Har en keylogger på datorn

[Ax£l]

Jag misstänker att jag har fått en keylogger på min dator. Jag har sökt och tagit bort diverse Trojaner med ad-aware, spybot, Mawarebyte anti-malware och Panda antivirus 2007.

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 16:16:18, on 2008-11-29

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Panda Software\Panda Antivirus 2007\pavsrv51.exe

C:\Program\Panda Software\Panda Antivirus 2007\AVENGINE.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Panda Software\Panda Antivirus 2007\PsImSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

C:\WINDOWS\system32\fxssvc.exe

C:\Program\Panda Software\Panda Antivirus 2007\apvxdwin.exe

C:\Program\Analog Devices\Core\smax4pnp.exe

C:\Program\Java\jre1.6.0_07\bin\jusched.exe

C:\Program\CyberLink\PowerDVD\DVDLauncher.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

c:\program\panda software\panda antivirus 2007\WebProxy.exe

C:\Program\Dell\Media Experience\DMXLauncher.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\WINDOWS\emMON.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\MSN Messenger\MsnMsgr.Exe

C:\Program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program\Delade filer\Symantec Shared\Security Center\SymSCUI.exe

C:\Program\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/countries/se/sve/gen/default.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.youtube.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar5.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program\google\googletoolbar5.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [DVDLauncher] "C:\Program\CyberLink\PowerDVD\DVDLauncher.exe"

O4 - HKLM\..\Run: [updateManager] "C:\Program\Delade filer\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [DMXLauncher] C:\Program\Dell\Media Experience\DMXLauncher.exe

O4 - HKLM\..\Run: [EPSON Stylus Photo RX420 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATI9CE.EXE /P31 "EPSON Stylus Photo RX420 Series" /O6 "USB001" /M "Stylus Photo RX420"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program\Panda Software\Panda Antivirus 2007\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [emMON] emMON.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [swg] C:\Program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: E-post.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software International - C:\Program\Panda Software\Panda Antivirus 2007\pavsrv51.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software - C:\Program\Panda Software\Panda Antivirus 2007\PsImSvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: CLCV0 (UTSCSI) - Unknown owner - C:\WINDOWS\system32\UTSCSI.EXE

 

--

End of file - 6814 bytes

[/log]

 

 

[log]Malwarebytes' Anti-Malware 1.30

Databasversion: 1433

Windows 5.1.2600 Service Pack 3

 

2008-11-29 15:06:38

mbam-log-2008-11-29 (15-06-38).txt

 

Skanningstyp: Fullständig skanning (C:\|)

Antal skannade objekt: 106264

Förfluten tid: 30 minute(s), 48 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 1

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows Media Player (Backdoor.Bot) -> Quarantined and deleted successfully.

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

[/log]

 

[Cecilia]

Surfa till http://www.virustotal.com klistra in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här. Upprepa med nästa filnamn.

C:\WINDOWS\emMON.exe

C:\WINDOWS\system32\UTSCSI.EXE

 

 

[Ax£l]

Som svar på C:\WINDOWS\emMON.exe fick jag: [log]AhnLab-V3 2008.11.24.3 2008.11.25 -

AntiVir 7.9.0.35 2008.11.25 -

Authentium 5.1.0.4 2008.11.25 -

Avast 4.8.1281.0 2008.11.24 -

AVG 8.0.0.199 2008.11.25 -

BitDefender 7.2 2008.11.25 -

CAT-QuickHeal 10.00 2008.11.25 -

ClamAV 0.94.1 2008.11.25 -

DrWeb 4.44.0.09170 2008.11.25 -

eSafe 7.0.17.0 2008.11.25 -

eTrust-Vet 31.6.6227 2008.11.25 -

Ewido 4.0 2008.11.25 -

F-Prot 4.4.4.56 2008.11.24 -

F-Secure 8.0.14332.0 2008.11.25 -

Fortinet 3.117.0.0 2008.11.25 -

GData 19 2008.11.25 -

Ikarus T3.1.1.45.0 2008.11.25 -

K7AntiVirus 7.10.533 2008.11.25 -

Kaspersky 7.0.0.125 2008.11.25 -

McAfee 5444 2008.11.24 -

McAfee+Artemis 5444 2008.11.24 -

Microsoft 1.4104 2008.11.25 -

NOD32 3639 2008.11.25 -

Norman 5.80.02 2008.11.25 -

Panda 9.0.0.4 2008.11.25 -

PCTools 4.4.2.0 2008.11.25 -

Prevx1 V2 2008.11.25 -

Rising 21.05.12.00 2008.11.25 -

SecureWeb-Gateway 6.7.6 2008.11.25 -

Sophos 4.35.0 2008.11.25 -

Sunbelt 3.1.1823.2 2008.11.22 -

Symantec 10 2008.11.25 -

TheHacker 6.3.1.1.162 2008.11.25 -

TrendMicro 8.700.0.1004 2008.11.25 -

VBA32 3.12.8.9 2008.11.24 -

ViRobot 2008.11.25.1485 2008.11.25 -

VirusBuster 4.5.11.0 2008.11.25 -[/log]

 

Och som svar på C:\WINDOWS\system32\UTSCSI.EXE fick jag: "0 bytes size received / Se ha recibido un archivo vacio"

 

[Cecilia]

Det verkar ju bra, jag kan då inte se något skadligt i HijackThis-loggen men långt ifrån allt syns i en HijackThis-logg.

 

Ta bort rester av Norton med deras städprogram

http://service1.symantec.com/Support/tsgeninfo.nsf/docid/2005033108162039

 

Kontrollpanelen - Administrationsverktyg - Tjänster

Leta upp SymWMI Service i listan (finns kanske inte kvar efter städprogrammet), dubbelklicka och välj Startmetod Inaktiverad. Upprepa med CLCV0.

 

Backdoor.Bot som MBAM hittade är ingen keylogger utan något skadligt som öppnar en bakdörr till datorn så att någon ute på internet har tillgång till datorn t ex för att läsa lösenord, men lika gärna för att använda datorn för att skicka spam.

 

[Ax£l]

Hej!

 

 

Tack för svaret, men jag har lite funderingar:

- Du säger att allt är bra. Betyder det då att jag inte längre har nån keylogger eller bakdörr kvar?

 

Jag undrar också om varför ska jag då stänga av de båda tjänsterna (SymWMI och CLCV0)? Är det virustjänster, eller vad är bakgrunden till denna rekommendation?

 

/Ax£l

 

[Cecilia]

Jag menade att det är bra att inget av antivirusprogrammen hittade något skadligt i filen emMON.exe som är okänd för mig och att UTSCSI.exe antingen inte finns eller har storleken 0 eftersom det också är något okänt för mig.

 

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

SymWMI är alltså något som tillhör något Symantec-program och eftersom det står Security Center i sökvägen så tror jag att du tidigare har haft Norton/Symantec i datorn och att detta är en rest sedan avinstallationen. Det är då onödigt att denna tjänst startar upp.

 

O23 - Service: CLCV0 (UTSCSI) - Unknown owner - C:\WINDOWS\system32\UTSCSI.EXE

Du kom ju fram till att denna fil antingen inte finns eller har storleken 0, det är då onödigt att Windows försöker starta den jämnt.

 

Bästa sättet att kolla om det finns en keylogger eller bakdörrsprogram i datorn är att installera en mycket bra brandvägg och se om det kommer upp någon fråga från den om något okänt program vill ansluta till internet. Jag kan rekommendera Online Armor Free eller PC Tools Firewall. Jag har länkar till dem på min sida http://ceblstockholm.googlepages.com/home