Just nu i M3-nätverket
Jump to content

Trojan-Spy.Win32.Delf.du


/S-D

Recommended Posts

Har enligt F-Secure 2004 fått Trojan-Spy.Win32.Delf.du problemet är att F-Secure påstår att den inte kan åtgärda problemet och hittar inget på internet om hur man tar bort den?

 

 

 

Link to comment
Share on other sites

Börja med att köra antispionprogrammen Ad-aware och Spybot S&D:

http://www.lavasoft.com

http://www.safer-networking.org/en/download/index.html

Låt programmen ta bort allt kritiskt resp. rödmarkerat förutom att du inte ska låta Spybot ta bort sådant med namn som liknar Backweb.

 

Sedna några online-skanningar:

http://housecall.trendmicro.com/

http://www.pandasoftware.com/products/activescan/com/activescan_principal.htm

Välj att de ska ta bort det de hittar om det går.

Om de hittar något så skriv ner exakt vad de hittar och i vilken fil.

 

Dessutom så laddar du ner programmet HijackThis som finns här:

http://www.spywareinfo.com/~merijn/downloads.html

Kör, skanna och spara loggen (inget annat om du inte är helt säker på vad du gör).

 

I ditt svar här skriver du exakt vad F-secure rapporterar angående filnamn, resultatet från online-skanningarna samt bifogar HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

Link to comment
Share on other sites

F-Secure säger:

Skadlig kod hittades i filen C:\WINDOWS\SYSTEM32\IS-0R8K0.0MP.

Angrepp: Trojan-Spy.Win32.Delf.du

Åtgärd: misslyckades.

 

Skadlig kod hittades i filen C:\WINDOWS\SYSTEM32\IS-0R8K0.0MP.

Angrepp: Trojan-Spy.Win32.Delf.du

Åtgärd: misslyckades.

 

Skadlig kod hittades i filen C:\WINDOWS\SYSTEM32\IS-R27F5.0MP.

Angrepp: Trojan-Spy.Win32.Delf.du

Åtgärd: misslyckades.

 

Skadlig kod hittades i filen C:\WINDOWS\SYSTEM32\IS-RET2L.0MP.

Angrepp: Trojan-Spy.Win32.Delf.du

Åtgärd: misslyckades.

 

Housecall hittade 493 filer med 493 virus!!!??? Dock angav den inte filernas namn eller virusets namn? Senast för några timmar sen sa F-Secure att jag hade 200 Win32.Delf.du virusar i olika filer i System32 mappen. Alla med olika filnamn med samma filslut *.0MP Är det dessa som klonat sig till 493 nu?

 

Dock inga trojaner/hästar eller Microsoft buggar. Men 23 spyware program:

Cookies hittade: 153, 222, 442, 615, 756, 2203, 2513, 2574, 2631, 2817, 3117, 3201, 6853, 3233, 3235.

Spyware: PCSPY14.A, SHOPNAV.D, BADBITOR.A, SOFTMATE.A, PCSPY224, 169 & 226.

När jag vill gå vidare och ta bort filerna (steg 4) får jag “fel på sedan” längs ner i explorer fönstret med den lilla varningstriangeln. Efter 3½h genomsökning av min 80GB HD. :-(

 

Panda hittade 6st virus rapport nedan:

 

Incident Status Location

 

Adware:Adware/nCase No disinfected C:\Documents and Settings\NetworkService\Lokala inställningar\Temporary Internet Files\Content.IE5\G9MVOLYV\stubinstaller5041[1].ex_

Spyware:Spyware/ISTbar No disinfected C:\Documents and Settings\Stefan Didrik\.jpi_cache\jar\1.0\javainstaller.jar-4514e5ea-5e943975.zip[installerApplet.class]

Virus:W32/Mytob.EE.worm Disinfected C:\Documents and Settings\Stefan Didrik\Application Data\Mozilla\Profiles\default\1x3knnh9.slt\Mail\adslpop.tninet.se\Inbox[information.zip][information.txt .pif]

Virus:W32/Netsky.P.worm Disinfected C:\Documents and Settings\Stefan Didrik\Application Data\Mozilla\Profiles\default\1x3knnh9.slt\Mail\adslpop.tninet.se\Inbox[readme.zip][document.txt .exe]

Virus:W32/Netsky.P.worm Disinfected C:\Documents and Settings\Stefan Didrik\Application Data\Mozilla\Profiles\default\1x3knnh9.slt\Mail\adslpop.tninet.se\Inbox[msg.zip][document.txt .exe]

Virus:W32/Netsky.P.worm Disinfected C:\Documents and Settings\Stefan Didrik\Application Data\Mozilla\Profiles\default\1x3knnh9.slt\Mail\adslpop.tninet.se\Inbox[document.zip][document.txt .exe]

 

Hijack´s logfile:

 

Logfile of HijackThis v1.99.1

Scan saved at 00:23:56, on 2005-07-29

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\System32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Program\Delade filer\Microsoft Shared\Works Shared\WkUFind.exe

C:\Program\Ahead\InCD\InCD.exe

C:\Program\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

C:\Program\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

C:\Program\Hewlett-Packard\Digital Imaging\Unload\hpqcmon.exe

C:\Program\F-Secure Anti-Virus\Common\FSM32.EXE

C:\Program\Java\jre1.5.0_04\bin\jusched.exe

C:\Program\MSN Apps\Updater\01.02.3000.1001\sv\msnappau.exe

C:\Program\D-Tools\daemon.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Program\Winamp\winampa.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\Program\Microsoft AntiSpyware\gcasServ.exe

C:\Program\Creative\MediaSource\RemoteControl\RcMan.exe

C:\Program\Spybot - Search & Destroy\TeaTimer.exe

C:\Program\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe

C:\Program\Sony Ericsson\Mobile\audevicemgr.exe

c:\Program\INTUWA~1\Shared\MROUTE~1\MROUTE~2.EXE

C:\Program\Delade filer\EPSON\EBAPI\eEBSVC.exe

C:\Program\SONYER~1\Mobile\CONNEC~1\CONNMN~1.EXE

C:\Program\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\System32\CTSvcCDA.EXE

C:\Program\Delade filer\EPSON\EBAPI\SAgent2.exe

C:\Program\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe

C:\Program\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe

C:\Program\F-Secure Anti-Virus\Anti-Virus\FSGK32.EXE

C:\Program\F-Secure Anti-Virus\Common\FSMA32.EXE

C:\Program\F-Secure Anti-Virus\Anti-Virus\fssm32.exe

C:\Program\F-Secure Anti-Virus\fswsclds.exe

C:\Program\F-Secure Anti-Virus\Common\FSMB32.EXE

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\F-Secure Anti-Virus\Common\FCH32.EXE

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program\F-Secure Anti-Virus\Common\FAMEH32.EXE

C:\Program\F-Secure Anti-Virus\Anti-Virus\fsav32.exe

C:\Program\LimeWire\LimeWire.exe

C:\Program\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe

C:\WINDOWS\System32\cidaemon.exe

C:\Program\Netscape\Netscape\Netscp.exe

C:\Program\ICQ\Icq.exe

C:\Program\MICROS~4\OFFICE11\WINWORD.EXE

C:\Downloads\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/sidesearch.html'>http://www.begin2search.com/sidesearch.html'>http://www.begin2search.com/sidesearch.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mil.se/'>http://www.mil.se/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mil.se/

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program\ICQToolbar\toolbaru.dll

N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.malmo.se"); (C:\Documents and Settings\Stefan Didrik\Application Data\Mozilla\Profiles\default\1x3knnh9.slt\prefs.js)

N3 - Netscape 7: user_pref("browser.search.defaultengine", ""); (C:\Documents and Settings\Stefan Didrik\Application Data\Mozilla\Profiles\default\1x3knnh9.slt\prefs.js)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [CTStartup] "C:\Program\Creative\Splash Screen\CTEaxSpl.EXE" /run

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [sBDrvDet] C:\Program\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program\Delade filer\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [inCD] C:\Program\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Program\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

O4 - HKLM\..\Run: [CTDVDDet] C:\Program\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [CamMonitor] C:\Program\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\F-Secure Anti-Virus\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [msnappau] "C:\Program\MSN Apps\Updater\01.02.3000.1001\sv\msnappau.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [gcasServ] "C:\Program\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\RunOnce: [spybotSnD] "C:\Program\Spybot - Search & Destroy\SpybotSD.exe" /autocheck

O4 - HKCU\..\Run: [RemoteCenter] C:\Program\Creative\MediaSource\RemoteControl\RcMan.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Program\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Phone Connection Monitor.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program\ICQ\ICQ.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program\ICQLite\ICQLite.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab

O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: F-Secure Anti-Virus 2004 (BackWeb Client - 4476822) - Unknown owner - C:\Program\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program\Delade filer\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program\Delade filer\EPSON\EBAPI\SAgent2.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\F-Secure Anti-Virus\Common\FSMA32.EXE

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program\F-Secure Anti-Virus\fswsclds.exe

O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Program\iPod\bin\iPodService.exe (file missing)

O23 - Service: RadClock - Unknown owner - C:\WINDOWS\system32\RadClock.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

Ad-Aware hittade mest cookies och någon regfile. Search-Boot hittade några program varav ett det inte kunde deleta för det användes men jag lät det ligga I registret, startade om datan och programmet startade automatiskt men den fick ändå inte bort programmet. Det var ett Isearchbar program.

 

 

 

Link to comment
Share on other sites

Tack för all info! :thumbsup:

 

Vad var det som var svårt att förstå med detta:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

Hur kan jag förbättra den texten?

(Inte så kul för alla andra att behöva skrolla förbi ditt långa inlägg.)

 

Ha internetanslutningen urdragen så mycket som möjligt tills datorn är ren.

Är du säker på att du inte har öppnat brandväggen i F-secure för något olämpligt program? Gå igenom inställningarna för den.

Kör inga fildelningsprogram (Limewire) tills datorn är ren.

 

Panda har rensat bort 4 maskar från din brevlåda. Går det inte att ställa in F-secure så att den ska rensa alla inkommande mejl?

 

De flesta av spionprogrammen som Housecall hittade har inte lyckats bli aktiva i din dator, troligen därför att du inte kör Internet Explorer. Grattis!

Tyvärr så har det också nackdelen att de inte syns i HijackThis-loggen så jag vet inte i vilka filer de döljer sig.

 

Var säker på att du förstår allt nedan innan du fortsätter, fråga annars.

 

För att du inte ska råka återställa datorn till ett läge med dessa och tidigare otrevligheter i så bör du ta bort alla systemåterställningspunkter genom att avaktivera systemåterställningsfunktionen.

Den här datorn - högerklick - Egenskaper - Systemåterställning

Funktionen ska sedan sättas på när datorn är ren.

 

I Kontrollpanelen - Lägg till och ta bort program ser du efter om något av dessa finns:

Lycos Sidesearch

SEP

XPCSpy

liknande namn

okända program

i så fall ta bort dem.

 

För att HijackThis ska kunna spara säkerhetskopior på det den tar bort måste den körbara filen HijackThis.exe ligga i sin egen mapp. Skapa en ny mapp t ex C:\Downloads\HjT och lägg den körbara filen HijackThis.exe där.

 

Kör HijackThis och skanna. Bocka för dessa rader (om de fortfarande finns kvar):

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/sidesearch.html'>http://www.begin2search.com/sidesearch.html'>http://www.begin2search.com/sidesearch.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.begin2search.com/sidesearch.html

 

Avsluta alla program och fönster förutom HijackThis.

 

Tryck på Fix checked.

 

Starta om i felsäkert läge (F8 upprepade gånger under uppstarten).

 

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

Bocka för Visa innehållet i systemmappar

 

Ta bort filerna:

C:\Documents and Settings\Stefan Didrik\.jpi_cache\jar\1.0\javainstaller.jar-4514e5ea-5e943975.zip

I C:\WINDOWS\SYSTEM32 alla dessa filer med filtillägget .0MP

På Skrivbordet länk till Lycos Sidesearch

I Start - Program länk till Lycos Sidesearch

 

Ta bort mapparna (om de finns kvar):

C:\Program\Lycos\Sidesearch

C:\Program Files\Lycos\Sidesearch

C:\Program\SEP

C:\Program Files\SEP

 

Ta bort alla temporära internet-filer så här:

Kontrollpanelen - Internet-alternativ - Allmänt - Ta bort filer

Kryssa i rutan - Ok

 

Skanna med F-secure.

 

Starta om datorn i normalt läge och ta ut en ny HijackThis-logg.

 

Link to comment
Share on other sites

Så nu har jag följt dina instruktioner. Lyckades få bort filerna och F-Secure hittar inga Virus men som du ser så får jag inte bort den R1 raden för när jag väljer fix på den i Hijack så säger SpyBoot till att den ligger på min "Wish list"?

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/sidesearch.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mil.se/'>http://www.mil.se/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.mil.se/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

R3 - URLSearchHook: ICQ Toolbar - {855F3B16-6D32-4fe6-8A56-BBB695989046} - C:\Program\ICQToolbar\toolbaru.dll

N3 - Netscape 7: user_pref("browser.startup.homepage", "http://www.malmo.moderat.se"); (C:\Documents and Settings\Stefan Didrik\Application Data\Mozilla\Profiles\default\1x3knnh9.slt\prefs.js)

N3 - Netscape 7: user_pref("browser.search.defaultengine", ""); (C:\Documents and Settings\Stefan Didrik\Application Data\Mozilla\Profiles\default\1x3knnh9.slt\prefs.js)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O4 - HKLM\..\Run: [CTStartup] "C:\Program\Creative\Splash Screen\CTEaxSpl.EXE" /run

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [sBDrvDet] C:\Program\Creative\SB Drive Det\SBDrvDet.exe /r

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Microsoft Works Update Detection] C:\Program\Delade filer\Microsoft Shared\Works Shared\WkUFind.exe

O4 - HKLM\..\Run: [inCD] C:\Program\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Program\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

O4 - HKLM\..\Run: [CTDVDDet] C:\Program\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [CamMonitor] C:\Program\Hewlett-Packard\Digital Imaging\\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\F-Secure Anti-Virus\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program\F-Secure Anti-Virus\TNB\TNBUtil.exe" /CHECKALL

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [msnappau] "C:\Program\MSN Apps\Updater\01.02.3000.1001\sv\msnappau.exe"

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [EPSON Stylus CX3200] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P19 "EPSON Stylus CX3200" /O6 "USB001" /M "Stylus CX3200"

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [gcasServ] "C:\Program\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKCU\..\Run: [RemoteCenter] C:\Program\Creative\MediaSource\RemoteControl\RcMan.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [Windows Registry Repair Pro] C:\Program\3B Software\Windows Registry Repair Pro\RegistryRepairPro.exe 4

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: Phone Connection Monitor.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: ICQ Pro - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program\ICQ\ICQ.exe

O9 - Extra 'Tools' menuitem: ICQ - {6224f700-cba3-4071-b251-47cb894244cd} - C:\Program\ICQ\ICQ.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~4\OFFICE11\REFIEBAR.DLL

O9 - Extra button: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program\ICQLite\ICQLite.exe

O9 - Extra 'Tools' menuitem: ICQ Lite - {B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program\ICQLite\ICQLite.exe

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab

O16 - DPF: {0A5FD7C5-A45C-49FC-ADB5-9952547D5715} (Creative Software AutoUpdate) - http://www.creative.com/SU/ocx/12119/CTSUEng.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {53B8B406-42E4-4DD3-96E7-9DEC8CEB3DD8} (ICQVideoControl Class) - http://xtraz.icq.com/xtraz/activex/ICQVideoControl.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {C36661D7-3590-45B1-80B5-520839E94DAD} (MaxisSimCity4PatcherX Control) - http://simcity.ea.com/update/MaxisSimCity4PatcherX.cab

O16 - DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} (Creative Software AutoUpdate Support Package) - http://www.creative.com/SU/ocx/12119/CTPID.cab

O16 - DPF: {FB48C7B0-EB66-4BE6-A1C5-9DDF3C37249A} (MCSendMessageHandler Class) - http://xtraz.icq.com/xtraz/activex/MISBH.cab

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: F-Secure Anti-Virus 2004 (BackWeb Client - 4476822) - Unknown owner - C:\Program\F-SECU~1\backweb\4476822\Program\SERVIC~1.EXE

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE

O23 - Service: EpsonBidirectionalService - Unknown owner - C:\Program\Delade filer\EPSON\EBAPI\eEBSVC.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program\Delade filer\EPSON\EBAPI\SAgent2.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program\F-Secure Anti-Virus\Anti-Virus\fsgk32st.exe

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program\F-Secure Anti-Virus\backweb\4476822\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program\F-Secure Anti-Virus\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\F-Secure Anti-Virus\Common\FSMA32.EXE

O23 - Service: F-Secure Windows Security Center Legacy Detection Service (Fswsclds) - F-Secure Corporation - C:\Program\F-Secure Anti-Virus\fswsclds.exe

O23 - Service: iPod Service (iPodService) - Unknown owner - C:\Program\iPod\bin\iPodService.exe (file missing)

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

 

 

 

Link to comment
Share on other sites

Bra, nästan allt borta! :thumbsup:

 

Stäng av TeaTimer-funktionen i Spybot, så den inte stör rensningen.

Spybot - Mode - Advanced

Tools - Resident - Avbocka TeaTimer

När datorn är ren så sätter du på den igen.

 

I Kontrollpanelen - Lägg till och ta bort program ser du efter om något av dessa finns:

Lycos Sidesearch

SEP

XPCSpy

liknande namn

okända program

i så fall ta bort dem.

 

[log]Kör HijackThis och skanna. Bocka för dessa rader (om de fortfarande finns kvar):

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://www.begin2search.com/sidesearch.html

 

Avsluta alla program och fönster förutom HijackThis.

 

Tryck på Fix checked.

 

Starta om i felsäkert läge (F8 upprepade gånger under uppstarten).

 

Ta bort filerna:

C:\Documents and Settings\Stefan Didrik\.jpi_cache\jar\1.0\javainstaller.jar-4514e5ea-5e94397

5.zip

I C:\WINDOWS\SYSTEM32 alla dessa filer med filtillägget .0MP

På Skrivbordet länk till Lycos Sidesearch

I Start - Program länk till Lycos Sidesearch

 

Ta bort mapparna (om de finns kvar):

C:\Program\Lycos\Sidesearch

C:\Program Files\Lycos\Sidesearch

C:\Program\SEP

C:\Program Files\SEP

 

Ta bort alla temporära internet-filer så här:

Kontrollpanelen - Internet-alternativ - Allmänt - Ta bort filer

Kryssa i rutan - Ok

 

Starta om datorn i normalt läge och ta ut en ny HijackThis-logg. När du har klistrat in hela loggen i svaret, så markerar (målar) du hela loggen och trycker på LOG-knappen, tack!

 

Gör de två online-skanningarna.[/log]

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...