sundhs Postad 12 januari, 2007 Share Postad 12 januari, 2007 hejsan! som många andra har jag drabbats av trojanen w.32.myzor.fk@yf jag med. Har följt dina superba råd om hur man tar bort dessa. Och nu verkar datorn funka bättre. Den är fortfarande lite seg -å då tänkte jag att du kanske ville kolla på mina loggor å se så att allt står rätt till. Det var nämligen så att i samband med den första trojanen så kom det popups om att jag hade andra trojaner med. Så jag vore jätte-tacksam om du ville hjälpa mej med detta. HIJ-log [log]Logfile of HijackThis v1.99.1 Scan saved at 00:45:58, on 2007-01-12 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\csrss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program\Intel\Wireless\Bin\EvtEng.exe C:\Program\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Program\Grisoft\AVG Anti-Spyware 7.5\guard.exe C:\Program\IVT Corporation\BlueSoleil\BTNtService.exe C:\WINDOWS\system32\inetsrv\inetinfo.exe C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe C:\Program\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe C:\Program\Eset\nod32krn.exe C:\WINDOWS\system32\nvsvc32.exe C:\Program\Intel\Wireless\Bin\OProtSvc.exe C:\Program\Intel\Wireless\Bin\ZcfgSvc.exe C:\Program\Intel\Wireless\Bin\RegSrvc.exe C:\Program\Spyware Doctor\sdhelp.exe C:\Program\Intel\Wireless\Bin\1XConfig.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\wdfmgr.exe C:\WINDOWS\system32\WgaTray.exe C:\WINDOWS\Explorer.EXE C:\Program\Eset\nod32kui.exe C:\Program\Intel\Wireless\Bin\ifrmewrk.exe C:\Program\Intel\Wireless\Bin\EOUWiz.exe C:\WINDOWS\sm56hlpr.exe C:\Program\Synaptics\SynTP\SynTPLpr.exe C:\Program\Synaptics\SynTP\SynTPEnh.exe C:\Program\Quick Launch Button\QLButton.exe C:\Program\Java\jre1.5.0_06\bin\jusched.exe C:\WINDOWS\BisonCam\BisonMnt.exe C:\Program\LifeView TVR\Remote.exe C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe C:\Program\QuickTime\qttask.exe C:\Program\iTunes\iTunesHelper.exe C:\Program\Delade filer\Real\Update_OB\realsched.exe C:\Program\Pinnacle\Shared Files\Programs\USBTip\USBTip.exe C:\WINDOWS\system32\RunDLL32.exe C:\Program\Delade filer\Real\Update_OB\rnathchk.exe C:\Program\ScanSoft\OmniPageSE4.0\OpwareSE4.exe C:\Program\Grisoft\AVG Anti-Spyware 7.5\avgas.exe C:\WINDOWS\system32\ctfmon.exe C:\Program\MSN Messenger\MsnMsgr.Exe C:\Program\Delade filer\Ahead\lib\NMBgMonitor.exe C:\Program\BlazeVideo\BlazeDTV2.1\MediaDetector.exe C:\Program\InterVideo\Common\Bin\WinCinemaMgr.exe C:\WINDOWS\system32\wuauclt.exe C:\Program\iPod\bin\iPodService.exe C:\WINDOWS\System32\alg.exe C:\Program\Huawei technologies\Huawei UMTS Data Card\HUAWEI 3G Data Card.exe C:\Program\Internet Explorer\iexplore.exe C:\totalcmd\TOTALCMD.EXE C:\Program\Hijackthis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aftonbladet.se/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: PCTools Site Guard - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - C:\Program\SPYWAR~1\tools\iesdsg.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - C:\Program\Canon\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar2.dll O2 - BHO: PCTools Browser Monitor - {B56A7D7D-6927-48C8-A975-17DF180C71AC} - C:\Program\SPYWAR~1\tools\iesdpb.dll O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program\google\googletoolbar2.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program\Canon\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [nod32kui] "C:\Program\Eset\nod32kui.exe" /WAITSERVICE O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [intelWireless] C:\Program\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] C:\Program\Intel\Wireless\Bin\EOUWiz.exe O4 - HKLM\..\Run: [sMSERIAL] sm56hlpr.exe O4 - HKLM\..\Run: [synTPLpr] C:\Program\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [QLButton] C:\Program\Quick Launch Button\QLButton.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\jre1.5.0_06\bin\jusched.exe O4 - HKLM\..\Run: [bisonMnt] C:\WINDOWS\BisonCam\BisonMnt.exe O4 - HKLM\..\Run: [Remote] C:\Program\LifeView TVR\Remote.exe O4 - HKLM\..\Run: [RecSche] "C:\Program\LifeView TVR\RecSche.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot O4 - HKLM\..\Run: [uSBToolTip] "C:\Program\Pinnacle\Shared Files\\Programs\USBTip\USBTip.exe" O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe O4 - HKLM\..\Run: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [sSBkgdUpdate] "C:\Program\Delade filer\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot O4 - HKLM\..\Run: [OpwareSE4] "C:\Program\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" O4 - HKLM\..\Run: [WinDVRCtrl] C:\WINDOWS\WDVRCtrl.exe O4 - HKLM\..\Run: [scanRegistry] C:\W O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [CxVoIPUtl] "C:\Program\Corinex\Cx_VoIP_Utility\cxvoiputil_cfg.exe" --Startup O4 - HKCU\..\Run: [lycosInside] C:\Program\lycos\Lyc_SysTray.exe O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program\Delade filer\Ahead\lib\NMBgMonitor.exe" O4 - HKCU\..\Run: [iomega Automatic Backup Pro] "C:\Program\Iomega\Automatic Backup Pro\LiveSystem.exe" -s O4 - HKCU\..\Run: [RealPlayer] "C:\Program\Real\RealOne Player\realplay.exe" /RunUPGToolCommandReBoot O4 - HKCU\..\Run: [blazeServoTool] "C:\Program\BlazeVideo\BlazeDTV2.1\MediaDetector.exe" O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program\InterVideo\Common\Bin\WinCinemaMgr.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000 O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program\Canon\Easy-WebPrint\Toolband.dll/RC_AddToList.html O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program\Canon\Easy-WebPrint\Toolband.dll/RC_HSPrint.html O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program\Canon\Easy-WebPrint\Toolband.dll/RC_Preview.html O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program\Canon\Easy-WebPrint\Toolband.dll/RC_Print.html O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\Program\SPYWAR~1\tools\iesdpb.dll O16 - DPF: {01113300-3E00-11D2-8470-0060089874ED} (Support.com Configuration Class) - http://webkc.support.telia.se/sdccommon/download/tgctlcm.cab O16 - DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} (ewidoOnlineScan Control) - http://downloads.ewido.net/ewidoOnlineScan.cab O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab'>http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab O16 - DPF: {5CBD4B2E-2A33-47B4-A84B-93A9305B3A44} (SimpleSite.SimplePhoto) - http://www.simplesite.com/builder/pages/SimplePhoto.CAB O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab O16 - DPF: {6E5A37BF-FD42-463A-877C-4EB7002E68AE} (Trend Micro ActiveX Scan Agent 6.5) - http://housecall65.trendmicro.com/housecall/applet/html/native/x86/win32/activex/hcImpl.cab O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab O16 - DPF: {E6182DB0-BE70-4EA3-A8FB-D402C6D951D5} (VUploader Control) - http://photofiddle.com/ocx/VUploaderProj1.cab O17 - HKLM\System\CCS\Services\Tcpip\..\{43F3836B-BFD3-422F-99D4-D5E055DBC1BF}: NameServer = 10.0.0.1 10.0.0.2 O20 - Winlogon Notify: IntelWireless - C:\Program\Intel\Wireless\Bin\LgNotify.dll O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program\Grisoft\AVG Anti-Spyware 7.5\guard.exe O23 - Service: BlueSoleil Hid Service - Unknown owner - C:\Program\IVT Corporation\BlueSoleil\BTNtService.exe O23 - Service: EvtEng - Intel Corporation - C:\Program\Intel\Wireless\Bin\EvtEng.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: InstallShield Licensing Service - Macrovision - C:\Program\Delade filer\InstallShield Shared\Service\InstallShield Licensing Service.exe O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program\Eset\nod32krn.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program\Intel\Wireless\Bin\OProtSvc.exe O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - c:\program\pinnacle\shared files\programs\mediaserver\pmshost.exe O23 - Service: RegSrvc - Intel Corporation - C:\Program\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing) O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program\Intel\Wireless\Bin\S24EvMon.exe O23 - Service: PC Tools Spyware Doctor (SDhelper) - PC Tools Research Pty Ltd - C:\Program\Spyware Doctor\sdhelp.exe [/log] och följande är smitfraud-log [log]SmitFraudFix v2.132 Scan done at 0:50:37,93, 2007-01-12 Run from C:\Documents and Settings\Sund\Skrivbord\SmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» C: »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32 »»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Sund »»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Sund\Application Data »»»»»»»»»»»»»»»»»»»»»»»» Start Menu »»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Sund\FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop »»»»»»»»»»»»»»»»»»»»»»»» C:\Program »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32 »»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End [/log] Väldigt tacksam för snabb hjälp!! Länk till kommentar Dela på andra webbplatser More sharing options...
Cecilia Postad 12 januari, 2007 Share Postad 12 januari, 2007 Det är en gammal Java-version med säkerhetshål i datorn. Avinstallera alla Java i Kontrollpanelen - Lägg till eller ta bort program och installera därefter en ny: http://www.java.com/sv/ Jag ser inget otrevligt i loggen, och du verkar ju ha många säkerhetsprogram så det är inte troligt att datorn är infekterad, däremot så kan den mycket väl vara överlastad. Slå upp filnamnen på O4-raderna på http://www.bleepingcomputer.com/startups/ Om det står N eller U i status-kolumnen så läs beskrivningen och avgör om du verkligen tycker att programmet behöver startas jämnt. Om inte så hitta helst en inställning i programmet som stänger av den automatiska starten och i andra hand gå till Start - Kör - msconfig - Autostart och avbocka motsvarande rad. Länk till kommentar Dela på andra webbplatser More sharing options...
sundhs Postad 12 januari, 2007 Trådskapare Share Postad 12 januari, 2007 hej igen! vill först å främst tacka dej för all hjälp - du e guld värd för det du gör! sen... kollade av raden på min 04-rad. finns vissa saker jag inte förstår mej på -typ som inte hittades i förklaringarna å så. QLButton OpwareSE4 ScanRegistry - denna heter konstigt C:\W sen det som gör mej lite halvskraj... i HIJ-loggen heter den: CTFMON.EXE med filnamn ctfmon.exe - enligt listan va detta en form av passwordstealing- trojan från PWSTEAL.RAIDYS men i systemkonfigurationen heter denna: ctfmon med filnamn ctfmon.exe - med andra ord e det normalt Vad tror du om detta? vågar jag ens använda mej av inloggnings-tjänster eller ska jag försöka göra mej av med detta? jag har bockat av denna i systemkonfigen nu - så den e inte igång som autostart iaf. Vad råder du doktor Cecilia? Länk till kommentar Dela på andra webbplatser More sharing options...
Cecilia Postad 13 januari, 2007 Share Postad 13 januari, 2007 O4 - HKLM\..\Run: [QLButton] C:\Program\Quick Launch Button\QLButton.exe Verkar finnas flera program under det namnet. Om du har ett tangentbord med specialtangenter för att starta ett visst program så kan det vara det. Det bästa är om du går till ovanstående mapp, högerklickar på QLButton.exe och väljer Egenskaper, på fliken Version brukar man t ex kunna se vilket företag som programmet kommer ifrån. O4 - HKLM\..\Run: [OpwareSE4] "C:\Program\ScanSoft\OmniPageSE4.0\OpwareSE4.exe" Något som hör ihop med scannern. O4 - HKLM\..\Run: [scanRegistry] C:\W Det verkar ju i alla fall onödig. Skanna med HijackThis och bocka för: O4 - HKLM\..\Run: [scanRegistry] C:\W Avsluta alla andra program. Tryck Fix checked. Starta om datorn. O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe Brukar vara den här i alla fall (raden finns i de allra flesta HijackThis-loggar): http://www.castlecops.com/s795-ctfmon_exe.html Men titta i filens Egenskaper vad det står på Versions-fliken. Länk till kommentar Dela på andra webbplatser More sharing options...
Rekommendera Poster
Arkiverat
Det här ämnet är nu arkiverat och är stängt för ytterligare svar.