Just nu i M3-nätverket
Jump to content

Spy Falcon


andreé gustafsson

Recommended Posts

andreé gustafsson

hejsan! har nu råkat fått det här skitet på datan. vet inte hur jag avinstallerar det och skulle behöva lite hjälp. förklara gärna på enkelt språk i och med att jag inte är jättehaj på datorer. tack på förhand

 

Link to comment
Share on other sites

Du får börja med att köra HijackThis så får vi se hur det ser ut i din dator.

http://www.thespykiller.co.uk/files/HJTsetup.exe

Installera, kör, skanna och spara loggen (inget annat).

 

Så får vi se vad för verktyg som är bäst i just ditt fall.

 

I ditt svar bifogar du HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

Link to comment
Share on other sites

andreé gustafsson

[log]

Logfile of HijackThis v1.99.1

Scan saved at 16:28:24, on 2006-03-08

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

C:\WINDOWS\system32\nvctrl.exe

C:\WINDOWS\system32\mssearchnet.exe

C:\Program\Java\jre1.5.0\bin\jusched.exe

C:\Program\VIA\RAID\raid_tool.exe

C:\WINDOWS\sm56hlpr.exe

C:\Program\Synaptics\SynTP\SynTPLpr.exe

C:\Program\COMHEM~1\backweb\8910145\Program\SERVIC~1.EXE

C:\Program\Synaptics\SynTP\SynTPEnh.exe

C:\Program\com hem security\Anti-Virus\fsgk32st.exe

C:\Program\Mediafour\MacDrive\MDDiskProtect.exe

C:\Program\com hem security\backweb\8910145\Program\fspex.exe

C:\Program\com hem security\Anti-Virus\FSGK32.EXE

C:\Program\com hem security\backweb\8910145\program\fsbwsys.exe

C:\Program\Delade filer\Mediafour\MACVNTFY.EXE

C:\Program\com hem security\Common\FSM32.EXE

C:\Program\com hem security\Common\FSMA32.EXE

C:\Program\com hem security\Common\FSMB32.EXE

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program\com hem security\Anti-Virus\fssm32.exe

C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\Program\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program\com hem security\Common\FCH32.EXE

C:\Program\Logitech\Video\LogiTray.exe

C:\Program\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\QuickTime\qttask.exe

C:\Program\Winamp\winampa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\com hem security\Common\FAMEH32.EXE

C:\Program\Messenger\msmsgs.exe

C:\Program\MSN Messenger\MsnMsgr.Exe

C:\Program\Microsoft AntiSpyware\gcasDtServ.exe

C:\Program\Logitech\Video\FxSvr2.exe

C:\Program\com hem security\FWES\Program\fsdfwd.exe

C:\Program\com hem security\Anti-Virus\fsav32.exe

C:\Program\com hem security\FSGUI\fsguiexe.exe

C:\Program\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://www.yahoo.com'>http://us.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://www.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr7/*http://www.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

R3 - URLSearchHook: {1A03F196-9617-4CA0-842B-A83CEECB022B} - - (no file)

O2 - BHO: HomepageBHO - {4da4616d-7e6e-4fd9-a2d5-b6c535733e22} - C:\WINDOWS\system32\hp8A1F.tmp

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program\Canon\Easy-WebPrint\Toolband.dll

O3 - Toolbar: (no name) - {2E608F70-C430-4bc5-96F6-608E02EBA5B2} - (no file)

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [RaidTool] C:\Program\VIA\RAID\raid_tool.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [sMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [synTPLpr] C:\Program\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [instantOn] "C:\Program Files\CyberLink\PowerCinema Linux\ion_install.exe" /c

O4 - HKLM\..\Run: [MDDiskProtect.exe] C:\Program\Mediafour\MacDrive\MDDiskProtect.exe

O4 - HKLM\..\Run: [MediafourGettingStartedWithMacDrive6] "C:\Program\Mediafour\MacDrive\MacDrive.exe" /runonce

O4 - HKLM\..\Run: [Mediafour Mac Volume Notifications] "C:\Program\Delade filer\Mediafour\MACVNTFY.EXE" /auto

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\com hem security\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program\com hem security\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program\com hem security\FSGUI\FSSW.EXE" /reboot

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [gcasServ] "C:\Program\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [MediaPipe P2P Loader] "C:\Program\p2pnetworks\mpp2pl.exe" /H

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKLM\..\Run: [spyFalcon] C:\Program\SpyFalcon\SpyFalcon.exe /h

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [updateMgr] C:\Program\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: &Search - http://edits.mywebsearch.com/toolbaredits/menusearch.jhtml?p=ZN

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab31267.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://ak.imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralFWBInitialSetup1.0.0.15.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Program\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1137920535953

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab32846.cab

O16 - DPF: {BD393C14-72AD-4790-A095-76522973D6B8} (CBreakshotControl Class) - http://messenger.zone.msn.com/binary/Bankshot.cab31267.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\Program\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: MacDrive-iTunes compatibility - C:\Program\Delade filer\Mediafour\MacDriveiTunesPatch.dll

O23 - Service: Adobe Active File Monitor (AdobeActiveFileMonitor) - Unknown owner - C:\Program\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe

O23 - Service: com hem security (BackWeb Plug-in - 8910145) - Unknown owner - C:\Program\COMHEM~1\backweb\8910145\Program\SERVIC~1.EXE

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program\com hem security\Anti-Virus\fsgk32st.exe

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program\com hem security\backweb\8910145\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program\com hem security\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\com hem security\Common\FSMA32.EXE

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

[/log]

 

Link to comment
Share on other sites

Var säker på att du förstår allt nedan, fråga annars.

 

Ladda ner FixSF.reg till ditt Skrivbord:

http://www.bleepingcomputer.com/files/reg/FixSF.reg

 

Ladda ner smitRem till ditt Skrivbord:

http://www.bleepingcomputer.com/resources/link240.html

Dubbelklicka på den och tryck på Start så skapas en ny mapp smitRem på Skrivbordet.

 

Dubbelklicka på FixSF.reg på Skrivbordet.

Svara Ja på frågan om registret ska uppdateras och tryck sedan på OK.

 

Starta genast om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Start - Kontrollpanelen - Lägg till och ta bort program

Leta reda på SpyFalcon. Dubbelklicka på den för att ta bort den men låt den inte starta om datorn om den frågar.

Avsluta Lägg till och ta bort program och Kontrollpanelen.

 

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

 

Ta bort filen:

C :\Windows\System32\dxmpp.dll

 

Ta bort mappen (om den finns kvar):

C:\Program\SpyFalcon

 

Stäng alla öppna program och fönster.

 

Öppna smitRem-mappen på Skrivbordet och dubbelklicka på RunThis.bat för att starta den.

Följ anvisningarna som kommer upp. Det är normalt att Skrivbordet försvinner och att det kommer text skrollande förbi i stället. Beroende på hur mycket det är att städa undan på din dator så kan det ta lång tid innan den är klar. Men det är bara att vänta till den är klar.

Programmet skapar en loggfil C:\smitfiles.txt.

 

Starta om datorn i normalt läge.

 

Kör denna online-skanning:

http://www.pandasoftware.com/products/activescan.htm

När skanningen är klar så välj See Report och sedan Save Report, spara rapporten (loggen) på t ex Skrivbordet.

 

Ta ut en ny HijackThis-logg.

 

I ditt svar här så skriver du hur det har gått och hur datorn uppför sig samt klistrar in loggfilerna från smitRem (C:\smitfiles.txt), Pandas online-skanning och HijackThis. Så ska vi kunna rensa bort lite till sedan.

 

Kom ihåg att markera (måla) varje logg efter inklistringen och därefter trycka på LOG-knappen!

 

Link to comment
Share on other sites

andreé gustafsson

jag fattar inte riktigt det där med att jag ska trycka på start för det finns inget som heter start när jag har dubbelklickat på smitrem? snäll hjälp mig:)

 

Link to comment
Share on other sites

Vad händer när du dubbelklickar på smitRem.exe som du har laddat ner till ditt Skrivbord?

 

Link to comment
Share on other sites

Har det skapats en smitRem-mapp på Skrivbordet?

I så fall fortsätt med nästa steg.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...