Kapad?

[niklas1973]

Då och då tror jag att jag är utsatt för en Dos (Denial of service) då Internet går ner direkt. AVG och antimalware och comodo och superantyispyware hittar inget. Jag har kollat min portar i DOS men jag är inte särkilt bra på det där. Jag hittar inga märkliga anslutningar då datorn fungerar. har dock ej kollat då den går ner. Men kan man ens göra det om Internet inte fungerar eller går väldigt långsamt för det är det det gör. 1kb/s typ.

 

Ibland hör jag också några ljud som inte verkar finnas i windowsljudschema men jag tror det fanns på win 95 då man minimerade fönster. Ett litet frasande kan man säga.

 

[Brynäsarn]

Skicka hit en Hijackthis-logg så kan någon av experterna här kolla om det

syns något i den....

http://www.spychecker.com/program/hijackthis.html

Installera,starta,välj Do a system scan and save a logfile

kopiera loggen som kommer upp...

 

Bifoga loggen på detta sätt:

 

Tryck på LOG-knappen i besvara-fönstret

Klistra in loggen

Tryck på LOG-knappen igen

 

 

[niklas1973]

[log]Logfile of HijackThis v1.99.1

Scan saved at 16:12:56, on 2009-02-22

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Comodo\Firewall\cmdagent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\stsystra.exe

C:\Program\Delade filer\InstallShield\UpdateService\issch.exe

C:\Program\Dell Photo AIO Printer 922\dlbtbmgr.exe

C:\Program\ScreenPrint32 v3\ScreenPrint32.exe

C:\Program\Comodo\Firewall\cfp.exe

C:\Program\AVG\AVG8\avgtray.exe

C:\Program\Dell Photo AIO Printer 922\dlbtbmon.exe

C:\Program\Comodo\CBOClean\BOC427.exe

C:\Program\AVG\AVG8\avgwdsvc.exe

C:\Program\Spyware Doctor\pctsTray.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Conceptworld\NoteZilla\NoteZilla.exe

C:\WINDOWS\system32\cisvc.exe

C:\Program\AVG\AVG8\avgrsx.exe

C:\Program\AVG\AVG8\avgnsx.exe

C:\Program\Intel\Intel Matrix Storage Manager\iaantmon.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\Spyware Doctor\pctsAuxs.exe

C:\Program\Spyware Doctor\pctsSvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program\AVG\AVG8\avgemc.exe

C:\Program\AVG\AVG8\avgcsrvx.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Outlook Express\msimn.exe

C:\Program\Messenger\msmsgs.exe

C:\Program\Hijackthis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR'>http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR'>http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?linkid=677

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com'>http://www.euro.dell.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.euro.dell.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.euro.dell.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program\Winamp Toolbar\winamptb.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Winamp Toolbar Loader - {25CEE8EC-5730-41bc-8B58-22DDC8AB8C20} - C:\Program\Winamp Toolbar\winamptb.dll

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program\AVG\AVG8\avgssie.dll

O2 - BHO: SpywareGuard Download Protection - {4A368E80-174F-4872-96B5-0B27DDD11DB2} - C:\Program\SpywareGuard\dlprotect.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_02\bin\ssv.dll (file missing)

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Program\AVG\AVG8\avgtoolbar.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\Windows Live Toolbar\msntb.dll

O2 - BHO: PDFCreator Toolbar Helper - {C451C08A-EC37-45DF-AAAD-18B51AB5E837} - C:\Program\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll (file missing)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\Windows Live Toolbar\msntb.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Program\AVG\AVG8\avgtoolbar.dll

O3 - Toolbar: PDFCreator Toolbar - {31CF9EBE-5755-4A1D-AC25-2834D952D9B4} - C:\Program\PDFCreator Toolbar\v3.3.0.1\PDFCreator_Toolbar.dll (file missing)

O3 - Toolbar: Winamp Toolbar - {EBF2BA02-9094-4c5a-858B-BB198F3D8DE2} - C:\Program\Winamp Toolbar\winamptb.dll

O4 - HKLM\..\Run: [sigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [iAAnotif] C:\Program\Intel\Intel Matrix Storage Manager\iaanotif.exe

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program\Delade filer\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Dell Photo AIO Printer 922] "C:\Program\Dell Photo AIO Printer 922\dlbtbmgr.exe"

O4 - HKLM\..\Run: [screenPrint32] C:\Program\ScreenPrint32 v3\ScreenPrint32.exe -startup

O4 - HKLM\..\Run: [COMODO Firewall Pro] "C:\Program\Comodo\Firewall\cfp.exe" -h

O4 - HKLM\..\Run: [AVG8_TRAY] C:\Program\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [bOC-427] C:\Program\Comodo\CBOClean\BOC427.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [DLBTCATS] rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\DLBTtime.dll,_RunDLLEntry@16

O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program\Comodo\Firewall\cfp.exe" -h

O4 - HKLM\..\Run: [iSTray] "C:\Program\Spyware Doctor\pctsTray.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [NoteZilla] C:\Program\Conceptworld\NoteZilla\NoteZilla.exe

O8 - Extra context menu item: &Winamp Search - C:\Documents and Settings\All Users\Application Data\Winamp Toolbar\ieToolbar\resources\en-US\local\search.html

O8 - Extra context menu item: &Windows Live Search - res://C:\Program\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\Program\MICROS~3\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Öppna på ny flik i bakgrunden - res://C:\Program\Windows Live Toolbar\Components\sv-se\msntabres.dll.mui/229?d03b0f10da9e41bbb1571f31a2ac768e

O8 - Extra context menu item: Öppna på ny flik i förgrunden - res://C:\Program\Windows Live Toolbar\Components\sv-se\msntabres.dll.mui/230?d03b0f10da9e41bbb1571f31a2ac768e

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {238F6F83-B8B4-11CF-8771-00A024541EE3} (Citrix ICA Client) - http://a516.g.akamai.net/f/516/25175/7d/runaware.download.akamai.com/25175/citrix/wficat-no-eula.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {BDEE1959-AB6B-4745-A29B-F492861102CC} -

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program\AVG\AVG8\avgpp.dll

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program\SUPERAntiSpyware\SASWINLO.DLL

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O20 - Winlogon Notify: dimsntfy - %SystemRoot%\System32\dimsntfy.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Adobe LM Service - Unknown owner - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgwdsvc.exe

O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program\Comodo\Firewall\cmdagent.exe

O23 - Service: dlbt_device - Dell - C:\WINDOWS\system32\dlbtcoms.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program\Intel\Intel Matrix Storage Manager\iaantmon.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program\Java\jre6\bin\jqs.exe" -service -config "C:\Program\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program\Spyware Doctor\pctsSvc.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program\Delade filer\PCSuite\Services\ServiceLayer.exe

 

[/log]

 

[Cecilia]

R3 - URLSearchHook: Winamp Search Class - {57BCA5FA-5DBB-45a2-B558-1755C3F6253B} - C:\Program\Winamp Toolbar\winamptb.dll

Finns tydligen lite tveksamheter när det gäller den enligt

http://www.systemlookup.com/CLSID/47078-winamptb_dll.html

 

Sedan kan det väl vara lite för mycket för datorn med tre program inriktade på spionprogram samtidigt.

C:\Program\Lavasoft\Ad-Aware\aawservice.exe

C:\Program\Comodo\CBOClean\BOC427.exe

C:\Program\Spyware Doctor\pctsTray.exe

 

 

[niklas1973]

Jag har spyware nu för jag väntar på att se om den ger urslag nästa gång internet dör. Därefter ska jag avinstallera det. Lavasoft kanske jag ska stänga ner och köra enbart Comodo?

 

Hur kan jag ta bort den registernyckeln som du hänvisar till? Allt annat verkar se bra ut? Jag kan själv inte hitta något märkligt. Det är skumt det här... Försöker dock lära mig om problemet.

 

[Cecilia]

Comodo (Defense+) kan man ju ställa in väldigt hårt och då finns det inget behov av Ad-aware och troligen inte heller BoClean.

 

Har du inget med Winamp Toolbar i Lägg till eller ta bort program?

 

[niklas1973]

Jo tack har tagit bort det nu. Har Commodo i Safe mode. Men det är underligt att det fortfarande kan inträffa. Måste de ha en trojan hos mig eller kan de sänka datorn ändå?

 

[Brynäsarn]

Jag ser i Hijack-loggen att du har en väldigt gammal java-version med

säkerhetshål i datorn.Jag rekommenderar att du laddar hem och

installerar uppdaterad version http://www.java.com/sv/ Avinstallera

sedan den gamla i Kontrollpanelen Lägg till /ta bort program (inga

webbläsare igång).

 

[Cecilia]

En DOS-attack sker utifrån genom att skicka på väldigt många anslutningsförsök så att (nästan) all möjlig trafik i bredbandet går åt till det. Det borde synas som en attack i brandväggens logg (vet dock inte hur i Comodos brandvägg).

 

[Cecilia]

Nja, det enda som finns i loggen är en rest i registret efter en tidigare version, det står (file missing) efter den:

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_02\bin\ssv.dll (file missing)

 

Annars så verkar det finnas en aktuell version av Java i datorn:

O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

 

 

[niklas1973]

Och det som händer då jag försöker installera en ny version är att Windows installer inte fungerar och säger att den inte kommer åt något som behövs för att den ska fungera. Har googlat det där och det verkar vara ett helvete till problem. Annars har jag java 11.

 

[Cecilia]

Det är, än så länge inga säkerhetshål i den Java-versionen.

 

[niklas1973]

Det kan vara så att Comodo och AVG krockar. Många verkar ha haft problem med slött Internet och AVGs LinkScanner

 

[Brynäsarn]

Om även Comodo har antivirus är risken stor att det blir konflikter

med AVG,har du testat att stänga av något av dem ?

 

 

[inlägget ändrat 2009-02-27 15:07:56 av Brynäsarn]

[niklas1973]

JAAAAAA!!!! HELL! Jag gjorde det precis innan jag läste det här. AVGs linkscanner har tydligen konflikter som slöar ner Internet så jag avinstallerade AVG, installerade det på nytt och körde installering utan Linkscanner och då FUNKA DET!!!

 

Nu måste jag skriva en tråd om det här för alla andra som råkar ut för det och en moderator får gärna hissa den eller nåt för GUD vad jag önskat att jag fått den här informationej då jag trott att jag varit kapad i 3 månader!!!

 

[Brynäsarn]

Roligt att det löste sig...

 

[niklas1973]

framförallt roligt att slippa konspirationsteorier

 

[Cecilia]

Kul!

 

Det blir väl bra om du skriver ett inlägg i trådarna som rör problemet.

 

[niklas1973]

Det där gick ju bra. Tills nu. Nu har jag inte AVG installerat och jag åkte ner ändå. Systemåterställning fixade problemet som vanligt.

 

Jag såg att min dator kommunicerade eller tog emot något strax innan i ca 5-10 minuter. Jag tänkte inte så mkt mer pådet.

 

Jag har googlat och googlat och mitt problem dyker upp i olika tappningar men oftast kan folk använda sina mailprogram.

 

Plötsligt och helt slumpmässigt går Internet ner till 1-20b/s. Det hände en natt kl 04:00 och det händer em, dag, kväll... när som helst. Jag kollar portar och hittar inget märkligt. Utom 195.56.102.101 som - då jag blockade den gjorde att Outlook inte fungerade.

 

Jag har rensat allt i autostart. Jag kan köra tracert och netstat kommandon då jag är under attack vilket innebär att det inte är hårdvarufel. Min anslutning indikerar 100MB/s anslutning och min leverantör säger att det inte är något fel. Jag har scannat med AVG, Superantispyware och Malaware.

 

Jag avinstallerade AVG sist då det hände och då fungerade det som vanligt vilket gjorde mig så glad. Nu har jag alltså inget AVG och det händer ändå. I Comodo har jag nu satt på att ingen dator ska kunna kontakta upp sig mot mig - får se om det hjälper-

 

Det här problemet verkar jag vara rätt ensam om och inga svar står att få.

 

[Cecilia]

Jag kollar portar och hittar inget märkligt. Utom 195.56.102.101 som - då jag blockade den gjorde att Outlook inte fungerade.

Hmm, i tråden //eforum.idg.se/viewmsg.asp?entriesid=1125903 skrev du 195.58.102.101. Vilket ska det vara?

Den du skrev nu är en IP-address i Ungern, medan den du skrev förut är en IP-address tillhör Utfors/Telenor.

 

I Comodo har jag nu satt på att ingen dator ska kunna kontakta upp sig mot mig - får se om det hjälper-

Det är väl standardinställningen, eller?

 

Har du prövat vad som händer utan Comodo?

 

[niklas1973]

Måste skrivit fel - har aldrig spårat till ungern men telenor känner jag igen

 

Jag ska prova nästa gång att gå ur commodo igen men det verkar inte hjälpa.

 

Ehh då jag ändrar till det modet så ändrar den tillbaka till att tillåta andra att ansluta. Installera om Comodo kanske?

 

[Cecilia]

Ehh då jag ändrar till det modet så ändrar den tillbaka till att tillåta andra att ansluta.

Exakt vad är texten i Comodo?

 

[niklas1973]

Nu har jag avinstallerat mitt förra comodo och installerat den senaste versionen. Jag kan fortfarande inte byta till läge 2 och 3 på skärmen här. DEn s'äger "Your firewall has been configured accordingly". Då man sen plockar upp Stealth Wizrd är den i läge 1 i alla fall.

 

[bild bifogad 2009-03-04 18:21:26 av niklas1973]

[Laston]

Hej! Men om du ställer den på alternativ3 märker du då inte att antalet blockeringar i brandväggen ökar dramatiskt,det gör iallafall min och när jag öppnar Stealth Ports Wizard igen så är alternativ 1 ibockat iallafall!!Jag utgår ifrån att detta är normalt

Mvh Laston

 

[inlägget ändrat 2009-03-04 19:09:48 av Laston]

[Cecilia]

Det där är ju en guide som börjar från början varje gång och inte en sida som visar nuvarande inställningar, så jag håller nog med Laston.