protectyoursystemnowonline

[annalena]

Min svägerska ringde mig nyss och var förtvivlad över meddelanden på datorn om "trojans" som infekterat hennes dator. Hon meddelade att följande adress fanns i adressfältet på Internet Explorer http:// protectyoursystemnowonline.com/

När jag slog in den adressen på min mac fick jag upp följande fönster. När jag kollade på adressen på google fanns många liknande uppräknade på http://www.malwareurl.com/listing-urls.php?page=8&urls=off&rp=

Tacksam om någon vet hur man skall hantera detta.

 

[Cecilia]

Det bästa är om din svägerska kan skriva i här i tråden själv i stället för att allt ska gå via dig. Det brukar bli snabbare och enklare.

 

Vi kan se vad DDS visar till att börja med. Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

 

Starta programmet (i Vista högerklicka och Kör som administratör).

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar bifogar du loggen DSS.txt, men inte Attach.txt utan den sparar du på Skrivbordet utifall att jag behöver se den senare.

[annalena]

Tack Cecilia för din hjälp. Undrar nu om jag kan ladda ner DSS på USB-minne och lägga in på svägerskans dator eftersom innan man hinner göra nedladdning så kommer "Meddelande från websidan" och blockerar allting?

[Cecilia]

Det går utmärkt

[annalena]

Hej Cecilia Här kommer DDSfilen

Anna-Lena

[annalena]

Hej Cecilia Här kommer DDSfilen

Anna-Lena

 

Ser att jag inte har befogenhet att skicka filen.

Kan jag kopiera den i svar till dig?

[Cecilia]

Det var konstigt. Klistra in filens innehåll direkt i ditt svar.

[annalena]

Det var konstigt. Klistra in filens innehåll direkt i ditt svar.

 

Klistrar in filen!

 

 

[log] DDS (Ver_09-12-01.01) - NTFSx86 Run by Eva at 14:47:07,96 on 2010-02-03Internet Explorer: 8.0.6001.18702Microsoft Windows XP Home Edition 5.1.2600.3.1252.46.1053.18.503.80 [GMT 0:00]============== Running Processes ===============C:\WINDOWS\system32\svchost -k DcomLaunchsvchost.exeC:\WINDOWS\System32\svchost.exe -k netsvcssvchost.exesvchost.exeC:\WINDOWS\system32\spoolsv.exesvchost.exesvchost.exeC:\WINDOWS\system32\dldtcoms.exeC:\WINDOWS\sYSteM32\SvchOst.eXE -k fioo32C:\Program\Dell\NICCONFIGSVC\NICCONFIGSVC.exeC:\WINDOWS\system32\svchost.exe -k imgsvcC:\Program\webserver\webserver.exeC:\WINDOWS\System32\WLTRYSVC.EXEC:\WINDOWS\System32\bcmwltry.exeC:\WINDOWS\Explorer.EXEC:\Program\Java\j2re1.4.2_03\bin\jusched.exeC:\Program\Dell\QuickSet\quickset.exeC:\Program\Synaptics\SynTP\SynTPLpr.exeC:\Program\Synaptics\SynTP\SynTPEnh.exeC:\Program\Intel\PROSetWired\NCS\PROSet\PRONoMgr.exeC:\Program\CyberLink\PowerDVD\DVDLauncher.exeC:\WINDOWS\system32\dla\tfswctrl.exeC:\Program\Dell\Media Experience\DMXLauncher.exeC:\Program\Belkin\BELKIN~1\Tool\WinXPDisableZeroConfigation.exeC:\Program\Dell Photo AIO Printer 922\dlbtbmgr.exeC:\Program\Dell Photo AIO Printer 922\dlbtbmon.exeC:\WINDOWS\system32\igfxpers.exeC:\WINDOWS\system32\igfxsrvc.exeC:\Program\Delade filer\Real\Update_OB\realsched.exeC:\Program\Google\Google Desktop Search\GoogleDesktop.exeC:\Program\Adobe\Photoshop Album Starter Edition\3.2\Apps\apdproxy.exeC:\Program\Macrogaming\SweetIM\SweetIM.exeC:\Program\QuickTime\qttask.exeC:\WINDOWS\system32\rundll32.exeC:\Program\Dell V305\dldtmon.exeC:\Program\Google\Google Desktop Search\GoogleDesktop.exeC:\Program\Windows Live\Messenger\MsnMsgr.ExeC:\Program\Dell V305\dldtMsdMon.exeC:\windows\freddy82.exeC:\windows\pp14.exeC:\WINDOWS\system32\ctfmon.exeC:\Program\Personal\bin\Personal.exeC:\Program\IncrediMail\bin\IMApp.exeC:\Program\Digital Line Detect\DLG.exeC:\Program\Nikon\PictureProject\NkbMonitor.exeC:\Program\OpenOffice.org 3\program\soffice.exeC:\Program\OpenOffice.org 3\program\soffice.binC:\Program\Internet Explorer\IEXPLORE.EXEC:\Program\Internet Explorer\IEXPLORE.EXEC:\WINDOWS\system32\rundll32.exeC:\Documents and Settings\Eva\Application Data\U3\0000167A6771081E\LaunchPad.exeC:\Documents and Settings\Eva\Skrivbord\dds.scr============== Pseudo HJT Report ===============uStart Page = hxxp://unt.se/uSearch Page = hxxp://www.google.comuSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8uSearchURL,(Default) = hxxp://www.google.com/keyword/%smSearchAssistant = hxxp://www.google.com/ieuURLSearchHooks: SweetIM For Internet Explorer: {bc4ffe41-de9f-46fa-b455-aad49b9f9938} - c:\program\macrogaming\sweetimbarforie\toolbar.dllBHO: Yahoo! Toolbar Helper: {02478d38-c3f9-4efb-9b51-7695eca05670} - c:\program\yahoo!\companion\installs\cpn\yt.dllBHO: Länkhjälp till Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program\delade filer\adobe\acrobat\activex\AcroIEHelper.dllBHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program\delade filer\adobe\acrobat\activex\AcroIEHelperShim.dllBHO: SWEETIE Class: {1a0aadcd-3a72-4b5f-900f-e3bb5a838e2a} - c:\program\macrog~1\sweeti~1\toolbar.dllBHO: DriveLetterAccess: {5ca3d70e-1895-11cf-8e15-001234567890} - c:\windows\system32\dla\tfswshx.dllBHO: {7E853D72-626A-48EC-A868-BA8D5E23E045} - No FileBHO: Windows Live inloggningshjälpen: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program\delade filer\microsoft shared\windows live\WindowsLiveLogin.dllBHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\program\google\google toolbar\GoogleToolbar.dllBHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\program\google\googletoolbarnotifier\5.3.4501.1418\swg.dllBHO: Windows Live Toolbar Helper: {bdbd1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\program\windows live toolbar\msntb.dllBHO: 1 (0x1) - No FileBHO: Google Dictionary Compression sdch: {c84d72fe-e17d-4195-bb24-76c02e2e7c4e} - c:\program\google\google toolbar\component\fastsearch_A8904FB862BD9564.dllTB: Yahoo! Toolbar: {ef99bd32-c1fb-11d2-892f-0090271d4f88} - c:\program\yahoo!\companion\installs\cpn\yt.dllTB: Windows Live Toolbar: {bdad1dad-c946-4a17-adc1-64b5b4ff55d0} - c:\program\windows live toolbar\msntb.dllTB: SweetIM For Internet Explorer: {bc4ffe41-de9f-46fa-b455-aad49b9f9938} - c:\program\macrogaming\sweetimbarforie\toolbar.dllTB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program\google\google toolbar\GoogleToolbar.dllTB: {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No FileuRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exeuRun: [swg] c:\program\google\googletoolbarnotifier\GoogleToolbarNotifier.exeuRun: [MsnMsgr] "c:\program\windows live\messenger\MsnMsgr.Exe" /backgrounduRun: [sweetIM] c:\program\macrogaming\sweetim\SweetIM.exeuRun: [incrediMail] c:\program\incredimail\bin\IncMail.exe /cmRun: [sunJavaUpdateSched] c:\program\java\j2re1.4.2_03\bin\jusched.exemRun: [Dell QuickSet] c:\program\dell\quickset\quickset.exemRun: [synTPLpr] c:\program\synaptics\syntp\SynTPLpr.exemRun: [synTPEnh] c:\program\synaptics\syntp\SynTPEnh.exemRun: [PRONoMgrWired] c:\program\intel\prosetwired\ncs\proset\PRONoMgr.exemRun: [DVDLauncher] "c:\program\cyberlink\powerdvd\DVDLauncher.exe"mRun: [updateManager] "c:\program\delade filer\sonic\update manager\sgtray.exe" /rmRun: [dla] c:\windows\system32\dla\tfswctrl.exemRun: [DMXLauncher] c:\program\dell\media experience\DMXLauncher.exemRun: [XpDis0Conf] c:\program\belkin\belkin~1\tool\WinXPDisableZeroConfigation.exe VEN_14E4&DEV_4320&SUBSYS_70111799 /dmRun: [Dell Photo AIO Printer 922] "c:\program\dell photo aio printer 922\dlbtbmgr.exe"mRun: [igfxtray] c:\windows\system32\igfxtray.exemRun: [igfxhkcmd] c:\windows\system32\hkcmd.exemRun: [igfxpers] c:\windows\system32\igfxpers.exemRun: [TkBellExe] "c:\program\delade filer\real\update_ob\realsched.exe" -osbootmRun: [Google Desktop Search] "c:\program\google\google desktop search\GoogleDesktop.exe" /startupmRun: [Adobe Photo Downloader] "c:\program\adobe\photoshop album starter edition\3.2\apps\apdproxy.exe"mRun: [sweetIM] c:\program\macrogaming\sweetim\SweetIM.exemRun: [QuickTime Task] "c:\program\quicktime\qttask.exe" -atboottimemRun: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgentmRun: [dldtmon.exe] "c:\program\dell v305\dldtmon.exe"mRun: [dldtamon] "c:\program\dell v305\dldtamon.exe"mRun: [Adobe Reader Speed Launcher] "c:\program\adobe\reader 9.0\reader\Reader_sl.exe"mRun: [Adobe ARM] "c:\program\delade filer\adobe\arm\1.0\AdobeARM.exe"mRun: [sysldtray] c:\windows\ld16.exemRun: [Captcha7] rundll "c:\program\captcha.dll",captchamRun: [sysfbtray] c:\windows\freddy82.exemRun: [pp] c:\windows\pp14.exedRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXEdRun: [swg] c:\program\google\googletoolbarnotifier\GoogleToolbarNotifier.exeStartupFolder: c:\docume~1\eva\start-~1\program\autost~1\openof~1.lnk - c:\program\openoffice.org 3\program\quickstart.exeStartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\bankid~1.lnk - c:\program\personal\bin\Personal.exeStartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\digita~1.lnk - c:\program\digital line detect\DLG.exeStartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\nkbmon~1.lnk - c:\program\nikon\pictureproject\NkbMonitor.exeIE: &Windows Live Search - c:\program\windows live toolbar\msntb.dll/search.htmIE: Öppna på ny flik i bakgrunden - c:\program\windows live toolbar\components\sv-se\msntabres.dll.mui/229?9b6bbae22ed14b4ab494d9ca86de7e2cIE: Öppna på ny flik i förgrunden - c:\program\windows live toolbar\components\sv-se\msntabres.dll.mui/230?9b6bbae22ed14b4ab494d9ca86de7e2cIE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exeIE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program\messenger\msmsgs.exeIE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {08B0E5C0-4FCB-11CF-AAA5-00401C608501}DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} - hxxp://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cabDPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - hxxp://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cabDPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} - hxxp://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase4009.cabDPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1116833811125DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cabDPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cabDPF: {CAFEEFAC-0014-0002-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/products/plugin/autodl/jinstall-142-windows-i586.cabDPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - hxxp://www.adobe.com/products/acrobat/nos/gp.cabTCP: {01E89CD0-48B3-49F2-A51C-E8352AC09D93} = 192.168.0.254Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - c:\program\google\google toolbar\component\fastsearch_A8904FB862BD9564.dllNotify: igfxcui - igfxdev.dllAppInit_DLLs: c:\program\google\google~1\GOEC62~1.DLLSSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dllHosts: 85.13.206.114 uuu20091124.infoHosts: 85.13.206.114 u07012010u.com============= SERVICES / DRIVERS ===============R?2 fioo32;fioo32;c:\windows\system32\SvchOst.eXE -k fioo32 [2004-8-4 14336]R1 fio32;fio32;c:\windows\system32\drivers\fio32.sys [2010-2-2 59264]R2 dldt_device;dldt_device;c:\windows\system32\dldtcoms.exe -service --> c:\windows\system32\dldtcoms.exe -service [?]R2 webserver;webserver;c:\program\webserver\webserver.exe [2010-2-2 14336]S2 dldtCATSCustConnectService;dldtCATSCustConnectService;c:\windows\system32\spool\drivers\w32x86\3\dldtserv.exe [2009-10-26 99568]S3 bvrp_pci;bvrp_pci; [x]S3 GoogleDesktopManager-093009-130223;Google Desktop Manager 5.9.909.30391;c:\program\google\google desktop search\GoogleDesktop.exe [2006-6-9 30192]=============== Created Last 30 ================2010-02-03 14:44:02 54156 ---ha-w- c:\windows\QTFont.qfn2010-02-03 14:44:02 1409 ----a-w- c:\windows\QTFont.for2010-02-03 11:32:16 75264 ----a-w- c:\windows\rdr_1265196733.exe2010-02-03 11:28:19 75264 ----a-w- c:\windows\rdr_1265196495.exe2010-02-03 10:32:15 75264 ----a-w- c:\windows\rdr_1265193127.exe2010-02-03 10:18:10 75264 ----a-w- c:\windows\rdr_1265192288.exe2010-02-03 09:46:37 75264 ----a-w- c:\windows\rdr_1265190395.exe2010-02-02 19:03:56 75264 ----a-w- c:\windows\rdr_1265137417.exe2010-02-02 17:39:23 40960 ---h--w- c:\windows\pp14.exe2010-02-02 17:39:23 1 ----a-w- c:\windows\fdgg34353edfgdfdf2010-02-02 17:39:03 0 d-----w- c:\program\webserver2010-02-02 17:39:01 59264 ----a-w- c:\windows\system32\drivers\fio32.sys2010-02-02 17:39:01 50688 ----a-w- c:\windows\system32\fio32.dll2010-02-02 17:38:48 2 ----a-w- c:\windows\010112010146114101.xxe2010-02-02 17:38:48 19456 --sh--r- c:\program\captcha.dll2010-02-02 17:38:47 62464 ------w- c:\windows\freddy82.exe2010-02-02 17:38:47 1 ---h--w- c:\windows\bk23567.dat2010-02-02 17:38:44 2 ----a-w- c:\windows\01011201014650115.xxe2010-02-02 17:38:03 54272 ----a-w- c:\windows\ld16.exe2010-01-13 10:00:41 471552 ------w- c:\windows\system32\dllcache\aclayers.dll2010-01-12 13:43:58 0 d-----w- c:\docume~1\eva\applic~1\OpenOffice.org2010-01-12 13:31:31 0 d-----w- c:\program\OpenOffice.org 32010-01-12 12:01:00 0 d-----w- c:\program\MSECache2010-01-12 11:13:30 0 d-----w- c:\program\Personal==================== Find3M ====================2009-12-21 13:22:55 173056 ----a-w- c:\windows\system32\dllcache\ie4uinit.exe2009-12-10 16:59:02 84026 ----a-w- c:\windows\system32\perfc01D.dat2009-12-10 16:59:02 444892 ----a-w- c:\windows\system32\perfh01D.dat2008-11-25 14:10:48 32768 --sha-w- c:\windows\system32\config\systemprofile\lokala inställningar\tidigare\history.ie5\mshist012008112520081126\index.dat============= FINISH: 14:48:01,28 ===============[/log]

[Cecilia]

Det där blev ju lite svårläsligt utan några radbrytningar. Har du loggen i Anteckningar innan du klistrar in den?

[Cecilia]

Jag lyckas i alla fall få fram att det är en kraftig infektion som i huvudsak sprids från Facebook och liknande webbplatser.

 

Ladda ner Malwarebytes Anti-Malware (MBAM) från:

http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

Dubbelklicka på mbam-setup för att installera programmet.

 

Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

Om det inte går att uppdatera inifrån programmet så ladda själv ner senaste uppdateringen:

http://www.malwarebytes.org/mbam/database/mbam-rules.exe

och starta den för att uppdateringen ska ske.

 

När programmet startar så välj "Utför snabb skanning" och tryck på Skanna.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan "Visa resultat".

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.

Kopiera loggen och klistra in den i ditt svar.

[annalena]

Tack Cecilia!

Det funkade enligt beskrivning! 18 + 9 filer borttagna! Körde två gånger eftersom vi missade uppdaeringen i början.

Försöker bifoga filer om inte det går klistrar jag in loggen.

Jättemycket tack!

Anna-Lena

mbam-log-2010-02-03 (17-01-15).txt

mbam-log-2010-02-03 (17-24-13).txt

[Cecilia]

Det ser ju ut att ha tagit bort mycket.

 

Men det är nog bäst att jag får se en ny DDS-logg också. Starta om datorn först. Om du får med radbrytningarna när du klistrar in loggen i ditt svar så föredrar jag det framför att du bifogar filen, men hellre en bifogad fil än inklistring utan radbrytningar

[annalena]

Det ser ju ut att ha tagit bort mycket.

 

Men det är nog bäst att jag får se en ny DDS-logg också. Starta om datorn först. Om du får med radbrytningarna när du klistrar in loggen i ditt svar så föredrar jag det framför att du bifogar filen, men hellre en bifogad fil än inklistring utan radbrytningar

 

Det är helt fantastiskt att det blev detta resultat. Tog bussen från från Sigtuna där problemdatorn befinner sig så vidare behandling får utföras av min svägerska och hennes dotter som var imponerade och intresserade av dina kunskaper och goda handledning. Själv är jag mycket glad åt att få vara med om dylik problemlösning.

Jättemycket tack från Anna-Lena

[Cecilia]

Tack för de fina rosorna!

 

Då ser jag fram emot en logg!

[annalena]

Verkar grönt!!

hoppas sidbrytningarna kommer med

Anna-Lena

 

Version:1.0 StartHTML:0000000170 EndHTML:0000003890 StartFragment:0000002748 EndFragment:0000003854 SourceURL:file://localhost/mbam-log-2010-02-04%20(11-20-00).txt Malwarebytes' Anti-Malware 1.44

Databasversion: 3685

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

2010-02-04 11:20:00

mbam-log-2010-02-04 (11-20-00).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 111783

Fˆrfluten tid: 10 minute(s), 51 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registerv‰rden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registerv‰rden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

 

 

 

[Cecilia]

Radbrytningarna kom med

Men jag skulle vilja se en DDS-logg.