W32.Myzor.FK

[dinniz]

Jag har fått något skit på datorn. Min startsida kopplas vidare och jag får meddelande om att jag ´har W32.Myzor.FK på dator.

 

Hijackthis säger så här:

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 09:00:20, on 2007-02-19

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\Program\Delade filer\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Symantec AntiVirus\DefWatch.exe

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program\Symantec AntiVirus\SavRoam.exe

C:\Program\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Internet Security\isamntr.exe

C:\Program\Internet Security\pmsnrr.exe

C:\Program\QuickTime\qttask.exe

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\Program\SYMANT~1\VPTray.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\Winamp\winampa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Internet Security\pmmnt.exe

C:\Program\Internet Security\isamini.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Documents and Settings\daniel.DAMADF04\Skrivbord\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Program\Internet Security\isadd.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\Program\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [uniPrint] C:\Program\UniPrint\Client\SetDfltSettings.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Program\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Documents and Settings\Hemma\Skrivbord\Titan Poker\casino.exe (file missing)

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Documents and Settings\Hemma\Skrivbord\Titan Poker\casino.exe (file missing)

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

O16 - DPF: {33331111-1111-1111-1111-611111193423} -

O16 - DPF: {33331111-1111-1111-1111-611111193429} -

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {33331111-1131-1111-1111-611111193428} -

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = online.rf.se

O17 - HKLM\Software\..\Telephony: DomainName = online.rf.se

O17 - HKLM\System\CCS\Services\Tcpip\..\{CC924E8F-9942-400D-B767-8F9F79A2A7DB}: NameServer = 172.17.15.20,172.17.15.21

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = online.rf.se

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program\Symantec AntiVirus\DefWatch.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Program\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program\Symantec AntiVirus\Rtvscan.exe

[/log]

 

 

[Cecilia]

HijackThis ska ligga i sin egen mapp så att dess säkerhetskopior inte kommer bort. Antingen skapar du en ny mapp och flyttar HijackThis dit eller så installerar du http://www.thespykiller.co.uk/files/HJTsetup.exe i sin egen mapp.

 

Ladda ner programmet SmitfraudFix (by S!Ri) till Skrivbordet:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Högerklicka och extrahera allt innehåll till Skrivbordet. En mapp SmitfraudFix kommer att skapas.

 

Öppna SmitfraudFix-mappen och dubbelklicka på smitfraudfix.cmd.

Välj alternativ #1 - Search genom att trycka på 1 och Enter.

Programmet kommer att skanna igenom datorn.

När den är klart visas resultatet och programmet har skapat loggfilen C:\rapport.txt.

 

Klistra in innehållet i loggfilen i ditt svar här. När du har klistrat in loggen så ska du markera (måla) den och sedan trycka på LOG-knappen som finns på samma rad som i svarsfönstret.

 

Gör inget annat med SmitfraudFix-mappen eller smitfraudfix.cmd.

 

[dinniz]

[log]SmitFraudFix v2.142

 

Scan done at 9:45:02,12, 2007-02-19

Run from C:\Documents and Settings\daniel.DAMADF04\Skrivbord\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in normal mode

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\daniel.DAMADF04

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\daniel.DAMADF04\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\DANIEL~1.DAM\FAVORI~1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Min aktuella startsida"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""[/log]

 

[Cecilia]

Gå till http://www.virustotal.com/ klistra in ett av följande filnamn i rutan, tryck på Send och vänta tills resultatet är klart (Status blir Finished). Klistra in resultatet (inkl. filstorlek) här och kom ihåg LOG-knappen. Upprepa med nästa filnamn.

C:\Program\Internet Security\isamntr.exe

C:\Program\Internet Security\pmsnrr.exe

C:\Program\Internet Security\pmmnt.exe

C:\Program\Internet Security\isamini.exe

 

 

[dinniz]

[log]Antivirus Version Update Result

AntiVir 7.3.1.37 02.19.2007 HEUR/Malware

Authentium 4.93.8 02.16.2007 no virus found

Avast 4.7.936.0 02.19.2007 Win32:Zlob-TZ

AVG 386 02.18.2007 no virus found

BitDefender 7.2 02.19.2007 Trojan.Downloader.Zlob.K

CAT-QuickHeal 9.00 02.19.2007 no virus found

ClamAV devel-20060426 02.19.2007 no virus found

DrWeb 4.33 02.19.2007 STPAGE.Trojan

eSafe 7.0.14.0 02.18.2007 no virus found

eTrust-Vet 30.4.3412 02.19.2007 no virus found

Ewido 4.0 02.18.2007 no virus found

Fortinet 2.85.0.0 02.19.2007 no virus found

F-Prot 4.2.1.29 02.16.2007 no virus found

F-Secure 6.70.13030.0 02.19.2007 no virus found

Ikarus T3.1.0.31 02.19.2007 no virus found

Kaspersky 4.0.2.24 02.19.2007 no virus found

McAfee 4965 02.16.2007 no virus found

Microsoft 1.2204 02.19.2007 TrojanDownloader:Win32/Zlob.gen

NOD32v2 2069 02.18.2007 no virus found

Norman 5.80.02 02.19.2007 no virus found

Panda 9.0.0.4 02.18.2007 Suspicious file

Prevx1 V2 02.19.2007 Generic.Zlob!DL

Sophos 4.14.0 02.19.2007 no virus found

Sunbelt 2.2.907.0 02.17.2007 no virus found

Symantec 10 02.19.2007 no virus found

TheHacker 6.1.6.060 02.19.2007 no virus found

UNA 1.83 02.16.2007 no virus found

VBA32 3.11.2 02.18.2007 MalwareScope.Downloader.Zlob.1

VirusBuster 4.3.19:9 02.18.2007 no virus found

 

 

Aditional Information

File size: 31744 bytes

MD5: 4e6eae8e7e7d78c3328a9390211aeb63

SHA1: 1637d51d58363e9fc82f2f0577cea872dba54360

Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=65fe78225322 [/log]

 

[dinniz]

[log]STATUS: FINISHEDComplete scanning result of "pmsnrr.exe", received in VirusTotal at 02.19.2007, 10:15:16 (CET).

 

Antivirus Version Update Result

AntiVir 7.3.1.37 02.19.2007 no virus found

Authentium 4.93.8 02.16.2007 no virus found

Avast 4.7.936.0 02.19.2007 Win32:Zlob-UR

AVG 386 02.18.2007 no virus found

BitDefender 7.2 02.19.2007 Trojan.Downloader.Zlob.K

CAT-QuickHeal 9.00 02.19.2007 no virus found

ClamAV devel-20060426 02.19.2007 no virus found

DrWeb 4.33 02.19.2007 no virus found

eSafe 7.0.14.0 02.18.2007 no virus found

eTrust-Vet 30.4.3412 02.19.2007 no virus found

Ewido 4.0 02.18.2007 no virus found

Fortinet 2.85.0.0 02.19.2007 suspicious

F-Prot 4.2.1.29 02.16.2007 no virus found

F-Secure 6.70.13030.0 02.19.2007 no virus found

Ikarus T3.1.0.31 02.19.2007 no virus found

Kaspersky 4.0.2.24 02.19.2007 no virus found

McAfee 4965 02.16.2007 no virus found

Microsoft 1.2204 - TrojanDownloader:Win32/Zlob.gen

NOD32v2 2069 02.18.2007 no virus found

Norman 5.80.02 02.19.2007 no virus found

Panda 9.0.0.4 02.18.2007 Suspicious file

Prevx1 V2 02.19.2007 Generic.Zlob!DL

Sophos 4.14.0 02.19.2007 Troj/Zlobmi-Gen

Sunbelt 2.2.907.0 02.17.2007 no virus found

Symantec 10 02.19.2007 no virus found

TheHacker 6.1.6.060 02.19.2007 no virus found

UNA 1.83 02.16.2007 no virus found

VBA32 3.11.2 02.18.2007 no virus found

VirusBuster 4.3.19:9 02.18.2007 no virus found

 

 

Aditional Information

File size: 30720 bytes

MD5: 6a063af4b5009ad7a78b2306a54f58ad [/log]

 

[dinniz]

[log]STATUS: FINISHEDComplete scanning result of "pmmnt.exe", received in VirusTotal at 02.19.2007, 10:27:50 (CET).

 

Antivirus Version Update Result

AntiVir 7.3.1.37 02.19.2007 no virus found

Authentium 4.93.8 02.16.2007 no virus found

Avast 4.7.936.0 02.19.2007 no virus found

AVG 386 02.18.2007 no virus found

BitDefender 7.2 02.19.2007 Trojan.Downloader.Zlob.K

CAT-QuickHeal 9.00 02.19.2007 no virus found

ClamAV devel-20060426 02.19.2007 no virus found

DrWeb 4.33 02.19.2007 no virus found

eSafe 7.0.14.0 02.18.2007 no virus found

eTrust-Vet 30.4.3412 02.19.2007 no virus found

Ewido 4.0 02.18.2007 Downloader.Zlob.boi

FileAdvisor 1 02.19.2007 no virus found

Fortinet 2.85.0.0 02.19.2007 no virus found

F-Prot 4.2.1.29 02.16.2007 no virus found

F-Secure 6.70.13030.0 02.19.2007 no virus found

Ikarus T3.1.0.31 02.19.2007 Trojan-Downloader.Win32.Zlob.bnw

Kaspersky 4.0.2.24 02.19.2007 no virus found

McAfee 4965 02.16.2007 no virus found

Microsoft 1.2204 02.19.2007 TrojanDownloader:Win32/Zlob.gen

NOD32v2 2069 02.18.2007 no virus found

Norman 5.80.02 02.19.2007 no virus found

Panda 9.0.0.4 02.18.2007 no virus found

Prevx1 V2 02.19.2007 Malware

Sophos 4.14.0 02.19.2007 Troj/Zlobmi-Gen

Sunbelt 2.2.907.0 02.17.2007 no virus found

Symantec 10 02.19.2007 no virus found

TheHacker 6.1.6.060 02.19.2007 no virus found

UNA 1.83 02.16.2007 no virus found

VBA32 3.11.2 02.18.2007 no virus found

VirusBuster 4.3.19:9 02.18.2007 no virus found

 

 

Aditional Information

File size: 9728 bytes

MD5: 6c674edd5ac0496ffad163a2170ac9b5

SHA1: 391e9abf4afd3356d3639e1e9dd0e57e92b26be5

Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=fb8378217606

 

VirusTotal is a free service offered by Hispasec Sistemas. There are no guarantees [/log]

 

[Cecilia]

Hmm, borde upptäckas av SmitfraudFix. Det är kanske en ny variant som behöver skickas till konstruktören av SmitfraudFix så han kan uppdatera programmet. Har du något program för att packa filer typ WinZip?

 

[Cecilia]

Du kan också se om SmitfraudFix har lättare att hitta filerna i felsäkert läge. Starta om datorn i felsäkert läge genom att trycka F8 upprepade gånger under uppstarten och välja Felsäkert i menyn och så kör SmitfraudFix på samma sätt igen.

 

[dinniz]

[log]STATUS: FINISHEDComplete scanning result of "isamini.exe", received in VirusTotal at 02.19.2007, 10:35:24 (CET).

 

Antivirus Version Update Result

AntiVir 7.3.1.37 02.19.2007 no virus found

Authentium 4.93.8 02.16.2007 no virus found

Avast 4.7.936.0 02.19.2007 no virus found

AVG 386 02.18.2007 no virus found

BitDefender 7.2 02.19.2007 no virus found

CAT-QuickHeal 9.00 02.19.2007 no virus found

ClamAV devel-20060426 02.19.2007 no virus found

DrWeb 4.33 02.19.2007 no virus found

eSafe 7.0.14.0 02.18.2007 no virus found

eTrust-Vet 30.4.3412 02.19.2007 no virus found

Ewido 4.0 02.18.2007 no virus found

FileAdvisor 1 02.19.2007 no virus found

Fortinet 2.85.0.0 02.19.2007 no virus found

F-Prot 4.2.1.29 02.16.2007 no virus found

F-Secure 6.70.13030.0 02.19.2007 W32/Zlob.gen70

Ikarus T3.1.0.31 02.19.2007 no virus found

Kaspersky 4.0.2.24 02.19.2007 no virus found

McAfee 4965 02.16.2007 no virus found

Microsoft 1.2204 02.19.2007 TrojanDownloader:Win32/Zlob.gen

NOD32v2 2069 02.18.2007 no virus found

Norman 5.80.02 02.19.2007 W32/Zlob.gen70

Panda 9.0.0.4 02.18.2007 Suspicious file

Prevx1 V2 02.19.2007 Malware

Sophos 4.14.0 02.19.2007 no virus found

Sunbelt 2.2.907.0 02.17.2007 no virus found

Symantec 10 02.19.2007 no virus found

TheHacker 6.1.6.060 02.19.2007 no virus found

UNA 1.83 02.16.2007 no virus found

VBA32 3.11.2 02.18.2007 MalwareScope.Downloader.Zlob.1

VirusBuster 4.3.19:9 02.18.2007 no virus found

 

 

Aditional Information

File size: 6144 bytes

MD5: cb6b5ec9a1f5a960ca33a4f107d94292

SHA1: b4d7543a03740947f64996422d8039050a74905c

Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=f26578221919

 

VirusTotal is a free [/log]

 

[dinniz]

har inget program för att packa upp filer

 

[dinniz]

Detta kommer upp i felsäkert läge

 

[log]SmitFraudFix v2.142

 

Scan done at 10:54:25,59, 2007-02-19

Run from C:\Documents and Settings\daniel.DAMADF04\Skrivbord\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\daniel.DAMADF04

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\daniel.DAMADF04\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\DANIEL~1.DAM\FAVORI~1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Min aktuella startsida"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll[/log]

 

 

 

[Cecilia]

Installera gratisprogrammet ZipGenius 6 Standard Edition: http://www.zipgenius.it/eng/?page_id=12

 

När det är klart så öppna Utforskaren eller Den här datorn, gå till mappen C:\Program. Där högerklickar du på mappen Internet Security och väljer ZipGenius - Add to Internet Security.zip (eller liknande). Då kommer det att skapas en packad fil med namnet Internet Security.zip i C:\Program.

 

Gå till webbsidan http://www.uploadmalware.com/ och fyll i dinniz i första rutan, klistra in //eforum.idg.se/viewmsg.asp?EntriesId=920511 i nästa ruta, tryck på första Bläddra-knappen och leta reda på zip-filen som skapades förut (C:\Program\Internet Security.zip) och så Öppna. I rutan Comments Or Further Info kan du skriva ungefär så här:

 

These are zlob-files that are not found by SmitfraudFix version 2.142.

 

Tryck på Send File(s).

 

[dinniz]

Det är skickat

 

[Cecilia]

Starta om datorn i felsäkert läge genom att trycka F8 upprepade gånger under uppstarten och välja Felsäkert i menyn.

 

[log]Skanna med HijackThis och bocka för:

 

O2 - BHO: (no name) - {67982BB7-0F95-44C5-92DC-E3AF3DC19D6D} - C:\Program\Internet Security\isadd.dll

O16 - DPF: {33331111-1111-1111-1111-611111193423} -

O16 - DPF: {33331111-1111-1111-1111-611111193429} -

O16 - DPF: {33331111-1111-1111-1111-615111193427} -

O16 - DPF: {33331111-1131-1111-1111-611111193428} -

O16 - DPF: {BFF1950D-B1B4-4AE8-B842-B2CCF06D9A1B} (Zylom Games Player) - http://game06.zylom.com/activex/zylomgamesplayer.cab

 

Om du inte längre använder Titan Poker så även dessa rader:

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Documents and Settings\Hemma\Skrivbord\Titan Poker\casino.exe (file missing)

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Documents and Settings\Hemma\Skrivbord\Titan Poker\casino.exe (file missing)

 

Avsluta alla andra program.

Tryck Fix checked.

 

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

 

Ta bort mapparna (om de finns kvar):

C:\Program\Internet Security

C:\Documents and Settings\Hemma\Skrivbord\Titan Poker Om du har slutat spela det

 

Öppna SmitfraudFix-mappen och dubbelklicka på smitfraudfix.cmd för att starta programmet.

Välj alternativ #2 genom att trycka 2 och Enter.

Vänta på att verktyget blir klart och diskrensningen avslutas.

Under tiden så kommer det en fråga om du vill rensa registret (clean the registry) svara ja (Yes) genom att trycka Y och Enter.

 

Om datorn inte startar om av sig själv så gör du det.

Även denna gång ska det vara felsäkert läge.

 

Kontrollpanelen - Internet-alternativ - Allmänt - Ta bort filer, kryssa i rutan - OK

Sedan på fliken Program, välj Återställ webbinställningar. Verkställ - OK

 

Kontrollpanelen - Bildskärm - Skrivbord - Anpassa skrivbordet - Webb

Om det finns något med Security info eller liknande så Ta bort det.

OK - Verkställ - OK

 

Starta om datorn i normalt läge.

 

I ditt svar så klistra in den nyss skapade C:\rapport.txt och en ny HijackThis-logg, samt skriv hur datorn uppför sig nu.[/log]

 

[inlägget ändrat 2007-02-19 11:42:29 av Cecilia]

[dinniz]

Datorn verkar bete sig som vanligt (peppar peppar). Det kommer inte upp några varningssignale och jag kopplas inte vidare från min startsida.

 

TACK SÅ JÄTTE MYCKET för hjälpen

 

[log]

 

Logfile of HijackThis v1.99.1

Scan saved at 12:15:38, on 2007-02-19

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\Program\Delade filer\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Symantec AntiVirus\DefWatch.exe

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program\Symantec AntiVirus\SavRoam.exe

C:\Program\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\Explorer.EXE

C:\Program\QuickTime\qttask.exe

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\Program\SYMANT~1\VPTray.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\Winamp\winampa.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\daniel.DAMADF04\Skrivbord\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [vptray] C:\Program\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [uniPrint] C:\Program\UniPrint\Client\SetDfltSettings.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [updateMgr] "C:\Program\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Documents and Settings\Hemma\Skrivbord\Titan Poker\casino.exe (file missing)

O9 - Extra 'Tools' menuitem: Titan Poker - {49783ED4-258D-4f9f-BE11-137C18D3E543} - C:\Documents and Settings\Hemma\Skrivbord\Titan Poker\casino.exe (file missing)

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = online.rf.se

O17 - HKLM\Software\..\Telephony: DomainName = online.rf.se

O17 - HKLM\System\CCS\Services\Tcpip\..\{CC924E8F-9942-400D-B767-8F9F79A2A7DB}: NameServer = 172.17.15.20,172.17.15.21

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = online.rf.se

O20 - Winlogon Notify: NavLogon - C:\WINDOWS\system32\NavLogon.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program\Symantec AntiVirus\DefWatch.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Program\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program\Symantec AntiVirus\SavRoam.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program\Symantec AntiVirus\Rtvscan.exe[/log]

 

[log]SmitFraudFix v2.142

 

Scan done at 11:51:47,33, 2007-02-19

Run from C:\Documents and Settings\daniel.DAMADF04\Skrivbord\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

127.0.0.1 localhost

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

 

Registry Cleaning done.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» End[/log]

 

[Cecilia]

Det var roligt att höra.

 

Här kommer mina vanliga råd för en säkrare dator, men det är så klart viktigt att man använder sitt förnuft också.

 

Uppdatera från Windows Update och kör antispionprogrammen AVG Anti-Spyware (Ewido), SUPERAntiSpyware, Spybot S&D och/eller Ad-aware regelbundet.

http://www.ewido.net/en/

http://www.superantispyware.com/

http://www.safer-networking.org/en/download/index.html

http://www.lavasoft.com

 

Komplettera antivirusprogrammet med några online-skanningar då och då:

http://housecall.trendmicro.com/

http://www.bitdefender.com/scan8/ie.html

http://www.pandasoftware.com/products/activescan/

 

Använd en brandvägg (bättre än den inbyggda i XP), finns gratis från t ex ZoneLabs.

http://www.zonelabs.com/store/content/home.jsp

 

Om man använder Internet Explorer så kan det vara lämpligt att ha programmen SpywareBlaster och SpywareGuard, vilka hindrar en hel del otrevliga program från att laddas ner resp. köras:

http://www.javacoolsoftware.com

 

Se över säkerhetsinställningarna i Internet Explorer, det finns en hel del tips här:

http://www.spywarewarrior.com/uiuc/btw/ie/ie-opts.htm

 

Samt kör IE-SpyAd som lägger en hel massa otrevliga webbplatser i zonen Ej tillförlitliga i Internet Explorer så att de inte kan göra något med datorn:

http://www.spywarewarrior.com/uiuc/resource.htm

 

Om man byter webbläsare så är det bara SpywareGuard som behövs. Andra webbläsare är t ex Mozilla Firefox och Opera:

http://www.mozilla.org

http://www.opera.com

 

Allt gratis för hemanvändare/personligt bruk.