Just nu i M3-nätverket
Jump to content

Hjälp med, Trojan-Proxy.Win32.Dlena.bb


XAC

Recommended Posts

F-secure varnar vid varje start för rubricerad virusupptäckt.

När F-secure försöker ta bort det säger den att "objektet inte kan tas bort då det redan är borttaget".

letar jag efter filen så är den skapad vid denna tidpunkt. Verkar som om filen tas bort och återskapas varje gång jag startar om.

 

har kört Hijack men kan jag kan inte utläsa loggfilen;

[log]

Logfile of HijackThis v1.99.1

Scan saved at 10:39:43, on 2007-02-25

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\netdde.exe

C:\Program\Telia\TELIAS~1\backweb\7836882\Program\SERVIC~1.EXE

C:\WINNT\System32\cisvc.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\FSGK32.EXE

C:\Program\Telia\Telias sakerhetstjanster\backweb\7836882\program\fsbwsys.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fssm32.exe

C:\Program\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Common\FSMB32.EXE

C:\WINNT\system32\hidserv.exe

C:\Program\Iomega\System32\AppServices.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FCH32.EXE

C:\WINNT\system32\svchost.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FAMEH32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsqh.exe

C:\WINNT\system32\HPZipm12.exe

C:\WINNT\system32\regsvc.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsrw.exe

C:\WINNT\System32\locator.exe

C:\WINNT\System32\SCardSvr.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\system32\Smartscaps.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\SYSTEM32\THOTKEY.EXE

C:\Program\TOSHIBA\TME3\Tmesbs3.exe

C:\Program\TOSHIBA\TME3\Tmesrv3.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\dmadmin.exe

C:\WINNT\Explorer.EXE

C:\WINNT\System32\msdtc.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsav32.exe

C:\WINNT\system32\TPWRTRAY.EXE

C:\Program\TOSHIBA\TOSHIBAs kontroller\TFncKy.exe

C:\WINNT\system32\TFNF5.exe

C:\Program\TOSHIBA\Wireless Hotkey\TosHKCW.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\Iomega HotBurn\Autolaunch.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSM32.EXE

C:\Program\Delade filer\Real\Update_OB\rnathchk.exe

C:\Program\Steam\Steam.exe

C:\Program\Telia\TELIAS~1\ANTI-S~1\fsaw.exe

C:\Program\Caplio Software\RGateL.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\Labtec Wireless Desktop\MagicKey.exe

C:\Program\Labtec Wireless Desktop\MulMouse.exe

C:\Program\Telia\Telias sakerhetstjanster\backweb\7836882\Program\fspex.exe

C:\Program\Telia\Telias sakerhetstjanster\FSGUI\fsguidll.exe

C:\Program\Labtec Wireless Desktop\OSD.EXE

C:\Program\Internet Explorer\iexplore.exe

C:\WINNT\System32\cidaemon.exe

C:\Documents and Settings\clsotsan\Skrivbord\Virussökning\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.se/c2i

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O1 - Hosts: 172.17.148.48 NPIC30FAE

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\sv\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\sv\msntb.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TMESRV.EXE] C:\Program\TOSHIBA\TME3\TMESRV3.EXE /Logon

O4 - HKLM\..\Run: [TMESBS.EXE] C:\Program\TOSHIBA\TME3\TMESBS3.EXE /logon

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 02

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TosHKCW.exe] C:\Program\TOSHIBA\Wireless Hotkey\TosHKCW.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] C:\Program\Delade filer\Real\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Program\Iomega HotBurn\Autolaunch.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\Telia\Telias sakerhetstjanster\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program\Telia\Telias sakerhetstjanster\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program\Telia\Telias sakerhetstjanster\FSGUI\FSSW.EXE" /reboot

O4 - HKCU\..\Run: [msnmsgr] "c:\Program\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Recoveru systems] c:\temp\svchast.exe

O4 - HKCU\..\Run: [steam] "C:\Program\Steam\Steam.exe" -silent

O4 - Global Startup: RICOH Gate La.lnk = C:\Program\Caplio Software\RGateL.exe

O4 - Global Startup: Personal.lnk = C:\Program\Personal\bin\Personal.exe

O4 - Global Startup: Enable Labtec Wireless Desktop.lnk = C:\Program\Labtec Wireless Desktop\MagicKey.exe

O4 - Global Startup: Telias säkerhetstjänster.lnk = C:\Program\Telia\Telias sakerhetstjanster\backweb\7836882\Program\fspex.exe

O8 - Extra context menu item: &Blockera detta popup-fönster - C:\Program\Telia\Telias sakerhetstjanster\Anti-Spyware\blockpopups.htm

O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.se/c2i

O15 - Trusted Zone: *.p0rt2.com

O16 - DPF: {01113300-3E00-11D2-8470-0060089874ED} (Support.com Configuration Class) - http://support.telia.se/sdccommon/download/tgctlcm.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SCPSE.WAN

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SCPSE.WAN

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SCPSE.WAN

O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll

O20 - Winlogon Notify: rpcc - C:\WINNT\system32\rpcc.dll

O23 - Service: Telias säkerhetstjänster (BackWeb Plug-in - 7836882) - BackWeb Technologies Inc. - C:\Program\Telia\TELIAS~1\backweb\7836882\Program\SERVIC~1.EXE

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program\Telia\Telias sakerhetstjanster\backweb\7836882\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Iomega App Services - Iomega Corporation - C:\Program\Iomega\System32\AppServices.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

O23 - Service: SmartTrust Smart Card Server (Smartscaps) - SmartTrust - C:\WINNT\system32\Smartscaps.exe

O23 - Service: THotkey (THOTKEY) - TOSHIBA Corp. - C:\WINNT\SYSTEM32\THOTKEY.EXE

O23 - Service: Tmesbs3 (Tmesbs) - TOSHIBA Corporation - C:\Program\TOSHIBA\TME3\Tmesbs3.exe

O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Program\TOSHIBA\TME3\Tmesrv3.exe

 

[/log]

 

Hur ska jag bära mig åt för att bli av med detta?

please!

 

//Thomas

 

Link to comment
Share on other sites

Nu igen, du får vara mer rädd om datorn.

 

Gå till http://www.virustotal.com/ klistra in ett av följande filnamn i rutan, tryck på Send och vänta tills resultatet är klart (Status blir Finished). Klistra in resultatet (inkl. filstorlek) här. Upprepa med nästa filnamn.

c:\temp\svchast.exe

C:\WINNT\system32\rpcc.dll

 

letar jag efter filen så är den skapad vid denna tidpunkt. Verkar som om filen tas bort och återskapas varje gång jag startar om.

Vilken fil? Vad heter den och var ligger den?

 

Link to comment
Share on other sites

Jo, måste väl det antar jag...

 

Exempel på filnamnet (är olika varje gång):

C:\WINNT\SYSTEM32\2798942LD.EXE Åtgärd: tagits bort

 

 

logfilen ser likadan ut för båda filerna:

[log]

0 bytes size received / Se ha recibido un archivo vacio

[/log]

 

c:\temp\svchast.exe hittar jag inte vid manuellt letande.

C:\WINNT\system32\rpcc.dll finns enligt filhänvisning

 

 

//Thomas

 

 

 

 

 

Link to comment
Share on other sites

Okej, de förhindrar uppladdningen.

 

Ladda ner SDFix till Skrivbordet:

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Dubbelklicka på SDFix.exe och en ny mapp skapas, C:\SDFix.

 

Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Öppna den nya mappen C:\SDFix och dubbelklicka på RunThis.bat för att starta programmet.

Tryck Y för att fortsätta.

Det arbetar ett tag och när det är klart så kommer det upp en fråga om du vill starta om datorn.

Tryck på godtycklig tangent för att omstarten ska påbörjas.

Datorn kommer att ta lång tid på sig under uppstarten eftersom programmet kommer att gå igång och fixa till en massa.

När det är klart visas Finished.

Tryck på valfri tangent för att avsluta programmet.

 

Öppna mappen SDFix och öppna filen Report.txt i Anteckningar.

Klistra in innehållet i filen i ditt svar här.

Skapa en ny HijackThis-logg också och klistra in här.

 

Link to comment
Share on other sites

Hej C,

måste bara kolla hur lång tid SDfixen tar på sig...

 

Datorn kommer att ta lång tid på sig under uppstarten eftersom programmet kommer att gå igång och fixa till en massa.

 

Klickade valfri tangent för omstart kl 12:30. nu är kl 17:30 och den står fortfarande i Flesäkertläge med svart skärm.

Hur länge ska man förvänta sig innan man börjar ana att något är fel?

 

//T

 

 

Link to comment
Share on other sites

Oh nej, så lång tid ska det inte ta. Starta om datorn själv. Det är själva uppstarten som tar längre tid än vanligt men inte flera timmar.

 

Link to comment
Share on other sites

Hej C,

vilken tur att jag var borta några timmar och inte satt framför och väntade...

 

När jag startade om manuellt så gick det bättre. Under uppstarten fick jag upp en dialogruta från F-secure; Skadlig kod i ...RPCC.dll. Åtgärd: Filnamnet har ändrats.

 

Här är loggarna

 

SD

[log]

 

SDFix: Version 1.68

 

Run by Administrat”r - s” 2007-02-25 @ 12:46:56,08

 

Microsoft Windows 2000 [Version 5.00.2195]

 

Running From: C:\SDFix

 

Safe Mode:

Checking Services:

 

Name:

 

Path:

 

 

Restoring Windows Registry Entries

Restoring Default Hosts File

 

Killing PID 132 'smss.exe'

Killing PID 156 'winlogon.exe'

 

Rebooting...

 

Normal Mode:

Checking Files:

 

Below files will be copied to Backups folder then removed:

 

C:\WINNT\system32\rpcc.dll - Deleted

 

 

 

ADS Check:

 

C:\WINNT\system32

No streams found.

 

 

Final Check:

 

Remaining Services:

------------------

 

 

Remaining Files:

---------------

 

 

 

Checking For Files with Hidden Attributes :

 

C:\Program\Delade filer\Adobe\ESD\DLMCleanup.exe

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\QM\~WRL0003.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\QM\~WRL0269.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\QM\~WRL0401.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\QM\~WRL2109.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\QM\~WRL2815.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\QM\~WRL3059.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\QM\~WRL4012.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\QM\Ledningens genomg†ng\L_G_030506\~WRL0003.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\QM\Ledningens genomg†ng\L_G_030506\~WRL3293.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\QM\Ledningens genomg†ng\L_G_030506\~WRL2461.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\QM\Ledningens genomg†ng\L_G_030820\~WRL0003.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\QM\Ledningens genomg†ng\L_G_030820\~WRL3293.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\QM\Ledningens genomg†ng\L_G_030820\~WRL2461.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\QM\DNV\Pza 05\~WRL0002.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\QM\DNV\DNV maj04\Kvalitet\~WRL1628.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\IT\~WRL3509.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\IT\~WRL2905.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\IT\~WRL1084.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\IT\~WRL2411.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\IT\~WRL2708.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\IT\~WRL1369.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\Till Q fr†n TA 030321\DNV\Pza 05\~WRL0002.tmp

C:\Documents and Settings\clsotsan\Mina dokument\ARBETE\IT__Projekt\Kravspecar lokalt TA\Levererat 041022 till CL\~WRL3096.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\~WRL1392.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\~WRL1892.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\~WRL0091.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\~WRL2965.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\~WRL3471.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\~WRL3633.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\~WRL3075.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\__AVSLAG__\Intellecta\~WRL0001.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\__AVSLAG__\Intellecta\~WRL0003.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\__AVSLAG__\Intellecta\~WRL0005.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\__AVSLAG__\AerotechTelub\~WRL0001.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\__AVSLAG__\AerotechTelub\~WRL0003.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\__AVSLAG__\AerotechTelub\~WRL0005.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\__AVSLAG__\Bauhaus_intresse\~WRL0001.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\__AVSLAG__\Bauhaus_intresse\~WRL0003.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\__AVSLAG__\Bauhaus_intresse\~WRL0005.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\__AVSLAG__\Grafit\~WRL0001.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\__AVSLAG__\Grafit\~WRL0003.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\__AVSLAG__\Grafit\~WRL0005.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\__AVSLAG__\Edita Projektledare\~WRL0001.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\__AVSLAG__\Edita Projektledare\~WRL0003.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\__AVSLAG__\Edita Projektledare\~WRL0005.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\__AVSLAG__\Edita Produktionschef\~WRL0001.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\__AVSLAG__\Edita Produktionschef\~WRL0003.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Egna dok\Ny mapp\__AVSLAG__\Edita Produktionschef\~WRL0005.tmp

C:\Documents and Settings\clsotsan\Mina dokument\PRIVAT\Marketing\~WRL0001.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Office\Shortcut Bar\Off2.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL0003.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL0006.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL1843.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL3920.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL2203.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL2845.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL1681.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL0425.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL2109.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL3329.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL3675.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL0007.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL0004.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL2672.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL2207.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL0916.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL1633.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL0247.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL3678.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL2379.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL0008.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL1784.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL4065.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL3040.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL1866.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL2994.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL2922.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL1794.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL1975.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL3759.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL4000.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL0712.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL3262.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL1712.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL0513.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL0377.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL1849.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL3120.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL0005.tmp

C:\Documents and Settings\clsotsan\Application Data\Microsoft\Word\~WRL3189.tmp

 

Add/Remove Programs List:

 

Adobe Acrobat 5.0

Adobe Download Manager 1.2 (endast avinstallation)

ALi AGP-drivrutin, version 1.80

ALi Audio Accelerator WDM Driver

Telia S„ker Surf

Delta Force 2

guinSaver Screen Saver

Half-Life

HijackThis 1.99.1

HP Image Zone 4.7

Iomega App Services

Lek & L„r F”rskolan

Lotus Notes

Mahjongg Towers

MSN Verktygsl†da

MicroStaff WINASPI

Personal 4.2.5

Intel® PRO Ethernet Adapter and Software

Internet Explorer Q903235

QuickTime

RealOne Player

Shockwave

SurferSaver Screen Saver

Svenska Spels Poker

Toshibas FnF5-verktyg

Toshiba Verktyg f”r till„gg 3 version 3.19.00

Toshiba Power Saver

TOSHIBA Software Modem

TOSHIBA Utilities

Samlad uppdatering 1 f”r Windows 2000 SP4

WildTangent Web Driver

Windows 2000 Service Pack 4

WinZip

Microsoft Office 2000 SR-1 Professional

Steam

Network Device Switch

Adobe Photoshop Album 2.0 Starter Edition

SmartTrust Personal 3.3.1

TOSHIBA Wireless LAN Client Manager

Caplio Software

TOSHIBA-handb”cker

Handelsbanken Internet Explorer Upgrade

ImageMixer

TOSHIBA Console

Bluetooth Stack for Windows by Toshiba

Dora Dance to the rescue

Wireless Hotkey

Caplio RR1 Software

QFolder

Bluetooth Easy Connect

Microsoft Visio Standard 2002 [sWE]

Counter-Strike: Source

Pinnacle InstantCD/DVD Suite

hppIOFiles

Microsoft Windows Critical Update Notification

Labtec Wireless Desktop

TOSHIBAs kontroller

Adobe Reader 6.0.1 - Svenska

Iomega HotBurn

InterVideo WinDVD

Palm Desktop

ClearVue Installer for SP

IKEA HomePlanner Kitchen

 

Finished

[/log]

 

Hijack

[log]

Logfile of HijackThis v1.99.1

Scan saved at 17:56:53, on 2007-02-25

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\netdde.exe

C:\Program\Telia\TELIAS~1\backweb\7836882\Program\SERVIC~1.EXE

C:\WINNT\System32\cisvc.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\FSGK32.EXE

C:\Program\Telia\Telias sakerhetstjanster\backweb\7836882\program\fsbwsys.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fssm32.exe

C:\Program\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

C:\WINNT\system32\hidserv.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSMB32.EXE

C:\Program\Iomega\System32\AppServices.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FCH32.EXE

C:\WINNT\system32\msiexec.exe

C:\WINNT\system32\HPZipm12.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FAMEH32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsqh.exe

C:\WINNT\system32\regsvc.exe

C:\WINNT\System32\locator.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsrw.exe

C:\WINNT\System32\SCardSvr.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\Smartscaps.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\SYSTEM32\THOTKEY.EXE

C:\Program\TOSHIBA\TME3\Tmesbs3.exe

C:\Program\TOSHIBA\TME3\Tmesrv3.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\System32\dmadmin.exe

C:\WINNT\System32\msdtc.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsav32.exe

C:\WINNT\system32\TPWRTRAY.EXE

C:\Program\TOSHIBA\TOSHIBAs kontroller\TFncKy.exe

C:\WINNT\system32\TFNF5.exe

C:\Program\TOSHIBA\Wireless Hotkey\TosHKCW.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\Iomega HotBurn\Autolaunch.exe

C:\Program\Delade filer\Real\Update_OB\rnathchk.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSM32.EXE

C:\Program\Caplio Software\RGateL.exe

C:\Program\Telia\TELIAS~1\ANTI-S~1\fsaw.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\Labtec Wireless Desktop\MagicKey.exe

C:\Program\Telia\Telias sakerhetstjanster\backweb\7836882\Program\fspex.exe

C:\Program\Labtec Wireless Desktop\MulMouse.exe

C:\Program\Telia\Telias sakerhetstjanster\FSGUI\fsguidll.exe

C:\Program\Labtec Wireless Desktop\OSD.EXE

C:\WINNT\System32\cidaemon.exe

C:\Documents and Settings\clsotsan\Skrivbord\Virussökning\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.se/c2i

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\sv\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\sv\msntb.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TMESRV.EXE] C:\Program\TOSHIBA\TME3\TMESRV3.EXE /Logon

O4 - HKLM\..\Run: [TMESBS.EXE] C:\Program\TOSHIBA\TME3\TMESBS3.EXE /logon

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 02

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TosHKCW.exe] C:\Program\TOSHIBA\Wireless Hotkey\TosHKCW.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] C:\Program\Delade filer\Real\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Program\Iomega HotBurn\Autolaunch.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\Telia\Telias sakerhetstjanster\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program\Telia\Telias sakerhetstjanster\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program\Telia\Telias sakerhetstjanster\FSGUI\FSSW.EXE" /reboot

O4 - HKCU\..\Run: [msnmsgr] "c:\Program\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [Recoveru systems] c:\temp\svchast.exe

O4 - HKCU\..\Run: [steam] "C:\Program\Steam\Steam.exe" -silent

O4 - Global Startup: RICOH Gate La.lnk = C:\Program\Caplio Software\RGateL.exe

O4 - Global Startup: Personal.lnk = C:\Program\Personal\bin\Personal.exe

O4 - Global Startup: Enable Labtec Wireless Desktop.lnk = C:\Program\Labtec Wireless Desktop\MagicKey.exe

O4 - Global Startup: Telias säkerhetstjänster.lnk = C:\Program\Telia\Telias sakerhetstjanster\backweb\7836882\Program\fspex.exe

O8 - Extra context menu item: &Blockera detta popup-fönster - C:\Program\Telia\Telias sakerhetstjanster\Anti-Spyware\blockpopups.htm

O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.se/c2i

O15 - Trusted Zone: *.p0rt2.com

O16 - DPF: {01113300-3E00-11D2-8470-0060089874ED} (Support.com Configuration Class) - http://support.telia.se/sdccommon/download/tgctlcm.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SCPSE.WAN

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SCPSE.WAN

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SCPSE.WAN

O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll

O23 - Service: Telias säkerhetstjänster (BackWeb Plug-in - 7836882) - BackWeb Technologies Inc. - C:\Program\Telia\TELIAS~1\backweb\7836882\Program\SERVIC~1.EXE

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program\Telia\Telias sakerhetstjanster\backweb\7836882\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Iomega App Services - Iomega Corporation - C:\Program\Iomega\System32\AppServices.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

O23 - Service: SmartTrust Smart Card Server (Smartscaps) - SmartTrust - C:\WINNT\system32\Smartscaps.exe

O23 - Service: THotkey (THOTKEY) - TOSHIBA Corp. - C:\WINNT\SYSTEM32\THOTKEY.EXE

O23 - Service: Tmesbs3 (Tmesbs) - TOSHIBA Corporation - C:\Program\TOSHIBA\TME3\Tmesbs3.exe

O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Program\TOSHIBA\TME3\Tmesrv3.exe

 

[/log]

 

...and now?...

 

/T

 

Link to comment
Share on other sites

Har du haft följande program länge eller kan de hänga ihop med när trojanen dök upp?

guinSaver Screen Saver

SurferSaver Screen Saver

 

Du kan läsa om WildTangent Web Driver på http://www.pchell.com/support/wildtangent.shtml så du vet vad det gör.

 

Skanna med HijackThis och bocka för:

 

O4 - HKCU\..\Run: [Recoveru systems] c:\temp\svchast.exe

O15 - Trusted Zone: *.p0rt2.com

 

Avsluta alla andra program.

Tryck Fix checked.

 

Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

 

Ta bort filerna (om de finns kvar):

C:\WINNT\SYSTEM32\nwprovau.dll

 

Starta om i normalt läge och så en ny HijackThis-logg.

 

Link to comment
Share on other sites

Filen gick inte att ta bort. "Den används av windows" (C:\WINNT\SYSTEM32\nwprovau.dll)

 

 

Ny logg ändå

[log]

Logfile of HijackThis v1.99.1

Scan saved at 19:10:14, on 2007-02-25

Platform: Windows 2000 SP4 (WinNT 5.00.2195)

MSIE: Internet Explorer v6.00 (6.00.2600.0000)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\system32\spoolsv.exe

C:\WINNT\system32\netdde.exe

C:\Program\Telia\TELIAS~1\backweb\7836882\Program\SERVIC~1.EXE

C:\WINNT\System32\cisvc.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\FSGK32.EXE

C:\Program\Telia\Telias sakerhetstjanster\backweb\7836882\program\fsbwsys.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fssm32.exe

C:\Program\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

C:\WINNT\system32\hidserv.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSMB32.EXE

C:\Program\Iomega\System32\AppServices.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FCH32.EXE

C:\WINNT\system32\msiexec.exe

C:\WINNT\system32\HPZipm12.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FAMEH32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsqh.exe

C:\WINNT\system32\regsvc.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsrw.exe

C:\WINNT\System32\locator.exe

C:\WINNT\System32\SCardSvr.exe

C:\WINNT\system32\MSTask.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\Smartscaps.exe

C:\WINNT\system32\stisvc.exe

C:\WINNT\SYSTEM32\THOTKEY.EXE

C:\Program\TOSHIBA\TME3\Tmesbs3.exe

C:\Program\TOSHIBA\TME3\Tmesrv3.exe

C:\WINNT\System32\WBEM\WinMgmt.exe

C:\WINNT\System32\mspmspsv.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\dmadmin.exe

C:\WINNT\System32\msdtc.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsav32.exe

C:\WINNT\system32\TPWRTRAY.EXE

C:\Program\TOSHIBA\TOSHIBAs kontroller\TFncKy.exe

C:\WINNT\system32\TFNF5.exe

C:\Program\TOSHIBA\Wireless Hotkey\TosHKCW.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\Iomega HotBurn\Autolaunch.exe

C:\Program\Delade filer\Real\Update_OB\rnathchk.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSM32.EXE

C:\Program\Caplio Software\RGateL.exe

C:\Program\Telia\TELIAS~1\ANTI-S~1\fsaw.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\Labtec Wireless Desktop\MagicKey.exe

C:\Program\Telia\Telias sakerhetstjanster\backweb\7836882\Program\fspex.exe

C:\Program\Labtec Wireless Desktop\MulMouse.exe

C:\Program\Telia\Telias sakerhetstjanster\FSGUI\fsguidll.exe

C:\Program\Labtec Wireless Desktop\OSD.EXE

C:\WINNT\System32\svchost.exe

C:\Documents and Settings\clsotsan\Skrivbord\Virussökning\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.tele2.se/c2i

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\windows\system32\blank.htm

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2Internet

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\sv\msntb.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINNT\System32\msdxm.ocx

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\MSN Toolbar\01.02.5000.1021\sv\msntb.dll

O4 - HKLM\..\Run: [synchronization Manager] mobsync.exe /logon

O4 - HKLM\..\Run: [000StTHK] 000StTHK.exe

O4 - HKLM\..\Run: [Tpwrtray] TPWRTRAY.EXE

O4 - HKLM\..\Run: [TMESRV.EXE] C:\Program\TOSHIBA\TME3\TMESRV3.EXE /Logon

O4 - HKLM\..\Run: [TMESBS.EXE] C:\Program\TOSHIBA\TME3\TMESBS3.EXE /logon

O4 - HKLM\..\Run: [TFncKy] TFncKy.exe /Type 02

O4 - HKLM\..\Run: [TFNF5] TFNF5.exe

O4 - HKLM\..\Run: [TosHKCW.exe] C:\Program\TOSHIBA\Wireless Hotkey\TosHKCW.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [TkBellExe] C:\Program\Delade filer\Real\Update_OB\realsched.exe -osboot

O4 - HKLM\..\Run: [Drag'n'Drop_Autolaunch] "C:\Program\Iomega HotBurn\Autolaunch.exe"

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINNT\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\Telia\Telias sakerhetstjanster\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program\Telia\Telias sakerhetstjanster\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program\Telia\Telias sakerhetstjanster\FSGUI\FSSW.EXE" /reboot

O4 - HKCU\..\Run: [msnmsgr] "c:\Program\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [steam] "C:\Program\Steam\Steam.exe" -silent

O4 - Global Startup: RICOH Gate La.lnk = C:\Program\Caplio Software\RGateL.exe

O4 - Global Startup: Personal.lnk = C:\Program\Personal\bin\Personal.exe

O4 - Global Startup: Enable Labtec Wireless Desktop.lnk = C:\Program\Labtec Wireless Desktop\MagicKey.exe

O4 - Global Startup: Telias säkerhetstjänster.lnk = C:\Program\Telia\Telias sakerhetstjanster\backweb\7836882\Program\fspex.exe

O8 - Extra context menu item: &Blockera detta popup-fönster - C:\Program\Telia\Telias sakerhetstjanster\Anti-Spyware\blockpopups.htm

O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.se/c2i

O16 - DPF: {01113300-3E00-11D2-8470-0060089874ED} (Support.com Configuration Class) - http://support.telia.se/sdccommon/download/tgctlcm.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = SCPSE.WAN

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = SCPSE.WAN

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = SCPSE.WAN

O20 - Winlogon Notify: nwprovau - C:\WINNT\SYSTEM32\nwprovau.dll

O23 - Service: Telias säkerhetstjänster (BackWeb Plug-in - 7836882) - BackWeb Technologies Inc. - C:\Program\Telia\TELIAS~1\backweb\7836882\Program\SERVIC~1.EXE

O23 - Service: Logical Disk Manager Administrative Service (dmadmin) - VERITAS Software Corp. - C:\WINNT\System32\dmadmin.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

O23 - Service: fsbwsys - F-Secure Corp. - C:\Program\Telia\Telias sakerhetstjanster\backweb\7836882\program\fsbwsys.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - c:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Iomega App Services - Iomega Corporation - C:\Program\Iomega\System32\AppServices.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINNT\system32\HPZipm12.exe

O23 - Service: SmartTrust Smart Card Server (Smartscaps) - SmartTrust - C:\WINNT\system32\Smartscaps.exe

O23 - Service: THotkey (THOTKEY) - TOSHIBA Corp. - C:\WINNT\SYSTEM32\THOTKEY.EXE

O23 - Service: Tmesbs3 (Tmesbs) - TOSHIBA Corporation - C:\Program\TOSHIBA\TME3\Tmesbs3.exe

O23 - Service: Tmesrv3 (Tmesrv) - TOSHIBA - C:\Program\TOSHIBA\TME3\Tmesrv3.exe

 

[/log]

 

Jag har tagit bort nätverkskabel ur dator i fråga och flyttar logfiler via USB-minne.

 

När jag startade om datorn så syndes en gammal bekant "keffig" windowssymbol i aktivitetslisten under uppstart, därefter försvann den. (bifogar bild) (den kunde förmdligen inte uppdatera i och med att jag tog bort sladden.

 

//T

 

kan inte bifoga bilden men det står om man för musen över symbolen "uppdateringar 0%"

 

ang "guinsaver" och "surfersaver" har jag ärligt talat ingen aning... läser jag infon så kan jag tänka mig att något av de installerade spelen har lagt till dem, men jag vet inte...

 

//T

 

 

 

 

[inlägget ändrat 2007-02-25 19:41:33 av XAC]

[inlägget ändrat 2007-02-25 20:27:18 av XAC]

Link to comment
Share on other sites

Förlåt, det blev lite kortslutning där. Det är c:\temp\svchast.exe som ska bort förstås, om den finns kvar.

 

guinSaver Screen Saver

SurferSaver Screen Saver

Skärmsläckare, om du har haft dem länge så är det nog inte de som har installerat trojanen. Du kan ju söka lite i datorn och se om du hittar filerna och se vilka datum de är installerade.

 

Jag ser inget otrevligt i loggen längre. Hur uppför sig datorn nu? Är F-secure nöjd nu eller dyker det fortfarande upp filer som den hittar vid uppstarten?

 

Link to comment
Share on other sites

Hej,

 

c:\temp\svchast.exe fanns inte där/kvar (passade på att rensa hela temp.mappen)

 

Jag fick inte till att bifoga en bild i tidigare, ska prova nu igen. Om det inte går så vid uppstart i "aktivitetsfältet" dyker en lågupplöst, windowsjordglob upp. För jag musen över den står det "uppdaterar...0%...". Efter ett tag försvinner symbolen.

Jag har inte nätverkskabeln inkopplad.

 

(F-secure skapar inga varningar vid uppstart)

 

Guinsaver och surfersaver är skapade 2003/2004.

 

 

Det som fortfarande oroar mig är ovanstående symbol.

 

 

/T

 

Link to comment
Share on other sites

Du kan lägga upp en bild på http://imageshack.us/ och klistra in länken därifrån.

 

Guinsaver och surfersaver är skapade 2003/2004.
Då ska det ju inte vara något problem med dem i alla fall.

 

Kolla i F-secures brandvägg vilka program som är tillåtna. Om det är något du inte känner igen så skriv det här.

 

Link to comment
Share on other sites

http://img207.imageshack.us/my.php?image=aktfaltfe2.jpg

 

I brandväggen ställer man in åtkomst(ut) och server (in)

nedanstående prgm är jag osäker på:

 

LSASS.EXE (tillåts ut och in)

mstask.exe (tillåts ut och in)

realsched.exe (tillåts ut och frågar in)

services.exe (tillåts ut och in)

setup_wm.exe (tillåts ut och frågar in)

spoolsv.exe (tillåts ut och in)

SSUPDATE.exe (blockeras ut och frågar in)

svchost.exe (tillåts ut och in)

tgcmd.exe (tillåts ut och fråga in)

tgshell.exe (tillåts ut och fråga in)

wscript.exe (tillåts ut och fråga in)

 

//T

 

Link to comment
Share on other sites

Sök i datorn efter SSUPDATE.exe och tgshell.exe, skriv i vilka mappar/sökvägar de ligger dessutom högerklicka på dem och välj Egenskaper och se om det på versions-fliken går att se vilket företag de kommer eller till vilken produkt de hör.

 

Ställ in Utforskaren/Den här datorn för att visa dolda filer och operativsystemfiler innan du söker.

 

Kan du högerklicka på uppdaterings-jordgloben och få upp en meny?

 

Link to comment
Share on other sites

Hej,

kan inte kolla detta förrän senare ikväll. Är på jobb.

 

 

Kan du högerklicka på uppdaterings-jordgloben och få upp en meny?

Nej!

 

liknar symbol i min förra tråd

//eforum.idg.se/viewmsg.asp?EntriesId=885260

 

återkommer så fort jag kan!

//T

:)

 

Link to comment
Share on other sites

För säkerhets skull då:

Ladda ner programmet SmitfraudFix (by S!Ri) till Skrivbordet:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Högerklicka och extrahera allt innehåll till Skrivbordet. En mapp SmitfraudFix kommer att skapas.

 

Öppna SmitfraudFix-mappen och dubbelklicka på smitfraudfix.cmd.

Välj alternativ #1 - Search genom att trycka på 1 och Enter.

Programmet kommer att skanna igenom datorn.

När den är klart visas resultatet och programmet har skapat loggfilen C:\rapport.txt.

 

Klistra in innehållet i loggfilen i ditt svar här.

 

Gör inget annat med SmitfraudFix-mappen eller smitfraudfix.cmd

 

Link to comment
Share on other sites

Hej,

kom hem sent så daärav följde jag instruktionerna nu.

Sök i datorn efter SSUPDATE.exe och tgshell.exe, skriv i vilka mappar/sökvägar de ligger dessutom högerklicka på dem och välj Egenskaper och se om det på versions-fliken går att se vilket företag de kommer eller till vilken produkt de hör.

"det finns inga dokument att visa"

 

igår var det en "kär" vän som satte i nätverkssladden när jag var borta så nu finns symbolen konstant i aktivitetsfältet. Nu säger den att uppdateringar är hämtade. Tar jag ur sladden och klickar på symbolen får jag upp denna dialogruta:

http://img80.imageshack.us/my.php?image=updateringaz2.jpg

 

[log]

SmitFraudFix v2.144

 

Scan done at 7:55:27,12, ti 2007-02-27

Run from C:\Documents and Settings\clsotsan\Skrivbord\SmitfraudFix

OS: Microsoft Windows 2000 [Version 5.00.2195] - Windows_NT

The filesystem type is FAT32

Fix run in normal mode

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINNT\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\clsotsan

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\clsotsan\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\clsotsan\FAVORI~1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Min aktuella startsida"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Scanning wininet.dll infection

 

 

»»»»»»»»»»»»»»»»»»»»»»»» End

 

[/log]

 

Ska jag blockera alla anslutningar till och från Internet i brandväggen tsv?

 

//T

 

Link to comment
Share on other sites

På bilden ser det ut som Windows-uppdateringar. Var det länge sedan du uppdaterade Windows eftersom det finns 43 uppdateringar att installera?

 

Om inte SSUPDATE och tgshell inte finns i datorn så behövs inte villkoren för dem i brandväggen.

 

Inget Smitfraud-otrevligt heller.

 

Från det du skriver så ser datorn ut att må bra.

 

Link to comment
Share on other sites

så det är möjligt att Microsoft använder sig av en så pass lågupplöst symbol i aktivitetsfältet för uppdateringar?! (I och med att sybolen är lika lågupplöst som i höstas "drar man öronen åt sig".

Så då är det ingen fara att försöka köra uppdateringarna?

 

Jag har haft problem med att uppdatera den här datorn tidigare.

 

Ska skaffa en burk hem och då kan jag skrota denna när jag fört över alla filer.

 

 

Poäng till dig för din kunskap, vänlighet och servicemind.

 

TACK!!!!

 

 

:):thumbsup:

 

Link to comment
Share on other sites

Tack för alla poäng! :) :)

 

Gå till Windows Update i webbläsaren så är du ju säker på att det är därifrån uppdateringarna kommer.

 

I och med att sybolen är lika lågupplöst som i höstas "drar man öronen åt sig".
Varför skulle symbolen ha ändrat sig sedan i höstas?

 

Link to comment
Share on other sites

I och med att sybolen är lika lågupplöst som i höstas "drar man öronen åt sig".

Varför skulle symbolen ha ändrat sig sedan i höstas?

 

Då var det otrevligheter som hade denna lågupplösta symbol som blinkade och ville att man skulle uppdatera virusskyddet. Om man klickade på den kom man till någon skum sida med uppmaningen om att ladda ned ett virusskydd.

Symbol hjälpte du mig med att få bort i samband med annat smuts...

 

//eforum.idg.se/viewmsg.asp?EntriesId=885260#885260

 

Ha en bra dag!

 

//Thomas

 

:)

 

Link to comment
Share on other sites

Ja, jag studerade. Sen ska jag väl ha svansen mellan bena i uppfyllnad av dem...ska bättra mig!

 

Återigen, ett sort tack!

//Thomas

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...