Hjälp med att ta bort bl a SpySherif och trojaner m.m.

3 april, 2006

Hej!

Min dator har tagis över av SpySherif (tror jag) och massa andra virus. Jag var så dum som inte hunnit att förnya mitt virusprogram som gick ut för ett par dagar sedan så min dator var helt oskyddad...

Det som hänt är att jag inte kan göra någonting!!! Jag kan inte öppna några filer eller mappar, Den här datorn, Start-menyn eller Internet Explorer. Datorn är i stort sett just nu obrukbar. På datorn så finns ett par jättegamla bilder jag har retucherat till min mormor och som jag inte vill ska försvinna. Finns det något sätt att få bort alla virus, Spyware m.m.?

Jag använder just nu en gammal dator för att komma ut på nätet eftersom min "vanliga" dator är obrukbar. Finns det några program att ladda ned som jag kan bränna på en skiva och som sedan installerar sig själv?

Jag är SÅ TACKSAM för alla tips och hjälp jag kan få.

// Carita

3 april, 2006

Pröva om du får ut en Hijack logg från datorn så tar vi en titt hur den ser ut

http://koti.mbnet.fi/pattaya1/HijackThis.exe

3 april, 2006

Hej Carita!

Prova först att köra en online avsökning av din dator för att se vilka smittor du har:

http://www.kaspersky.com/virusscanner

Skriv ut eller anteckna alla smittofiler, deras namn, sökväg etc.

starta därefter om datorn (Tag ur nätverkskabeln när datorn stängs ner)

i felsäkert läge genom tryck på "F8" under uppstarten.

i felsäkert läge så startar du registereditorn via Start \ kör skriv: regedit och tryck enter.

markera "den här datorn" högst upp i vänstra fältet och sök dej ner till var och en av nedan säkvägar:

Regnycklar att kolla i efter mysko filer:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runonce

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

markera "Slutmappen" i vänstra fältet och via menyn: Arkiv välj Exportea samt Administratörens "mina dokument som spar-mapp. (=du säkerhetskopierar dessa inställningar så du kan återfå orginalinställningarna om du raderat något "extra")

Döp resp. fil du sparar så du vet vilken som hör till resp. slutmapp!

Radera därefter ALLA hänvisningar du ser i resp. slutmapp till de filer som du antecknat som smittofiler.

När du är klar och har raderat ALLA hänvisningar till de filer som avsökningen hittade återstår endast att via utforskaren söka upp resp fil på KORREKT sökväg och radera dessa.

Därefter startar du om datorn som Vanligt! och ser om du har kvar några problem... (vilket du inte bör)

Bränn de viktiga bilderna samt andra viktiga filer till CD som säkerhetskopior.

Sedan återstår endast att köpa nytt virusskydd!

Lycka till!

/Thomas

Ladda ner professionella väl genomtänkta installationsanvisningar som ger hög säkerhet mot virus & angrepp, stabil drift samt optimal prestanda på: http://www.winguider.se Finns för Win2000 Pro & för XP Pro (3 olika versioner) Ej för XP home

[inlägget ändrat 2006-04-03 14:03:56 av /Thomas]

3 april, 2006

Hej!

Tack för era svar. Jag har försökt att öppna ett Internet Explorer-fönster och efter ett par envisa försök lyckades jag med det. Tyvärr så var det inte mer än så... Jag kommer inte ut på nätet.

3 april, 2006

Men HijackThis och dess logg tillbaka går ju bra att föra över på CD eller diskett.

3 april, 2006

Hej!

Jag är inte så hemma på datorer så jag vet inte riktigt vad du menar. Det händer ingenting när jag försöker med HijackThis (för jag antar att jag åste göra det från datorn som har virus).

MVH

Carita

3 april, 2006

Du måste köra HijackThis på datorn som har problem, men du kan ladda ner (spara) programmet på en annan dator och så flytta över programmet till problem-datorn.

Eller menar du att du har fört över programmet men det startar inte när du dubbel-klickar på programmet? I så fall ladda ner det här programmet:

http://www.safer-networking.org/files/delcwssk.zip

Kör det först och sedan försök köra HijackThis igen.

5 april, 2006

Hej igen!

Jag har efter ett par försök lyckats köra HijackThis på min "problemdator". Det är i stort sett omöjligt att göra någonting på datorn.

Så här ser i alla fall loggen ut (den är väldigt lång):

[log]Logfile of HijackThis v1.99.1

Scan saved at 11:04:00, on 2006-02-05

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\S2FsbGVnb25kZQ\command.exe

C:\Program\Network Monitor\netmon.exe

C:\WINDOWS\system32\Smartscaps.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\inet20001\services.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\Microsoft IntelliType Pro\type32.exe

C:\Program\Microsoft IntelliPoint\point32.exe

C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

C:\Program\Java\jre1.5.0_06\bin\jusched.exe

C:\Program\iTunes\iTunesHelper.exe

C:\Program\QuickTime\qttask.exe

C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnf.exe

C:\windows\mousepad7.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\webHancer\Programs\whsurvey.exe

C:\WINDOWS\system32\kernels8.exe

C:\WINDOWS\inet20001\socks.exe

C:\WINDOWS\sysldr32.exe

C:\WINDOWS\system32\intell321.exe

C:\WINDOWS\sachostx.exe

C:\winstall.exe

C:\Program\DELADE~1\wurz\wurzm.exe

C:\WINDOWS\system32\tetriz3.exe

C:\WINDOWS\system32\vxgame1.exe3584.exe

C:\Windows\xpupdate.exe

C:\WINDOWS\system32\dlh9jkdq2.exe

C:\WINDOWS\system32\dlh9jkdq6.exe

C:\WINDOWS\system32\dlh9jkdq7.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\maxd64.exe

C:\Documents and Settings\Tony\Skrivbord\HijackThis.exe

C:\WINDOWS\system32\shell386.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.findthewebsiteyouneed.com'>http://searchbar.findthewebsiteyouneed.com'>http://searchbar.findthewebsiteyouneed.com'>http://searchbar.findthewebsiteyouneed.com'>http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.findthewebsiteyouneed.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = c:\secure32.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://searchbar.findthewebsiteyouneed.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://searchbar.findthewebsiteyouneed.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = c:\secure32.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: Shell=explorer.exe "C:\Program\Delade filer\Microsoft Shared\Web Folders\ibm00001.exe"

F3 - REG:win.ini: run=C:\WINDOWS\inet20001\services.exe

O2 - BHO: (no name) - {00000000-59D4-4008-9058-080011001200} - (no file)

O2 - BHO: (no name) - {00000000-C1EC-0345-6EC2-4D0300000000} - (no file)

O2 - BHO: (no name) - {00000000-F09C-02B4-6EC2-AD0300000000} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {3ceff6cd-6f08-4e4d-bccd-ff7415288c3b} - (no file)

O2 - BHO: (no name) - {5321E378-FFAD-4999-8C62-03CA8155F0B3} - (no file)

O2 - BHO: (no name) - {6001CDF7-6F45-471b-A203-0225615E35A7} - C:\WINDOWS\DH.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7b55bb05-0b4d-44fd-81a6-b136188f5deb} - (no file)

O2 - BHO: (no name) - {8333c319-0669-4893-a418-f56d9249fca6} - (no file)

O2 - BHO: winapi32.MyBHO - {86A0607D-6126-45AE-8A29-46C181AFF4D6} - C:\WINDOWS\system32\winapi32.dll

O2 - BHO: (no name) - {9c691a33-7dda-4c2f-be4c-c176083f35cf} - (no file)

O2 - BHO: WhIeHelperObj Class - {c900b400-cdfe-11d3-976a-00e02913a9e0} - C:\Program\webHancer\programs\whiehlpr.dll

O2 - BHO: ZToolbar Activator Class - {da7ff3f8-08be-4cac-bc00-94d91c6ae7f4} - C:\WINDOWS\system32\azesearch4.ocx

O2 - BHO: (no name) - {e52dedbb-d168-4bdb-b229-c48160800e81} - (no file)

O2 - BHO: IExplorerHelper Class - {E89097ED-3400-411D-9647-D368C3311C98} - C:\WINDOWS\system32\IeHelperExVSS.dll

O2 - BHO: AddressBar Class - {f65b197f-8260-4d52-909a-f70118e646eb} - C:\WINDOWS\system32\iasada.dll

O2 - BHO: (no name) - {ffd2825e-0785-40c5-9a41-518f53a8261f} - (no file)

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [type32] "C:\Program\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [intelliPoint] "C:\Program\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [ZipTorrent] C:\Program\ZipTorrent\ZipTorrent.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [keyboard] C:\windows\keyboard7.exe

O4 - HKLM\..\Run: [mousepad] C:\windows\mousepad7.exe

O4 - HKLM\..\Run: [newname] C:\windows\newname7.exe

O4 - HKLM\..\Run: [webHancer Agent] C:\Program\webHancer\Programs\whagent.exe

O4 - HKLM\..\Run: [webHancer Survey Companion] C:\Program\webHancer\Programs\whsurvey.exe

O4 - HKLM\..\Run: [sysTray] c:\Program Files\paytime.exe

O4 - HKLM\..\Run: [system] C:\WINDOWS\system32\kernels8.exe

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20001\services.exe

O4 - HKLM\..\Run: [Microsoft standard protector] C:\WINDOWS\inet20001\socks.exe

O4 - HKLM\..\Run: [Adware.Srv32] C:\WINDOWS\system32\runsrv32.exe

O4 - HKLM\..\Run: [Transponder] C:\WINDOWS\system32\susp.exe

O4 - HKLM\..\Run: [systemLoader] C:\WINDOWS\sysldr32.exe

O4 - HKLM\..\Run: [intell321.exe] C:\WINDOWS\system32\intell321.exe

O4 - HKLM\..\RunServices: [tetriz3] C:\WINDOWS\system32\tetriz3.exe

O4 - HKLM\..\RunServices: [systemTools] C:\WINDOWS\system32\kernels8.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program\Delade filer\Ahead\lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [shell] "C:\Program\Delade filer\Microsoft Shared\Web Folders\ibm00001.exe"

O4 - HKCU\..\Run: [Windows installer] C:\winstall.exe

O4 - HKCU\..\Run: [wurz] C:\Program\DELADE~1\wurz\wurzm.exe

O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe

O4 - HKCU\..\Run: [tetriz3] C:\WINDOWS\system32\tetriz3.exe

O4 - HKCU\..\Run: [WindowsUpdate] C:\WINDOWS\System\svchost.exe /s

O4 - HKCU\..\Run: [Key] C:\DOCUME~1\Tony\LOKALA~1\Temp\C6.tmp

O4 - HKCU\..\Run: [WinMedia] C:\WINDOWS\system32\vxgame1.exe3584.exe

O4 - HKCU\..\Run: [Windows update loader] C:\Windows\xpupdate.exe

O4 - HKCU\..\Run: [spySheriff] C:\Program Files\SpySheriff\SpySheriff.exe

O4 - HKCU\..\Run: [xp_system] C:\WINDOWS\inet20001\services.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Certificate Mover.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Personal.lnk = C:\Program\Personal\bin\Personal.exe

O4 - Global Startup: wupdmgr.exe

O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: MultiPoker - {641F4F4E-6C91-4159-869E-9F5CE6F0F64E} - C:\Program\MultiPoker\MultiPoker.exe

O9 - Extra 'Tools' menuitem: MultiPoker - {641F4F4E-6C91-4159-869E-9F5CE6F0F64E} - C:\Program\MultiPoker\MultiPoker.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O10 - Broken Internet access because of LSP chain gap (#6 in chain of 13 missing)

O16 - DPF: {1538D4E0-B2C4-402D-B71A-BA6A04BC7A5D} (PictureChooser.picChooser) - http://direct.fotomenyn.com/direct/PictureChooser.cab

O16 - DPF: {65F77758-B822-45FB-8F0C-08E85705EC4A} (Upload.ctlUpload) - http://onoff.vsfl.se/photos/upload/upload.cab

O16 - DPF: {78EB01F2-73D9-4B08-87DA-B4B866A5B1C9} (SnapChooser.SnapViewer) - http://www.gordinegenbok.se/photos/upload/SnapChooser.cab

O16 - DPF: {D7BF3304-138B-4DD5-86EE-491BB6A2286C} - http://www.azebar.com/install/azesearch.cab

O20 - Winlogon Notify: SensSrv - C:\WINDOWS\SYSTEM32\senssrv.dll

O20 - Winlogon Notify: SMDEn - C:\WINDOWS\system32\nmprint.dll

O21 - SSODL: ApKKAEdkdZah - {10E966AD-BA43-CC07-30A1-93EA520AB628} - C:\WINDOWS\system32\ddswp.dll

O23 - Service: Command Service (cmdService) - Unknown owner - C:\WINDOWS\S2FsbGVnb25kZQ\command.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Network Monitor - Unknown owner - C:\Program\Network Monitor\netmon.exe

O23 - Service: SmartTrust Smart Card Server (Smartscaps) - SmartTrust - C:\WINDOWS\system32\Smartscaps.exe

[/log]

5 april, 2006

Din dator är väldigt infekterad, det bästa skulle vara att installera om Windows.

> Det är i stort sett omöjligt att göra någonting på datorn. <

Detta gör att det är svårt att rensa din dator om du inte kan installera nå program.

Men vi kan pröva om du vill.

5 april, 2006

Tack för ditt snabba svar. Jag vill jättegärna försöka om du tror att det finns någon liten chans att lyckas. Vi har haft Norton på datorn men slarvade när det var dags att köpa ny licens. Vilket var jättedumt.

Jag har nämnligen massa gamla bilder på datorn som jag scannat in och retucherat åt min mormor som hon skulle få på sin 70-årsdag nu i maj. Jag hinner tyvärr inte göra om arbetet och därför vill jag gärna chansa på att få ordning på datorn om det går...

Om det är till någon hjälp som verkar det fungera att köra saker från min externa hårddisk. Jag har även en gammal dator som jag nu använder för att komma ut på nätet. Kan jag med hjälp av dessa två göra något? Typ ladda ner program och sedan köra från den externa?

// Carita

5 april, 2006

Ok vi rensar lite först kanske datorn funkar lite bättre då, så kan vi ladda ner och installera program.

[log]Skapa en ny mapp på C:\ och placera HijackThis.exe dit så C:\HjT\HijackThis.exe

Avinstallera via Kontrollpanelen om det finns\funkar

WebHancer

Scanna med Hijack bocka i följande rader stäng Web-läsaren och alla andra öppna fönster och klicka FIX checked