Hur tar man enklast bort "Malware: Personal Security"?

[fructis]

Hej,

Min kompis har fått in ett Malware kallat Personal Security. Hur det gått till har hon ingen aning om!

 

Beskrivning finns under denna länk:

http://www.2-spyware.com/remove-personal-security.html

 

Nu till min fråga:

Har någon använt sig av detta verktyget i länken för borttagning av detta illvilliga program?

Tolkar att verktyget är gratis, men när man väljer att ladda ner/kör programmet slussas man samtidigt vidare till denna sida:

http://www.2-spyware.com/download-doctor.php

frågan är om scanning endast sker och att man "som vanligt" blir stressad och känner sig tvungen att köpa "spyware doctor"

Någon som vet!? Tack på förhand/fructis

[Cecilia]

www.2-spyware.com är inte en tillförlitlig sida när det gäller hur man tar bort skadliga program. De vill främst tjäna pengar på att du måste betala för t ex Spyware Doctor som de länkar till och struntar i om det fungerar. Du får bättre hjälp här i forumet.

 

Vi kan se vad DDS visar till att börja med. Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

 

Starta programmet (i Vista högerklicka och Kör som administratör).

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt, men inte Attach.txt utan den sparar du på Skrivbordet utifall att jag behöver se den senare.

[fructis]

Hej, och tack verkligen för ditt engagemang!

jag mejlar min kompis den länk som jag fick av dig. Testade dds själv på min dator, som genererade 2 filer. dds.txt + attach.txt. Både jag själv och min kompis win XP, så programmet kördes i dos-promten automatiskt.

hör av mig så snart jag har hennes filer!

/fructis

[Cecilia]

Kan inte din kompis komma hit till tråden själv? Det blir ju lite snabbare och enklare om inte all information ska gå via dig.

[fructis]

Här är loggfilen: DDS.txt

 

DDS (Ver_09-12-01.01) - NTFSx86

Run by Hannes at 13:29:37.00 on 2010-01-31

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Home Edition 5.1.2600.3.1252.46.1053.18.1023.518 [GMT 1:00]

 

AV: Telia Säker Surf 8.02 *On-access scanning enabled* (Updated) {E7512ED5-4245-4B4D-AF3A-382D3F313F15}

FW: Telia Säker Surf 8.02 *enabled* {D4747503-0346-49EB-9262-997542F79BF4}

 

============== Running Processes ===============

 

[log]C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup

svchost.exe

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

svchost.exe

C:\Program\Storegate\Autostore\AutoStoreSvc.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Program\Creative\Shared Files\CTDevSrv.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\FSGK32.EXE

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSMB32.EXE

C:\Program\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\Program\Telia\Supportassistent\bin\sprtsvc.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FCH32.EXE

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\Program\Telia\Telias sakerhetstjanster\Common\FAMEH32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsqh.exe

C:\Program\Telia\Telias sakerhetstjanster\FSAUA\program\fsaua.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fssm32.exe

C:\Program\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

C:\Program\Telia\Telias sakerhetstjanster\FSAUA\program\fsus.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsav32.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Telia\Telias sakerhetstjanster\Common\FSM32.EXE

C:\Program\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\Program\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Windows Live\Messenger\msnmsgr.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\Storegate\Autostore\AutoStore.exe

C:\Program\Telia\Telias sakerhetstjanster\FSGUI\fsguidll.exe

C:\Program\Windows Live\Contacts\wlcomm.exe

C:\Program\Outlook Express\msimn.exe

C:\Documents and Settings\Hannes\Skrivbord\dds.scr

 

============== Pseudo HJT Report ===============

 

uStart Page = hxxp://www.runescape.com/

mSearchAssistant = hxxp://www.google.com/ie

BHO: Adobe PDF Reader Link Helper: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program\delade filer\adobe\acrobat\activex\AcroIEHelper.dll

BHO: &Security Update: {6551001f-a07b-40b1-8f55-b44bf35a42a6} - c:\windows\system32\win32extension.dll

BHO: Search Helper: {6ebf7485-159f-4bff-a14f-b9e3aac4465b} - c:\program\microsoft\search enhancement pack\search helper\SEPsearchhelperie.dll

BHO: Windows Live inloggningshjälpen: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program\delade filer\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\program\google\google toolbar\GoogleToolbar.dll

BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\program\google\googletoolbarnotifier\5.4.4525.1752\swg.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program\java\jre6\bin\jp2ssv.dll

BHO: Windows Live Toolbar Helper: {e15a8dc0-8516-42a1-81ea-dc94ec1acf10} - c:\program\windows live\toolbar\wltcore.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: Easy-WebPrint: {327c2873-e90d-4c37-aa9d-10ac9baba46c} - c:\program\canon\easy-webprint\Toolband.dll

TB: &Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program\google\google toolbar\GoogleToolbar.dll

TB: &Windows Live Toolbar: {21fa44ef-376d-4d53-9b0f-8a89d3229068} - c:\program\windows live\toolbar\wltcore.dll

uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe

uRun: [msnmsgr] "c:\program\windows live\messenger\msnmsgr.exe" /background

uRun: [swg] "c:\program\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"

uRunOnce: [shockwave Updater] c:\windows\system32\adobe\shockwave 11\SwHelper_1151601.exe -Update -1151601 -"Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0; GTB5; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729; OfficeLiveConnector.1.3; OfficeLivePatch.0.0)" -"http://www.spela.se/spel_/Thunder-Attack.html"

mRun: [F-Secure Manager] "c:\program\telia\telias sakerhetstjanster\common\FSM32.EXE" /splash

mRun: [F-Secure TNB] "c:\program\telia\telias sakerhetstjanster\fsgui\TNBUtil.exe" /CHECKALL /WAITFORSW

mRun: [OpwareSE2] "c:\program\scansoft\omnipagese2.0\OpwareSE2.exe"

mRun: [Telia] "c:\program\telia\supportassistent\bin\sprtcmd.exe" /P Telia

mRun: [Adobe Photo Downloader] "c:\program\adobe\photoshop album starter edition\3.2\apps\apdproxy.exe"

mRun: [soundMan] SOUNDMAN.EXE

mRun: [Adobe Reader Speed Launcher] "c:\program\adobe\reader 8.0\reader\Reader_sl.exe"

mRun: [sunJavaUpdateSched] "c:\program\java\jre6\bin\jusched.exe"

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\bankid~1.lnk - c:\program\personal\bin\Personal.exe

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\teliaa~1.lnk - c:\program\storegate\autostore\AutoStore.exe

IE: E&xportera till Microsoft Excel - c:\program\micros~3\office11\EXCEL.EXE/3000

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program\messenger\msmsgs.exe

IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - c:\program\windows live\writer\WriterBrowserExtension.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\program\micros~3\office11\REFIEBAR.DLL

LSP: c:\program\telia\telias sakerhetstjanster\fsps\program\FSLSP.DLL

DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - hxxp://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab

DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} - hxxp://go.microsoft.com/fwlink/?linkid=58813

DPF: {233C1507-6A77-46A4-9443-F871F945D258} - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {CAC677B6-4963-4305-9066-0BD135CD9233} - hxxps://as.photoprintit.de/ips-opdata/layout/default_cms01/activex/IPSUploader4.cab

DPF: {CAFEEFAC-0015-0000-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_05-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} - hxxp://www.postfoto.se/aurigma/ImageUploader4.cab

DPF: {F6ACF75C-C32C-447B-9BEF-46B766368D29} - hxxp://www.creative.com/softwareupdate/su2/ocx/15035/CTPID.cab

Notify: AtiExtEvent - Ati2evxx.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

 

============= SERVICES / DRIVERS ===============

 

R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [2009-7-23 33920]

R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2007-9-12 79872]

R1 F-Secure HIPS;F-Secure HIPS;c:\program\telia\telias sakerhetstjanster\hips\drivers\fshs.sys [2009-7-23 67808]

R2 F-Secure Gatekeeper Handler Starter;FSGKHS;c:\program\telia\telias sakerhetstjanster\anti-virus\fsgk32st.exe [2007-9-12 215648]

R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2009-10-19 54752]

R2 sprtsvc_telia;SupportSoft Sprocket Service (telia);c:\program\telia\supportassistent\bin\sprtsvc.exe [2008-10-29 202016]

R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program\telia\telias sakerhetstjanster\anti-virus\minifilter\fsgk.sys [2007-9-12 107104]

R3 FSORSPClient;F-Secure ORSP Client;c:\program\telia\telias sakerhetstjanster\orsp client\fsorsp.exe [2009-7-23 55904]

R3 SIS163u;SiS163 usb Wireless LAN Adapter Driver;c:\windows\system32\drivers\sis163u.sys [2008-6-18 215040]

S3 CTUPnPSv;Creative Centrale Media Server;c:\program\creative\creative centrale\CTUPnPSv.exe [2008-5-21 64000]

S3 fsssvc;Tjänsten Windows Live Family Safety;c:\program\windows live\family safety\fsssvc.exe [2009-8-5 704864]

S3 Tdsshbecr;Handelsbanken card reader;c:\windows\system32\drivers\shbecr.sys [2009-8-28 42368]

S4 F-Secure Filter;F-Secure File System Filter;c:\program\telia\telias sakerhetstjanster\anti-virus\win2k\fsfilter.sys [2007-9-12 39776]

S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\program\telia\telias sakerhetstjanster\anti-virus\win2k\fsrec.sys [2007-9-12 25184]

 

=============== Created Last 30 ================

 

2010-01-30 08:07:19 0 d-----w- c:\program\delade filer\PersonalSecUninstall

2010-01-30 08:07:14 636928 ----a-w- c:\windows\system32\win32extension.dll

2010-01-30 08:07:01 0 d-----w- c:\program\PersonalSec

2010-01-13 15:12:48 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll

2010-01-07 10:51:07 0 d-----w- c:\program\Handelsbankens kortläsare

 

==================== Find3M ====================

 

2010-01-30 08:59:20 69 ----a-w- c:\documents and settings\hannes\jagex_runescape_preferences2.dat

2010-01-30 08:21:31 39 ----a-w- c:\documents and settings\hannes\jagex_runescape_preferences.dat

2009-12-21 19:09:46 916480 ----a-w- c:\windows\system32\wininet.dll

2009-12-12 10:37:10 87306 ----a-w- c:\windows\system32\perfc01D.dat

2009-12-12 10:37:10 452854 ----a-w- c:\windows\system32\perfh01D.dat

2009-01-19 14:23:15 18528768 ----a-w- c:\program\IHP_fy09_v2.exe

2008-09-24 12:11:45 32768 --sha-w- c:\windows\system32\config\systemprofile\lokala inställningar\tidigare\history.ie5\mshist012008092420080925\index.dat

2009-05-17 05:52:05 16384 --sha-w- c:\windows\temp\history\history.ie5\index.dat

[/log]

============= FINISH: 13:29:59.23 ===============

[Cecilia]

Man får inget bevakningsmejl när ett inlägg ändras så det var ju rena turen att jag såg att du hade klistrat in en logg.

 

Fungerar engelska för dig?

I så fall följ anvisningarna på

http://www.bleepingcomputer.com/virus-removal/remove-personal-security

 

Notera att dessa anvisningar oftast inte räcker för att få datorn ren utan du behöver återkomma med ett svar för fortsatt rensning.

 

Annars så kommer en här en översättning men titta gärna på bilderna i den engelska guiden samtidigt.

Läs igenom noga och fråga om det är något som känns oklart.

Det är bra om du kan skriva ut det här också, åtminstone från punkt 11 då du måste stänga av webbläsaren.

 

3. Spara RKill av Grinler på Skrivbordet. Ladda ner det från den första av dessa länkar:

http://download.bleepingcomputer.com/grinler/rkill.com

http://download.bleepingcomputer.com/grinler/rkill.pif

http://download.bleepingcomputer.com/grinler/rkill.scr

http://download.bleepingcomputer.com/grinler/rkill.exe

 

Om du inte kan ladda ner RKill så upprepa punkt 3-6 och det kan behöva göras flera gånger innan det fastnar. Om du inte lyckas efter 5 försök så säg till.

 

4. Starta Rkill (i Vista och Windows 7 genom att högerklicka på filen och välj Kör som administratör om det valet finns).

Det blir ett svart fönster/ruta en stund om programmet lyckades köra.

Om det inte blev något svart fönster/ruta så ta bort den RKill-varianten och upprepa med nästa RKill.

 

Om du får ett meddelande om att RKill är skadligt så bry dig inte om det. Det är det skadliga programmet som inte vill bli stoppat. Lämna kvar varningen på skärmen och kör RKill en gång till.

 

Kör RKill flera gånger efter varandra tills du inte ser till det skadliga programmet längre, dock max 10 gånger. Fortsätt med resten sedan.

 

Om inte någon av program-varianterna kan köra så berätta det.

 

5.Spara MBAM på nytt från en av dessa länkar

http://download.bleepingcomputer.com/malwarebytes/mbam-setup.exe

http://download.cnet.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html?part=dl-10804572&subj=dl&tag=button

Spara filen på Skrivbordet.

 

6. Stäng av alla program du ser inklusive Internet Explorer.

 

7. Dubbelklicka på ikonen som är installationsfilen för MBAM och som du bytte namn på. Installationen av MBAM börjar.

 

8. Ändra inte standardinställningarna under installationen. Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

 

Om det kommer upp något om att du ska starta om datorn så gör INTE det.

 

10. Välj fliken Skanna (eller något liknande ord). Välj "Utför fullständig skanning" och därefter trycker du på Skanna.

 

11. MBAM kommer att söka igenom datorn. Beroende på hur mycket filer du har så kan det ta några timmar. Lämna datorn ifred under tiden.

 

12. När skanningen är klar så kommer det upp ett meddelande och då trycker du på OK.

 

13. Tryck på "Visa resultat".

 

14. Allt som MBAM hittade visas. Se till att alla hittade filer är förbockade. Tryck på knappen "Ta bort markerade". Om det kommer upp ett meddelande om att datorn ska startas om så låt datorn göra det.

 

15. När MBAM har tagit bort allt så kommer det upp en logg i Anteckningar. Kopiera loggen och klistra in i ditt svar här.

 

16. Avsluta MBAM.

[Brynäsarn]

Jag ser i DDS-loggen att det finns flera gamla java-versioner med

säkerhetshål i datorn,jag rekommenderar nedladdning av senaste versionen

http://www.java.com/sv/ Och sedan avinstallation av dom gamla i

Kontrollpanelen Lägg till eller ta bort program

[fructis]

Tack Cecilia och Brynäsarn för er hjälp och engagemang! Det blir rensning av hennes dator denna söndagsem. istället!

 

Cecilia: Listan du redogjorde för, där man tar bort "Personal Secutriy", var toppen men vad tidskrävande det är att få bort ett program som antivirusprogrammet inte känner av? Verkligen...

 

 

Så de här med java måste man också hålla reda på

Inte lätt för en novis, men man lär sig!

 

Tack och hej för denna gång!Kram fructis

[Cecilia]

Ja, Malware Defense gör att vad den kan för att hänga kvar i datorn. Ofta så räcker det inte bara med den listan utan det kan behövas mer så jag rekommenderar dig att klistra in den (de) logg (loggar) från MBAM där något har hittats. Klistra även in en ny DDS-logg.