Virus! DIVirus.925

[Malou_031]

Hej!

 

Nu är det jag som är i farten igen. *ler*

 

Just nu så sitter jag vid en bekants dator och försöker hjälpa honom med att få ordning på datorn.

Har installerat ett panda-program på datorn och när den scannade så hittade den ett virus DIVirus.952 pandaprogrammet har döpt om viruset till divxdec_ax.

 

Så här står det i loggen hos pandan:

Namn: DIVirus.925

Storlek: 925

Reparerbar: Nej

 

Egenskaper: Minnesresident

 

Hittar ingen information om det här viruset någonstans.

Jag har hållt på och scannat datorn jag sitter vid åt alla håll och kanter, med alla möjliga/omöjliga antivirusprogram (hittar ingen virus) har även scannat med onlinescanningar, men den enda onlinescanning som fungerade var panda activ scan (trenmicro och symantec fungerade inte, dessa ville inte vara med alls).

 

Jag hittade inte den här filen i datorn förut (enligt pandan så ligger det i C:\windows\system\divxdec_ax men där hittar jag det inte) nu när jag gick in i registereditorn och sökte på divxdec_ax så hittade jag äntligen den lilla rackaren.

Men nu är ju frågan vågar jag ta bort den här mappen med viruset eller vad är det?

Kan jag ta bort det här utan att det uppstår problem?

 

Hoppas att jag kan få hjälp ännu en gång!

 

Hälsningar: Malou

 

[inlägget ändrat 2003-11-18 01:57:07 av malou jansson]

[inlägget ändrat 2003-11-18 02:07:38 av malou jansson]

[inlägget ändrat 2003-11-18 02:24:45 av malou jansson]

[Hel Och Ren]

Hej!

 

Ja ta bort det!

 

Problemet lär inte bli större än det redan är!

 

Det skulle JAG ha gjort iaf!

 

Sören

 

TACSAM FÖR SVAR! (LITAR PÅ ERT OMDÖMME)

________________________________________________________________________________

XP Professional

AMD Athlon 1,42 Ghz, 40Gb+20Gb,1,00Gb Ram,21"EIZO,

http://hem.passagen.se/vaknare/

 

 

[Mij]

Låter mest som om det är en crackad version av någon divx-codec..

 

Ta en backup på registret, ta sedan bort den lille rackarn.

 

Behåll register-backup'en ett tag...

 

 

[Malou_031]

Hej!

 

Tack för svaren.

 

Till Mij!

Hur tar man en backup på registret?

 

Så då kanske det inte är något virus på det sättet då?

 

 

Till Helren!

[CITAT]Ja ta bort det!

 

Problemet lär inte bli större än det redan är!

 

Det skulle JAG ha gjort iaf![/CITAT]

 

Jaha??? Nu börjar jag bli lite orolig här.

Vad menar du med att problemet lär inte bli större än vad det är?

 

Tacksam för svar.

 

Hälsningar: Malou

 

 

[Hel Och Ren]

Hej!

 

Kanske utyckte mej lite fel!

 

Men jag anser att har man virus = Har man problem (med datorn) alltså inget personligt!

 

Sören

 

TACSAM FÖR SVAR! (LITAR PÅ ERT OMDÖMME)

________________________________________________________________________________

XP Professional

AMD Athlon 1,42 Ghz, 40Gb+20Gb,1,00Gb Ram,21"EIZO,

http://hem.passagen.se/vaknare/

 

 

[Mij]

Hej malou.

 

Starta registereditorn,

Start->Kör, skriv "regedit" och tryck "OK".

 

I menyn hittar du "Register" och där under "Exportera registerfil".

 

När fönstret dyker upp ser du till att det under "Exportera intervall" är markerat "Alla".

 

Spara filen på ett lämpligt ställe.

 

 

[Malou_031]

Hej igen!

 

Har upptäckt ytterligare problem på datorn.

Verkar som att någonting har slagit ut skrivaren, mediaplayern och eventuellt cd-romen/enheten.

Dessa fungerade felfritt innan i lördags/söndags.

 

Vet ej om det här hänger ihop på något sätt?

 

 

Till Helren!

 

Ingen fara *ler* fattar vad du menar nu när jag börjar att vakna till.

Har suttit och försökt få ordning på min bekants dator hela natten nästan och sitter där nu igen och håller på.

 

 

 

Till Mij!

 

Ok, skall försöka mig på det här.

 

Håller tummarna för att det lyckas.

 

 

Tack för svaren. Återkommer om det uppstår ytterligare problem.

 

 

[Mij]

Det kan vara ett följdfel...

Har du tur så rättas det till när du får bort skräpet.

 

Jag hjälper dig hålla tummarna..*ler*

 

 

[Malou_031]

Hej!

 

Tyvärr så misslyckas det med saker och ting.

 

Har nu fått tag på lite information ang DIVirus.925

 

Technical name: DIVirus.925

Threat level: Low

Typ: Virus

Effects: It carries out damaging actions on the affected computer.

Affected platform: MS-Dos

 

Hur får man bort det här?

 

Har även upptäckt att det finns ett antivirusprogram installerat på min bekants dator som heter AVG.7 och det installerades i söndags av min bekants son, men det är ur funktion och det går inte att avinstallera.

Jag har försökt att avinstallera det här, men det går inte. Det återinstallerar sig själv på något konstigt sätt.

Jag misstänker starkt att viruset har följt med vid installationen av AVG.7 då min bekants son laddade ner AVG.7 ifrån internet utan att ha något som helst skydd i datorn innan han gjorde det här.

 

Nu till frågan:

Hur får jag bort viruset plus AVG.7 på bästa möjliga sätt?

 

 

Vore tacksam för svar:

 

Hälsningar: Malou

 

 

[Die Hard]

malou ,hej:)

 

Jag föreslår att du laddar ner HiJack This från denna plats: http://www.tomcoyote.org/hjt/ Den kommer som en zip-fil,det är bara att dubbelklicka och trycka "scan". Då kommer en log-fil upp,spara den och kopiera den hit så ska jag hjälpa dig tolka den.

 

Die Hard

 

 

 

[Malou_031]

Hej Die Hard!

 

Tack för att du vill hjälpa!

 

Här skall du få något att bita i *ler*.

 

 

Logfile of HijackThis v1.97.6

Scan saved at 23:40:49, on 2003-11-19

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

D:\PROGRAM\KAZAA LITE K++\KAZAALITE.KPP

D:\PROGRAM\KAZAA DOWNLOAD ACCELERATOR.EXE

D:\PROGRAM\WINAMP\WINAMPA.EXE

C:\SBPCI\CTMIX32.EXE

C:\PROGRAM\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\APVXDWIN.EXE

C:\PROGRAM\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAM\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\PAVPROXY.EXE

C:\PROGRAM\WINZIP\WINZIP32.EXE

C:\TEMP\HIJACKTHIS.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchbar.linksummary.com/'>http://searchbar.linksummary.com/'>http://searchbar.linksummary.com/'>http://searchbar.linksummary.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.linksummary.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login1.comhem.se/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.linksummary.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = IE_Window_Title

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://proxy1.telia.com:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://login1.telia.com;http://10.0.0.6

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://searchbar.linksummary.com/

O2 - BHO: (no name) - {3EFC4B83-F070-11D2-9CA3-0080C7C48CC1} - C:\PROGRAM\INFOTIZER\IEHELPER.DLL

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: Natural Language Navigation - {60E78CAC-E9A7-4302-B9EE-8582EDE22FBF} - C:\WINDOWS\SYSTEM\BHO001.DLL

O2 - BHO: (no name) - {4A2AACF3-ADF6-11D5-98A9-00E018981B9E} - C:\Program\NewDotNet\newdotnet5_48.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.ExE

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Aktivitetsfältet] SysTray.Exe

O4 - HKLM\..\Run: [KAZAA] "D:\PROGRAM\KAZAA LITE K++\KPP.EXE" "D:\PROGRAM\KAZAA LITE K++\KAZAALITE.KPP" /SYSTRAY

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [FastTrack Accelerator] D:\PROGRAM\KAZAA DOWNLOAD ACCELERATOR.EXE

O4 - HKLM\..\Run: [WinampAgent] "D:\PROGRAM\WINAMP\WINAMPa.exe"

O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [QTWAGKN] C:\WINDOWS\QTWAGKN.exe

O4 - HKLM\..\Run: [New.net Startup] rundll32 C:\PROGRAM\NEWDOT~1\NEWDOT~1.DLL,NewDotNetStartup

O4 - HKLM\..\Run: [WinStart001.EXE] C:\WINDOWS\System\WINSTART001.EXE -b

O4 - HKLM\..\Run: [msbb] D:\PROGRAM\KAZAA DOWNLOAD ACCELERATOR\180SOLUTIONS\MSBB.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - HKCU\..\Run: [KaZaA Download Accelerator] D:\PROGRAM\KAZAA DOWNLOAD ACCELERATOR\KDA.EXE

O4 - Startup: Office-autostart.lnk = C:\Program\Microsoft Office\Office\OSA.EXE

O9 - Extra button: RealGuide (HKLM)

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O10 - Hijacked Internet access by New.Net

O16 - DPF: Visual Studio 6 Extensibility Libraries - file://E:\VJ98\VSTUDIO6.CAB

O16 - DPF: Microsoft WFC Forms Designer - file://E:\VJ98\WFCFORMS.CAB

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37893.4677083333

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/d052c1d7d32ead/housecall.antivirus.com/housecall/xscan53.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

 

 

Jag hoppas verkligen att problemet går att lösa!

 

Tack snälla:

 

Hälsningar: Malou

 

 

[Die Hard]

Hej malou )

 

Jag ska börja med att vara lite besvärlig. Din HiJack This är utdaterad, det har kommit en nyare-- 1.97.7 . Tyvärr hade dom inte uppdaterat den på servern du fick av mig ( Hämta den här hos författaren,där vet jag att den senaste finns: http://mjc1.com/mirror/hjt/

 

Nu vill jag att du gör så här:

 

Först gå till "Lägg Till/Ta Bort Program" och hitta "Newdotnet" och avinstallera det. Hittar du inte den där , gå till "C:\Program\NewDotNet" och titta om det finns en "uninstaller" där.Avinstallera med den i så fall. Sedan startar du om.

 

Efter omstart, skannar du med HiJack This , den som du har laddat ner nu,och postar den logfilen. Det kommer att finnas lite kvar att ta bort, bl.a så har du en trojan vi ska ta hand om.

 

Men jag vill inte ta några chanser, detta skräp som invaderar användar-systemen ändrar karaktär ofta ,så vi ska vara säkra på att vi får bort det på rätt sätt utan några men för ditt system.Därför vill jag att du har version 1.97.7

 

Hälsningar

 

Die Hard

 

 

[Malou_031]

Hej Die Hard!

 

Ok. Hoppas att jag har gjort rätt nu.

 

 

Logfile of HijackThis v1.97.7

Scan saved at 01:00:45, on 2003-11-20

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\WINDOWS\SYSTEM\QTTASK.EXE

D:\PROGRAM\KAZAA LITE K++\KAZAALITE.KPP

D:\PROGRAM\KAZAA DOWNLOAD ACCELERATOR.EXE

D:\PROGRAM\WINAMP\WINAMPA.EXE

C:\SBPCI\CTMIX32.EXE

C:\PROGRAM\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\APVXDWIN.EXE

C:\PROGRAM\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\PROGRAM\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\PAVPROXY.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAM\INTERNET EXPLORER\IEXPLORE.EXE

C:\PROGRAM\WINZIP\WINZIP32.EXE

C:\TEMP\HIJACKTHIS.EXE

 

R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchbar.linksummary.com/'>http://searchbar.linksummary.com/'>http://searchbar.linksummary.com/'>http://searchbar.linksummary.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.linksummary.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login1.comhem.se/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.linksummary.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = IE_Window_Title

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://proxy1.telia.com:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://login1.telia.com;http://10.0.0.6

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://searchbar.linksummary.com/

O2 - BHO: (no name) - {3EFC4B83-F070-11D2-9CA3-0080C7C48CC1} - C:\PROGRAM\INFOTIZER\IEHELPER.DLL

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O2 - BHO: Natural Language Navigation - {60E78CAC-E9A7-4302-B9EE-8582EDE22FBF} - C:\WINDOWS\SYSTEM\BHO001.DLL

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [systemTray] SysTray.ExE

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Aktivitetsfältet] SysTray.Exe

O4 - HKLM\..\Run: [KAZAA] "D:\PROGRAM\KAZAA LITE K++\KPP.EXE" "D:\PROGRAM\KAZAA LITE K++\KAZAALITE.KPP" /SYSTRAY

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [FastTrack Accelerator] D:\PROGRAM\KAZAA DOWNLOAD ACCELERATOR.EXE

O4 - HKLM\..\Run: [WinampAgent] "D:\PROGRAM\WINAMP\WINAMPa.exe"

O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [QTWAGKN] C:\WINDOWS\QTWAGKN.exe

O4 - HKLM\..\Run: [WinStart001.EXE] C:\WINDOWS\System\WINSTART001.EXE -b

O4 - HKLM\..\Run: [msbb] D:\PROGRAM\KAZAA DOWNLOAD ACCELERATOR\180SOLUTIONS\MSBB.EXE

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - HKCU\..\Run: [KaZaA Download Accelerator] D:\PROGRAM\KAZAA DOWNLOAD ACCELERATOR\KDA.EXE

O4 - Startup: Office-autostart.lnk = C:\Program\Microsoft Office\Office\OSA.EXE

O9 - Extra button: RealGuide (HKLM)

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O16 - DPF: Visual Studio 6 Extensibility Libraries - file://E:\VJ98\VSTUDIO6.CAB

O16 - DPF: Microsoft WFC Forms Designer - file://E:\VJ98\WFCFORMS.CAB

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37893.4677083333

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/d052c1d7d32ead/housecall.antivirus.com/housecall/xscan53.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

 

Håller tummarna!

 

Hälsningar: Malou

 

 

[Die Hard]

malou :-)

 

Nu, gör så här. Det är viktigt att du stänger alla öppna fönster och applikationer.Sedan kör du HiJack This och sätter en bock vid nedanstående detaljer. Klicka sedan "fix" :

 

Innan du tar bort alla dessa detaljer helt och hållet så skulle jag vilja be dig om att du lägger dom i en särskild mapp och zippar dom och skickar dom till oss för utvädering hit : http://www.lavahelp.com/submit/

 

Innan du fixar med HJT, hitta

IEHELPER.DLL

Efter "fix" och omstart skicka dessa detaljer:

QTWAGKN.exe

Kazaa DownloadAccelerator, hela mappen

 

 

[FET]R1 - HKCU\Software\Microsoft\Internet Explorer,SearchURL = http://searchbar.linksummary.com/'>http://searchbar.linksummary.com/'>http://searchbar.linksummary.com/'>http://searchbar.linksummary.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://searchbar.linksummary.com/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://searchbar.linksummary.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,SearchAssistant = http://searchbar.linksummary.com/

O2 - BHO: (no name) - {3EFC4B83-F070-11D2-9CA3-0080C7C48CC1} - C:\PROGRAM\INFOTIZER\IEHELPER.DLL

O2 - BHO: Natural Language Navigation - {60E78CAC-E9A7-4302-B9EE-8582EDE22FBF} - C:\WINDOWS\SYSTEM\BHO001.DLL

O4 - HKLM\..\Run: [systemTray] SysTray.ExE

O4 - HKLM\..\Run: [KAZAA] "D:\PROGRAM\KAZAA LITE K++\KPP.EXE" "D:\PROGRAM\KAZAA LITE K++\KAZAALITE.KPP" /SYSTRAY

O4 - HKLM\..\Run: [QuickTime Task] "C:\WINDOWS\SYSTEM\QTTASK.EXE" -atboottime

O4 - HKLM\..\Run: [FastTrack Accelerator] D:\PROGRAM\KAZAA DOWNLOAD ACCELERATOR.EXE

O4 - HKLM\..\Run: [WinampAgent] "D:\PROGRAM\WINAMP\WINAMPa.exe"

O4 - HKLM\..\Run: [QTWAGKN] C:\WINDOWS\QTWAGKN.exe

O4 - HKLM\..\Run: [WinStart001.EXE] C:\WINDOWS\System\WINSTART001.EXE -b

O4 - HKLM\..\Run: [msbb] D:\PROGRAM\KAZAA DOWNLOAD ACCELERATOR\180SOLUTIONS\MSBB.EXE

O4 - HKLM\..\Run: [msbb] D:\PROGRAM\KAZAA DOWNLOAD ACCELERATOR\180SOLUTIONS\MSBB.EXE[/FET]

 

Sedan ska du starta om.Efter omstart,öppna "Utforskaren>Vektyg>Mappalternativ>Visning" och där klicka på "visa dolda filer och mappar." Sedan hitta i Windows-foldern "QTWAGKN.exe" och ta bort den.Fortsätt sedan i Windows-foldern under "system" och hitta "WINSTART001.EXE" och ta bort den också.

 

Gå sedan till Program-mappen och ta bort "\Kazaa DownloadAccelerator" , hela den mappen

 

Du kanske får en varning på skärmen som ser ut som denna

http://www.pestpatrol.com/pestinfo/n/ncase.asp (fönstret mitt på sidan) men om det kommer upp, klicka på "Leave nCase uninstalled and clean up any nCase files or settings that remain"

 

Sedan slänger du alltihop i papperskorgen och tömmer den.

 

Hälsning

Die Hard

 

 

 

 

 

 

[inlägget ändrat 2003-11-20 09:41:57 av Die Hard]

[Malou_031]

Hej Die Hard!

 

Oh herre gud!!!

 

[CITAT]Innan du tar bort alla dessa detaljer helt och hållet så skulle jag vilja be dig om att du lägger dom i en särskild mapp och zippar dom och skickar dom till oss för utvädering hit : http://www.lavahelp.com/submit/

 

Innan du fixar med HJT, hitta

IEHELPER.DLL

Efter "fix" och omstart skicka dessa detaljer:

QTWAGKN.exe

Kazaa DownloadAccelerator, hela mappen[/CITAT]

 

 

Zippa??? Hur gör jag det??? HJÄLP?? Snälla förklara lite mer av ovanstående som du har skrivit (något sådant här har jag ingen som helst erfarenhet av)

 

Jaha?? Hoppas att jag klarar det här, har aldrig gjort något sådant här tidigare.

 

Men innan jag gör någonting!!!

 

I ett tidigare inlägg här i tråden (lite högre upp här) så blev jag ombedd att göra en backupp och lägga den någonstans VAD SKALL JAG GÖRA MED DEN?

 

Det finns ett annat Win-system installerat på datorn Win 2000, som jag växlade över till i måndags för att kolla och la in ett panda-program och körde det och det visade sig att det systemet också var angripet av virus av något slag

Namn: Divers.2725

Storlek: 2527 (???)

Smitta: EXE

Reperarbar: Nej

 

Panda-programmet döpte om virus-filen till divxdec_ax

 

Tror du att jag kan få hjälp med det här också?

 

Men först så skall jag försöka fixa till det här.

 

Håller tummarna allt vad jag kan.

 

Hälsningar: Malou

 

 

 

[inlägget ändrat 2003-11-20 12:25:56 av malou jansson]

[inlägget ändrat 2003-11-20 12:34:55 av malou jansson]

[Malou_031]

Hej Die Hard!

 

[CITAT]Innan du fixar med HJT, hitta

IEHELPER.DLL[/CITAT]

 

Den här filen har jag hittat (vet ej om det är rätt) ligger i en mapp INFOTIZER med lite andra saker.

Vad skall jag göra med den?

 

 

Du får ursäkta mig, men jag är som ett levande frågetecken just nu.

 

 

 

Hälsningar: Malou

 

 

[Die Hard]

malou

 

I INFOTIZER foldern ligger iehelper.dll . Det enklaste är att göra en temp-mapp ,som du lägger de andra detaljerna i också, så om du är bussig att skicka dom när vi är klara.

 

Börja med att ta bort den,samt att "fixa" med HJT enligt mina instruktioner,så zippar vi sen.:-))

 

Nu när vi fixar med HJT, så gör den automatiskt en backup,ingenting som du behöver göra själv.

 

Die Hard

 

 

 

[inlägget ändrat 2003-11-20 19:43:19 av Die Hard]

[Malou_031]

Hej Die hard!

 

Nu har jag gjort det mesta MEN jag hittar inte filen QTWAGN.exe

 

 

Och jag vet inte om jag har gjort rätt överhuvudtaget med hela proceduren, återstår väl att se!

 

Hälsningar: Malou

 

 

[Malou_031]

Hej igen!

 

Hittar inte filen QTWAGKN.exe ???

 

Har försökt mig på att sippa katalogen som du bad mig om.

 

Nu vet jag inte vad jag skall göra?

 

 

Nu har jag hittat någonting liknande (Qtv.qtw) och så hittade jag en i mappen Applog men med ett annat filnamn (Qtwagkn.lgc) Kan det vara någon utav dessa?

 

Hälsningar: Malou

 

 

[inlägget ändrat 2003-11-20 23:56:41 av malou jansson]

[Die Hard]

Hej malou

 

"Qtwagkn.lgc" är logfilen för den här "saken" .

Ok, du har gjort det mesta ,bra.

 

 

När du zippar, högerklicka och dra pekaren runt filerna som du vill zippa så att du markerar dom.Sedan högerklickar du igen och väljer "lägg till arkiv" så öppnas WinZip och i fältet "arkiv" kan du ge det ett namn.Tryck sedan ok.Då hamnar den i samma folder med namnet och tillägget "zip"

 

Gör så här, posta en ny log-fil så får vi se hur det ser ut nu.

 

Hälsning

 

Die Hard

 

 

[Malou_031]

Hej igen Die Hard!

 

Ok.

Hur skall jag göra med den där filen, skall den med?

 

Hur gör jag fortsättningsvis med zippen och dess innehåll?

 

Jag är totalt amatör på sådana här saker!

 

 

Här kommer en ny logg.

 

Logfile of HijackThis v1.97.7

Scan saved at 00:46:15, on 2003-11-21

Platform: Windows 98 SE (Win9x 4.10.2222A)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\SYSTEM\KERNEL32.DLL

C:\WINDOWS\SYSTEM\MSGSRV32.EXE

C:\WINDOWS\SYSTEM\MPREXE.EXE

C:\WINDOWS\SYSTEM\MDM.EXE

C:\WINDOWS\SYSTEM\mmtask.tsk

C:\WINDOWS\EXPLORER.EXE

C:\WINDOWS\TASKMON.EXE

C:\WINDOWS\SYSTEM\SYSTRAY.EXE

C:\SBPCI\CTMIX32.EXE

C:\PROGRAM\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\APVXDWIN.EXE

C:\PROGRAM\MICROSOFT OFFICE\OFFICE\OSA.EXE

C:\PROGRAM\PANDA SOFTWARE\PANDA ANTIVIRUS TITANIUM\PAVPROXY.EXE

C:\WINDOWS\SYSTEM\WMIEXE.EXE

C:\WINDOWS\SYSTEM\DDHELP.EXE

C:\PROGRAM\WINZIP\WINZIP32.EXE

C:\TEMP\HIJACKTHIS.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://login1.comhem.se/

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = IE_Window_Title

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://proxy1.telia.com:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://login1.telia.com;http://10.0.0.6

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\PROGRAM\ADOBE\ACROBAT 5.0\READER\ACTIVEX\ACROIEHELPER.OCX

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\SYSTEM\MSDXM.OCX

O4 - HKLM\..\Run: [scanRegistry] C:\WINDOWS\scanregw.exe /autorun

O4 - HKLM\..\Run: [TaskMonitor] C:\WINDOWS\taskmon.exe

O4 - HKLM\..\Run: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\Run: [Aktivitetsfältet] SysTray.Exe

O4 - HKLM\..\Run: [CreativeMixer] C:\SBPCI\ctmix32.exe /T

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program\Panda Software\Panda Antivirus Titanium\APVXDWIN.EXE" /s

O4 - HKLM\..\RunServices: [LoadPowerProfile] Rundll32.exe powrprof.dll,LoadCurrentPwrScheme

O4 - HKLM\..\RunServices: [Machine Debug Manager] C:\WINDOWS\SYSTEM\MDM.EXE

O4 - Startup: Office-autostart.lnk = C:\Program\Microsoft Office\Office\OSA.EXE

O9 - Extra button: RealGuide (HKLM)

O9 - Extra button: Related (HKLM)

O9 - Extra 'Tools' menuitem: Show &Related Links (HKLM)

O16 - DPF: Visual Studio 6 Extensibility Libraries - file://E:\VJ98\VSTUDIO6.CAB

O16 - DPF: Microsoft WFC Forms Designer - file://E:\VJ98\WFCFORMS.CAB

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://www.apple.com/qtactivex/qtplugin.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/ansi/iuctl.CAB?37893.4677083333

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://www.pandasoftware.com/activescan/as5/asinst.cab

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/d052c1d7d32ead/housecall.antivirus.com/housecall/xscan53.cab

O16 - DPF: {C2FCEF52-ACE9-11D3-BEBD-00105AA9B6AE} (Symantec RuFSI Registry Information Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

 

Hoppas verkligen att det ser bättre ut!!

 

Håller tummarna

 

Hälsningar: Malou

 

 

 

 

[Die Hard]

hej igen

 

Du har en skinande ren log , bra gjort )

 

Nej,du behöver inte skicka med "Qtwagkn.lgc",det är bara en text-fil.

 

Om du har zippat filen med skräpet, gå till http://www.lavahelp.com/submit/ På websidan finns en uppladdningsfunktion, klicka på "Browse" så letar du reda på var du har lagt filen du ska skicka och sedan klicka "submit".....klart ) Kasta sedan zippen i papperskorgen.

 

Posta en log från det andra systemet också ,så ska jag titta på den.

 

hälsning

 

Die Hard

 

 

 

 

[inlägget ändrat 2003-11-21 01:14:09 av Die Hard]

[Malou_031]

Hej igen Die hard!

 

Har nu skickat zippen, hoppas bara att allt är rätt nu!

 

Kan jag låta den där filen (Qtwagkn.lgc) ligga kvar i datorn då?

 

Tack och lov för detta, kan det här verkligen vara möjligt (ATT DET ÄR RENT) otroligt för att var mig som gör något sådant här för första gången.

 

Du skall ha ett jättestort tack för all hjälp jag har fått ifrån dig!!!!

Du är guld värd!!!!

Det här kommer jag aldrig att glömma.

 

Just nu så känner jag att jag inte vill sitta med den här datorn längre har suttit med den sen i måndags eftermiddag

för att hjälpa min bekant.

 

Kan jag återuppta det andra problemet med Win 2000 i morgon så vore jag tacksam.

 

 

Ännu en gång ett jättestort tack för hjälpen.

 

 

Hälsningar från en som är mycket trött och nervig: Malou

 

 

 

[Die Hard]

Hej malou

 

Hoppas du sov gott )

 

Nu är det dags att börja jobba igen *ler*

 

Jag var nog lika trött som du igår, för jag skulle frågat om du använde sökfunktionen när du letade efter "Qtwagkn.exe" eller om du gjorde det manuellt ?

 

Den här filen måste finnas nånstans (den gör ingen skada nu) men jag är inte nöjd förrän den är borta, så den garanterat inte KAN göra någon skada något mer.

 

Om du använder sökfunktionen,så för att hitta den,måste du klicka "Start>Sök>Alla filer och mappar>Fler Avancerade Alternativ" och där klicka "Sök i systemmappar" , "Sök i dolda filer och mappar" , "Sök i undermappar" .

 

Nu har jag XP och du x98 så din sökfunktion ser nog inte riktigt likadan ut.

 

Hälsning

 

Die Hard

 

 

[Malou_031]

Hej hej Die Hard!

 

Sovit gott. Oh ja det kan du tro.

Sova måste man emellanåt och inte sitta på det här sättet. (men,men vad gör man).

 

 

Sitter just nu vid min egen dator och skriver det här inlägget. Har inte tittat åt en dator på hela dagen. *ler*

 

Ja, jag sökte både via start och sök och även manuellt.

 

MEN:

 

"Start>Sök>Alla filer och mappar>Fler Avancerade Alternativ" och där klicka "Sök i systemmappar" , "Sök i dolda filer och mappar" , "Sök i undermappar"

 

Inte på det här sättet som du beskriver.

 

Skall genast göra det här det första jag gör imorgon (lördag) eller rättare sagt idag.

 

Om jag hittar den? Skall jag då radera och kasta den så långt jag kan eller skall jag skicka den?

 

Då det gäller det andra problemet med ett annat op-system som är installerat på samma dator som vi har hållt på med och en annan virussmitta, skall jag fortsätta i den här tråden eller skall jag göra en ny tycker du?

 

 

Hälsningar: Malou

 

 

[inlägget ändrat 2003-11-22 01:58:31 av malou jansson]