Just nu i M3-nätverket
Jump to content

protection bar


el_jimpa

Recommended Posts

Vill bli av med det...har försökt med allt jag kan men lyckas inte..får även upp en massa pop-ups.Så skulle va oerhört tacksam för all hjälp jag kan få.

 

 

Här är min HJT-logg har sett att ni vill ha den

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 00:46:00, on 2007-04-24

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Norman\Npm\bin\ELOGSVC.EXE

C:\Norman\Npm\Bin\Zanda.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program\Video AX Object\bpmon.exe

C:\Program\Video AX Object\smmain.exe

C:\Norman\Npm\bin\ZLH.EXE

C:\Program\Java\jre1.5.0_11\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\QuickTime\qttask.exe

C:\Program\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\MSN Messenger\MsnMsgr.Exe

C:\Program\Video AX Object\bpmini.exe

C:\Program\Video AX Object\smmon.exe

C:\Norman\Nvc\BIN\NIP.EXE

C:\Program\Canon\CAL\CALMAIN.exe

C:\Norman\Nvc\bin\nvcoas.exe

C:\Norman\Npm\bin\NJEEVES.EXE

C:\Norman\Nvc\BIN\NVCSCHED.EXE

C:\Program\iPod\bin\iPodService.exe

C:\WINDOWS\System32\alg.exe

C:\Norman\Nvc\bin\cclaw.exe

C:\Norman\Npf\BIN\npfmsg2.exe

C:\Program\MSN Messenger\usnsvc.exe

C:\Norman\Npf\BIN\NPFSVICE.EXE

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Video AX Object\bpmon.exe

C:\Program\Video AX Object\smmain.exe

C:\Norman\Npm\bin\ZLH.EXE

C:\Program\Java\jre1.5.0_11\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\QuickTime\qttask.exe

C:\Program\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\MSN Messenger\MsnMsgr.Exe

C:\Norman\Npf\BIN\npfmsg2.exe

C:\Norman\Nvc\BIN\NIP.EXE

C:\Norman\Nvc\bin\cclaw.exe

C:\Program\Norman\Norman Ad-Aware SE Plus\Ad-Watch.exe

C:\Program\Video AX Object\bpmini.exe

C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Hijackthis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.5.0_11\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {D34F5D71-99E4-4D96-91CA-F4104F69B8AE} - C:\Program\Video AX Object\bpvol.dll

O3 - Toolbar: Protection Bar - {F0993251-2512-4710-AF6E-0A13EA199D02} - C:\PROGRAM\VIDEO AX OBJECT\SPLUG.DLL

O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [PPMemCheck] C:\Program\PestPatrol\PPMemCheck.exe

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Program\PestPatrol\PPControl.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\Program\PestPatrol\CookiePatrol.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1169486266875

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSN Messenger\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSN Messenger\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program\Canon\CAL\CALMAIN.exe

O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\Npm\bin\NJEEVES.EXE

O23 - Service: Norman Type-R - Unknown owner - C:\Norman\Npf\BIN\NPFSVICE.EXE

O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe

O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe

O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Norman\Nvc\BIN\NVCSCHED.EXE

 

[/log]

[inlägget ändrat 2007-04-24 00:48:20 av el_jimpa]:):):)

[inlägget ändrat 2007-04-24 00:49:22 av el_jimpa]

Link to comment
Share on other sites

Ladda ner programmet SmitfraudFix (by S!Ri) till Skrivbordet:

http://siri.urz.free.fr/Fix/SmitfraudFix.zip

Högerklicka och extrahera allt innehåll till Skrivbordet. En mapp SmitfraudFix kommer att skapas.

 

Öppna SmitfraudFix-mappen och dubbelklicka på smitfraudfix.cmd.

Välj alternativ #1 - Search genom att trycka på 1 och Enter.

Programmet kommer att skanna igenom datorn.

När den är klart visas resultatet och programmet har skapat loggfilen C:\rapport.txt.

 

Klistra in innehållet i loggfilen i ditt svar här.

 

Gör inget annat med SmitfraudFix-mappen eller smitfraudfix.cmd.

 

Link to comment
Share on other sites

Hejsan!

 

Fel forumrum, jag vet. Men skickar till dig ändå.

Ett problem här med Myzor, ser att det har varit igång ett tag (aug -06).

 

Har laddat ner SmitfraudFix och kört scanning...

 

Här kommer loggen...

 

[log]SmitFraudFix v2.171

 

Scan done at 10:59:57,73, 2007-04-24

Run from C:\Documents and Settings\leverans\Skrivbord\SmitfraudFix\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in normal mode

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\CA\eTrust Antivirus\InoRpc.exe

C:\Program\CA\eTrust Antivirus\InoRT.exe

C:\Program\CA\eTrust Antivirus\InoTask.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Video AX Object\bpmon.exe

C:\Program\Logitech\MouseWare\system\em_exec.exe

C:\Program\Video AX Object\bpmini.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Logitech\Desktop Messenger\8876480\Program\BackWeb-8876480.exe

C:\Program\HEWLET~1\Toolbox\STATUS~1\STATUS~1.EXE

C:\Program\Hewlett-Packard\Toolbox\jre\bin\javaw.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program\Internet Explorer\iexplore.exe

C:\PROGRAM\MONWIN\MONWIN2.EXE

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\mscornet.exe FOUND !

C:\WINDOWS\system32\yuspej.dll FOUND !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\leverans

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\leverans\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\leverans\FAVORI~1

 

C:\DOCUME~1\leverans\FAVORI~1\Online Security Test.url FOUND !

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program

 

C:\Program\Video AX Object\ FOUND !

 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="http://i.mota.ru/ny/src/043.jpg"'>http://i.mota.ru/ny/src/043.jpg"

"SubscribedURL"="http://i.mota.ru/ny/src/043.jpg"

"FriendlyName"=""

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]

"Source"="http://www.nwrweb.com/player/img/pix.gif"'>http://www.nwrweb.com/player/img/pix.gif"

"SubscribedURL"="http://www.nwrweb.com/player/img/pix.gif"

"FriendlyName"=""

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\2]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Min aktuella startsida"

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{3baa1ad8-ee49-4772-bf0b-f55083e0f7aa}"="ephemeran"

 

[HKEY_CLASSES_ROOT\CLSID\{3baa1ad8-ee49-4772-bf0b-f55083e0f7aa}\InProcServer32]

@="C:\WINDOWS\system32\yuspej.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{3baa1ad8-ee49-4772-bf0b-f55083e0f7aa}\InProcServer32]

@="C:\WINDOWS\system32\yuspej.dll"

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Intel® PRO/100 VE Network Connection - Miniport för paketschemaläggning

DNS Server Search Order: 192.168.100.8

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{7678A7CB-5637-4220-BCFC-635A245C038B}: DhcpNameServer=192.168.100.8

HKLM\SYSTEM\CS1\Services\Tcpip\..\{7678A7CB-5637-4220-BCFC-635A245C038B}: DhcpNameServer=192.168.100.8

HKLM\SYSTEM\CS3\Services\Tcpip\..\{7678A7CB-5637-4220-BCFC-635A245C038B}: DhcpNameServer=192.168.100.8

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.100.8

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.100.8

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.100.8

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

 

 

»»»»»»»»»»»»»»»»»»»»»»»» End[/log]

 

Vad göra härnäst?

 

//A. Blank

 

Link to comment
Share on other sites

Ilsbo: Det kommer att bli väldigt rörigt att hålla på med 2 datorer med olika infektioner samtidigt i samma tråd, så jag blir glad om du kan starta upp din egen tråd genom att trycka på Skriv inlägg i vänsterkolumnen. Förutom loggen från SmitfraudFix så är det bra med en logg från HijackThis:

http://www.thespykiller.co.uk/files/HJTsetup.exe

Installera, kör, skanna, spara och klistra in loggen (inget annat).

 

 

Link to comment
Share on other sites

hoppas det blev rätt

 

 

[log]SmitFraudFix v2.171

 

Scan done at 8:58:47,00, 2007-04-25

Run from C:\Documents and Settings\Lina\Skrivbord\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in normal mode

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Norman\Npm\bin\ELOGSVC.EXE

C:\Norman\Npm\Bin\Zanda.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Norman\Npf\BIN\NPFSVICE.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program\Canon\CAL\CALMAIN.exe

C:\Norman\Npm\bin\NJEEVES.EXE

C:\Norman\Nvc\BIN\NVCSCHED.EXE

C:\Norman\Nvc\bin\nvcoas.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\Norman\Npm\bin\ZLH.EXE

C:\Program\Java\jre1.5.0_11\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\QuickTime\qttask.exe

C:\Program\iTunes\iTunesHelper.exe

C:\Program\PestPatrol\PPMemCheck.exe

C:\Norman\Nvc\BIN\NIP.EXE

C:\Program\PestPatrol\PPControl.exe

C:\Norman\Nvc\bin\cclaw.exe

C:\Program\PestPatrol\CookiePatrol.exe

C:\Norman\Npf\BIN\npfmsg2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\MSN Messenger\MsnMsgr.Exe

C:\Program\iPod\bin\iPodService.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Lina

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Lina\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Lina\FAVORI~1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program

 

C:\Program\SpywareLocked 3.5\ FOUND !

C:\Program\Video AX Object\ FOUND !

 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Min aktuella startsida"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{4233ac08-a2c4-4742-a0b4-83719613d62c}"="grassily"

 

[HKEY_CLASSES_ROOT\CLSID\{4233ac08-a2c4-4742-a0b4-83719613d62c}\InProcServer32]

@="C:\WINDOWS\system32\ilmpjy.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{4233ac08-a2c4-4742-a0b4-83719613d62c}\InProcServer32]

@="C:\WINDOWS\system32\ilmpjy.dll"

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Realtek RTL8139 Family PCI Fast Ethernet NIC - Miniport för paketschemaläggning

DNS Server Search Order: 130.244.127.161

DNS Server Search Order: 130.244.127.169

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{51FBB553-8608-4BFB-85D1-99252CA33D81}: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CS1\Services\Tcpip\..\{51FBB553-8608-4BFB-85D1-99252CA33D81}: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CS2\Services\Tcpip\..\{51FBB553-8608-4BFB-85D1-99252CA33D81}: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=130.244.127.161 130.244.127.169

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

 

 

»»»»»»»»»»»»»»»»»»»»»»»» End[/log]

 

Link to comment
Share on other sites

Starta om datorn i felsäkert läge genom att trycka F8 upprepade gånger under uppstarten och välja Felsäkert i menyn.

 

Öppna SmitfraudFix-mappen och dubbelklicka på smitfraudfix.cmd för att starta programmet.

Välj alternativ #2 genom att trycka 2 och Enter.

Vänta på att verktyget blir klart och diskrensningen avslutas.

Under tiden så kommer det en fråga om du vill rensa registret (clean the registry) svara ja (Yes) genom att trycka Y och Enter.

 

Om datorn inte startar om av sig själv så gör du det.

Även denna gång ska det vara felsäkert läge.

 

Om du har Internet Explorer version 7:

Kontrollpanelen - Internet-alternativ - Allmänt - Ta bort - Ta bort filer - OK

Om du har Internet Explorer version 6:

Kontrollpanelen - Internet-alternativ - Allmänt - Ta bort filer, kryssa i rutan - OK

 

Kontrollpanelen - Bildskärm - Skrivbord - Anpassa skrivbordet - Webb

Om det finns något med Security info eller liknande så Ta bort det.

OK - Verkställ - OK

 

Starta om datorn i normalt läge.

 

I ditt svar så klistra in den nyss skapade C:\rapport.txt och en ny HijackThis-logg.

 

Link to comment
Share on other sites

Här är de...

 

[log]SmitFraudFix v2.171

 

Scan done at 10:08:25,25, 2007-04-25

Run from C:\Documents and Settings\Lina\Skrivbord\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{4233ac08-a2c4-4742-a0b4-83719613d62c}"="grassily"

 

[HKEY_CLASSES_ROOT\CLSID\{4233ac08-a2c4-4742-a0b4-83719613d62c}\InProcServer32]

@="C:\WINDOWS\system32\ilmpjy.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{4233ac08-a2c4-4742-a0b4-83719613d62c}\InProcServer32]

@="C:\WINDOWS\system32\ilmpjy.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

127.0.0.1 localhost

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

 

C:\Program\SpywareLocked 3.5\ Deleted

C:\Program\Video AX Object\ Deleted

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{51FBB553-8608-4BFB-85D1-99252CA33D81}: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CS1\Services\Tcpip\..\{51FBB553-8608-4BFB-85D1-99252CA33D81}: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CS2\Services\Tcpip\..\{51FBB553-8608-4BFB-85D1-99252CA33D81}: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=130.244.127.161 130.244.127.169

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

 

Registry Cleaning done.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{4233ac08-a2c4-4742-a0b4-83719613d62c}"="grassily"

 

[HKEY_CLASSES_ROOT\CLSID\{4233ac08-a2c4-4742-a0b4-83719613d62c}\InProcServer32]

@="C:\WINDOWS\system32\ilmpjy.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{4233ac08-a2c4-4742-a0b4-83719613d62c}\InProcServer32]

@="C:\WINDOWS\system32\ilmpjy.dll"

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» End

 

[/log]

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 10:48:48, on 2007-04-25

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16414)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Norman\Npm\bin\ELOGSVC.EXE

C:\Norman\Npm\Bin\Zanda.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Norman\Npm\bin\ZLH.EXE

C:\Program\Java\jre1.5.0_11\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\QuickTime\qttask.exe

C:\Program\iTunes\iTunesHelper.exe

C:\Program\PestPatrol\PPMemCheck.exe

C:\Program\PestPatrol\PPControl.exe

C:\Program\PestPatrol\CookiePatrol.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\MSN Messenger\MsnMsgr.Exe

C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Norman\Nvc\BIN\NIP.EXE

C:\Norman\Npf\BIN\npfmsg2.exe

C:\Norman\Npf\BIN\NPFSVICE.EXE

C:\WINDOWS\system32\svchost.exe

C:\Program\Canon\CAL\CALMAIN.exe

C:\Norman\Npm\bin\NJEEVES.EXE

C:\Norman\Nvc\BIN\NVCSCHED.EXE

C:\Norman\Nvc\bin\nvcoas.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\System32\alg.exe

C:\Norman\Nvc\bin\cclaw.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

C:\Program\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\Npm\bin\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre1.5.0_11\bin\jusched.exe"

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [PPMemCheck] C:\Program\PestPatrol\PPMemCheck.exe

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Program\PestPatrol\PPControl.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\Program\PestPatrol\CookiePatrol.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_11\bin\ssv.dll

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O11 - Options group: [iNTERNATIONAL] International*

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://a1540.g.akamai.net/7/1540/52/20061205/qtinstall.info.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1169486266875

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSN Messenger\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSN Messenger\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program\Canon\CAL\CALMAIN.exe

O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Norman\Npm\bin\ELOGSVC.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\Npm\bin\NJEEVES.EXE

O23 - Service: Norman Type-R - Unknown owner - C:\Norman\Npf\BIN\NPFSVICE.EXE

O23 - Service: Norman ZANDA - Norman ASA - C:\Norman\Npm\Bin\Zanda.exe

O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe

O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Norman\Nvc\BIN\NVCSCHED.EXE

 

[/log]

 

Link to comment
Share on other sites

Aj då, SmitfraudFix är visst inte uppdaterad för denna nya variant.

 

Ladda ner ComboFix:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Kör den och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på Combofix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, klistra in den här.

 

Link to comment
Share on other sites

Sisådär då=)

 

[log]"Lina" - 07-04-25 11:11:04 Service Pack 2

ComboFix 07-04-25.4V - Running from: "C:\Documents and Settings\Lina\Skrivbord\"

 

 

(((((((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

 

 

C:\Program\install.log

 

 

((((((((((((((((((((((((((((((( Files Created from 2007-03-25 to 2007-04-25 ))))))))))))))))))))))))))))))))))

 

 

2007-04-25 08:58 53,248 --a------ C:\WINDOWS\system32\Process.exe

2007-04-25 08:58 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2007-04-25 08:58 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2007-04-25 08:58 2,058 --a------ C:\WINDOWS\system32\tmp.reg

2007-04-23 23:43 <KAT> d-------- C:\Program\XoftSpySE

2007-04-23 23:41 0 --a------ C:\WINDOWS\system32\CMMGR32.EXE

2007-04-23 23:37 <KAT> d-------- C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\SUPERAntiSpyware.com

2007-04-23 23:36 <KAT> d-------- C:\Program\SUPERAntiSpyware

2007-04-23 23:36 <KAT> d-------- C:\DOCUME~1\Jimmy\APPLIC~1\SUPERAntiSpyware.com

2007-04-23 12:03 <KAT> d-------- C:\DOCUME~1\Lina\APPLIC~1\Norman

2007-04-23 11:55 <KAT> d-------- C:\DOCUME~1\LOCALS~1.NTI\Start-meny

2007-04-23 11:42 95,288 --a------ C:\WINDOWS\system32\drivers\nvcw32mf.sys

2007-04-23 11:42 <KAT> d-------- C:\Program\SH

2007-04-22 22:46 <KAT> d-------- C:\Program\Windows Media Connect 2

2007-04-22 22:39 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

2007-04-22 22:38 <KAT> d-------- C:\WINDOWS\system32\LogFiles

2007-04-22 22:38 <KAT> d-------- C:\WINDOWS\system32\drivers\UMDF

2007-04-22 22:00 <KAT> d-a------ C:\DOCUME~1\ALLUSE~1.WIN\APPLIC~1\TEMP

 

 

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

2007-04-25 11:05 -------- d-------- C:\Program\pestpatrol

2007-04-25 10:43 5 --a------ C:\NPF_USER.DAT

2007-04-20 15:55 7168 --a-s---- C:\WINDOWS\system32\ilmpjy.dll

2007-04-20 15:55 664 --a------ C:\WINDOWS\system32\d3d9caps.dat

2007-04-17 16:24 -------- d-------- C:\Program\itunes

2007-04-17 16:24 -------- d-------- C:\Program\ipod

2007-04-17 15:59 -------- d--h----- C:\Program\installshield installation information

2007-04-17 15:02 -------- d-------- C:\Program\msn messenger

2007-03-28 10:31 -------- d-------- C:\Program\quicktime

2007-03-28 00:56 -------- d-------- C:\Program\partygaming

2007-03-25 21:54 48904 --a------ C:\WINDOWS\system32\perfc01d.dat

2007-03-25 21:54 317826 --a------ C:\WINDOWS\system32\perfh01d.dat

2007-03-17 16:53 -------- d-------- C:\Program\avrack

2007-03-17 15:45 292864 --a------ C:\WINDOWS\system32\winsrv.dll

2007-03-08 17:39 577536 --a------ C:\WINDOWS\system32\user32.dll

2007-03-08 17:39 40960 --a------ C:\WINDOWS\system32\mf3216.dll

2007-03-08 17:39 281600 --a------ C:\WINDOWS\system32\gdi32.dll

2007-03-08 17:38 1843584 --a------ C:\WINDOWS\system32\win32k.sys

2007-03-05 14:00 -------- d-------- C:\Program\canon

2007-02-28 19:33 -------- d-------- C:\DOCUME~1\Lina\APPLIC~1\vlc

2007-02-26 17:40 -------- d-------- C:\Program\wfwin

2007-02-05 22:20 185344 --a------ C:\WINDOWS\system32\upnphost.dll

 

 

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

 

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"Norman ZANDA"="C:\\Norman\\Npm\\bin\\ZLH.EXE /LOAD /SPLASH"

"SunJavaUpdateSched"="\"C:\\Program\\Java\\jre1.5.0_11\\bin\\jusched.exe\""

"SoundMan"="SOUNDMAN.EXE"

"QuickTime Task"="\"C:\\Program\\QuickTime\\qttask.exe\" -atboottime"

"iTunesHelper"="\"C:\\Program\\iTunes\\iTunesHelper.exe\""

"PPMemCheck"="C:\\Program\\PestPatrol\\PPMemCheck.exe"

"PestPatrol Control Center"="C:\\Program\\PestPatrol\\PPControl.exe"

"CookiePatrol"="C:\\Program\\PestPatrol\\CookiePatrol.exe"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"CTFMON.EXE"="C:\\WINDOWS\\system32\\ctfmon.exe"

"msnmsgr"="\"C:\\Program\\MSN Messenger\\MsnMsgr.Exe\" /background"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]

"{4233ac08-a2c4-4742-a0b4-83719613d62c}"="grassily"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"=""

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon

 

HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa

Authentication Packages REG_MULTI_SZ msv1_0\0\0

Security Packages REG_MULTI_SZ kerberos\0msv1_0\0schannel\0wdigest\0\0

Notification Packages REG_MULTI_SZ scecli\0\0

 

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows NT\CurrentVersion\Svchost]

HTTPFilter REG_MULTI_SZ HTTPFilter\0\0

LocalService REG_MULTI_SZ Alerter\0WebClient\0LmHosts\0RemoteRegistry\0upnphost\0SSDPSRV\0\0

NetworkService REG_MULTI_SZ DnsCache\0\0

DcomLaunch REG_MULTI_SZ DcomLaunch\0TermService\0\0

rpcss REG_MULTI_SZ RpcSs\0\0

imgsvc REG_MULTI_SZ StiSvc\0\0

termsvcs REG_MULTI_SZ TermService\0\0

WudfServiceGroup REG_MULTI_SZ WUDFSvc\0\0

 

 

 

Contents of the 'Scheduled Tasks' folder

C:\WINDOWS\tasks\AppleSoftwareUpdate.job

C:\WINDOWS\tasks\XoftSpySE 2.job

C:\WINDOWS\tasks\XoftSpySE.job

 

********************************************************************

 

catchme 0.3.660 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-04-25 11:17:05

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

********************************************************************

 

Completion time: 07-04-25 11:17:16

C:\ComboFix-quarantined-files.txt ... 07-04-25 11:17

[/log]

 

Link to comment
Share on other sites

Gå till http://www.virustotal.com/ klistra in ett av följande filnamn i rutan, tryck på Send och vänta tills resultatet är klart (Status blir Finished). Klistra in resultatet (inkl. filstorlek) här. Upprepa med nästa filnamn.

C:\WINDOWS\system32\drivers\nvcw32mf.sys

C:\WINDOWS\system32\d3d9caps.dat

 

Har du använt registereditorn regedit någon gång?

 

Link to comment
Share on other sites

rätt så!? nej den har jag aldrig använt, vet inte ens vad det är!

 

[log]STATUS: FINISHEDComplete scanning result of "nvcw32mf.sys", received in VirusTotal at 04.25.2007, 11:58:15 (CET).

 

Antivirus Version Update Result

AhnLab-V3 2007.4.25.2 04.25.2007 no virus found

AntiVir 7.4.0.15 04.25.2007 no virus found

Authentium 4.93.8 04.24.2007 no virus found

Avast 4.7.981.0 04.23.2007 no virus found

AVG 7.5.0.464 04.24.2007 no virus found

BitDefender 7.2 04.25.2007 no virus found

CAT-QuickHeal 9.00 04.24.2007 no virus found

ClamAV devel-20070416 04.25.2007 no virus found

DrWeb 4.33 04.25.2007 no virus found

eSafe 7.0.15.0 04.23.2007 no virus found

eTrust-Vet 30.7.3594 04.25.2007 no virus found

Ewido 4.0 04.24.2007 no virus found

FileAdvisor 1 04.25.2007 no virus found

Fortinet 2.85.0.0 04.25.2007 no virus found

F-Prot 4.3.2.48 04.24.2007 no virus found

F-Secure 6.70.13030.0 04.25.2007 no virus found

Ikarus T3.1.1.5 04.25.2007 no virus found

Kaspersky 4.0.2.24 04.25.2007 no virus found

McAfee 5016 04.24.2007 no virus found

Microsoft 1.2405 04.25.2007 no virus found

NOD32v2 2216 04.24.2007 no virus found

Norman 5.80.02 04.24.2007 no virus found

Panda 9.0.0.4 04.25.2007 no virus found

Prevx1 V2 04.25.2007 no virus found

Sophos 4.16.0 04.23.2007 no virus found

Sunbelt 2.2.907.0 04.19.2007 no virus found

Symantec 10 04.25.2007 no virus found

TheHacker 6.1.6.095 04.15.2007 no virus found

VBA32 3.11.4 04.23.2007 no virus found

VirusBuster 4.3.7:9 04.24.2007 no virus found

Webwasher-Gateway 6.0.1 04.25.2007 no virus found

 

 

Aditional Information

File size: 95288 bytes

MD5: 1fa32242c783a7d6428a003feac66f77

SHA1: 5fc0234bcab76028833fdfcf2063023adbacc60a

[/log]

[log]Complete scanning result of "d3d9caps.dat", received in VirusTotal at 04.25.2007, 12:05:35 (CET).

 

Antivirus Version Update Result

AhnLab-V3 2007.4.25.2 04.25.2007 no virus found

AntiVir 7.4.0.15 04.25.2007 no virus found

Authentium 4.93.8 04.24.2007 no virus found

Avast 4.7.981.0 04.23.2007 no virus found

AVG 7.5.0.464 04.24.2007 no virus found

BitDefender 7.2 04.25.2007 no virus found

CAT-QuickHeal 9.00 04.24.2007 no virus found

ClamAV devel-20070416 04.25.2007 no virus found

DrWeb 4.33 04.25.2007 no virus found

eSafe 7.0.15.0 04.23.2007 no virus found

eTrust-Vet 30.7.3594 04.25.2007 no virus found

Ewido 4.0 04.24.2007 no virus found

FileAdvisor 1 04.25.2007 no virus found

Fortinet 2.85.0.0 04.25.2007 no virus found

F-Prot 4.3.2.48 04.24.2007 no virus found

F-Secure 6.70.13030.0 04.25.2007 no virus found

Ikarus T3.1.1.5 04.25.2007 no virus found

Kaspersky 4.0.2.24 04.25.2007 no virus found

McAfee 5016 04.24.2007 no virus found

Microsoft 1.2405 04.25.2007 no virus found

NOD32v2 2217 04.25.2007 no virus found

Norman 5.80.02 04.24.2007 no virus found

Panda 9.0.0.4 04.25.2007 no virus found

Prevx1 V2 04.25.2007 no virus found

Sophos 4.16.0 04.23.2007 no virus found

Sunbelt 2.2.907.0 04.19.2007 no virus found

Symantec 10 04.25.2007 no virus found

TheHacker 6.1.6.095 04.15.2007 no virus found

VBA32 3.11.4 04.23.2007 no virus found

VirusBuster 4.3.7:9 04.24.2007 no virus found

Webwasher-Gateway 6.0.1 04.25.2007 no virus found

 

 

Aditional Information

File size: 664 bytes

MD5: 01d21153e3286a73fb5416fabe832d9e

SHA1: 5fe62587e9f51ca0b1d337d0e96c0e3ead41ccf3

[/log]

 

[inlägget ändrat 2007-04-25 12:11:05 av el_jimpa]

Link to comment
Share on other sites

Ladda ner Avenger på Skrivbordet och packa upp filen där:

http://swandog46.geekstogo.com/avenger.zip

Kopiera in följande i Anteckningar, inklusive rubriken Files to delete:

Files to delete:
C:\WINDOWS\system32\ilmpjy.dll

Starta Avenger

Bocka i "Input Script Manually"

Klicka på förstoringsglaset och i "View/edit script" så klistrar du in texten som finns i Anteckningar.

Klicka på Done

Klicka på det gröna ljuset och svara Ja på frågorna.

 

Datorn startar nu om.

Ett DOS-fönster ska komma fram och sedan ska loggen komma upp.

 

Klistra in den här liksom en ny SmitfraudFix-logg där du väljer alternativ 1.

 

Link to comment
Share on other sites

[log]Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\yyhxeibj

 

*******************

 

Script file located at: \??\C:\WINDOWS\system32\rpknfwpy.txt

Script file opened successfully.

 

Script file read successfully

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

File C:\WINDOWS\system32\ilmpjy.dll deleted successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.[/log]

[log]SmitFraudFix v2.171

 

Scan done at 12:51:45,25, 2007-04-25

Run from C:\Documents and Settings\Lina\Skrivbord\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in normal mode

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Norman\Npm\bin\ELOGSVC.EXE

C:\Norman\Npm\Bin\Zanda.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Norman\Npm\bin\ZLH.EXE

C:\Program\Java\jre1.5.0_11\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\QuickTime\qttask.exe

C:\Program\iTunes\iTunesHelper.exe

C:\Program\PestPatrol\PPMemCheck.exe

C:\Program\PestPatrol\PPControl.exe

C:\Program\PestPatrol\CookiePatrol.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\MSN Messenger\MsnMsgr.Exe

C:\Norman\Npf\BIN\npfmsg2.exe

C:\Norman\Nvc\BIN\NIP.EXE

C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

C:\Norman\Npf\BIN\NPFSVICE.EXE

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Canon\CAL\CALMAIN.exe

C:\Norman\Npm\bin\NJEEVES.EXE

C:\Norman\Nvc\BIN\NVCSCHED.EXE

C:\Norman\Nvc\bin\nvcoas.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\internet explorer\iexplore.exe

C:\Norman\Nvc\bin\cclaw.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\cmd.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Lina

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Lina\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Lina\FAVORI~1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{4233ac08-a2c4-4742-a0b4-83719613d62c}"="grassily"

 

[HKEY_CLASSES_ROOT\CLSID\{4233ac08-a2c4-4742-a0b4-83719613d62c}\InProcServer32]

@="C:\WINDOWS\system32\ilmpjy.dll"

 

[HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{4233ac08-a2c4-4742-a0b4-83719613d62c}\InProcServer32]

@="C:\WINDOWS\system32\ilmpjy.dll"

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: Realtek RTL8139 Family PCI Fast Ethernet NIC - Miniport för paketschemaläggning

DNS Server Search Order: 130.244.127.161

DNS Server Search Order: 130.244.127.169

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{51FBB553-8608-4BFB-85D1-99252CA33D81}: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CS1\Services\Tcpip\..\{51FBB553-8608-4BFB-85D1-99252CA33D81}: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CS2\Services\Tcpip\..\{51FBB553-8608-4BFB-85D1-99252CA33D81}: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=130.244.127.161 130.244.127.169

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

 

 

»»»»»»»»»»»»»»»»»»»»»»»» End

 

[/log]

 

Link to comment
Share on other sites

Då ger vi oss på registereditorn. Läs igenom och se om det är något du inte förstår.

 

Starta om i felsäkert läge.

 

Start - Kör - regedit

Gör en säkerhetskopia först av registret:

Arkiv - Exportera

Välj Alla längst ner till vänster

Välj en mapp eller Skrivbord

Skriv in ett filnamn

Kom ihåg mappen och filnamnet.

Tryck på Spara.

 

Om något går fel så kan du återställa till det gamla innehållet i registret genom att dubbelklicka på den sparade filen.

 

I vänsterkolumnen är ungefär som mappar i varandra som i Utforskaren.

Man trycker på + för att öppna det som finns inuti.

 

[log]Leta dig fram till HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersio

n\Explorer\SharedTaskScheduler

I högerkolumnen ska det då finnas ett namn som är {4233ac08-a2c4-4742-a0b4-83719613d62c}

Högerklicka på detta namn och välj Ta bort

 

Leta dig fram till HKEY_LOCAL_MACHINE\Software\Classes\CLSID\{4233ac08-a2c4-47

42-a0b4-83719613d62c}\InProcServer32

Högerklicka på namnet på den rad där det står C:\WINDOWS\system32\ilmpjy.dll och välj Ta bort

 

Sedan samma med HKEY_CLASSES_ROOT\CLSID\{4233ac08-a2c4-4742-a0b4-83719613d6

2c}\InProcServer32

där du också tar bort raden med C:\WINDOWS\system32\ilmpjy.dll

 

Sedan är det dags att avsluta regedit så välj Arkiv - Avsluta

 

Kör SmitfraudFix och välj alternativ 2.

 

Starta om datorn i normalt läge.

 

I ditt svar så klistra in C:\rapport.txt och skriv hur datorn uppför sig nu.[/log]

[inlägget ändrat 2007-04-25 13:11:33 av Cecilia]

Link to comment
Share on other sites

Hej...datorn tycks nu fungera som den ska...den är och har dock varit väldigt seg även innan detta...finns det nåt bra sätt att åtgärda det med.

 

alla pop-ups och varningsmeddelande har nu försvunnit...finns det några speciella program man behöver..jag har norman antivirus och brandvägg +superantispyware...ngt som saknas?

 

 

 

 

[log]SmitFraudFix v2.171

 

Scan done at 14:06:43,42, 2007-04-25

Run from C:\Documents and Settings\Lina\Skrivbord\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

127.0.0.1 localhost

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{51FBB553-8608-4BFB-85D1-99252CA33D81}: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CS1\Services\Tcpip\..\{51FBB553-8608-4BFB-85D1-99252CA33D81}: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CS2\Services\Tcpip\..\{51FBB553-8608-4BFB-85D1-99252CA33D81}: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=130.244.127.161 130.244.127.169

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=130.244.127.161 130.244.127.169

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

 

Registry Cleaning done.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» End

 

[/log]

 

Link to comment
Share on other sites

Jag vet inte hur mycket resurser som PestPatrol tar, annars så har du ju inte så mycket program igång. Fast det finns väl några som väl inte behöver starta automatiskt jämnt.

 

Det här är länkar som beskriver en del av det som startar automatiskt i din dator:

http://www.bleepingcomputer.com/startups/soundman-5045.html

http://www.bleepingcomputer.com/startups/QuickTime_Task-4341.html

http://www.bleepingcomputer.com/startups/iTunesHelper.exe-2349.html

http://www.bleepingcomputer.com/startups/MsnMsgr-3423.html

http://www.bleepingcomputer.com/startups/reader_sl.exe-175.html

Läs och avgör själv om du vill att de ska starta jämnt eller inte.

 

Om inte, så hitta helst en inställning i programmet som slår av den automatiska starten, men i andra hand så kan du avbocka motsvarande rad i Start - Kör - msconfig - Autostart.

 

Du kan läsa mina råd för en säkrare dator t ex i detta inlägg:

//eforum.idg.se/viewmsg.asp?EntriesId=936999#937500

 

 

Link to comment
Share on other sites

okej!

 

Tack så hemskt mycket för all hjälp, du är guldvärd!

 

Grymt imponerad förstår inte hur du kan veta allt det här..men som sagt tack så hemskt mycket för allt hjälp!

 

Vart ska jag skicka rosorna!? ;-)

 

haha ha det så bra.

 

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.

×
×
  • Create New...