Hjälp med ev. spyware/adware..

[Drullen]

Hej, all hjälp som kan ges är otroligt uppskattad=)

Jag har allvarliga problem med datorns prestanda, den går otroligt segt och vissa gånger kan det ta flera timmar att öppna ett program.

 

Jag har Panda Platinum 2006 och Ad-aware installerat på datorn och kör regelbundna scanner och har auto-protect aktiverat på Panda.

Trots detta så har jag efter att ha rensat datorn på tonvis av virus, spyware, trojaner osv. fortfarande problem med återkommande intrång som vägrar försvinna.

 

Jag har ingen aning om hur jag ska få bort dom en gång för alla och har letat i evighet på nätet efter något som kan hjälpa, men eftersom jag inte är säker på vad det är för specifika problem som är orsaken till att min dator går så segt (vilket den inte har gjort tidigare) så ber jag nu desperat om hjälp och tips på hur jag kan lösa detta...

 

Jag scannade datorn med HijackThis och tar med loggen här, och hoppas på att någon kan hjälpa mig.

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 03:23:21, on 2006-11-02

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Panda Software\Panda Platinum 2006 Internet Security\pavsrv51.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

c:\program\panda software\panda platinum 2006 internet security\firewall\PNMSRV.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\CTSvcCDA.EXE

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe

C:\Program\Delade filer\Panda Software\PavShld\pavprsrv.exe

C:\Program\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe

C:\Program\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wdfmgr.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\Program\Panda Software\Panda Platinum 2006 Internet Security\apvxdwin.exe

C:\WINDOWS\system32\CTHELPER.EXE

C:\Program\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

C:\Program\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

C:\Program\Saitek\Software\Profiler.exe

C:\Program\Saitek\Software\SaiMfd.exe

C:\Program\DAEMON Tools\daemon.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program\Panda Software\Panda Platinum 2006 Internet Security\SRVLOAD.EXE

C:\Program\Panda Software\Panda Platinum 2006 Internet Security\WebProxy.exe

C:\Program\Panda Software\Panda Platinum 2006 Internet Security\AVENGINE.EXE

C:\Program\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Stuff\Nytto\HijackThis.exe

C:\Program\Panda Software\Panda Platinum 2006 Internet Security\avciman.exe

C:\Program\Panda Software\Panda Platinum 2006 Internet Security\psimreal.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http=proxy1.telia.com:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = login1.telia.com;<local>

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

F3 - REG:win.ini: load=C:\WINDOWS\system32\scvhost.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: e-kort Browser Helper Object - {1C900459-DEEF-4aa9-B260-1EF0F0C70A8D} - C:\WINDOWS\System32\Bhoekort.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar3.dll

O2 - BHO: (no name) - {E14DCE67-8FB7-4721-8149-179BAA4D792C} - (no file)

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program\google\googletoolbar3.dll

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [CTSysVol] C:\Program\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe

O4 - HKLM\..\Run: [CTDVDDet] C:\Program\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [saiMfd] C:\Program\Saitek\Software\SaiMfd.exe

O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program\Panda Software\Panda Platinum 2006 Internet Security\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [sCANINICIO] "C:\Program\Panda Software\Panda Platinum 2006 Internet Security\Inicio.exe"

O4 - HKLM\..\RunServices: [Generic Host Process] C:\WINDOWS\system32\scvhost.exe

O4 - HKCU\..\Run: [NVIEW] rundll32.exe nview.dll,nViewLoadHook

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll (file missing)

O9 - Extra button: e-kort - {4C730913-3961-439b-83D5-F4E445520422} - C:\Program\ekort\ekort.exe

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Spel\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Spel\PartyGaming\PartyPoker\RunApp.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {0990D180-4226-4530-9777-AB82315505B9} (Installer Class) - http://www.foreningssparbanken.se/betala/ekort/oinstall.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab31267.cab

O16 - DPF: {39B0684F-D7BF-4743-B050-FDC3F48F7E3B} (FilePlanet Download Control Class) - http://www.fileplanet.com/fpdlmgr/cabs/FPDC_1_0_0_44.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1135691515359

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab

O16 - DPF: {9478041E-CAEC-44A5-8271-B56799715926} (ColorApplication Control) - http://clients.theshining.se/colorapp/ColorAppOnline.cab

O16 - DPF: {97B79133-88F0-45F0-8D57-0F2EF27D9C66} - http://85.255.114.166/1/rdgSE2404.exe

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\Program\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: avldr - C:\WINDOWS\SYSTEM32\avldr.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll

O20 - Winlogon Notify: urqomnm - C:\WINDOWSO20 - Winlogon Notify: winwil32 - C:\WINDOWSO23 - Service: Adobe LM Service - Unknown owner - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTSvcCDA.EXE

O23 - Service: MS Software Shadow Download Provider (dnlsvc) - Unknown owner - C:\DOCUME~1\JJ\LOKALA~1\Temp\dnlsvc.exe (file missing)

O23 - Service: Macromedia Licensing Service - Unknown owner - C:\Program\Delade filer\Macromedia Shared\Service\Macromedia Licensing.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software International - C:\Program\Panda Software\Panda Platinum 2006 Internet Security\PavFnSvr.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program\Delade filer\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program\Panda Software\Panda Platinum 2006 Internet Security\pavsrv51.exe

O23 - Service: Panda Antispam Engine (pmshellsrv) - Panda Software International - C:\Program\Panda Software\Panda Platinum 2006 Internet Security\AntiSpam\pskmssvc.exe

O23 - Service: Panda Network Manager (PNMSRV) - Panda Software - c:\program\panda software\panda platinum 2006 internet security\firewall\PNMSRV.EXE

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Program\Panda Software\Panda Platinum 2006 Internet Security\PsImSvc.exe

O23 - Service: Windows Firewall/Internet Connection Sharing (ICS) (SharedAccess) - Unknown owner - C:\WINDOWS\C:\WINDOWS\System32\svchost.exe (file missing)

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: Panda TPSrv (TPSrv) - Panda Software - C:\Program\Panda Software\Panda Platinum 2006 Internet Security\TPSrv.exe[/log]

 

[Cecilia]

Gå till http://www.virustotal.com/ klistra in ett av följande filnamn, tryck på Send och vänta tills resultatet är klart (Status blir Finished). Klistra in resultatet (inkl. filstorlek) här. Upprepa med nästa filnamn.

C:\WINDOWS\system32\scvhost.exe

C:\WINDOWS\system32\urqomnm.exe

C:\WINDOWS\system32\winwil32.exe

C:\DOCUME~1\JJ\LOKALA~1\Temp\dnlsvc.exe

 

När du har klistrat in ett resultat så markerar (målar) du det och så trycker du på LOG-knappen på samma rad som i Besvara-fönstret.

 

[Drullen]

[log]STATUS: FINISHED Complete scanning result of "scvhost.exe", received in VirusTotal at 11.02.2006, 18:37:46 (CET).

 

Antivirus Version Update Result

AntiVir 7.2.0.37 11.02.2006 BDS/Ciadoor.13.839

Authentium 4.93.8 11.02.2006 Possibly a new variant of W32/VB-EMU:VB-Dropper-based!Maximus

Avast 4.7.892.0 11.02.2006 Win32:Ciadoor-021

AVG 386 11.02.2006 Dropper.Small.14.AG

BitDefender 7.2 11.01.2006 Backdoor.Ciadoor.13

CAT-QuickHeal 8.00 11.02.2006 no virus found

ClamAV devel-20060426 11.02.2006 Trojan.Ciadoor.13.I

DrWeb 4.33 11.02.2006 Trojan.KeyLogger.88

eTrust-InoculateIT 23.73.43 11.02.2006 no virus found

eTrust-Vet 30.3.3174 11.02.2006 no virus found

Ewido 4.0 11.02.2006 Backdoor.Ciadoor.13

Fortinet 2.82.0.0 11.02.2006 W32/Ciadoor.V13!tr.bdr

F-Prot 3.16f 11.01.2006 Possibly a new variant of W32/VB-EMU:VB-Dropper-based!Maximus

F-Prot4 4.2.1.29 11.02.2006 W32/VB-EMU:VB-Dropper-based!Maximus

Ikarus 0.2.65.0 11.02.2006 Backdoor.Win32.Ciadoor.13

Kaspersky 4.0.2.24 11.02.2006 Backdoor.Win32.Ciadoor.13

McAfee 4886 11.01.2006 BackDoor-ASB.gen

Microsoft 1.1609 11.02.2006 Backdoor:Win32/Ciadoor.C

NOD32v2 1.1849 11.02.2006 a variant of Win32/Ciadoor.13

Norman 5.80.02 11.02.2006 W32/Ciadoor.BHV

Panda 9.0.0.4 11.02.2006 Suspicious file

Sophos 4.10.0 10.26.2006 Troj/Ciadoor-K

TheHacker 6.0.1.111 11.02.2006 Trojan/Ciadoor.gen

UNA 1.83 11.01.2006 Backdoor.Ciadoor.13.DC0E

VBA32 3.11.1 11.01.2006 Backdoor.Win32.Ciadoor.13

VirusBuster 4.3.15:9 11.02.2006 Backdoor.Ciadoor.AH

 

 

Aditional Information

File size: 186582 bytes

MD5: 341363497edf75f954f631cbf0eb903a

SHA1: dc6406f7629198d71c366d2c2299c722848853db [/log]

 

 

[log]STATUS: FINISHED Complete scanning result of "urqomnm.exe", received in VirusTotal at 11.02.2006, 18:45:46 (CET).

 

Antivirus Version Update Result

AntiVir 7.2.0.37 11.02.2006 no virus found

Authentium 4.93.8 11.02.2006 no virus found

Avast 4.7.892.0 11.02.2006 no virus found

AVG 386 11.02.2006 no virus found

BitDefender 7.2 11.01.2006 no virus found

CAT-QuickHeal 8.00 11.02.2006 no virus found

ClamAV devel-20060426 11.02.2006 no virus found

DrWeb 4.33 11.02.2006 no virus found

eTrust-InoculateIT 23.73.43 11.02.2006 no virus found

eTrust-Vet 30.3.3174 11.02.2006 no virus found

Ewido 4.0 11.02.2006 no virus found

Fortinet 2.82.0.0 11.02.2006 no virus found

F-Prot 3.16f 11.01.2006 no virus found

F-Prot4 4.2.1.29 11.02.2006 no virus found

Ikarus 0.2.65.0 11.02.2006 no virus found

Kaspersky 4.0.2.24 11.02.2006 no virus found

McAfee 4886 11.01.2006 no virus found

Microsoft 1.1609 11.02.2006 no virus found

NOD32v2 1.1849 11.02.2006 no virus found

Norman 5.80.02 11.02.2006 no virus found

Panda 9.0.0.4 11.02.2006 no virus found

Sophos 4.10.0 10.26.2006 no virus found

TheHacker 6.0.1.111 11.02.2006 no virus found

UNA 1.83 11.01.2006 no virus found

VBA32 3.11.1 11.01.2006 no virus found

VirusBuster 4.3.15:9 11.02.2006 no virus found

 

 

Aditional Information

File size: 0 bytes

MD5: d41d8cd98f00b204e9800998ecf8427e

SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 [/log]

 

 

[log]STATUS: FINISHED Complete scanning result of "winwil32.exe", received in VirusTotal at 11.02.2006, 19:03:16 (CET).

 

Antivirus Version Update Result

AntiVir 7.2.0.37 11.02.2006 no virus found

Authentium 4.93.8 11.02.2006 no virus found

Avast 4.7.892.0 11.02.2006 no virus found

AVG 386 11.02.2006 no virus found

BitDefender 7.2 11.02.2006 no virus found

CAT-QuickHeal 8.00 11.02.2006 no virus found

ClamAV devel-20060426 11.02.2006 no virus found

DrWeb 4.33 11.02.2006 no virus found

eTrust-InoculateIT 23.73.43 11.02.2006 no virus found

eTrust-Vet 30.3.3174 11.02.2006 no virus found

Ewido 4.0 11.02.2006 no virus found

Fortinet 2.82.0.0 11.02.2006 no virus found

F-Prot 3.16f 11.01.2006 no virus found

F-Prot4 4.2.1.29 11.02.2006 no virus found

Ikarus 0.2.65.0 11.02.2006 no virus found

Kaspersky 4.0.2.24 11.02.2006 no virus found

McAfee 4886 11.01.2006 no virus found

Microsoft 1.1609 11.02.2006 no virus found

NOD32v2 1.1849 11.02.2006 no virus found

Norman 5.80.02 11.02.2006 no virus found

Panda 9.0.0.4 11.02.2006 no virus found

Sophos 4.10.0 10.26.2006 no virus found

TheHacker 6.0.1.111 11.02.2006 no virus found

UNA 1.83 11.02.2006 no virus found

VBA32 3.11.1 11.01.2006 no virus found

VirusBuster 4.3.15:9 11.02.2006 no virus found

 

 

Aditional Information

File size: 0 bytes

MD5: d41d8cd98f00b204e9800998ecf8427e

SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709[/log]

 

 

[log]STATUS: FINISHED Complete scanning result of "dnlsvc.exe", received in VirusTotal at 11.02.2006, 19:06:12 (CET).

 

Antivirus Version Update Result

AntiVir 7.2.0.37 11.02.2006 no virus found

Authentium 4.93.8 11.02.2006 no virus found

Avast 4.7.892.0 11.02.2006 no virus found

AVG 386 11.02.2006 no virus found

BitDefender 7.2 11.02.2006 no virus found

CAT-QuickHeal 8.00 11.02.2006 no virus found

ClamAV devel-20060426 11.02.2006 no virus found

DrWeb 4.33 11.02.2006 no virus found

eTrust-InoculateIT 23.73.43 11.02.2006 no virus found

eTrust-Vet 30.3.3174 11.02.2006 no virus found

Ewido 4.0 11.02.2006 no virus found

Fortinet 2.82.0.0 11.02.2006 no virus found

F-Prot 3.16f 11.01.2006 no virus found

F-Prot4 4.2.1.29 11.02.2006 no virus found

Ikarus 0.2.65.0 11.02.2006 no virus found

Kaspersky 4.0.2.24 11.02.2006 no virus found

McAfee 4886 11.01.2006 no virus found

Microsoft 1.1609 11.02.2006 no virus found

NOD32v2 1.1849 11.02.2006 no virus found

Norman 5.80.02 11.02.2006 no virus found

Panda 9.0.0.4 11.02.2006 no virus found

Sophos 4.10.0 10.26.2006 no virus found

TheHacker 6.0.1.111 11.02.2006 no virus found

UNA 1.83 11.02.2006 no virus found

VBA32 3.11.1 11.01.2006 no virus found

VirusBuster 4.3.15:9 11.02.2006 no virus found

 

 

Aditional Information

File size: 0 bytes

MD5: d41d8cd98f00b204e9800998ecf8427e

SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709 [/log]

 

 

Sådär tror ja.. =)

 

[Cecilia]

Har brandväggen i Panda frågat om konstiga program ska få använda internet? Har du råkat tillåta något program?

Hur länge sedan är det sedan dessa problem började?

 

Ladda ner F-Secures Blacklight till Skrivbordet:

http://www.f-secure.com/blacklight/try_blacklight.html

Skanna datorn med programmet.

När det är klart så skapas en loggfil på Skrivbordet, klistra in den här.

 

Ladda ner ComboFix:

http://download.bleepingcomputer.com/sUBs/combofix.exe

 

Kör den och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på Combofix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp klistra in den här, samt en ny HijackThis-logg.

 

Skanna igenom datorn med Panda och spara resultatet och klistra in det här också. Gör gärna detta i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Så håller vi tummarna för att datorn inte har drabbats av allt för mycket mycket illasinnade saker.