Just nu i M3-nätverket
Jump to content

Trojan


Guest idgadmin

Recommended Posts

Guest idgadmin

Jag har uppenbarligen drabbats av en trojan.

Min bakgrundsbild är blå och följande text står på skärmen:

 

Security Warning

 

A fatal error in IE has occured at 0028:C0011E36 in VXD VMM (01) + 00010E36.

Error was caused by Trojan-Spy. HTML. Smitfraud. c

 

*System can not function in normal mode. Please check your security settings.

*Scan your PC with any available antivirus/spyware remover program to fix the problem.

 

När jag högerklickar på skrivbordet och väljer egenskaper kommer bildskärmsrutan fram,

med endast "skärmsläckare" och "inställningar" som alternativ. Fliken "skrivbord" finns ej.

 

Jag använder mig av Norton Antivirus, Lavasoft AdAware,

Microsoft AntiSpyware Beta1 och Webroot SpySweeper.

Kommer inte åt den förändrade skärmbilden...

 

Kan någon ge något råd?

 

 

Link to comment
Share on other sites

  • 2 weeks later...
Guest idgadmin

Jag har testat anvisningarna på Short-Media Forums, men det fungerar inte. Ingen av de filer som nämns finns i min dator.

Desktopbakgrunden är fortfarande blå med ett Security Warning-medelande ang Trojan-Spy. HTML. Smitfraud. c.

 

Vore tacksam för ytterligare tips ang hur jag kan återfå den normala bakgrundsbilden...

 

 

Link to comment
Share on other sites

 

antar att du kör windows XP

 

Testa:

Start

Hjälp och Support

 

Högst upp sök på: bakgrund

 

Klicka sedan på: Ändra skrivbordsbakgrund

 

Klicka därefter på länken till höger: Bildskärm

 

Om jag gör så kommer jag automatiskt till fliken Skrivbord under egenskaper för bildskärm.

Du kanske får ett felmeddelande om du gör det eller kanske hamnar rätt :)

 

 

 

 

Annars fler länkar:

http://www.geekstogo.com/forum/trojan_spyhtmlsmitfraudc-t36537.html

 

Testa även programmet på:

http://labs.paretologic.com/spyware.aspx?remove=Smitfraud

 

Jag har inte testat dessa saker själv, hittar dem genom att googla efter:

http://www.google.se/search?q=desktop+image+remove+smitfraud&sourceid=mozilla-search&start=0&start=0&ie=utf-8&oe=utf-8&client=firefox-a&rls=org.mozilla:sv-SE:official

 

 

[inlägget ändrat 2005-06-23 00:51:36 av Mats S]

Link to comment
Share on other sites

Guest idgadmin

 

Här är hjt-loggen:

 

Logfile of HijackThis v1.99.1

Scan saved at 20:20:31, on 2005-06-23

Platform: Windows XP (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2600.0000)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\devldr32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\CTsvcCDA.EXE

C:\Program\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\nvsvc32.exe

C:\Program\PurgeIE\PurgeIE_Service.exe

C:\Program\Webroot\Spy Sweeper\WRSSSDK.exe

C:\WINDOWS\System32\MsPMSPSv.exe

C:\WINDOWS\System32\wwSecure.exe

C:\Program\Webroot\Spy Sweeper\SpySweeper.exe

C:\Program\Outlook Express\msimn.exe

C:\Program\Messenger\msmsgs.exe

C:\WINDOWS\explorer.exe

C:\PROGRAM\WINZIP\winzip32.exe

C:\Documents and Settings\Mats\Lokala inställningar\Temp\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\_s.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/search.html

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=Userinit.exe,TGBRFV_

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [spySweeper] "C:\Program\Webroot\Spy Sweeper\SpySweeper.exe" /startintray

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O14 - IERESET.INF: START_PAGE_URL=http://www.tele2.se/c2i

O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone

O16 - DPF: {127698E4-E730-4E5C-A2B1-21490A70C8A1} (CEnroll Class) - https://www.skandiabanken.se/CertControl/X86/xenroll.dll

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {64D9B72C-E42A-490E-9181-221E1E035A14} (GDL Control) - http://www.gdlcentral.com/bin/files/GDLCtl.1.5.0.285.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{706EC213-8E99-473C-AEC7-9AA649798F16}: NameServer = 69.50.176.156 195.225.176.31

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\System32\CTsvcCDA.EXE

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program\Norton AntiVirus\navapsvc.exe

O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

O23 - Service: PurgeIE XP Service (PurgeIEservice) - Assistance & Resources for Computing, Inc. - C:\Program\PurgeIE\PurgeIE_Service.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program\DELADE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: Webroot Spy Sweeper Engine (svcWRSSSDK) - Webroot Software, Inc. - C:\Program\Webroot\Spy Sweeper\WRSSSDK.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: Washer AutoComplete (wwSecSvc) - Webroot Software, Inc. - C:\WINDOWS\System32\wwSecure.exe

 

 

 

Link to comment
Share on other sites

Guest idgadmin

Problemet är att när jag klickar på bildskärm, då får jag upp Egenskaper för bildskärm, med endast flikarna "skärmsläckare" och "inställningar", ingen "skrivbord".

Vad beror det på?

 

 

Link to comment
Share on other sites

Guest idgadmin

Testade just en scanning med XoftSpy 4.13, ett program som verkar kunna komma tillrätta med problemet.

Det kostar dock pengar - finns det inget gratisalternativ? Mitt SpySweeper rår inte på problemet i nuvarande version...

 

 

Link to comment
Share on other sites

Ladda ner och spara smitfraud.reg på skrivbordet

 

http://www.bleepingcomputer.com/files/reg/smitfraud.reg

 

Sen dubbelklicka på den och svara ja.

 

Skapa en ny mapp på C:\ och placera HijackThis.exe dit så C:\HjT\HijackThis.exe

 

(skippa inte greijen ovan)

 

Dolda filer synliga titta här hur

 

http://www.xtra.co.nz/help/0,,4155-1916458,00.html

 

Scanna med Hijack bocka i följande rader stäng Web-läsaren och alla andra öppna fönster och klicka FIX checked

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,SearchAssistant = C:\WINDOWS\_s.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.searchv.com/search.html

R3 - Default URLSearchHook is missing

F2 - REG:system.ini: UserInit=Userinit.exe,TGBRFV_

O8 - Extra context menu item: Web Search - C:\WINDOWS\ex.htm

O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)

O15 - ProtocolDefaults: 'https' protocol is in Trusted Zone, should be Internet Zone

O17 - HKLM\System\CCS\Services\Tcpip\..\{706EC213-8E99-473C-AEC7-9AA649798F16}: NameServer = 69.50.176.156 195.225.176.31

 

 

Starta sen i felsäkert läge och ta bort om hittas

 

 

C:\WINDOWS\System32\TGBRFV_.exe

C:\WINDOWS\System32\TGBRFV_5.dll

C:\WINDOWS\System32\TGBRFV_.dll

C:\WINDOWS\System32\TGBRFV_5.exe

 

 

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...