOAD95.EXE

O4 - Startup: Remote Update Monitor.lnk = C:\Program\Sophos\Remote Update\imonitor.exe

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {5E069692-C555-4F90-A103-2537B78AEC29} (SweetChatObject Class) - http://download.c2.buster4.co.kr/neople/chat/SweetChatSession.cab

O16 - DPF: {7A550C60-66BD-4B38-8A78-BA6324E25F43} (NeoInstallShield Class) - http://download.c2.buster4.co.kr/neople/NeoInstallShield/nis.cab

O16 - DPF: {A977FF0C-8757-4E76-8533-482F91946233} (Neowiz Login Control) - http://dl.sayclub.com/sayclub/sayctl/sayax.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O18 - Filter: text/html - {C7E1DAC9-8F23-4FB4-8591-3B0C0AC07A73} - C:\WINDOWS\SYSTEM\IJKO.DLL

O18 - Filter: text/plain - {C7E1DAC9-8F23-4FB4-8591-3B0C0AC07A73} - C:\WINDOWS\SYSTEM\IJKO.DLL

 

[/log]

 

Jag har försökt bli klok här i forumet men inte lyckats särskilt bra, kan inte heller tolka den där loggen så jag hoppas nån är snäll och hjälper :)

 

Bland problemen kan nämnas att startsidan ändrats till "about:blank" som är någon sökmotor med casinoanknytning, och vidare problem är att jag, hur jag än försöker, aldrig blir av med alla spywares! Om jag rensar

en minut med både spybot och adaware är det minst lika många nästa, fastän jag inte är uppkopplad och fastän jag inte har eller har startat om emellan. Dessutom kommer det popups som säger att jag har spywares på datorn... Och .dll filer bråkar lite också, kernel32 och Rundll32...

 

"Rundll32 har orsakat ett fel i KERNEL.32.DLL

Rundll32 stängs.

 

Pröva med att starta om datorn

om det uppstår problem igen."

 

Angående startsidan också, den gamla startsidan länkas automatiskt till den nya, men alla andra sidor funkar utmärkt (hittills). Har testat både regedit och msconfig men utan lycka, och jag vågar inte pilla för mycket heller.

 

Hoppas nån kan hjälpa!

 

Link to comment
Share on other sites

Eftersom du inte tycks ha någon brandvägg så måste du ha internetanslutningen urdragen så mycket som möjligt tills datorn är ren.

 

Var säker på att du förstår allt nedan innan du fortsätter, fråga annars.

 

Vi får se om detta hjälper eller om det behövs mer.

 

[log]Kör HijackThis och skanna. Bocka för dessa rader:

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Windows\TEMP\se.dll/space.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Windows\TEMP\se.dll/space.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

O2 - BHO: (no name) - {BC303BB6-ED4C-4F99-9D7B-23E5270AFFC5} - C:\WINDOWS\SYSTEM\IJKO.DLL

O4 - HKLM\..\Run: [sp] rundll32 C:\WINDOWS\TEMP\SE.DLL,DllInstall

O4 - HKLM\..\RunServices: [outpostupdate] C:\WINDOWS\SYSTEM\outpostupdate.exe

O18 - Filter: text/html - {C7E1DAC9-8F23-4FB4-8591-3B0C0AC07A73} - C:\WINDOWS\SYSTEM\IJKO.DLL

O18 - Filter: text/plain - {C7E1DAC9-8F23-4FB4-8591-3B0C0AC07A73} - C:\WINDOWS\SYSTEM\IJKO.DLL

 

Avsluta alla program och fönster förutom HijackThis.

 

Tryck på Fix checked.

 

Starta om i felsäkert (rent) läge. Det finns beskrivet här hur man gör det:

http://support.microsoft.com/kb/267288/

 

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

 

Ta bort filerna (om de finns kvar):

C:\WINDOWS\SYSTEM\IJKO.DLL

C:\WINDOWS\SYSTEM\outpostupdate.exe

 

Töm mappen (men själva mappen ska vara kvar):

C:\Windows\TEMP

 

Starta om datorn i normalt läge och ta ut en ny HijackThis-logg.

Skriv i ditt svar hur det har gått och hur det är med startsidan samt klistra in den nya loggen.

 

Kommer du ihåg vad Sophos rapporterade att du hade i datorn?

Man bör alltid slå upp i Sophos databas hur otrevligheten ska tas bort, det står ofta där att man ska göra något mer.

http://www.sophos.com/virusinfo/analyses/

[/log]

 

Link to comment
Share on other sites

Följde dina instruktioner (Tack!).

Så här är läget nu.

 

Ändrade startsidan, startade om och presto chango så var det bra igen!

Inga popups ännu...

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 21:41:30, on 2005-07-23

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\PROGRAM\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TEMP\ICSUPP95.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

D:\PROGRAM\HIJACKTHIS\HIJACKTHIS.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Windows\TEMP\se.dll/space.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Windows\TEMP\se.dll/space.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,HomeOldSP = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: (no name) - {807013A7-7DA8-483C-B991-9D09D0B0DE73} - C:\WINDOWS\SYSTEM\IJKO.DLL (file missing)

O4 - HKLM\..\Run: [scanRegistry] C:\Windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [interCheckMonitor] "C:\PROGRAM\SOPHOS SWEEP\ICMON.EXE" -minimised

O4 - HKLM\..\Run: [MSConfigReminder] C:\WINDOWS\SYSTEM\msconfig.exe /reminder

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\RunServices: [CacheMgr] C:\PROGRAM\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE

O4 - HKLM\..\RunServices: [sweep95] C:\Program\Sophos SWEEP\ICLOAD95.EXE

O4 - Startup: Remote Update Monitor.lnk = C:\Program\Sophos\Remote Update\imonitor.exe

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {5E069692-C555-4F90-A103-2537B78AEC29} (SweetChatObject Class) - http://download.c2.buster4.co.kr/neople/chat/SweetChatSession.cab

O16 - DPF: {7A550C60-66BD-4B38-8A78-BA6324E25F43} (NeoInstallShield Class) - http://download.c2.buster4.co.kr/neople/NeoInstallShield/nis.cab

O16 - DPF: {A977FF0C-8757-4E76-8533-482F91946233} (Neowiz Login Control) - http://dl.sayclub.com/sayclub/sayctl/sayax.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O18 - Filter: text/html - {4F8D89A5-FCB7-4A14-BFC3-8D6FEB291498} - C:\WINDOWS\SYSTEM\IJKO.DLL

O18 - Filter: text/plain - {4F8D89A5-FCB7-4A14-BFC3-8D6FEB291498} - C:\WINDOWS\SYSTEM\IJKO.DLL

 

[/log]

 

Och viruset, vars namn jag inte kom ihåg när jag startade tråden, heter "Dloader-EW", en trojan. Jag använde mig utav sophos virusanalyser för att ta bort den, och det gick ju något sånär tydligen. Tack för din hjälp, hoppas det här är över snart.

 

En sak till, jag fixade omgående zonealarm också, vilket, enligt pc för alla, är en bra gratisbrandvägg, själv har jag ingen erfarenhet av varken det ena eller det andra när det kommer till brandväggar, men vi kan väl hoppas att den gör lite nytta :)

[inlägget ändrat 2005-07-23 21:56:46 av sampe]

[inlägget ändrat 2005-07-23 22:42:01 av sampe]

Link to comment
Share on other sites

Följde du anvisningarna från Sophos angående hur trojanen ska tas bort:

http://www.sophos.com/virusinfo/analyses/trojdloaderew.html

Kolla igenom där på Recovery-fliken och se om de rekommenderar något du inte har gjort.

 

Din loggfil är tagen innan du gjorde det sista, så ta ut en ny logg så att jag får se att allt är borta från den nu (den du klistrade in är inte bra).

 

Zonealarm kommer säkert att vara till nytta, det är ett exempel på en bra brandvägg. Jag brukar rekommendera den eller Sygate.

 

Link to comment
Share on other sites

[log]Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\PROGRAM\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM\SOPHOS SWEEP\ICMON.EXE

C:\WINDOWS\TEMP\ICSUPP95.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

D:\PROGRAM\HIJACKTHIS\HIJACKTHIS.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Windows\TEMP\se.dll/space.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.candybar.co.kr/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Windows\TEMP\se.dll/space.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O2 - BHO: (no name) - {807013A7-7DA8-483C-B991-9D09D0B0DE73} - C:\WINDOWS\SYSTEM\IJKO.DLL (file missing)

O4 - HKLM\..\Run: [scanRegistry] C:\Windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [interCheckMonitor] "C:\PROGRAM\SOPHOS SWEEP\ICMON.EXE" -minimised

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\RunServices: [CacheMgr] C:\PROGRAM\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKLM\..\RunServices: [sweep95] C:\Program\Sophos SWEEP\ICLOAD95.EXE

O4 - Startup: Remote Update Monitor.lnk = C:\Program\Sophos\Remote Update\imonitor.exe

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {5E069692-C555-4F90-A103-2537B78AEC29} (SweetChatObject Class) - http://download.c2.buster4.co.kr/neople/chat/SweetChatSession.cab

O16 - DPF: {7A550C60-66BD-4B38-8A78-BA6324E25F43} (NeoInstallShield Class) - http://download.c2.buster4.co.kr/neople/NeoInstallShield/nis.cab

O16 - DPF: {A977FF0C-8757-4E76-8533-482F91946233} (Neowiz Login Control) - http://dl.sayclub.com/sayclub/sayctl/sayax.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

 

[/log]

Nu har jag ett nytt virus, som sophos säger till om men som inte dyker upp under antivirusscanning. Det ligger i _restore/temp/SE.0 och viruset heter Ablank-AD. Annars verkar brandväggen hjälpa rätt bra.

 

Link to comment
Share on other sites

Vi tar det enkla först.

Nu har jag ett nytt virus, som sophos säger till om men som inte dyker upp under antivirusscanning. Det ligger i _restore/temp/SE.0 och viruset heter Ablank-AD.

_restore-mappen är mappen där systemåterställningspunkterna lagras. Det betyder att medan du hade Ablank-AD i datorn så skapade Windows en systemåterställningspunkt som då kom att innehålla otrevligheten. Om du återställer datorn till denna punkt så kommer också otrevligheten att komma tillbaks. Så länge otrevligheter bara ligger i _restore-mappen så är de ofarliga.

 

Nu till allvarligheterna.

 

Var säker på att du förstår allt nedan innan du fortsätter, fråga annars.

 

För att du inte ska råka återställa datorn till ett läge med dessa och tidigare otrevligheter i så bör du ta bort alla systemåterställningspunkter genom att avaktivera systemåterställningsfunktionen.

Kontrollpanelen - System - Prestanda - Filsystem - Felsökning - Inaktivera - Ok

Funktionen ska sedan sättas på när datorn är ren.

 

Ladda ner Sphjfix för Windows 95/98/ME:

http://www.trojaner-info.de/cgi-bin/download.cgi?file=sphjfix109

 

Ladda ner CWShredder:

http://www.trendmicro.com/ftp/products/online-tools/cwshredder.exe

Starta programmet och uppdatera, men stäng sedan av den.

 

Ladda ner CleanUp!:

http://downloads.stevengould.org/cleanup/CleanUp40.exe

 

[log]Starta om datorn i felsäkert läge, som förra gången.

 

Ställ in Utforskaren att se alla filer, precis som sist.

 

Kör Sphjfix och tryck på Start Disinfection.

Om den hittar något så kommer den att starta om datorn, se till att du åter kommer till felsäkert läge.

Sphjfix har skapat en logg på samma ställe som programmet ligger, klistra in den i ditt svar när allt är klart.

 

Kör CWShredder och tryck på Fix och Ok. Programmet kommer att söka igenom datorn och rensa bort om den hittar något. Skriv ner resultatet och skriv det sedan i ditt svar. Avsluta programmet när den är klar.

 

Kör CleanUp och låt det ta bort alla temorära filer (delete all temporary files).

När det är klart tryck Close, och sedan No för du ska inte Log Off.

 

Kör HijackThis och bocka för dessa rader, om de fortfarande finns kvar.

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Windows\TEMP\se.dll/space.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.candybar.co.kr/ !!!Om det inte är något du har valt själv!!!

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = res://C:\Windows\TEMP\se.dll/space.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = about:blank

O2 - BHO: (no name) - {807013A7-7DA8-483C-B991-9D09D0B0DE73} - C:\WINDOWS\SYSTEM\IJKO.DLL (file missing)

 

Tryck på Fix checked.

 

Kontrollera att det inte finns någon fil:

C:\WINDOWS\SYSTEM\IJKO.DLL

Om den finns så ta bort den.

 

Töm mappen:

C:\Windows\TEMP

 

Starta om datorn i normalt läge och ta ut en ny HijackThis-logg.

Skanna med Sophos.

Skriv i ditt svar hur det har gått och hur det är med startsidan samt klistra in de olika loggarna.[/log]

 

Link to comment
Share on other sites

Håhåjaja. Så här blev resultaten...

 

SPSeHjFixlog

[log]

(7-26-05 16:34:57) SPSeHjFix started v1.09

(7-26-05 16:34:57) OS: WinME (4.90.73010104)

(7-26-05 16:34:57) Language: svenska

(7-26-05 16:35:01) Disinfect started

(7-26-05 16:35:01) Bad-Dll(IEP): (not found)

(7-26-05 16:35:01) Bad-Dll(IEP) in BHO: (not found)

(7-26-05 16:35:01) UBF: 7

(7-26-05 16:35:01) UBB: 1

(7-26-05 16:35:01) UBR: 14

(7-26-05 16:35:01) Bad IE-pages:

deleted: HKCU\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Main, Search Page: about:blank

deleted: HKLM\Software\Microsoft\Internet Explorer\Search, SearchAssistant: about:blank

(7-26-05 16:35:01) Stealth-String not found:

(7-26-05 16:35:01) Not infected->END

 

 

(7-26-05 16:40:41) SPSeHjFix started v1.09

(7-26-05 16:40:41) OS: WinME (4.90.73010104)

(7-26-05 16:40:41) Language: svenska

(7-26-05 16:40:43) Disinfect started

(7-26-05 16:40:43) Bad-Dll(IEP): (not found)

(7-26-05 16:40:43) Bad-Dll(IEP) in BHO: (not found)

(7-26-05 16:40:43) UBF: 7

(7-26-05 16:40:43) UBB: 1

(7-26-05 16:40:43) UBR: 14

(7-26-05 16:40:43) Bad IE-pages:

(7-26-05 16:40:43) Stealth-String not found:

(7-26-05 16:40:43) Not infected->END

[/log]

 

Den uppdaterade versionen utav CWShredder gratulerade och sade att jag inte hade några såna problem.

 

Cleanup! rensade bort ca 200mb om jag minns rätt.

 

 

[log]

Logfile of HijackThis v1.99.1

Scan saved at 16:59:43, on 2005-07-26

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\PROGRAM\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\TEMP\ICSUPP95.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\PROGRAM\SOPHOS SWEEP\ICMON.EXE

C:\PROGRAM\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

D:\PROGRAM\HIJACKTHIS\HIJACKTHIS.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.candybar.co.kr/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O4 - HKLM\..\Run: [scanRegistry] C:\Windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [interCheckMonitor] "C:\PROGRAM\SOPHOS SWEEP\ICMON.EXE" -minimised

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\RunServices: [CacheMgr] C:\PROGRAM\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKLM\..\RunServices: [sweep95] C:\Program\Sophos SWEEP\ICLOAD95.EXE

O4 - Startup: Remote Update Monitor.lnk = C:\Program\Sophos\Remote Update\imonitor.exe

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {5E069692-C555-4F90-A103-2537B78AEC29} (SweetChatObject Class) - http://download.c2.buster4.co.kr/neople/chat/SweetChatSession.cab

O16 - DPF: {7A550C60-66BD-4B38-8A78-BA6324E25F43} (NeoInstallShield Class) - http://download.c2.buster4.co.kr/neople/NeoInstallShield/nis.cab

O16 - DPF: {A977FF0C-8757-4E76-8533-482F91946233} (Neowiz Login Control) - http://dl.sayclub.com/sayclub/sayctl/sayax.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

 

[/log]

 

C:\WINDOWS\SYSTEM\IJKO.DLL fanns ej.

C:\Windows\TEMP Var tom.

 

Startade om datorn och sophos hittade inga virus.

Men när jag kollade i windows/temp så fanns filen kvar, och när jag markerade den så varnade sophos att den hittat Ablank-AD där. Försökte bifoga bild men hade inget lämpligt program att göra om den i.

 

Och hemsidan är till för min mor som spelar koreanskt kortspel online där :)

[inlägget ändrat 2005-07-26 17:07:08 av sampe]

Link to comment
Share on other sites

Ok, det var ju tråkigt att det inte riktigt hjälpte. Det syns inget i HijackThis-loggen vilket kan tyda på att det finns något i bakgrunden som ligger dolt och kör igång resten.

 

Enklaste sättet att göra en bild av något på datorn är att markera fönstret med det intressanta, trycka Alt+PrintScreen(PrntScr), ta upp Paint, trycka Ctrl+C, spara bilden som gif, så ska den gå bra att bifoga ditt svar.

 

Men när jag kollade i windows/temp så fanns filen kvar, och när jag markerade den så varnade sophos att den hittat Ablank-AD där.

Sophos bara varnade, den kunde inte göra något åt filen?

 

Vi kan se om följande borttagningsprogram hittar något.

 

Ladda ner FxAgentB från den sidan.

http://securityresponse.symantec.com/avcenter/venc/data/backdoor.agent.b.removal.tool.html

 

Och About:Buster härifrån:

http://www.majorgeeks.com/download4289.html

Packa upp programmet till en egen ny mapp.

Starta den och låt den uppdatera, stäng efter det.

 

Samt antispionprogrammet Ad-aware:

http://www.lavasoft.de/support/download/ Rubriken Mirror Sites

Installera programmet, kör det och låt det uppdatera, stäng sedan.

 

Dra ur internetanslutningen.

 

Starta datorn i felsäkert läge.

Kör SpSeHjfix igen på samma sätt som förut.

Fortsätt i felsäkert läge.

 

Kör HijackThis och se om någon av raderna du markerade förra gången har dykt upp igen, i så fall markera på nytt och tryck Fix checked.

 

Kör About:Buster. Ok - Start - Ok - Yes, om den vill att datorn ska skannas igen så låt den göra det.

 

Töm C:\Windows\temp.

 

Kör FxAgentB. Skriv ner resultatet.

 

Starta om i normalt läge.

Kör FxAgentB igen om den hittade något förut. Skriv ner resultatet.

 

Kör Ad-aware. Uppdatera programmet och låt det göra en "full system scan". Ta bort allt kritiskt som det hittar. Om det är något som inte går att ta bort skriv ner det.

 

Anslut till internet.

Kör dessa online-skanningar:

http://housecall.trendmicro.com/

http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm

Ställ in att de ska rensa om de hittar något. Skriv ner vad de hittar, otrevlighet + fil.

 

I ditt svar här så skriver du resultaten från de olika programmen, klistrar in skapade loggar (inte från Ad-aware dock) inkl. en ny HijackThis-logg och ser efter hur det går med Temp-mappen.

 

Jag håller tummarna! :thumbsup:

 

Link to comment
Share on other sites

Nu verkar allt frid och fröjd!

 

Housecall hittade lite otäckheter, men pga oförutsedda otursamheter :( försvann möjligheten att logga. Men jag körde om det igen efteråt, alla program, och inget hittades någonstans, jag fick även bort den infekterade filen som förut inte gick att ta bort. Tack så hemskt för all hjälp, hoppas bara att det håller i sig ;)

 

Skickar med sista loggen från highjack, ifall det skulle finnas nåt läskigt där!

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 12:45:58, on 2005-07-27

Platform: Windows ME (Win9x 4.90.3000)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\STIMON.EXE

C:\PROGRAM\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE

C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE

C:\Windows\SYSTEM\KB891711\KB891711.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\TEMP\ICSUPP95.EXE

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\LOADQM.EXE

C:\WINDOWS\SYSTEM\INTERNAT.EXE

C:\PROGRAM\SOPHOS SWEEP\ICMON.EXE

C:\PROGRAM\ZONE LABS\ZONEALARM\ZLCLIENT.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\PROGRAM\SOPHOS\REMOTE UPDATE\IMONITOR.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\WINDOWS\SYSTEM\PSTORES.EXE

D:\PROGRAM\HIJACKTHIS\HIJACKTHIS.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.candybar.co.kr/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM\ADOBE\ACROBAT 6.0\READER\ACTIVEX\ACROIEHELPER.DLL

O4 - HKLM\..\Run: [scanRegistry] C:\Windows\scanregw.exe /autorun

O4 - HKLM\..\Run: [systemTray] SysTray.Exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [LoadQM] loadqm.exe

O4 - HKLM\..\Run: [interCheckMonitor] "C:\PROGRAM\SOPHOS SWEEP\ICMON.EXE" -minimised

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [Zone Labs Client] C:\Program\Zone Labs\ZoneAlarm\zlclient.exe

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [stillImageMonitor] C:\WINDOWS\SYSTEM\STIMON.EXE

O4 - HKLM\..\RunServices: [CacheMgr] C:\PROGRAM\SOPHOS\REMOTE UPDATE\CACHEMGR.EXE

O4 - HKLM\..\RunServices: [TrueVector] C:\WINDOWS\SYSTEM\ZONELABS\VSMON.EXE -service

O4 - HKLM\..\RunServices: [sweep95] C:\Program\Sophos SWEEP\ICLOAD95.EXE

O4 - HKLM\..\RunServices: [KB891711] C:\Windows\SYSTEM\KB891711\KB891711.EXE

O4 - Startup: Remote Update Monitor.lnk = C:\Program\Sophos\Remote Update\imonitor.exe

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {5E069692-C555-4F90-A103-2537B78AEC29} (SweetChatObject Class) - http://download.c2.buster4.co.kr/neople/chat/SweetChatSession.cab

O16 - DPF: {7A550C60-66BD-4B38-8A78-BA6324E25F43} (NeoInstallShield Class) - http://download.c2.buster4.co.kr/neople/NeoInstallShield/nis.cab

O16 - DPF: {A977FF0C-8757-4E76-8533-482F91946233} (Neowiz Login Control) - http://dl.sayclub.com/sayclub/sayctl/sayax.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

 

[/log]

 

Gjorde även en himla massa säkerhetsuppdateringar från windows:)

 

Link to comment
Share on other sites

Vad roligt att höra! :) Tack för poängen också!

 

Ser inget otrevligt i loggen heller.

 

Säkerhetsuppdateringar är alltid bra att göra!

 

För att skydda din dator i framtiden så kommer här mina vanliga rekommendationer.

 

Uppdatera från Windows Update och kör antispionprogrammen Ad-aware och Spybot S&D regelbundet.

http://www.lavasoft.com

http://www.safer-networking.org/en/download/index.html

 

Komplettera då och då med att köra online-skanningarna:

http://housecall.trendmicro.com/

http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm

 

Om man använder Internet Explorer så kan det vara lämpligt att ha programmen SpywareBlaster och SpywareGuard, vilka hindrar en hel del otrevliga program från att laddas ner resp. köras:

http://www.javacoolsoftware.com

 

Se över säkerhetsinställningarna i Internet Explorer, det finns en hel del tips här:

https://netfiles.uiuc.edu/ehowes/www/btw/ie/ie-opts.htm

 

Samt kör IE-SpyAd som lägger en hel massa otrevliga webbplatser i zonen Ej tillförlitliga i Internet Explorer så att de inte kan göra något med datorn:

https://netfiles.uiuc.edu/ehowes/www/resource.htm

 

Om man byter webbläsare så är det bara SpywareGuard som behövs. Andra webbläsare är t ex Mozilla Firefox och Opera:

http://www.mozilla.se

http://www.opera.com

 

Allt gratis för hemanvändare/personligt bruk.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...