die hard kan du hjälpa mig

[Gäst idgadmin]

hej mitt norton varnar för en fil som heter ia_xp

den säger att viruset heter pwsteeler

och när man kör norton så lämnas den filen ia_xp

kvar går tydligen inte att ta bort

jag vet att du är duktig på sånt här för du har hjälpt mej en gång tidigare

skickar med loggen fr hijack

 

Logfile of HijackThis v1.97.7

Scan saved at 09:31:33, on 2004-05-02

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Symantec Shared\ccProxy.exe

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

C:\Program\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program\Norton Internet Security\Norton AntiVirus\SAVScan.exe

C:\Program\Delade filer\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\Program\PestPatrol\PPControl.exe

C:\Program\PestPatrol\PPMemCheck.exe

C:\Program\PestPatrol\CookiePatrol.exe

C:\Program\QuickTime\qttask.exe

C:\WINDOWS\System32\ctfmon.exe

C:\program\steam\steam.exe

C:\Program\mozilla.org\Mozilla\Mozilla.exe

C:\Program\Nikon\NkView6\NkvMon.exe

C:\Program\WinZip\WZQKPICK.EXE

C:\WINDOWS\System32\devldr32.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Delade filer\Symantec Shared\NMain.exe

C:\Program\NORTON~1\NORTON~1\navw32.exe

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Documents and Settings\Lasse\Skrivbord\virus sök\HijackThis.exe

C:\Program\Messenger\msmsgs.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.spray.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: (no name) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Web assistant - {9ECB9560-04F9-4bbc-943D-298DDF1699E1} - C:\Program\Delade filer\Symantec Shared\AdBlocking\NISShExt.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Web assistant - {0B53EAC3-8D69-4b9e-9B19-A37C9A5676A7} - C:\Program\Delade filer\Symantec Shared\AdBlocking\NISShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [urlLSTCK.exe] C:\Program\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Program\PestPatrol\PPControl.exe

O4 - HKLM\..\Run: [PPMemCheck] C:\Program\PestPatrol\PPMemCheck.exe

O4 - HKLM\..\Run: [CookiePatrol] C:\Program\PestPatrol\CookiePatrol.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [steam] "c:\program\steam\steam.exe" -silent

O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Program\mozilla.org\Mozilla\Mozilla.exe" -turbo

O4 - Startup: PowerReg Scheduler V3.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: NkvMon.exe.lnk = C:\Program\Nikon\NkView6\NkvMon.exe

O4 - Global Startup: WinZip Quick Pick.lnk = C:\Program\WinZip\WZQKPICK.EXE

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger (HKLM)

O9 - Extra 'Tools' menuitem: Messenger (HKLM)

O16 - DPF: axscanner - http://www.pestscan.com/scanner/axscanner.cab

O16 - DPF: axscannerruntime - http://www.pestscan.com/scanner/axscannerruntime.cab

O16 - DPF: mscomctl - http://www.pestscan.com/scanner/mscomctl.cab

O16 - DPF: msvcp71 - http://download.pestpatrol.com/Downloads/Components/msvcp71.cab

O16 - DPF: msvcr71 - http://download.pestpatrol.com/Downloads/Components/msvcr71.cab

O16 - DPF: ppctlcab - http://www.pestscan.com/scanner/ppctlcab.cab

O16 - DPF: {166B1BCA-3F9C-11CF-8075-444553540000} (Shockwave ActiveX Control) - http://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

O16 - DPF: {41F17733-B041-4099-A042-B518BB6A408C} - http://a1540.g.akamai.net/7/1540/52/20030523/qtinstall.info.apple.com/drakken/se/win/QuickTimeInstaller.exe

O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2004033001/housecall.antivirus.com/housecall/xscan53.cab

O16 - DPF: {94742E3F-D9A1-4780-9A87-2FFA43655DA2} - http://akamai.downloadv3.com/binaries/DialHTML/EGDHTML_pack_XP.cab

O16 - DPF: {9F1C11AA-197B-4942-BA54-47A8489BB47F} (Update Class) - http://v4.windowsupdate.microsoft.com/CAB/x86/unicode/iuctl.CAB?37664.5062615741

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

 

 

 

[Mij]

Hej hawkdream.

 

Jag hittar inget konstigt i din logg.

I meddelandet du får från virusprogrammet bör det även stå vilken fil som är infekterad.

 

Om det är en fil som finns i en

temp-mapp så är det bara att kasta innehållet i mappen och tömma papperskorgen.

 

Om det är så att det tillhör en återställningspunkt måste du stänga av funktionen, sedan ta bort alla återställningspunkterna (vet inte om dessa försvinner automatiskt).

Därefter kan du aktivera funktionen igen och skapa en ny, virusfri återställningspunkt.

 

Du kan även prova med att göra en onlinescanning på:

 

Trend Micro:

http://housecall.trendmicro.com/housecall/start_corp.asp

 

Symantec: http://security.symantec.com/sscv6/home.asp?j=1&langid=ie&venid=sym&plfid=22&pkj=VNYNPWFYJOKMFIDPMSV

 

Panda:

http://www.pandasoftware.com/activescan/com/activescan_principal.htm

 

 

 

[Gäst idgadmin]

 

hej bussigt att du svarade jag skrev nyss ett nytt inlägg kan du kolla det för där skrev jag precis hur det ligger till .....

 

[Gäst idgadmin]

så här står det i norton

 

så här säger norton

The compressed file ia.dll within C:\Documents and Settings\Lena\Lokala inställningar\Temporary Internet Files\Content.IE5\SHYBKPU7\ia_XP[1].cab is infected with the PWSteal.Trojan virus.

 

 

[Mij]

Det är en temporär mapp, så det är bara att ta bort mappen SHYBKPU7 och tömma papperskorgen.

 

Det kan vara att du måste ändra lite inställningar för att se mappen.

I så fall öppnar du Utforskaren, klickar på Verktyg uppe i listen och väljer mappalternativ, fliken Visning.

 

Där klickar du i Visa dolda filer och mappar, samt tar bort bocken i

Dölj skyddade operativsystemfiler.

Klicka på OK.

Nu skall du hitta mappen.