Malware eller..?

[lizzy_lini]

När jag kör ad aware, så får jag fram bla detta. Är det något att oroa sig för. Jag tar bort det, men nästa gång finns det där igen.

 

 

 

[log]MicroGaming Object Recognized!

Type : Regkey

Data :

TAC Rating : 4

Category : Malware

Comment :

Rootkey : HKEY_USERS

Object : S-1-5-21-4113303836-1106520001-315636210-1005\software\microgaming[/log]

 

[Cecilia]

Om du tar bort det men det kommer tillbaks på en gång eller efter en omstart av datorn så behövs nog lite annan rensning också.

Vi kan ju se vad som finns i datorn med hjälp av det här programmet:

http://www.thespykiller.co.uk/files/HJTsetup.exe

Installera, kör, skanna och spara loggen (inget annat).

 

Så får vi se vad för verktyg som är bäst i just ditt fall.

 

I ditt svar bifogar du HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

[lizzy_lini]

Skickar loggen. Vet ej om det kommer tillbaka direkt. Gjorde en scan för 2 dagar sen och då fanns den där. Och idag igen. Kan det ha att göra med någon viss sida man besöker?

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 12:33:15, on 2006-03-31

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\Program\Delade filer\Symantec Shared\ccProxy.exe

C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

C:\Program\Delade filer\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Program\Delade filer\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\Program\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Personal\bin\Personal.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Delade filer\Symantec Shared\Security Console\NSCSRVCE.EXE

C:\Program\Microsoft Office\OFFICE11\OUTLOOK.EXE

C:\Program\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Program\Delade filer\Microsoft Shared\Source Engine\OSE.EXE

C:\Documents and Settings\Linda\Skrivbord\hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://startsidan.telia.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://GLOBAL.ACER.COM/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: Norton Internet Security 2006 - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program\Delade filer\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {A8F38D8D-E480-4D52-B7A2-731BB6995FDD} - C:\Program\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security 2006 - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program\Delade filer\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {C4069E3A-68F1-403E-B40E-20066696354B} - C:\Program\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HP Software Update] C:\Program\Hewlett-Packard\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Personal.lnk = C:\Program\Personal\bin\Personal.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program\PartyPoker\PartyPoker.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program\PartyPoker\PartyPoker.exe (file missing)

O9 - Extra button: NordicBet Poker - {E6073F93-9541-4be4-9800-109D378EB99B} - C:\Program\nordicbetMPP\MPPoker.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://GLOBAL.ACER.COM/

O16 - DPF: {01010E00-5E80-11D8-9E86-0007E96C65AE} (SupportSoft SmartIssue) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsi.cab

O16 - DPF: {01012101-5E80-11D8-9E86-0007E96C65AE} (SupportSoft Script Runner Class) - http://www.symantec.com/techsupp/asa/ctrl/tgctlsr.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {5CF549B1-E178-4D8C-ADEF-73F226644F12} - http://designer.room328.com/app/WebVDSetUp.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1120339668906

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1123615430296

O16 - DPF: {94EB57FE-2720-496C-B33F-D9353C6E23F7} (F-Secure Online Scanner 2.1) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O16 - DPF: {A0F3DE0D-9308-4650-82A0-53F0C17D7D65} (Web2D Control) - http://designer.room328.com/app/WebVD.cab

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Automatisk LiveUpdate-schemaläggare - Symantec Corporation - C:\Program\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Internet Security Password Validation (ccISPwdSvc) - Symantec Corporation - C:\Program\Norton Internet Security\ccPwdSvc.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program\Norton Internet Security\comHost.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Program\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Norton AntiVirus Auto Protect-tjänst (navapsvc) - Symantec Corporation - C:\Program\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Protection Center Service (NSCService) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\Security Console\NSCSRVCE.EXE

O23 - Service: Symantec AVScan (SAVScan) - Symantec Corporation - C:\Program\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\CCPD-LC\symlcsvc.exe

 

[/log]

 

Tack för ett snabbt svar!!

 

[Cecilia]

Jag ser inget direkt otrevligt i din logg under förutsättning att du själv har installerat PartyPoker och MPPoker (Nordic bet).

Du får väl skanna med Ad-aware lite oftare och se hur Microgaming beter sig.

 

Tack för poängen också!

 

[lizzy_lini]

Tack så mycket!! Återkommer väl snart igen.... Hoppas egentligen inte att jag behöver. Men man vet ju aldrig.

 

[lizzy_lini]

Hej Igen!

Har gjort en scan med ad-aware, spy-bot och NIS 2006. De visade ingenting. Men när jag gjorde en online scanning på pandasoftware.com så visade den på lite spyware.

 

[log]Incident

Status Location

 

Spyware:Cookie/Xmts

Not disinfected

C:\Documents and Settings\Linda\Cookies\linda@xmts[2].txt

Spyware:Cookie/Research-int

Not disinfected

C:\Documents and Settings\Linda\Cookies\linda@research-int[1].txt

Spyware:Cookie/Xmts

Not disinfected

C:\Documents and Settings\Linda\Cookies\linda@xmts[2].txt

Spyware:Cookie/Research-int

Not disinfected

C:\Documents and Settings\Linda\Cookies\linda@research-int[1].txt

Adware:Adware/Trymedia [/log]

 

Har provat att radera cookie filerna, men det hjälper ej.

Jag har ingen aning om det är något att bry sig om eller inte...?

Bifogade en hijackthis log tidigare i denna tråd och då hittade du inget.

 

/Linda

 

[Cecilia]

Cookies är ju inget farligt för datorn, bara att man kan tycka det är lite otrevligt att någon håller koll på vilka annonser man sett/klickat på och liknande.

 

För att undvika att du får problem i framtiden så kommer här mina vanliga råd för en säkrare dator.

 

Uppdatera från Windows Update och kör antispionprogrammen Ad-aware, Spybot S&D och/eller Ewido regelbundet.

http://www.lavasoft.com

http://www.safer-networking.org/en/download/index.html

http://www.ewido.net/en/

 

Komplettera antivirusprogrammet med några online-skanningar då och då:

http://housecall.trendmicro.com/ eller http://se.trendmicro-europe.com/consumer/housecall/housecall_launch.php

http://www.bitdefender.com/scan8/ie.html

http://www.pandasoftware.com/products/activescan/

 

Använd en brandvägg (annan än den inbyggda i XP), finns gratis från t ex ZoneLabs.

http://www.zonelabs.com/store/content/home.jsp

 

Om man använder Internet Explorer så kan det vara lämpligt att ha programmen SpywareBlaster och SpywareGuard, vilka hindrar en hel del otrevliga program från att laddas ner resp. köras:

http://www.javacoolsoftware.com

 

Se över säkerhetsinställningarna i Internet Explorer, det finns en hel del tips här:

http://www.spywarewarrior.com/uiuc/btw/ie/ie-opts.htm

 

Samt kör IE-SpyAd som lägger en hel massa otrevliga webbplatser i zonen Ej tillförlitliga i Internet Explorer så att de inte kan göra något med datorn:

http://www.spywarewarrior.com/uiuc/resource.htm

 

Om man byter webbläsare så är det bara SpywareGuard som behövs. Andra webbläsare är t ex Mozilla Firefox och Opera:

http://www.mozilla.org

http://www.opera.com

 

Allt gratis för hemanvändare/personligt bruk.

 

[lizzy_lini]

Har kört ad-aware. En vecka sen sist. Får fram detta igen:

MicroGaming Object Recognized....

 

Körde först spybot-hittade ingenting.

Sen efter jag kört ad-aware och hittat microgaming... + 3 tracking cookies bla @statcounter gjorde jag ingenting. Tänkte att jag skulle se vad ewido säger. Det hittade ingenting om microgaming. Däremot @statcounter. Det tog jag då bort. När jag gjorde en ny sökning med ad-aware så fanns ändå @statcounter kvar....

 

Ska man bekymra sig över allt man får upp eller får alla upp lite grann när man gör en sökning.

 

Har NIS 2006 med inbyggd brandvägg, Ad-aware, Ewido, Spybot och Spywareblaster.

Borde inte detta räcka...eller?

 

[frippe64]

 

Ska man bekymra sig över allt man får upp eller får alla upp lite grann när man gör en sökning.

 

 

Du ska inte bekymra dig, cookies har man alltid.

 

MicroGaming Object vet jag inte vad det är, och om du inte heller vet det så kan du ta bort det.

 

 

 

[lizzy_lini]

Tar bort det hela tiden. Kan det ha något med pokersidor att göra?

 

Så här såg loggen från ewido ut:

 

[log] ewido anti-malware - Scan report

---------------------------------------------------------

 

+ Created on: 13:06:08, 2006-04-07

+ Report-Checksum: A0859261

 

+ Scan result:

 

C:\Documents and Settings\Linda\Cookies\linda@statcounter[1].txt -> TrackingCookie.Statcounter : Cleaned with backup

C:\System Volume Information\_restore{F68ED44D-EC5E-45A0-987A-39B6BD44DC1B}\RP21\A0002286.dll -> Not-A-Virus.Downloader.Win32.PopCap.b : Cleaned with backup

C:\System Volume Information\_restore{F68ED44D-EC5E-45A0-987A-39B6BD44DC1B}\RP21\A0002287.exe -> Adware.Trymedia : Cleaned with backup

 

 

::Report End

[/log]

På Not-A-Virus stod det risk high.....????

 

Börjar känna mig jobbig!!!!!!!!1

[inlägget ändrat 2006-04-07 15:16:48 av lizzy_lini]

[Cecilia]

Du får ställa hur många frågor du vill.

 

Här är någon annan som har sett ett samband mellan Royal Vegas och Micro Gaming i Ad-aware:

http://72.14.207.104/search?q=cache:P1_Xg98wsOQJ:www.fullcontactpoker.com/poker-forums/viewtopic.php%3Ft%3D6308%26highlight%3D%26sid%3D4dbb58df2f31020613c95760367fc169+%22micro+gaming%22+ad-aware&hl=sv&gl=se&ct=clnk&cd=6

men tyvärr inga vettiga svar.

Mer här:

http://pcpitstop.invisionzone.com/index.php?showtopic=114105

http://www.computing.net/security/wwwboard/forum/13453.html

Men egentligen så är bara en registernyckel inte något farligt, det måste ju till någon fil som kör ett program för att något ska hända i datorn.

 

Cookies får man räkna med att man får in, de är ju inte heller farliga för datorn, mer att det är otrevligt att någon håller koll på vilka annonser/sidor man har sett etc, så det är ju bra att rensa bort dem emellanåt.

 

Angående Ewido-loggen så har den hittat två saker i Systemåterställningspunkterna (System Volume Information...). Det betyder att medan din dator var infekterad så skapade Windows en systemåterställningspunkt. Så länge som otrevligheterna ligger i den mappen så är de ofarliga. Däremot så om du återställer till en tidpunkt då datorn var infekterad så blir även otrevligheterna återställda.

 

Du kan ta bort samtliga systemåterställningspunkter genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Systemåterställningsfunktionen slår man av och på här:

Högerklick på Den här datorn - Egenskaper - Systemåterställning.

 

[lizzy_lini]

Tack för det! Börjar nog bli lite besatt av det här forumet...:)

Älskar att läsa om virus och spionprogram. Fast vill inte ha dem i min dator...

 

[Cecilia]

Tack själv för poängen!

Då kanske det vore något att lära sig om hur man hjälper andra att bli av med sina virus och spionprogram.

 

[lizzy_lini]

Något förslag på vad man behöver lära sig. I vilken ordning. Kan ej speciellt mycket, men har alltid varit intresserad. Hamnade dock i en annan bransch. Är just nu mammaledig och "så gott som" arbetslös. Vore tacksam för tips om hur man kan lära sig själv på bästa sätt, för att se att intresset håller i sig.

 

[Cecilia]

Antingen kan man lära sig genom att se vad andra gör och googla sig fram, som jag gjorde och gör, eller också så kan man gå i någon "skola" som flera stora engelskspråkiga forum har. Vad passar dig?

 

[lizzy_lini]

Eftersom jag inte var så flitig på engelskalektionerna i skolan, så är nog inte det engelskspråkiga ett så bra alternativ.

 

 

[Cecilia]

Fast mycket av informationen är på engelska ändå men det är väl lättare att bara läsa än att skriva.

Här är en tutorial om HijackThis, så att man förstår lite av hur den är uppbyggd:

http://www.bleepingcomputer.com/tutorials/tutorial42.html

Börja med den och kolla lite på länkarna där och så.

 

[lizzy_lini]

Tack så mycket! Hade faktiskt tänkt fråga hur man tyder loggen. Ska genast kolla:)