Just nu i M3-nätverket
Jump to content

SysProtect, ErrorSafe, WinAntivirus Pro 2006 mm


Chrilledill

Recommended Posts

Hej,

Efter en liten stunds surfande med IE kommer det upp ett meddelande om att jag rekomenderas installera "SysProtect". Jag väljer "Avbryt" men då kommer det upp en installationsruta om att där man undra om jag vill installera SysProtect. Jag väljer då "Nej" eller stänger med krysset. Då kommer jag till SysProtect en sida (under sysprotect.com) om instruktioner om hur jag installerar SysProtect (Å vad jag läser denna med intresse.... ;) ).

Jag väljer nu istället att stäng dett fönster varvid ett nytt meddelande poppar upp som låter meddela att jag inte avklarat skanningen av min dator alla otäckheter. Jag får nu en ny fråga samt en rekomendation om att ladda hem detta fantastiska program. Ännu en gång avböjer jag genom att klicka avbryt.

 

Om jag efter denna procedur kör "SpyBot" så hittar den alltid några nya poster.

Lite olika varje gång, men här är några exempel:

HitBox,

Win32.Small.ddx

ErrorSafe,

WinAntivirus Pro 2006,

MediaPlex

 

SpyBot tar förvisso bort dessa poster men roten till problemet kvarstår.

Hur blir jag av med skiten för gott?

 

HijackThis -loggen ser ut så här:

 

[log]

Logfile of HijackThis v1.99.1

Scan saved at 22:24:47, on 2006-10-18

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

D:\WIN2000\System32\smss.exe

D:\WIN2000\system32\winlogon.exe

D:\WIN2000\system32\services.exe

D:\WIN2000\system32\lsass.exe

D:\WIN2000\system32\svchost.exe

D:\WIN2000\system32\spoolsv.exe

E:\Grisoft\AVGFRE~1\avgamsvr.exe

E:\Grisoft\AVGFRE~1\avgupsvc.exe

D:\WIN2000\System32\svchost.exe

D:\WIN2000\system32\nvsvc32.exe

D:\WIN2000\system32\regsvc.exe

D:\WIN2000\system32\MSTask.exe

D:\WIN2000\system32\stisvc.exe

D:\WIN2000\system32\ZONELABS\vsmon.exe

D:\WIN2000\System32\WBEM\WinMgmt.exe

D:\WIN2000\system32\svchost.exe

D:\WIN2000\System32\msdtc.exe

D:\WIN2000\SOUNDMAN.EXE

E:\SCANJET\PrecisionScanPro\HPLamp.exe

E:\CloneCD\CloneCDTray.exe

E:\Grisoft\AVGFRE~1\avgcc.exe

D:\WIN2000\system32\RUNDLL32.EXE

E:\ZoneAlarm\zlclient.exe

D:\WIN2000\system32\internat.exe

E:\WINZIP\WZQKPICK.EXE

E:\NETSCAPE\NETSCAPE\NETSCP.EXE

D:\WIN2000\system32\cmd.exe

D:\WIN2000\NOTEPAD.EXE

E:\wf32\WFWIN32.EXE

D:\WIN2000\explorer.exe

D:\Program\Internet Explorer\IEXPLORE.EXE

E:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chrilles.net/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WIN2000\system32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WIN2000\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HP Lamp] E:\SCANJET\PrecisionScanPro\HPLamp.exe

O4 - HKLM\..\Run: [CloneCDTray] "E:\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\Run: [AVG7_CC] E:\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WIN2000\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Zone Labs Client] "E:\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: WinZip Quick Pick.lnk = E:\WINZIP\WZQKPICK.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\PUBLIS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WIN2000\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WIN2000\web\related.htm

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O12 - Plugin for .spop: D:\Program\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: Microsoft WFC Forms Designer - file://G:\VJ98\wfcforms.cab

O16 - DPF: Visual Studio 6 Extensibility Libraries - file://G:\VJ98\vstudio6.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135930878421

O16 - DPF: {DC6FEBC5-0A2D-458A-A01B-5DB15EEC4305} (IlosoftImageUploadCtl Class) - http://webc.chrilles.net/controls/IlosoftImageUpload.dll

O23 - Service: Adobe LM Service - Adobe Systems - D:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - D:\WIN2000\System32\dmadmin.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WIN2000\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WIN2000\system32\ZONELABS\vsmon.exe

 

[/log]

 

SmitFraudFix -log ser ut som följer:

 

[log]

SmitFraudFix v2.110

 

Scan done at 22:28:01,46, on 2006-10-18

Run from F:\SFix

OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT

Fix run in normal mode

 

»»»»»»»»»»»»»»»»»»»»»»»» D:

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\WIN2000

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\WIN2000\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\WIN2000\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\WIN2000\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Chrille

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\Documents and Settings\Chrille\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\DOCUME~1\CHRILLE\FAVORI~1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

 

 

»»»»»»»»»»»»»»»»»»»»»»»» D:\Program

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Min aktuella startsida"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

 

 

»»»»»»»»»»»»»»»»»»»»»»»» End

 

[/log]

 

Mvh

Christian

 

[inlägget ändrat 2006-10-16 22:29:40 av Chrilledill]

Link to comment
Share on other sites

Byt namn på HijackThis.exe till något annat t ex rensning.exe så får vi se om det syns mer.

 

Har SmitFraudFix hittat något någon gång?

 

Tillägg: Det är möjligt att jag inte hinner titta på loggen förrän imorgon.

[inlägget ändrat 2006-10-17 07:40:07 av Cecilia]

Link to comment
Share on other sites

Hej, å tack för ett snabbt svar.

Första gången jag körde SpyBot hittade den en massa saker, så jag antar att den to bort det mesta, men det verkar ju ligga kvar lite ändå.

Jag tror inte det spelar någon roll om jag byter namn på HijackThis.exe till något annat (kan tyvärr inte pröva just nu då jag inte är hemma), men jag skall för all del testa när jag kommer hem.

SmitFraudFix hittar bara det som finns i loggen ovan.

 

Link to comment
Share on other sites

Det finns Vundo-infektioner som inte syns när HijackThis heter HijackThis men som kommer fram i loggen när man byter namn på HijackThis.

Det är inte direkt ovanligt att det är en Vundo-infektion som ger upphov till problemen du har.

 

Link to comment
Share on other sites

Det kan nog ligga något i det du säger. Loggen ser nog lite annorlunda nu + att när jag körde programmet innan krashade det för mej när jag valde att göra en scan och spara loggen, däremot kunde jag göra en "system scan only"

Nåväl, här är loggen:

(Jag döpte filen till "Hoppsansa.exe" och la den på ett annat ställe.)

 

[log]

Logfile of HijackThis v1.99.1

Scan saved at 20:36:06, on 2006-10-20

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

D:\WIN2000\System32\smss.exe

D:\WIN2000\system32\winlogon.exe

D:\WIN2000\system32\services.exe

D:\WIN2000\system32\lsass.exe

D:\WIN2000\system32\svchost.exe

D:\WIN2000\system32\spoolsv.exe

E:\Grisoft\AVGFRE~1\avgamsvr.exe

E:\Grisoft\AVGFRE~1\avgupsvc.exe

D:\WIN2000\System32\svchost.exe

D:\WIN2000\system32\nvsvc32.exe

D:\WIN2000\system32\regsvc.exe

D:\WIN2000\system32\MSTask.exe

D:\WIN2000\system32\stisvc.exe

D:\WIN2000\system32\ZONELABS\vsmon.exe

D:\WIN2000\System32\WBEM\WinMgmt.exe

D:\WIN2000\system32\svchost.exe

D:\WIN2000\System32\msdtc.exe

D:\WIN2000\Explorer.EXE

D:\WIN2000\SOUNDMAN.EXE

E:\SCANJET\PrecisionScanPro\HPLamp.exe

E:\CloneCD\CloneCDTray.exe

E:\Grisoft\AVGFRE~1\avgcc.exe

D:\WIN2000\system32\RUNDLL32.EXE

E:\ZoneAlarm\zlclient.exe

D:\WIN2000\system32\internat.exe

E:\WINZIP\WZQKPICK.EXE

E:\NETSCAPE\NETSCAPE\NETSCP.EXE

F:\Temp\Hoppsansa.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chrilles.net/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Program\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - D:\WIN2000\system32\lavmmtcb.dll (file missing)

O2 - BHO: (no name) - {38D86DB7-ADCF-4A68-A82E-060937AD077F} - D:\WIN2000\system32\mljjg.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program\Java\jre1.5.0_06\bin\ssv.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WIN2000\system32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WIN2000\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HP Lamp] E:\SCANJET\PrecisionScanPro\HPLamp.exe

O4 - HKLM\..\Run: [CloneCDTray] "E:\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\Run: [AVG7_CC] E:\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WIN2000\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Zone Labs Client] "E:\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: WinZip Quick Pick.lnk = E:\WINZIP\WZQKPICK.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\PUBLIS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WIN2000\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WIN2000\web\related.htm

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O12 - Plugin for .spop: D:\Program\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: Microsoft WFC Forms Designer - file://G:\VJ98\wfcforms.cab

O16 - DPF: Visual Studio 6 Extensibility Libraries - file://G:\VJ98\vstudio6.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135930878421

O16 - DPF: {DC6FEBC5-0A2D-458A-A01B-5DB15EEC4305} (IlosoftImageUploadCtl Class) - http://webc.chrilles.net/controls/IlosoftImageUpload.dll

O20 - Winlogon Notify: mljjg - D:\WIN2000\system32\mljjg.dll

O20 - Winlogon Notify: winwil32 - winwil32.dll (file missing)

O23 - Service: Adobe LM Service - Adobe Systems - D:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - D:\WIN2000\System32\dmadmin.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WIN2000\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WIN2000\system32\ZONELABS\vsmon.exe

 

[/log]

 

Ps.

Jag kan jag inte expandera loggarna längre....varför? Kan du?

 

[inlägget ändrat 2006-10-18 20:49:02 av Chrilledill]

[inlägget ändrat 2006-10-18 20:51:16 av Chrilledill]

Link to comment
Share on other sites

En annan intressant sak jag observerade var att när jag startade HijackThis.exe med "HijackThis.exe" som namn så laddades alla dessa dll'er:

 

[log]

Loaded 'E:\Hijackthis\HijackThis.exe', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\ntdll.dll', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\KERNEL32.DLL', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\MSVBVM60.DLL', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\USER32.DLL', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\GDI32.DLL', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\ADVAPI32.DLL', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\rpcrt4.dll', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\OLE32.DLL', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\OLEAUT32.DLL', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\indicdll.dll', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\asycfilt.dll', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\mljjg.dll', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\shfolder.dll', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\WININET.DLL', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\msvcrt.dll', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\SHLWAPI.DLL', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\CRYPT32.DLL', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\msasn1.dll', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\ws2_32.dll', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\ws2help.dll', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\SHELL32.DLL', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\comctl32.dll', no matching symbolic information found.

First-chance exception in HijackThis.exe (MLJJG.DLL): 0xC0000005: Access Violation.

Loaded 'D:\WIN2000\system32\version.dll', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\lz32.dll', no matching symbolic information found.

The thread 0x5D8 has exited with code 0 (0x0).

The thread 0x52C has exited with code 268435456 (0x10000000).

 

[/log]

 

men när jag startade programmet med "Hoppsansa.exe" så laddades bara dessa:

 

[log]

Loaded 'F:\Temp\Hoppsansa.exe', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\ntdll.dll', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\KERNEL32.DLL', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\MSVBVM60.DLL', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\USER32.DLL', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\GDI32.DLL', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\ADVAPI32.DLL', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\rpcrt4.dll', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\OLE32.DLL', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\OLEAUT32.DLL', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\indicdll.dll', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\imm32.dll', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\asycfilt.dll', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\version.dll', no matching symbolic information found.

Loaded 'D:\WIN2000\system32\lz32.dll', no matching symbolic information found.

[/log]

 

Jag börjar ana ugglor...
....:)

 

imm32.dll laddas ej men istället så laddas bl.a. mljjg.dll och den verkar inte vara så trevlig!!

Jag scannade den på www.virustotal.com och den verkar mycket riktigt vara en "Vundo" som du skrev.

 

Då är bara fråga hur jag bäst skall gå till väga. Jag kan ju börja med att ta se till så att mljjg.dll inte kan laddas......

 

Link to comment
Share on other sites

Jag kan jag inte expandera loggarna längre....varför? Kan du?

De har gjort något med webbsidorna så att det inte fungerar längre //eforum.idg.se/viewmsg.asp?EntriesId=875593

Man kan välja Visa Källa/källkod (eller vad det nu heter i Netscape) för att se loggarna.

 

Nu ligger Hoppsansa.exe i en Temp-mapp, tappa inte bort de backuper som HijackThis då kommer att skapa i Temp/Backup när det är dags att fixa med HijackThis.

 

En annan intressant sak jag observerade var att när jag startade HijackThis.exe med "HijackThis.exe" som namn så laddades alla dessa dll'er:
Kul att se! :thumbsup: Vilket program använde du för det?

 

Ladda ner Vundofix:

http://www.atribune.org/ccount/click.php?id=4

 

Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Dubbelklicka på VundoFix.exe för att starta programmet.

När den startar igen så tryck på Scan for Vundo.

När skanningen är klar så tryck på Remove Vundo.

Svara Ja/Yes på frågan om du vill ta bort filerna.

Därefter kommer Skrivbordet att försvinna medan filerna tas bort.

När det är klart så kommer det en fråga om att din dator kommer att stängas av, tryck på OK.

Sätt igång datorn igen.

 

Om det är så att VundoFix inte kunde ta bort någon fil vid första försöket så kommer VundoFix att starta igen när datorn startas, följ i så fall beskrivningen en gång till.

 

Klistra in C:\vundofix.txt och en ny HijackThis-logg (Hoppsansa) i ditt svar.

 

Link to comment
Share on other sites

Jag exekverar filen genom VisualStudio (6) för att se vilka dll'er som laddas, men det finns säkert andra fria program för att göra detta.

 

Vundofix verkade vara programmet för mej!! :)

Jag tog visserligen bort mljjg.dll manuellt och efter det försvann popuperna i allafall, men det var tydligen mer skräp i burken.

Jag har den senaste tiden kör SpyBot ganska flitigt och den har alltid hittat ett anlat cokies som varit skumma.

Nu senast:

 

Advertising.com

Avenue A. Inc.

CoreMetrix

HitBox

MediaPlex

WebTrendsLive

 

VundoFix hittade följande:

rqrpmlm.dll

ecqxweoa.dll

aaqomyjr.exe

 

MEN NU..!!!!

Efter att jag kört VundoFix så får jag numera meddelandet

Gratulerar!

Inga "bots" hittades

 

HijackThis-loggen är numera identisk med Hoppsansa (så när som på namnet på exefilen)

 

[log]

Logfile of HijackThis v1.99.1

Scan saved at 13:08:42, on 2006-10-20

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

D:\WIN2000\System32\smss.exe

D:\WIN2000\system32\winlogon.exe

D:\WIN2000\system32\services.exe

D:\WIN2000\system32\lsass.exe

D:\WIN2000\system32\svchost.exe

D:\WIN2000\system32\spoolsv.exe

E:\Grisoft\AVGFRE~1\avgamsvr.exe

E:\Grisoft\AVGFRE~1\avgupsvc.exe

D:\WIN2000\System32\svchost.exe

D:\WIN2000\system32\nvsvc32.exe

D:\WIN2000\system32\regsvc.exe

D:\WIN2000\system32\MSTask.exe

D:\WIN2000\system32\stisvc.exe

D:\WIN2000\system32\ZONELABS\vsmon.exe

D:\WIN2000\System32\WBEM\WinMgmt.exe

D:\WIN2000\system32\svchost.exe

D:\WIN2000\System32\msdtc.exe

D:\WIN2000\Explorer.EXE

D:\WIN2000\SOUNDMAN.EXE

E:\SCANJET\PrecisionScanPro\HPLamp.exe

E:\CloneCD\CloneCDTray.exe

E:\Grisoft\AVGFRE~1\avgcc.exe

D:\WIN2000\system32\RUNDLL32.EXE

E:\ZoneAlarm\zlclient.exe

E:\QuickTime\qttask.exe

D:\WIN2000\system32\internat.exe

E:\WINZIP\WZQKPICK.EXE

D:\WIN2000\regedit.exe

E:\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.chrilles.net/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - D:\Program\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - e:\acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - D:\WIN2000\system32\lavmmtcb.dll (file missing)

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - E:\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {88909FF6-3ECE-4E1F-8CF9-1128F348979C} - D:\WIN2000\system32\mljjg.dll (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - D:\WIN2000\system32\msdxm.ocx

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - D:\Program\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WIN2000\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [HP Lamp] E:\SCANJET\PrecisionScanPro\HPLamp.exe

O4 - HKLM\..\Run: [CloneCDTray] "E:\CloneCD\CloneCDTray.exe"

O4 - HKLM\..\Run: [AVG7_CC] E:\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WIN2000\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [Zone Labs Client] "E:\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [QuickTime Task] "E:\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [internat.exe] internat.exe

O4 - Global Startup: WinZip Quick Pick.lnk = E:\WINZIP\WZQKPICK.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - E:\MICROS~1\PUBLIS~1\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WIN2000\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WIN2000\web\related.htm

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O12 - Plugin for .spop: D:\Program\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: Microsoft WFC Forms Designer - file://G:\VJ98\wfcforms.cab

O16 - DPF: Visual Studio 6 Extensibility Libraries - file://G:\VJ98\vstudio6.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135930878421

O16 - DPF: {DC6FEBC5-0A2D-458A-A01B-5DB15EEC4305} (IlosoftImageUploadCtl Class) - http://webc.chrilles.net/controls/IlosoftImageUpload.dll

O23 - Service: Adobe LM Service - Adobe Systems - D:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - E:\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - E:\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - D:\WIN2000\System32\dmadmin.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WIN2000\system32\nvsvc32.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - D:\WIN2000\system32\ZONELABS\vsmon.exe

[/log]

 

Det verkar som om jag fått bort allt nu!

1000 tack för hjälpen

 

/Christian

 

Link to comment
Share on other sites

Efter att jag kört VundoFix så får jag numera meddelandet

Gratulerar!

Inga "bots" hittades

 

HijackThis-loggen är numera identisk med Hoppsansa

Bra! :thumbsup:

 

Lite ofarliga rester kvar, så skanna med HijackThis och bocka för:

 

O2 - BHO: (no name) - {1DAEFCB9-06C8-47c6-8F20-3FB54B244DAA} - D:\WIN2000\system32\lavmmtcb.dll (file missing)

O2 - BHO: (no name) - {88909FF6-3ECE-4E1F-8CF9-1128F348979C} - D:\WIN2000\system32\mljjg.dll (file missing)

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - D:\WIN2000\web\related.htm

 

Avsluta alla andra program.

Tryck Fix checked.

Starta om datorn.

 

Här kommer mina vanliga råd för en säkrare dator, men det är såklart viktigt att man använder sitt förnuft också.

 

Uppdatera från Windows Update och kör antispionprogrammen AVG Anti-Spyware (Ewido), Spybot S&D och/eller Ad-aware regelbundet.

http://www.ewido.net/en/

http://www.safer-networking.org/en/download/index.html

http://www.lavasoft.com

 

Komplettera antivirusprogrammet med några online-skanningar då och då:

http://housecall.trendmicro.com/

http://www.bitdefender.com/scan8/ie.html

http://www.pandasoftware.com/products/activescan/

 

Använd en brandvägg (bättre än den inbyggda i XP), finns gratis från t ex ZoneLabs.

http://www.zonelabs.com/store/content/home.jsp

 

Om man använder Internet Explorer så kan det vara lämpligt att ha programmen SpywareBlaster och SpywareGuard, vilka hindrar en hel del otrevliga program från att laddas ner resp. köras:

http://www.javacoolsoftware.com

 

Se över säkerhetsinställningarna i Internet Explorer, det finns en hel del tips här:

http://www.spywarewarrior.com/uiuc/btw/ie/ie-opts.htm

 

Samt kör IE-SpyAd som lägger en hel massa otrevliga webbplatser i zonen Ej tillförlitliga i Internet Explorer så att de inte kan göra något med datorn:

http://www.spywarewarrior.com/uiuc/resource.htm

 

Om man byter webbläsare så är det bara SpywareGuard som behövs. Andra webbläsare är t ex Mozilla Firefox och Opera:

http://www.mozilla.org

http://www.opera.com

 

Allt gratis för hemanvändare/personligt bruk.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...