"Your privacy is in danger" hjälp!!!

[Cecilia]

C:\\Program\\ORL\\VNC\\WinVNC.ex är programfilen så se om du hittar något med ORL eller WinVNC bland program att avinstallera. Eller om det finns något avinstallationsprogram i mappen.

 

Är detta en massa olika antivirusprogram???

Filen kontrollerades av en massa antivirusprogram.

 

Går det bra att ta bort

C:\WINDOWS\system32\SuFOYcfe.ini

C:\quarantine

C:\Documents and Settings\All Users\Application Data\services

 

och i så fall är det borta efter en omstart av datorn?

 

[kasspådatorer]

Hej igen!

 

C:\\Program\\ORL\\VNC\\WinVNC.ex är programfilen så se om du hittar något med ORL eller WinVNC bland program att avinstallera. Eller om det finns något avinstallationsprogram i mappen.

 

Avinstallationsprogrammet i mappen funkade inte skumt nog.. och hittar inget i "Läggtill/tabort listan". Nåja vi får väl strunta i det? Eller är det en risk?

 

Det gick bra att ta bort mapparna och filen och de återuppstod inte efter omstart.

 

//Kristian

 

[Cecilia]

Det är en gammal Java-version med säkerhetshål i datorn. Jag rekommenderar dig att installera en ny från http://www.java.com/sv/ och därefter avinstallera alla Java/J2SE/JRE utom den senaste i Kontrollpanelen - Lägg till eller ta bort program (inga webbläsare igång).

 

Det är inte risk att ha ett VNC-program i sig, du kan stänga av den automatiska uppstarten av det i Start - Kör - msconfig, samt förbjuda (ta bort) det från brandväggsinställningarna.

 

Det är en del rester i registret skulle jag tro, det är enklast att få bort dem med HijackThis.

http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

Installera, starta och välj "Do a system scan and save a logfile", kopiera loggen som kommer upp (inget annat) och klistra in här.

 

[kasspådatorer]

Hej igen... ny version av Java installerad och VNC borta från autostart!

 

Här kommer den nya loggen

 

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:03, on 2008-08-31

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\basfipm.exe

C:\Program\McAfee\Common Framework\FrameworkService.exe

C:\Program\Network Associates\VirusScan\Mcshield.exe

C:\Program\Network Associates\VirusScan\VsTskMgr.exe

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe

C:\Program\SiteAdvisor\6029\SAService.exe

C:\Program\ORL\VNC\WinVNC.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Apoint\Apoint.exe

C:\WINDOWS\system32\hkcmd.exe

C:\Program\Dell\QuickSet\quickset.exe

C:\WINDOWS\system32\WLTRAY.exe

C:\Program\CyberLink\PowerDVD\DVDLauncher.exe

C:\Program\Delade filer\Sonic\Update Manager\sgtray.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program\Network Associates\VirusScan\SHSTAT.EXE

C:\Program\Apoint\Apntex.exe

C:\Program\VVLauncher\VVLauncher.exe

C:\Program\McAfee\Common Framework\UdaterUI.exe

C:\Program\SiteAdvisor\6029\SiteAdv.exe

C:\Program\McAfee\Common Framework\McTray.exe

C:\Program\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe

C:\Program\Digital Line Detect\DLG.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.gp.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: HelperObject Class - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program\TechSmith\SnagIt 7\SnagItBHO.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program\SiteAdvisor\6029\SiteAdv.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program\TechSmith\SnagIt 7\SnagItIEAddin.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program\SiteAdvisor\6029\SiteAdv.dll

O4 - HKLM\..\Run: [Apoint] C:\Program\Apoint\Apoint.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Dell QuickSet] C:\Program\Dell\QuickSet\quickset.exe

O4 - HKLM\..\Run: [Dell Wireless Manager UI] C:\WINDOWS\system32\WLTRAY

O4 - HKLM\..\Run: [DVDLauncher] "C:\Program\CyberLink\PowerDVD\DVDLauncher.exe"

O4 - HKLM\..\Run: [updateManager] "C:\Program\Delade filer\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [shStatEXE] "C:\Program\Network Associates\VirusScan\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [VVLauncher] C:\Program\VVLauncher\VVLauncher.exe

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [siteAdvisor] C:\Program\SiteAdvisor\6029\SiteAdv.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\pchealth\helpctr\Binaries\MSCONFIG.EXE /auto

O4 - HKCU\..\Run: [updateMgr] C:\Program\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_5 -reboot 1

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Bluetooth Manager.lnk = ?

O4 - Global Startup: Digital Line Detect.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://intranet.svefa.se

O15 - Trusted Zone: http://www.fft.lm.se

O15 - Trusted Zone: http://*.naisvefa.se'>http://*.naisvefa.se

O15 - Trusted Zone: http://www.svefa.se

O15 - Trusted Zone: www3.svefa.se

O15 - Trusted Zone: http://*.www.lm.se'>http://*.www.lm.se

O15 - Trusted Zone: http://*.naisvefa.se (HKLM)

O15 - Trusted Zone: http://*.www.lm.se (HKLM)

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {21F49842-BFA9-11D2-A89C-00104B62BDDA} (ChartFX Internet Control) - http://www.svefa.se/download/CfxIEAx.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1130317657585

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = svefa.net

O17 - HKLM\Software\..\Telephony: DomainName = svefa.net

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = svefa.net

O20 - AppInit_DLLs: ixmtdj.dll mudwro.dll

O23 - Service: Broadcom ASF IP monitoring service v6.0.4 (BAsfIpM) - Broadcom Corp. - C:\WINDOWS\system32\basfipm.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program\McAfee\Common Framework\FrameworkService.exe

O23 - Service: Network Associates McShield (McShield) - McAfee, Inc. - C:\Program\Network Associates\VirusScan\Mcshield.exe

O23 - Service: Network Associates Task Manager (McTaskManager) - Network Associates, Inc. - C:\Program\Network Associates\VirusScan\VsTskMgr.exe

O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\SYSTEM32\SPOOL\DRIVERS\W32X86\3\HPZipm12.exe

O23 - Service: SiteAdvisor Service - McAfee, Inc. - C:\Program\SiteAdvisor\6029\SAService.exe

O23 - Service: VNC Server (winvnc) - AT&T Research Labs Cambridge - C:\Program\ORL\VNC\WinVNC.exe

O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

 

--

End of file - 7711 bytes[/log]

 

Kommer aldrig förstå vad du ser i dessa loggar *ler*

 

Tack snälla för att du hjälper mig!

 

// Kristian

 

 

 

 

[Cecilia]

Kommer aldrig förstå vad du ser i dessa loggar *ler*

Sånt går att lära sig om man är intresserad.

 

Skanna med HijackThis och bocka för:

 

O20 - AppInit_DLLs: ixmtdj.dll mudwro.dll

 

Avsluta alla andra program.

Tryck Fix checked.

 

Starta om datorn och kolla själv att ovanstående rad är borta ur en ny HijackThis-logg.

 

Kontrollpanelen - Administrationsverktyg - Tjänster

Leta upp VNC Server i listan, dubbelklicka och välj Startmetod Inaktiverad.

 

Hur mår datorn nu?

 

[kasspådatorer]

Tack!

 

Nu går den snabbt som tusan! Stort tack för hjälpen!

 

[Cecilia]

Det var roligt att höra och tack så väldigt mycket för alla poäng! :)

 

Ladda ner avinstallationsprogrammet OTCleanIt till Skrivbordet.

http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe

Dubbelklicka på filen för att starta programmet.

Tryck på knappen CleanUp! och de olika fix-program som du har laddat ner under dagen kommer att avinstalleras, inkl. detta program, efter en omstart av datorn.

 

Här kan du läsa mina vanliga råd för en säkrare dator, men det är så klart viktigt att man använder sitt förnuft också.

http://ceblstockholm.googlepages.com/home

 

 

[kasspådatorer]

Åter igen.... stort tack för ditt engagemang!

 

I detta fallet var det bristande förnuft som gjorde att jag hamnade där jag hamnade...

 

Ska följa dina råd och skanna flitigt!

 

Tack!!!

 

// Kristian