Update

[kopparn]

tror jag fick bort exe-filen nu, iaf

 

[Cecilia]

Om du skapar en ny OTViewIt-logg (90 dagar) så kan du själv se vad som finns kvar under rubriken

========== Files/Folders - Created Within 90 Days ==========

med datumet 2008-10-29 och vid 9-tiden.

 

[kopparn]

Ok, det finns inget kvar just det datumet, ska pröva Windows update nu igen

 

[kopparn]

Hittade smittfraud gör en log på det oxå

[log]SmitFraudFix v2.381

 

Scan done at 1:24:44,54, 2008-12-07

Run from C:\Users\pappa\Desktop\SmitfraudFix

OS: Microsoft Windows [Version 6.0.6001] - Windows_NT

The filesystem type is NTFS

Fix run in normal mode

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\Windows\system32\csrss.exe

C:\Windows\system32\csrss.exe

C:\Windows\system32\wininit.exe

C:\Windows\system32\winlogon.exe

C:\Windows\system32\services.exe

C:\Windows\system32\lsass.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\SLsvc.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe

C:\Acer\Empowering Technology\eNet\eNet Service.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Acer\Mobility Center\MobilityService.exe

C:\Windows\system32\svchost.exe

C:\Program Files\CyberLink\Shared Files\RichVideo.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\svchost.exe

C:\Windows\System32\svchost.exe

C:\Windows\system32\SearchIndexer.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\DRIVERS\xaudio.exe

C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

C:\Windows\system32\Dwm.exe

C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe

C:\Acer\Empowering Technology\ePower\ePowerSvc.exe

C:\Windows\system32\wbem\wmiprvse.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Program Files\Windows Media Player\wmpnetwk.exe

C:\Program Files\Launch Manager\LManager.exe

C:\Windows\System32\igfxtray.exe

C:\Windows\System32\hkcmd.exe

C:\Windows\System32\igfxpers.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Program Files\CyberLink\PowerDVD\PDVDServ.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Windows\system32\igfxsrvc.exe

C:\Program Files\Personal\bin\Personal.exe

C:\Windows\system32\igfxext.exe

C:\Windows\system32\igfxsrvc.exe

C:\Acer\Empowering Technology\ENET\ENMTRAY.EXE

C:\Acer\Empowering Technology\EPOWER\EPOWER_DMC.EXE

C:\Users\pappa\AppData\Local\Temp\RtkBtMnt.exe

C:\Acer\Empowering Technology\eRecovery\ERAGENT.EXE

C:\Windows\system32\wbem\wmiprvse.exe

C:\Windows\system32\wuauclt.exe

C:\Program Files\Internet Explorer\ieuser.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Betsson\BetssonPoker.exe

C:\Windows\system32\Macromed\Flash\FlashUtil10a.exe

C:\Windows\system32\cmd.exe

C:\Windows\system32\conime.exe

C:\Windows\system32\SearchProtocolHost.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Windows\system32\DllHost.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Windows\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\pappa

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\pappa\AppData\Local\Temp

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\pappa\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Users\pappa\FAVORI~1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch

!!!Attention, following keys are not inevitably infected!!!

 

o4Patch

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, following keys are not inevitably infected!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, following keys are not inevitably infected!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, following keys are not inevitably infected!!!

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"="eNetHook.dll"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\Windows\\system32\\userinit.exe,"

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» RK

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Your computer may be victim of a DNS Hijack: 85.255.x.x detected !

 

Description: Broadcom NetLink Gigabit Ethernet

DNS Server Search Order: 85.255.112.135

DNS Server Search Order: 85.255.112.131

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{755D45CE-A02C-4C3A-83F0-6269B4A58376}: DhcpNameServer=83.255.245.10 83.255.249.10

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

 

 

»»»»»»»»»»»»»»»»»»»»»»»» End

 

[/log]

 

[Cecilia]

Titta där, du använder en DNS-server i Ukraina, det är nog inte så bra det.

 

Kontrollpanelen - Nätverks- och delningscenter

Hantera nätverksanslutningar

högerklicka på anslutningen och välj Konfigurera

Klicka på Internet Protocol Version 4 (TCP/IPv4)

Tryck på Egenskaper

Välj Erhåll adress till DNS-servern automatiskt

OK och avsluta alla fönstrena

Starta om datorn och kolla hur det är med Windows Update

 

[kopparn]

tvärr det är redan valt, likaså erhåll IP-adrss automatiskt

 

[Cecilia]

Har du en router?

 

[kopparn]

Ja jag har telia bredband adsl med routermodem, ej trådlöst och vi är 3 datorer kopplade till samma modemrouter. men jag vet inte nu vad det heter, var kan man gå in o kolla det?

 

[Cecilia]

Kan du komma till routerns inställningssidor?

Jag är intresserad av att se information om routerns internet/WAN-port, och då särskilt vad det står för DNS-server där.

 

[GunnarB61]

Verkar vara svårt att surfa in på den. Krävs användare o lösenord och det har jag inget.....

 

[Cecilia]

Vad står det för något utanpå routermodemet?

 

[GunnarB61]

d-link 802,11g/2,4ghz

 

[Cecilia]

Kan du hitta något sådant som DI-604, DIR-635?

 

[GunnarB61]

DI 524 står det på undersidan

 

[kopparn]

Nu ska vi se om det här kan va nån hjälp: Netgear DG834 heter routermodemet

DNS servrar 2 st dels:85.255.112.135

och 85.255.112.131

 

[Cecilia]

Ojoj, nu är det väldigt rörigt bland inläggen här. Se nu till att svara på rätt inägg.

 

GunnarB61:

DI 524 står det på undersidan

Vid leverans så är användarnamnet admin och lösenordet är tomt.

 

[Cecilia]

kopparn:

 

Nu ska vi se om det här kan va nån hjälp: Netgear DG834 heter routermodemet

DNS servrar 2 st dels:85.255.112.135

och 85.255.112.131

Du har alltså fått in ett skadligt program i datorn som har loggat in på routern och ändrat DNS-servrarna i det. Detta är möjligt därför du inte har ändrat standardlösenordet för inloggningen.

 

Ändra i routern så att det blir automatisk DNS-inställning eller de DNS-servrar som din internetleverantör har sagt att du ska ha, samt byt inloggningslösenordet.

 

[GunnarB61]

det gick jättebra att logga in. Nu verkar det dock som om jag inte har kontakt med min DNSserver. Har fått meddelande om det när jag var in på telias hemsida och kollade internetstatusen. Hänger allt detta ihop?? Börjar bli allvarligt orolig för min dator nu!

 

[Cecilia]

Kan du hitta någon sida där det står vilken DNS-server som router har för WAN/internetporten?

 

Nu verkar det dock som om jag inte har kontakt med min DNSserver. Har fått meddelande om det när jag var in på telias hemsida och kollade internetstatusen. Hänger allt detta ihop??

Jag tror att du har fått in ett skadligt program i datorn som har loggat in på routern och ändrat DNS-server till en skadlig (troligen en i Ukraina i stället för Telias), men för att vara säker så behöver jag veta vad din router har för DNS-server-inställning.

 

[GunnarB61]

85.255.112.24

 

 

 

[Cecilia]

85.255.112.24

Det är en ukrainsk DNS-server. Ändra inställningen i routern till automatisk om du inte har fått annan information från Telia. Spara informationen i routern. Stäng av routern och samtliga anslutna datorer. Starta routern följt av datorerna.

 

[Cecilia]

kopparn:

 

När du har ändrat och sparat inställningen i routern så stäng av routern och samtliga datorer. Starta sedan routern följt av datorerna.

 

[kopparn]

Vilket inloggningslösenord menar du? Numera behövs inte det när man ansluter på Telia.

och var gör jag det?

Och var ändrar jag till automatisk DNS-inställning?

 

 

 

15 cm tomt utrymme bortredigerat av moderator.

 

[inlägget ändrat 2008-12-07 20:14:57 av Maratonmannen]

[kopparn]

I egenskaper för Netgear under avancerade inställningar hittar jag förbockat följande är det i sin ordning?

Azureus UPnP 15683 TCP

Azureus UPnP 15683 UPP

msnmsgr (192168.02.1149) 55236 TCP

 

[Cecilia]

Vilket inloggningslösenord menar du?

Det som du använde när du ville se routerns inställningssidor. Du fick upp en fråga om ett lösenord då.

 

I egenskaper för Netgear under avancerade inställningar hittar jag förbockat följande är det i sin ordning?

Azureus UPnP 15683 TCP

Azureus UPnP 15683 UPP

msnmsgr (192168.02.1149) 55236 TCP

Det där är öppnade portar och är något helt annat.

 

Se om du kan leta lite vidare bland routerns inställningar efter sådant som har med anslutning mot Telia att göra resp. inloggningen till routern. Just nu orkar jag i alla fall inte leta reda på en manual och försöka hitta den informationen.