msn-viruset

[Daniella88]

[log]Logfile of HijackThis v1.99.1

Scan saved at 22:55:42, on 2006-12-08

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\devldr32.exe

C:\WINDOWS\System32\svchost.exe

c:\windows\explorer.exe

c:\windows\rundll32.exe

c:\windows\system32\IEXPLORE.EXE

C:\Program\Messenger\msmsgs.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\Program\MSN Messenger\msrr.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\svchost.exe

c:\windows\system32\explorer.exe

c:\egnt.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Delade filer\{3080FE7A-07E1-1053-0209-02010702002e}\Update.exe

C:\WINDOWS\System32\services.exe

C:\Documents and Settings\Administratör\Lokala inställningar\Temp\Temporär katalog 1 för hijackthis.zip\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://sw4.hpwis.com/'>http://sw4.hpwis.com/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://sw4.hpwis.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit32.exe,

O1 - Hosts: 222.89.98.219 www.wo365.com

O1 - Hosts: 222.89.98.219 cmfu.com

O1 - Hosts: 222.89.98.219 www.cmfu.com

O1 - Hosts: 222.89.98.219 9i0.com

O1 - Hosts: 222.89.98.219 www.9flash.com

O1 - Hosts: 222.89.98.219 9flash.com

O1 - Hosts: 222.89.98.219 www.nowok.net

O1 - Hosts: 222.89.98.219 nowok.net

O1 - Hosts: 222.89.98.219 wisa.com.cn

O1 - Hosts: 222.89.98.219 www.sia.com.cn

O1 - Hosts: 222.89.98.219 www.wisa.cn

O1 - Hosts: 222.89.98.219 wisa.cn

O1 - Hosts: 222.89.98.219 www.zhao99.com

O1 - Hosts: 222.89.98.219 zhao99.com

O1 - Hosts: 222.89.98.219 www.wo123.com

O1 - Hosts: 222.89.98.219 wo123.com

O1 - Hosts: 222.89.98.219 wo99.com

O1 - Hosts: 222.89.98.219 www.wo99.com

O1 - Hosts: 222.89.98.219 www.page.com.cn

O1 - Hosts: 222.89.98.219 page.com.cn

O1 - Hosts: 222.89.98.219 www.432.cn

O1 - Hosts: 222.89.98.219 432.cn

O1 - Hosts: 222.89.98.219 wysw.com

O1 - Hosts: 222.89.98.219 14.com.cn

O1 - Hosts: 222.89.98.219 www.14.com.cn

O1 - Hosts: 222.89.98.219 cnww.net

O1 - Hosts: 222.89.98.219 www.mv99.com

O1 - Hosts: 222.89.98.219 mv99.com

O1 - Hosts: 222.89.98.219 www.youav.com

O1 - Hosts: 222.89.98.219 www.mtvav.com

O1 - Hosts: 222.89.98.219 www.98983.com

O1 - Hosts: 222.89.98.219 98983.com

O1 - Hosts: 222.89.98.219 www.114.com.cn

O1 - Hosts: 222.89.98.219 114.com.cn

O1 - Hosts: 222.89.98.219 www.net114.com

O1 - Hosts: 222.89.98.219 www.skywz.com

O1 - Hosts: 222.89.98.219 skywz.com

O1 - Hosts: 222.89.98.219 www.hao6.com

O1 - Hosts: 222.89.98.219 hao6.com

O1 - Hosts: 222.89.98.219 www.678a.com

O1 - Hosts: 222.89.98.219 678a.com

O1 - Hosts: 222.89.98.219 www.7510.com

O1 - Hosts: 222.89.98.219 7510.com

O1 - Hosts: 222.89.98.219 www.zzkan.com

O1 - Hosts: 222.89.98.219 zzkan.com

O1 - Hosts: 222.89.98.219 www.ca183.com

O1 - Hosts: 222.89.98.219 ca183.com

O1 - Hosts: 222.89.98.219 3tom.com

O1 - Hosts: 222.89.98.219 www.yhjm.com

O1 - Hosts: 222.89.98.219 yhjm.com

O1 - Hosts: 222.89.98.219 www.k369.com

O1 - Hosts: 222.89.98.219 www.xxwww.com

O1 - Hosts: 222.89.98.219 xxwww.com

O1 - Hosts: 222.89.98.219 www.fm1000.net

O1 - Hosts: 222.89.98.219 fm1000.net

O1 - Hosts: 222.89.98.219 www.ok135.com

O1 - Hosts: 222.89.98.219 ok135.com

O1 - Hosts: 222.89.98.219 www.link999.com

O1 - Hosts: 222.89.98.219 link999.com

O1 - Hosts: 222.89.98.219 www.001wz.com

O1 - Hosts: 222.89.98.219 001wz.com

O1 - Hosts: 222.89.98.219 www.7t7t.com

O1 - Hosts: 222.89.98.219 7t7t.com

O1 - Hosts: 222.89.98.219 www.7k7k.com

O1 - Hosts: 222.89.98.219 7k7k.com

O1 - Hosts: 222.89.98.219 www.webcool.net

O1 - Hosts: 222.89.98.219 webcool.net

O1 - Hosts: 222.89.98.219 www.51sobu.com

O1 - Hosts: 222.89.98.219 51sobu.com

O1 - Hosts: 222.89.98.219 cy.51sobu.com

O1 - Hosts: 222.89.98.219 www.fj3721.com

O1 - Hosts: 222.89.98.219 fj3721.com

O1 - Hosts: 222.89.98.219 www.msncn.com

O1 - Hosts: 222.89.98.219 msncn.com

O1 - Hosts: 222.89.98.219 www.6235.com

O1 - Hosts: 222.89.98.219 6235.com

O1 - Hosts: 222.89.98.219 www.8goo.com

O1 - Hosts: 222.89.98.219 8goo.com

O1 - Hosts: 222.89.98.219 www.baimin.com

O1 - Hosts: 222.89.98.219 baimin.com

O1 - Hosts: 222.89.98.219 www.bwwz.com

O1 - Hosts: 222.89.98.219 bwwz.com

O1 - Hosts: 222.89.98.219 www.howow.net

O1 - Hosts: 222.89.98.219 howow.net

O1 - Hosts: 222.89.98.219 www.tongchi.com

O1 - Hosts: 222.89.98.219 tongchi.com

O1 - Hosts: 222.89.98.219 www.65658.com

O1 - Hosts: 222.89.98.219 65658.com

O1 - Hosts: 222.89.98.219 www.7o7o.com

O1 - Hosts: 222.89.98.219 7o7o.com

O1 - Hosts: 222.89.98.219 5126.net

O1 - Hosts: 222.89.98.219 www.5126.net

O1 - Hosts: 222.89.98.219 www.wangzhiku.com

O1 - Hosts: 222.89.98.219 wangzhiku.com

O1 - Hosts: 222.89.98.219 www.soyeah.com

O1 - Hosts: 222.89.98.219 soyeah.com

O1 - Hosts: 222.89.98.219 www.sowang.cn

O1 - Hosts: 222.89.98.219 sowang.cn

O1 - Hosts: 222.89.98.219 www.77177.com

O1 - Hosts: 222.89.98.219 77177.com

O1 - Hosts: 222.89.98.219 www.look8.net

O2 - BHO: (no name) - {00000026-8735-428D-B81F-DD098223B25F} - (no file)

O2 - BHO: (no name) - {00D6A7E7-4A97-456f-848A-3B75BF7554D7} - (no file)

O2 - BHO: myBar BHO - {0494D0D1-F8E0-41ad-92A3-14154ECE70AC} - C:\Program\MyWay\myBar\1.bin\MYBAR.DLL

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {14D1A72D-8705-11D8-B120-0040F46CB696} - (no file)

O2 - BHO: (no name) - {4277D582-3F47-64B5-17E1-4491F0D38794} - (no file)

O2 - BHO: SafeGuard Protect PCShield - {564FFB73-9EEF-4969-92FA-5FC4A92E2C2A} - (no file)

O2 - BHO: (no name) - {59879FA4-4790-461c-A1CC-4EC4DE4CA483} - (no file)

O2 - BHO: (no name) - {87766247-311C-43B4-8499-3D5FEC94A183} - C:\Program\DELADE~1\WinTools\WToolsB.dll

O2 - BHO: (no name) - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - (no file)

O2 - BHO: (no name) - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

O2 - BHO: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)

O2 - BHO: (no name) - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - (no file)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: &SearchBar - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - C:\Program\MyWay\myBar\1.bin\MYBAR.DLL

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\01.02.5000.1021\en-us\msntb.dll

O3 - Toolbar: (no name) - {339BB23F-A864-48C0-A59F-29EA915965EC} - (no file)

O3 - Toolbar: (no name) - {C004DEC2-2623-438e-9CA2-C9043AB28508} - (no file)

O3 - Toolbar: (no name) - {C1B4DEC2-2623-438e-9CA2-C9043AB28508} - (no file)

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [s3TRAY2] S3tray2.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [DeskMateAutoUpdate] C:\Program\DESKMA~1\DeskMateAutoUpdate.exe

O4 - HKLM\..\Run: [Cryptographic Service] C:\WINDOWS\System32\ydcbwa.exe

O4 - HKLM\..\Run: [WinTools] C:\Program\DELADE~1\WinTools\WToolsA.exe

O4 - HKLM\..\Run: [TBPS] C:\Program\Toolbar\TBPS.exe

O4 - HKLM\..\Run: [searchUpgrader] C:\Program\Common files\SearchUpgrader\SearchUpgrader.exe

O4 - HKLM\..\Run: [MMSystem] c:\windows\rundll32.exe "c:\windows\system32\mmsystem.dll"", RunDll32

O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\System32\sfg_0a60.dll"

O4 - HKLM\..\Run: [semanticInsight] C:\Program\RXToolBar\Semantic Insight\SemanticInsight.exe

O4 - HKLM\..\Run: [msnappau] "C:\Program\MSN Apps\Updater\01.02.0002.1001\en-us\msnappau.exe"

O4 - HKLM\..\Run: [explorer] C:\Documents and Settings\Ägaren\Skrivbord\winstall.exe

O4 - HKLM\..\Run: [ipWins] C:\Program\ipwins\ipwins.exe

O4 - HKLM\..\Run: [WINDOWS] c:\egnt.exe

O4 - HKLM\..\Run: [7v3j] C:\WINDOWS\System32\z1399.exe gdtgh

O4 - HKLM\..\Run: [xp_system] C:\WINDOWS\inet20000\services.exe

O4 - HKLM\..\Run: [system] C:\WINDOWS\System32\kernels1118.exe

O4 - HKLM\..\Run: [sysvx] C:\WINDOWS\sysvx_.exe

O4 - HKLM\..\Run: [Nord] C:\WINDOWS\System32\nordsys.exe

O4 - HKLM\..\Run: [ControlPanel] C:\WINDOWS\System32\cmd32.exe internat.dll,LoadKeyboardProfile

O4 - HKLM\..\Run: [svcManager] windows2k6.exe

O4 - HKLM\..\Run: [Microsoft WPCEmail] C:\WINDOWS\inet20000\svchost.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MMSystem] c:\windows\rundll32.exe "c:\windows\system32\mmsystem.dll"", RunDll32

O4 - HKCU\..\Run: [msnmsgr] "C:\Program\MSN Messenger\msrr.exe" /background

O4 - HKCU\..\Run: [WinMedia] c:\gcue1176859.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O16 - DPF: {0C293327-A9C1-2DDA-EF5F-1F9C5C2480C0} - http://85.255.114.166/1/rdgSE2650.exe

O16 - DPF: {1D4DB7D2-6EC9-47A3-BD87-1E41684E07BB} - http://imgfarm.com/images/nocache/funwebproducts/ei/SmileyCentralInitialSetup1.0.0.8.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab27571.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab27571.cab

O16 - DPF: {E055C02E-6258-40FF-80A7-3BDA52FACAD7} - http://activex.matcash.com/speedtest2.dll

O16 - DPF: {F00F4763-7355-4725-82F7-0DA94A256D46} (IMDownloader Class) - http://www2.incredimail.com/contents/setup/downloader/imloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{0E99C133-40F6-4F6D-A7E1-EC6D10F0B21D}: NameServer = 150.61.25.41

O17 - HKLM\System\CCS\Services\Tcpip\..\{6EB64716-EC66-4A6E-B3A5-F2E329693C99}: NameServer = 150.61.25.41

O17 - HKLM\System\CCS\Services\Tcpip\..\{B74903E0-D32C-440E-86A6-0EB02E5D48A1}: NameServer = 150.61.25.41

O17 - HKLM\System\CS1\Services\Tcpip\..\{0E99C133-40F6-4F6D-A7E1-EC6D10F0B21D}: NameServer = 150.61.25.41

O17 - HKLM\System\CS2\Services\Tcpip\..\{0E99C133-40F6-4F6D-A7E1-EC6D10F0B21D}: NameServer = 150.61.25.41

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\Program\MSNMES~1\msgrapp.dll" (file missing)

O18 - Filter: text/html - {2AB289AE-4B90-4281-B2AE-1F4BB034B647} - (no file)

O20 - Winlogon Notify: rpcc - C:\WINDOWS\System32\rpcc.dll

O21 - SSODL: Web Event Logger - {79FEACFF-FFCE-815E-A900-316290B5B738} - C:\WINDOWS\System32\Nfefic32.dll (file missing)

O21 - SSODL: DCOM Server 2236 - {2C1CD3D7-86AC-4068-93BC-A02304BB2236} - (no file)

O21 - SSODL: CDRecorder026 - {A3BC5E20-0235-1ABF-9CE1-00AA00512026} - (no file)

O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Program\F-Secure\BackWeb\7681197\Program\fsbwlan.exe

O23 - Service: Microsoft authenticate service (MsaSvc) - Unknown owner - C:\WINDOWS\System32\msasvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: Remote_Procedure_Call (svchost) - Unknown owner - %windir%\system32\svchost.cmd (file missing)

 

[/log]

 

[Daniella88]

Ursäkta det fattiga första inlägget, men min dator är så infekterad så allt jag försökte skriva försvann.

 

Datorn startar om sig så fort jag kommer in i windows, en kompis hjälpte mig att komma in i felsäkert läge med nätverk, annars startar datorn om sig.

 

 

[Cecilia]

Inte bara MSN-virus i den datorn, det är en kraftigt infekterad dator med olika otrevligheter. Tyvärr vad man får räkna med om man inte har installerat något Service Pack till XP.

 

Själva MSN-programmet kan vara infekterat, så det bör avinstalleras och installeras först när datorn är ren.

 

Håll också internetanslutningen urdragen så mycket som möjligt.

 

Kontrollpanelen - Lägg till eller ta bort program

Ta bort följande om de finns där:

MSN Messenger

WinTools någonting

DeskMate

BargainBuddy

HuntBar

SearchUpgrader

PCShield

SafeguardProtect

Veevo

RXToolbar

SemanticInsight

MyWay

SearchBar

MyBar

 

Ladda ner http://www.mvps.org/winhelp2002/hosts.zip till Skrivbordet.

Packa upp filen. En ny mapp Hosts skapas på Skrivbordet.

Dubbelklicka på mappen för att öppna den.

Dubbelklicka på filen mvps.bat för att starta programmet.

Detta program kommer att byta ut datorns Hosts-fil så att PurityScan-otrevligheten förhindras komma i kontakt med sin skapare. Det kommer också förhindra att du kan besöka sidor som är ökända för att installera otrevligheter på datorn. Du kan läsa mer om det här:

http://www.mvps.org/winhelp2002/hosts.htm

 

Ladda hem och installera gratisversionen av SUPERAntiSpyware Free Edition:

http://www.superantispyware.com/download.html

Starta programmet, klicka på Check for updates.

Avsluta programmet när uppdateringen är klar.

 

Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Starta SUPERAntiSpyware och klicka på Scan your Computer.

Bocka för alla hårddiskar (fixed drive/disk).

Välj Perform complete scan

Nästa/Next

 

När skanningen är klar som kommer det upp en sammanfattning, tryck på OK

Nästa/Next

Utför eller liknande

Ett fönster med Quarantine and removal Complete kommer upp

OK

Utför eller liknande

Avsluta programmet.

 

Starta om i normalt läge om möjligt.

 

Starta programmet, tryck på Preferences, välj filken Statistics/Logs

Dubbelklicka på den nyaste SUPERAntiSpyware Scan Log så att loggen kommer upp i Anteckningar.

Klistra in loggen i ditt svar samt en ny HijackThis-logg.

 

Det är viktigt att när du har klistrat in en logg, markerar (målar) den och trycker på LOG-knappen som finns i Besvara-fönstret på samma rad som .

 

[Daniella88]

Har laddat ner superantispyware och försökt köra programmet men det går ju inte när datan är i felsäkert läge...

Hur gör jag då?

 

Mvh Daniella

 

[Cecilia]

Jag är ledsen men i detta fall med en så kraftigt infekterad dator så skulle jag rekommendera en formatering av datorn och en nyinstallation av Windows.