BHO, Hijacklog, Cecilia sökes

[Helena_1971]

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:48:24, on 2007-08-11

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program\Grisoft\AVGFRE~1\avgamsvr.exe

C:\Program\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program\Grisoft\AVGFRE~1\avgemc.exe

C:\Program\MATCO\BuzzsawService\BuzzSawService.exe

C:\Program\Kerio\Personal Firewall 4\kpf4ss.exe

C:\Program\LennartFranzén\LFConnectionKeeper\lfck.exe

C:\Program\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Kerio\Personal Firewall 4\kpf4gui.exe

C:\WINDOWS\System32\wbem\wmiapsrv.exe

C:\WINDOWS\AGRSMMSG.exe

C:\Program\Grisoft\AVGFRE~1\avgcc.exe

C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.leta.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_01\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program\google\googletoolbar1.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [LtMoh] C:\Program\ltmoh\Ltmoh.exe

O4 - HKLM\..\Run: [Apoint] C:\Program\Apoint2K\Apoint.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [POINTER] point32.exe

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [AVG7_CC] C:\Program\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\Program\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Add to filterlist (WebWasher) - http://-Web.Washer-/ie_add

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_01\bin\npjpi160_01.dll

O9 - Extra button: Ladbrokes Poker - {C2A80015-C447-4dc4-82DD-AED83D6ED57E} - C:\Program\ladbrokesMPP\MPPoker.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {0EB73E39-8AD4-43E8-8FBA-0165C2CCDB8B} (GameControl Class) - http://games.blip.se/midasa.cab

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {3FE16C08-D6A7-4133-84FC-D5BFB4F7D886} (WebGameLoader Class) - http://zone.msn.com/bingame/rtlw/default/ReflexiveWebGameLoader.cab

O16 - DPF: {45A0A292-ECC6-4D8F-9EA9-A4BD411D24C1} (king.com) - http://games.blip.se/ctl/kingcomie.cab

O16 - DPF: {4B9F2C37-C0CF-42BC-BB2D-DCFA8B25CABF} - http://zone.msn.com/bingame/rock/default/popcaploader1.cab

O16 - DPF: {64D01C7F-810D-446E-A07E-16C764235644} (AtlAtomadersCtlAttrib Class) - http://zone.msn.com/bingame/amad/default/atomaders.cab

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.onskefoto.se/photos/upload/ImageUploader4.cab

O16 - DPF: {7E980B9B-8AE5-466A-B6D6-DA8CF814E78A} (MJLauncherCtrl Class) - http://zone.msn.com/bingame/luxr/default/mjolauncher.cab

O16 - DPF: {9AA73F41-EC64-489E-9A73-9CD52E528BC4} (ZoneAxRcMgr Class) - http://zone.msn.com/binGame/ZAxRcMgr.cab

O16 - DPF: {AE1C01E3-0283-11D3-9B3F-00C04F8EF466} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab'>http://fdl.msn.com/zone/datafiles/heartbeat.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://zone.msn.com/binFramework/v10/ZIntro.cab34246.cab

O16 - DPF: {D54160C3-DB7B-4534-9B65-190EE4A9C7F7} (SproutLauncherCtrl Class) - http://zone.msn.com/bingame/feed/default/SproutLauncher.cab

O16 - DPF: {D77EF652-9A6B-40C8-A4B9-1C0697C6CF41} (TikGames Online Control) - http://zone.msn.com/bingame/shpo/default/shapo.cab

O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://flashcasino.ladbrokes.com/instant-play-en/FlashAX.cab

O16 - DPF: {DAF5D9A2-D982-4671-83E4-0398706A5F6A} (SCEWebLauncherCtl Object) - http://zone.msn.com/bingame/hsol/default/SCEWebLauncher.cab

O16 - DPF: {DF780F87-FF2B-4DF8-92D0-73DB16A1543A} (PopCapLoader Object) - http://zone.msn.com/bingame/popcaploader_v10.cab

O16 - DPF: {E5D419D6-A846-4514-9FAD-97E826C84822} (HeartbeatCtl Class) - http://fdl.msn.com/zone/datafiles/heartbeat.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Program\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Buzzsaw_Defragmentation - MATCO - C:\Program\MATCO\BuzzsawService\BuzzSawService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program\Kerio\Personal Firewall 4\kpf4ss.exe

O23 - Service: LF Connection Keeper Service (LFCK) - Lennart Franzén - C:\Program\LennartFranzén\LFConnectionKeeper\lfck.exe

O23 - Service: VNC Server (winvnc) - Unknown owner - C:\Program\TightVNC\WinVNC.exe (file missing)

 

--

End of file - 7438 bytes[/log]

 

 

 

Jag vet inte vad som spökar. Har nog stängt av lite mycket grejer som gör att allt inte funkar som det ska.....kanske?? Dessutom får jag uppen varningstriangel över "hantera tilläggskomponenter" i mitt webbfönster så jag har väl stängt av lite mycket där oxå. Hoppas på lite hjälp. Ibland får jag dessutom klicka två gånger för att exempelvis logga in och såna konstiga grejer. Håller på att köra AVG Anti-Spyware as we speaking, men det är inte färdigt ännu. Under Browser Plugins (AVG ASW) finns tre stycken BHO och två olika Toolbar och jag undrar hur mycket de kan sakta ner maskinen? och om allt som finns i autostarten är rimligt att ha där?

Tack på förhand /Helena

[log]---------------------------------------------------------

AVG Anti-Spyware - Scan Report

---------------------------------------------------------

 

+ Created at: 16:30:24 2007-08-11

 

+ Scan result:

 

 

 

C:\System Volume Information\_restore{A632DFCC-698F-456D-B073-46C1014F4977}\RP995\A0070849.exe -> Dropper.Small : No action taken.

C:\Documents and Settings\LIFEBOOK\Cookies\lifebook@adtech[2].txt -> TrackingCookie.Adtech : No action taken.

C:\Documents and Settings\LIFEBOOK\Cookies\lifebook@atdmt[2].txt -> TrackingCookie.Atdmt : No action taken.

C:\Documents and Settings\LIFEBOOK\Cookies\lifebook@doubleclick[1].txt -> TrackingCookie.Doubleclick : No action taken.

C:\Documents and Settings\LIFEBOOK\Cookies\lifebook@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : No action taken.

 

 

::Report end[/log]

[inlägget ändrat 2007-08-11 16:34:50 av Helena_1971]

[Cecilia]

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

Det räcker med att du har en HijackThis.

 

Jag ser inget otrevligt i HijackThis-loggen och den otrevlighet som AVG Anti-Spyware hittade var inte aktiv.

 

De 3 BHOerna är Yahoo Toolbar, Java-programmet och Google Toolbar, samt de 2 "toolbar"en Yahoo och Google. Om du använder dem så ska du ha kvar dem. Jag tror inte att de påverkar något mer än att Internet Explorer blir något lite långsammare att starta.

 

Det är ju inte så mycket du har som startar automatiskt i alla fall.

Slå upp filnamnen på http://www.bleepingcomputer.com/startups/ och se själv vad du tycker är onödigt.

 

Hur har du stängt av saker?

 

Dessutom får jag uppen varningstriangel över "hantera tilläggskomponenter" i mitt webbfönster så jag har väl stängt av lite mycket där oxå.

Kan du ta en skärmdump och bifoga ditt svar?

 

Ibland får jag dessutom klicka två gånger för att exempelvis logga in och såna konstiga grejer.

Gäller det webbläsaren? I så fall något exempel på sida.

 

[Helena_1971]

Hej igen!

Nu ska jag verkligen visa min okunnighet inom området. Jag antar att en skärmdump är att man tar en "bild" av vad som står på skärmen, men jag har ingen aning om HUR man gör det....:-(

 

Sidor som detta sker på varierar, jag kan inte peka på nån direkt nu. Blip.se och ibland när jag ska logga in på hotmailen.

 

/Helena

 

[Cecilia]

Inte lätt att veta.

Se till att rutan/fönstret är aktivt/överst, tryck på Alt+PrntScreen

Starta Paint

Redigera - Klistra in

Arkiv - Spara som

Välj png eller jpg som filformat, ange t ex Skrivbordet och skriv in ett filnamn och spara

Skriv ett svar här och bocka i Jag vill bifoga en bild innan du trycker på Skapa inlägget. Det kommer upp ett till fönster, bläddra fram bilden du sparade i Paint och ladda upp den (kommer inte ihåg texten exakt).

 

När du skriver att du behöver klicka 2 gånger, menar du då att det är som det första klicket inte tar eller händer det något redan på första klicket men du blir inte inloggad?

 

[Helena_1971]

Om jag skriver in användarnamn och sedan lösen och klickar på logga in så jobbar datorn, men jag blir inte inloggad med följd att anv.namn står kvar men lösenordet försvunnit och jag får skriva in det igen. Har funderat på att man varit för snabb så att sidan inte laddats ordentligt innan man försökt logga in men jag vet inte säkert.

 

Har provat göra en skärmdump enligt instruktionerna men när jag trycker alt+prt scr händer inget, efter det startar jag paint och red och då fungerar inte alternativet klistra in utan bara klistra in från och eftersom jag inte fick ngn chans att spara skärmdumpen kan jag ju inte gärna hämta den någonstans ifrån.

 

[Cecilia]

Försök med PrintScreen-tangenten utan Alt då.

Men man märker inte på något sätt att PrintScreen (med eller utan Alt) har gjort något, utan det är bara att Klistra in är valbart. Jag har inget Klistra in från i min Paint men finns det någon möjlighet att välja "från Clipboard (vad nu det kan heta på svenska)"

 

[Helena_1971]

Har försökt på olika sätt att få detta att fungera men det är lögn i XFDIJHBSCVBOSVUG att jag lyckas. Har letat runt på nätet vad clipboard kan betyda och nääää, kan tänka mig skrivbord men där är det inget som lägger sig frivilligt. Jag får väl fortsätta undra för det verkar döfött.

 

Men vad tror du om min analys med lösenorden?

 

[Cecilia]

När man markerar något och väljer Klipp ut så hamnar det man klipper ut i "Clipboard", så det är därifrån man flyttar informationen när man väljer Klistra in.

 

Tyvärr, så ringde det inte någon klocka när jag läste din beskrivning av inloggningarna.

 

Vad och hur har du stängt av grejer?

 

[Helena_1971]

Jag har inaktikverat tre BHO:erna, SSVHelper Class, Google verktygsfält, Sun Java-konsol, Windows Media Player, Windows Messenger, Yahoo! Toolbar och Ladbrokes Poker. Men jag antar att när man startar t.ex Ladbrokes att tilläggskomponenterna startar av sig själv igen, eller måste man aktivera dem igen?

 

På exempelvis blip.se är det ett "enkelriktat" vägmärke dår nere över tilläggskomponenter istället för en gul varningstriangel med ett utropstecken i. Den enda som är aktiverad och inläst i windows är Shockwave Flash Object.

 

Hittar ingenstans där skärmdumpen kan ha lagt sig tyvärr. Har försökt beskriva det hela så gott jag kan i alla fall. Jag förstår till fullo om du har svårt att hjälpa mig.

 

[927]

om du bara klickar på printscreen och klistra in inte är markerat eller går att välja i ett lämpligt program så kanske det är nåt fel på ditt tgt-bord.

 

det är ju samma sak som att tex markera en text på en webbsida och sen öppna anteckningar för att klistra in, datorn minns text eller bild men d¨å använder man ju inte printscreen

 

 

[Helena_1971]

Har nyligen bytt tangentbord, har en bärbar fujitsu simens lifebook, så jag får väl höra av mig till firman som bytte det då. Attans....

Jag har försökt markera med musen men det funkar inte i det fönstret, tyvärr.

 

[927]

ditt problem med inloggning kan ha att göra med cookies, testa dra ner reglaget i botten (om du använder ie, internet alternativ >sekretess)

 

klickar du på hantera tilläggskomponeter så ser du ju vilka som är aktiverade och jag antar att det står vilka som är inaktiverade (hos mig visas ju bara en lista med aktiverade)

 

[Cecilia]

Du har inget annat bild-program än Paint?

 

Blir det någon skillnad om du aktiverar det du räknade upp?

Jag antar att du litar på blip.se och i så fall kan du ju pröva med att lägga in den webbadressen i tillförlitliga platser (Internet-alternativ - Säkerhet - Tillförlitliga - Platser) och se om det går bättre. Då går det i alla fall att komma fram till om problemet beror på för hårt åtskruvade säkerhetsinställningar eller något annat.

 

Du beskriver säkert bra, det är bara det att jag så sällan använder Internet Explorer så jag har inte råkat ut för så mycket med det och därför inte känner igen det.

 

[927]

tex infranview är ju ett enkelt litet gratisprogram

 

[Helena_1971]

Jag tackar för all hjälp och ser vad jag kan göra med alla råden. Återkommer om jag inte får rätt på saker och ting.

 

TACK, både Cecilia och 927

 

[Cecilia]

Tack själv för poäng!

Återkom absolut, jag vill gärna veta hur det går.