Your computer is infected! Windows has detected spyware infection!

[Jonas-_-]

Hej! Jag har problem med något som jag tror är ett virus. Nämligen en liten Röd cirkel med ett vitt X på som är längst ner på startmenyn och blinkar och skriver detta medelande:

 

"Your computer is infected!

Windows has detected spyware infection!

 

It is recomended to use special antispyware tools to prevent data loss. Windows will now download and install the most up-to-date antispyware for you.

 

Click here to protect your computer from spyware!"

 

Detta är väldigt irriterande och jag vet inte hur jag ska få bort det. När man klickar på det laddar den hem ett program som heter AntiSpywareXP2009. Råkade göra det en gång och nu installerar sig programet varje gång man startar datorn, trots mina försök att ta bort det. Skulle gärna vilja veta om någon visste hur man kan ta bort denna irriterande sak! Har haft något liknande på en annan dator och då lyckades jag få bort "virusprogrammet" och fel meddelandet genom att radera någon fil i System32 mappen.

 

Tacksam för snabba svar! MVH Jonas

 

[Brynäsarn]

Skicka hit en Hijack-logg så kan någon av experterna här ta en titt på

den.

http://www.snapfiles.com/get/hijackthis.html

Installera,starta,välj Do a system scan and save a logfile

kopiera loggen som kommer upp

 

Du postar loggen på detta sätt

 

Tryck på LOG-knappen i besvara-fönstret

klistra in loggen

Tryck igen på LOG-knappen

 

[inlägget ändrat 2008-10-29 18:10:42 av Brynäsarn]

[Cecilia]

Virus är det ju inte men det är en del av ett skadligt program.

 

Innan du gör det som Brynäsarn skrev så gör följande:

Ladda ner Malwarebytes Anti-Malware (MBAM) från en av dessa länkar:

http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

http://projects.securitywonks.net/projects/details.php?file=158

Dubbelklicka på mbam-setup för att installera programmet.

 

[log]Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj "Utför snabb skanning" och tryck på Skanna.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan "Visa resultat".

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.

Kopiera loggen och klistra in den i ditt svar.

Gör som Brynäsarn skrev[/log]

 

[Jonas-_-]

Hej! Laddade hem Malwarebytes' Anti-Malware och gjorde en snabb scan. Sedan startade jag om datorn och fick denna logg:

 

[log]Malwarebytes' Anti-Malware 1.30

Databasversion: 1306

Windows 5.1.2600 Service Pack 2

 

2008-10-30 11:55:55

mbam-log-2008-10-30 (11-55-55).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 53428

Förfluten tid: 7 minute(s), 5 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 4

Infekterade registervärden: 4

Infekterade registerdataposter: 2

Infekterade mappar: 0

Infekterade filer: 21

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\antispywarexp2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\antispywarexp2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\tdssdata (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\tdss (Trojan.Agent) -> Quarantined and deleted successfully.

 

Infekterade registervärden:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\antispywarexp 2009 (Rogue.AntispywareXP) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\brastk (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

Infekterade registerdataposter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\ -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\ -> Quarantined and deleted successfully.

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\WINDOWS\system32\drivers\svchost.exe (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

C:\WINDOWS\karna.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\karna.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\ (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\delself.bat (Malware.Trace) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\dllcache\beep.sys (Fake.Beep.Sys) -> Quarantined and deleted successfully.

C:\WINDOWS\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\_scui.cpl (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\wini10801.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\brastk.exe (Trojan.FakeAlert) -> Delete on reboot.

C:\Documents and Settings\IBM\Application Data\Microsoft\Internet Explorer\Quick Launch\AntiSpywareXP2009.lnk (Rogue.Antispyware) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\TDSSbubv.log (Trojan.TDSS) -> Delete on reboot.

C:\WINDOWS\system32\TDSShrxr.dll (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\system32\TDSSlxwp.dll (Rootkit.Agent) -> Delete o[/log]

 

Den blinkande varningen försvann och allt verkar bra, men tycker ni att jag ska köra med Hijackthis programmet i alla fall?

 

Tacksam för svar, Jonas.

 

[inlägget ändrat 2008-10-30 12:09:06 av Jonas-_-]

[Cecilia]

Det kan finnas en del rester kvar, gör väl inte någon skada men det kan ju vara trevligt med en dator utan dem, och då gör en HijackThis-logg nytta.

 

[Jonas-_-]

Gjorde en HijackThis Scan och fick denna logg:

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:31:40, on 2008-10-30

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

C:\Program\Canon\CAL\CALMAIN.exe

C:\Program\NORTON~1\navapw32.exe

C:\Program\Winamp\winampa.exe

C:\WINDOWS\system32\Sktempdm.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\Skdaemon.exe

C:\Program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\Program\ekort\ekort.exe

C:\WINDOWS\System32\tbctray.exe

C:\Program\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\system32\OBroker.exe

C:\Program\Delade filer\Teleca Shared\Generic.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe

C:\Program\Mozilla Firefox\firefox.exe

D:\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = \blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NAV Agent] C:\Program\NORTON~1\navapw32.exe

O4 - HKLM\..\Run: [Detect Kbd Daemon] SK2000DM.EXE

O4 - HKLM\..\Run: [Winamp Agent] C:\Program\Winamp\winampa.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\Program\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MMTray] C:\Program Files\MusicMatch\MusicMatch Jukebox\mm_tray.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [e-kort] C:\Program\ekort\ekort.exe /dontopenmycards

O4 - HKLM\..\Run: [TraySantaCruz] C:\WINDOWS\System32\tbctray.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [bitTorrent] "D:\BitTorrent\bittorrent.exe" --force_start_minimized

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: e-kort - {F74E75A5-96BF-40ef-A1C8-88EAEBB82AB6} - C:\Program\ekort\ekort.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {9478041E-CAEC-44A5-8271-B56799715926} (ColorApplication Control) - http://clients.theshining.se/colorapp/ColorAppOnline.cab

O20 - AppInit_DLLs: karna.dat

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program\Canon\CAL\CALMAIN.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program\DELADE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

 

--

End of file - 4983 bytes[/log]

 

[Cecilia]

Skanna med HijackThis och bocka för:

 

O20 - AppInit_DLLs: karna.dat

 

Avsluta alla andra program.

Tryck Fix checked.

 

Starta om datorn.

 

Vad är det för Norton du har? Det verkar vara så få processer.

 

Här kan du läsa mina vanliga råd för en säkrare dator, men det är så klart viktigt att man använder sitt förnuft också.

http://ceblstockholm.googlepages.com/home

 

 

[Jonas-_-]

Det Norton jag använder är väldigt gammalt och följde med datorn då den köptes runt år 2002 ungefär. Tänkte faktist fråga det; om du, eller någon hade ett bra virusprogram att rekomendera, som kostar en liten slant, eller kanske är gratis!? Tror att mitt har börjat bli lite gammalt och det är dags att skaffa ett nytt.

 

Läste din guide och jag tycker den verkar bra, jag kommer definitivt att följa den för att slippa att sånna här otrevliga saker händer igen!

 

MVH Jonas

 

[Cecilia]

Ja, ett så gammalt program har svårt att detektera nyare typer av hot. Däremot så är det få antivirusprogram som klarar av den typen av infektioner som du råkade ut för.

 

De antivirusprogram som man betalar för är generellt något bättre än de gratis varianterna (Avast, AVG, Antivir). Men eftersom datorn är gammal så kan den ha svårt för att orka med väldigt stora antivirusprogram så innan du köper något så installera en testversion. Nod32 är ett antivirusprogram som inte kräver mycket av datorn.

 

[Jonas-_-]

Okej jag får väl pröva Nod32 eller något annat trevligt program.

 

Nu vill jag också passa på att tacka för alla svar och all hjälp, utan den hade jag aldrig lyckats få bort den där otäcka saken!

 

MVH Jonas