hijackthis-log

[lizzy_lini]

Kan ni kolla denna log. En bekant som fått något.

[log]Logfile of HijackThis v1.99.1

Scan saved at 21:19:45, on 2006-12-13

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Delade filer\Symantec Shared\ccProxy.exe

C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

C:\Program\Norton Internet Security\ISSVC.exe

C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

C:\Program\Delade filer\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Program\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\Program\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\Program\Telia\Supportassistent\bin\tgcmd.exe

C:\Program\QuickTime\qttask.exe

C:\Program\Winamp\winampa.exe

C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Messenger\msmsgs.exe

C:\Program\Delade filer\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Delade filer\Symantec Shared\NMAIN.EXE

C:\Program\Outlook Express\msimn.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Delade filer\Symantec Shared\AdBlocking\NSMdtr.exe

C:\Program\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startsidan.telia.se/

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: CvgraphObj Object - {12355F3E-90C3-41AA-8705-15969AF7F210} - C:\WINDOWS\vgraph.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Norton Internet Security - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program\Delade filer\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton Internet Security - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program\Delade filer\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [RemoteControl] C:\Program\CyberLink\PowerDVD\PDVDServ.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\Program\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [tgcmd] "C:\Program\Telia\Supportassistent\bin\tgcmd.exe" /server /startmonitor /deaf

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Reader 8.0\Reader\reader_sl.exe

O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1160132579484

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1160132727781

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Automatisk LiveUpdate-schemaläggare - Symantec Corporation - C:\Program\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - C:\Program\Norton Internet Security\ISSVC.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Program\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Norton AntiVirus Auto Protect-tjänst (navapsvc) - Symantec Corporation - C:\Program\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program\DELADE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec Core LC - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

 

[/log]

[inlägget ändrat 2006-12-13 21:36:37 av lizzy_lini]

[Cecilia]

Skanna med HijackThis och bocka för:

 

O2 - BHO: CvgraphObj Object - {12355F3E-90C3-41AA-8705-15969AF7F210} - C:\WINDOWS\vgraph.dll

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -

 

Avsluta alla andra program.

Tryck Fix checked.

 

Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

 

Ta bort filerna (om de finns kvar):

C:\WINDOWS\vgraph.dll

 

Starta om i normalt läge och kontrollera att raden är borta ur en ny HijackThis-logg. Mår datorn bättre nu?

 

[lizzy_lini]

Ska göra det ikväll. Är det något allvarligt det som är på datorn?

 

[Cecilia]

Ska tydligen vara en variant på det här:

http://www.symantec.com/security_response/writeup.jsp?docid=2005-102111-4150-99

så inget som stjäl lösenord eller så, utan någon annan tjänar pengar genom att styra om en del webbadresser.

 

[lizzy_lini]

Än en gång imponerad över ditt snabba svar.

Har prövat posta i andra trådar, där man ofta inte får svar. Men det har aldrig hänt i dina. Du är guld värd!!! :)

 

[Cecilia]

Tack så mycket, för poäng och annat! :)

 

Jag har väl sett ca 3 loggar senaste månaden med samma rad, så då är det ju enkelt.

 

[lizzy_lini]

Visserligen... men det gäller ju inte bara mina loggar;)

 

[lizzy_lini]

Har följt dina anvisningar och raderna är borta från loggen. Scannade med AVG Anti-spyware.

Hittade lite. Du får kolla om det är något.

[log]---------------------------------------------------------

AVG Anti-Spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 20:12:22 2006-12-14

 

+ Scan result:

 

 

 

C:\Program Files\Altnet\Download Manager\adm25.dll -> Adware.Altnet : No action taken.

C:\Program Files\Altnet\Download Manager\adm4.dll -> Adware.Altnet : No action taken.

C:\Program Files\Altnet\Download Manager\adm4005.exe -> Adware.Altnet : No action taken.

C:\Program Files\Altnet\Download Manager\admdloader.dll -> Adware.Altnet : No action taken.

C:\Program Files\Altnet\Download Manager\admfdi.dll -> Adware.Altnet : No action taken.

C:\Program Files\Altnet\Download Manager\admprog.dll -> Adware.Altnet : No action taken.

C:\System Volume Information\_restore{484BB966-6F55-4B7B-82FD-3A8D6CF8985E}\RP25\A0012180.DLL -> Adware.IESearch : No action taken.

C:\System Volume Information\_restore{484BB966-6F55-4B7B-82FD-3A8D6CF8985E}\RP25\A0012196.dll -> Adware.IESearch : No action taken.

C:\WINDOWS\system32\P2P Networking v126.cpl -> Adware.P2PNet : No action taken.

C:\Program\RXToolBar -> Adware.RXToolbar : No action taken.

C:\Program\Hijackthis\backups\backup-20061214-191544-219.dll -> Adware.Webdir : No action taken.

C:\System Volume Information\_restore{484BB966-6F55-4B7B-82FD-3A8D6CF8985E}\RP20\A0010033.dll -> Adware.Webdir : No action taken.

C:\System Volume Information\_restore{484BB966-6F55-4B7B-82FD-3A8D6CF8985E}\RP29\A0012402.dll -> Adware.Webdir : No action taken.

HKU\S-1-5-21-1220945662-1979792683-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{12355F3E-90C3-41AA-8705-15969AF7F210} -> Adware.Webdir : No action taken.

HKU\S-1-5-21-1220945662-1979792683-1801674531-1004\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{12355F3E-90C3-41AA-8705-15969AF7F210} -> Adware.Webdir : No action taken.

C:\Documents and Settings\Hemma\Cookies\hemma@adtech[2].txt -> TrackingCookie.Adtech : No action taken.

C:\Documents and Settings\Andreas\Cookies\andreas@need2find[2].txt -> TrackingCookie.Need2find : No action taken.

C:\Documents and Settings\Andreas\Cookies\andreas@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : No action taken.

 

 

::Report end

 

[/log]

 

[Cecilia]

Låt AVG Anti-Spyware ta bort det den hittade.

Ta sedan bort mappen C:\Program Files\Altnet

 

 

[lizzy_lini]

Det lustiga är att jag deletade nästan allt den inte hittade. Det var några som jag la i karantän. Med no action, menas det att de inte tagits bort eller??

Hur tar jag då bort dem? I felsäkert eller?

 

 

 

Ooops!!! Deletade allt den inte hittade..... Blev lite fel, börjar nog bli trött!!

 

[inlägget ändrat 2006-12-14 23:26:49 av lizzy_lini]

[Cecilia]

Jojo det är inte rätt tid på dygnet för sådant här egentligen.

 

Med no action, menas det att de inte tagits bort eller??

Just det

 

Hur tar jag då bort dem? I felsäkert eller?

Felsäkert är bäst och så ska man ställa in att saker som hittas ska stoppas i karantän, se här:

http://rstones12.geekstogo.com/ewidosetup.htm punkt 5