Kan inte ta bort viruset från Datorn!

[Gäst idgadmin]

Jag har fått en liten ikon (längst ner vid volymknappen etc) som ser exakt likadant ut som Microsoft update ikonen. Där står det: "Your computer is infected! Windows has detected spyware infection. It is recomended to use special antispyware tools to prevent data loss. Windows will now download and install the most up-to-date antispyware for you."

 

när jag klickar på det så laddar det hem nåt program som heter Spyaxe. Men efter att jag scannat datorn med andra program så visar det sig att spyaxe själv är ett virus! Hur ska jag ta mig till för att ta bort det?

 

[Gäst idgadmin]

Jag har kört Hijackthis.exe och det här är vad den visar:

 

Logfile of HijackThis v1.99.1

Scan saved at 16:12:43, on 2005-12-04

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINDOWS\System32\taskmgr.exe

C:\Program Files\bebs\tccs.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\XoftSpy\XoftSpy.exe

C:\Program Files\Symantec\LiveUpdate\AUpdate.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Documents and Settings\nebukhednezzar\Desktop\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://comhem.se'>http://comhem.se

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://comhem.se

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = IE_Window_Title

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://proxy1.telia.com:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://login1.telia.com;http://10.0.0.6;

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

R3 - URLSearchHook: (no name) - _{CE000994-A58C-4441-8938-744CD72AB27F} - (no file)

O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\System32\hpA086.tmp (file missing)

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [inCD] C:\Program Files\Ahead\InCD\InCD.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\System32\sfg_08e5.dll"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program Files\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program Files\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [giavrgu] c:\windows\system32\ltepqt.exe r

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [spyAxe] C:\Program Files\SpyAxe\spyaxe.exe /h

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Yahoo! Pager] C:\Program Files\Yahoo!\Messenger\ypager.exe -quiet

O4 - HKCU\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\System32\sfg_08e5.dll"

O4 - HKCU\..\Run: [Tzty] C:\WINDOWS\System32\??rvices.exe

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [Mshc] "C:\Program Files\bebs\tccs.exe" -vt mt

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program Files\Microsoft Office\Office\OSA9.EXE

O4 - Global Startup: Motorola Desktop Suite mRouter Config.lnk = C:\Program Files\Intuwave Ltd\Shared\mRouterRunTime\mRouterConfig.exe

O4 - Global Startup: Motorola Desktop Suite.lnk = C:\Program Files\Motorola\Motorola Desktop Suite\DesktopSuite.exe

O4 - Global Startup: palstart.exe

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra button: Microsoft AntiSpyware helper - {7C9F50E1-8638-4053-B418-668DCBE13556} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {7C9F50E1-8638-4053-B418-668DCBE13556} - (no file) (HKCU)

O14 - IERESET.INF: START_PAGE_URL=http://login1.telia.com

O16 - DPF: {02AA9E0F-B4EB-4BE9-A769-FD09543FEEC2} (UniInstaller Class) - http://a7babchat.com/logs/voice-installer.cab

O16 - DPF: {68459DB3-59C9-449D-815B-65F729385C16} (VoiceSecure Control) - http://www.iraqvoice.com/vs187.cab

O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://216.218.200.233/talk.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {FCF289D4-0AC8-4ED8-BE31-E8AF09606AB5} (download_35mb_com.applet) - http://static.35mb.com/applet/applet_o.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

O23 - Service: System Startup Service (SvcProc) - Unknown owner - C:\WINDOWS\svcproc.exe (file missing)

 

 

Men nu vet jag inte vad jag ska ta mig till!

 

[Ludde49]

 

Ta bort programmet från "Lägg till/Ta bort program". Kör en sökning efter alla filer i "Alla filer och mappar". Aktivera "Visa dolda filer" i kontrollpanelen. Kör alla spywareprogram du har, ex: Spybot, Adaware, Microsoft Antispyware.

 

[Gäst idgadmin]

Tack för svaret! Mitt operativsystem är på engelska och jag är väldigt dålig när det gäller datorer så jag skulle vara tacksam ifall ni kunde ge hjälpa mig steg för steg. Tack ännu en gång!

 

 

[Gäst idgadmin]

Scanna denna fil här och meddela resultat

 

C:\Program Files\bebs\tccs.exe

 

http://virusscan.jotti.org/

 

[Gäst idgadmin]

Det var många som inte hittade något, men här är de som kunde känna igen den:

 

 

Dr.Web

Found Trojan.PurityAd

 

Kaspersky Anti-Virus

Found not-a-virus:AdWare.Win32.MediaTickets.r

NOD32

Found probably a variant of Win32/Adware.MediaTickets application (probable variant)

 

 

VBA32

Found Backdoor.Rbot.2 (probable variant

 

[Zipp.]

Skapa en ny mapp på C:\ och placera HijackThis.exe dit så C:\HjT\HijackThis.exe

 

Avinstallera via Kontrollpanelen om det finns

 

SpyAxe

 

Ladda ner smitrem.exe på skrivbordet

 

http://noahdfear.geekstogo.com/click%20counter/click.php?id=1

 

Dubbelklicka på den och klicka Start så får du smitrem mappen på skrivbordet

 

Starta sen i felsäkert läge

 

Skriv i Kör fältet services.msc och Ok

Leta efer service med namn

 

System Startup Service (SvcProc)

 

dubbelklicka på den och ändra startmetod till inaktiverad Verkställ och Ok

 

Scanna med Hijack bocka i dessa rader om dom finns och klicka Fix checked

 

R3 - URLSearchHook: (no name) - _{CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

R3 - URLSearchHook: (no name) - _{CE000994-A58C-4441-8938-744CD72AB27F} - (no file)

O2 - BHO: HomepageBHO - {3e9b951e-6f72-431b-82cf-4a9fbf2f53bc} - C:\WINDOWS\System32\hpA086.tmp (file missing)

O4 - HKLM\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\System32\sfg_08e5.dll"

O4 - HKLM\..\Run: [giavrgu] c:\windows\system32\ltepqt.exe r

O4 - HKLM\..\Run: [spyAxe] C:\Program Files\SpyAxe\spyaxe.exe /h

O4 - HKCU\..\Run: [PCShield] regsvr32 /s "C:\WINDOWS\System32\sfg_08e5.dll"

O4 - HKCU\..\Run: [Tzty] C:\WINDOWS\System32\??rvices.exe

O4 - HKCU\..\Run: [Mshc] "C:\Program Files\bebs\tccs.exe" -vt mt

O9 - Extra button: Microsoft AntiSpyware helper - {7C9F50E1-8638-4053-B418-668DCBE13556} - (no file) (HKCU)

O9 - Extra 'Tools' menuitem: Microsoft AntiSpyware helper - {7C9F50E1-8638-4053-B418-668DCBE13556} - (no file) (HKCU)

O20 - Winlogon Notify: st3 - C:\WINDOWS\system32\st3.dll (file missing)

 

 

Sen ta bort med dolda filer synliga om hittas

C:\WINDOWS\svcproc.exe

C:\WINDOWS\System32\sfg_08e5.dll

C:\WINDOWS\System32\??rvices.exe

c:\windows\system32\ltepqt.exe

C:\Program Files\bebs\tccs.exe" -vt mt

C:\WINDOWS\system32\st3.dll

 

C:\Program Files\SpyAxe\ < mappen

 

Sen öppna smitRem-mappen, dubbelklicka på RunThis.bat filen och följ anvisningarna.

Starta sen normalt och:

 

Ladda ner SpyAxeFix på skrivbordet

 

http://noahdfear.geekstogo.com/SpyAxeFix.exe

 

Dubbelklicka på den och Start så får du SpyAxeFix mappen på skrivbordet.

Sen stäng alla andra öppna program och fönster.

Öppna mappen och kör SpyAxeFix.bat

Datorn startar om när det är färdigkört.

Sen skicka loggen från SpyAxeFix mappen ny Hijack + smitrem logg ( C:\smitfiles.txt)

 

 

 

 

[Gäst idgadmin]

Tack så oerhört mycket för all din hjälp! Men jag är faktist en riktig amatör när det gäller datorer, så jag har inte förstått exakt hur jag ska göra. Vet inte hur jag kommer till alla dessa ställen som du nämnt. Tex, hur startar jag i felsäkert läge? Hade varit oändligt tacksam ifall du kunde ha lite mer tålamod med mig o förklara det i babysteps? Tack på förhand!

 

 

[927]

 

kontrollpanelen:

 

i min dator (som inte är xp) går man via start>inställningar>kontrollpanelen>lägg till/ta bort program

 

skrivbordet hoppas jag att du vet vad det är...

 

för att komma till felsäkert läge måste du klicka på tangenten f8 vid rätt tidpunkt när datorn startar, ett alt är att trycka flera ggr. startar windows så har du misslyckats och det är bara försöka igen.

lyckas du så stannar datorn och då letar du efter ordet fail safe och med hjälp av pilarna så hoppar du dit och väljer trycker på enter

 

kör finns i start menyn så då är det ju lägligt att klicka på startknappen så startmenyn visas.

när du skrivit in services.msc så klickar du på ok

 

[Gäst idgadmin]

Jag har gjort allt som du har skrivit förutom det sista där jag inte riktigt förstår vad jag ska göra:

 

"Datorn startar om när det är färdigkört.

Sen skicka loggen från SpyAxeFix mappen ny Hijack + smitrem logg ( C:\smitfiles.txt)"

 

Kan du vara snäll och förklara det sista steg flr steg? Kom ihåg att jag är en amatör ! Och tack för all hjälp förresten!

 

 

 

[Zipp.]

 

När SpyAxeFix är färdigkört så startar datorn om.

Efter det skicka loggen spyaxe.txt

Ny Hijack logg och C:\smitfiles.txt)logg.

 

 

 

 

[Gäst idgadmin]

Här är Hijack loggen:

Logfile of HijackThis v1.99.1

Scan saved at 20:58:09, on 2005-12-05

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\LVCOMSX.EXE

C:\Program Files\Microsoft AntiSpyware\gcasServ.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program Files\MSN Messenger\MsnMsgr.Exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program Files\Norton AntiVirus\navapsvc.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Symantec\LiveUpdate\AUpdate.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\WINDOWS\System32\taskmgr.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program Files\Messenger\msmsgs.exe

C:\Documents and Settings\nebukhednezzar\Desktop\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://comhem.se'>http://comhem.se

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://comhem.se

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = IE_Window_Title

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = http://proxy1.telia.com:8080

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = http://login1.telia.com;http://10.0.0.6;

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [ATIPTA] C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_01\bin\jusched.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [ccRegVfy] "C:\Program Files\Common Files\Symantec Shared\ccRegVfy.exe"

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\PROGRA~1\SYMNET~1\SNDMon.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\System32\LVCOMSX.EXE

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] "C:\Program Files\Logitech\Video\ManifestEngine.exe" boot

O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background

O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_01\bin\npjpi150_01.dll

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\System32\shdocvw.dll

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\PROGRA~1\Yahoo!\MESSEN~1\YPager.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE

O14 - IERESET.INF: START_PAGE_URL=http://login1.telia.com

O16 - DPF: {02AA9E0F-B4EB-4BE9-A769-FD09543FEEC2} (UniInstaller Class) - http://a7babchat.com/logs/voice-installer.cab

O16 - DPF: {68459DB3-59C9-449D-815B-65F729385C16} (VoiceSecure Control) - http://www.iraqvoice.com/vs187.cab

O16 - DPF: {6924091F-CD97-41E1-B1D4-D9079409D413} (IMCv1 Control) - http://216.218.200.233/talk.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab

O16 - DPF: {FCF289D4-0AC8-4ED8-BE31-E8AF09606AB5} (download_35mb_com.applet) - http://static.35mb.com/applet/applet_o.cab

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - "C:\PROGRA~1\MSNMES~1\msgrapp.dll" (file missing)

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccPwdSvc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: kavsvc - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kavsvc.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Program Files\Norton AntiVirus\navapsvc.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\COMMON~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\SNDSrvc.exe

 

 

 

Och här är smitfiles.txt:

 

 

smitRem © log file

version 2.7

 

by noahdfear

 

 

Microsoft Windows XP [Version 5.1.2600]

The current date is: 2005-12-05

The current time is: 18:14:03,34

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

checking for ShudderLTD key

 

ShudderLTD key not present!

 

checking for PSGuard.com key

 

 

PSGuard.com key not present!

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

Existing Pre-run Files

 

 

~~~ Program Files ~~~

 

 

 

~~~ Shortcuts ~~~

 

 

 

~~~ Favorites ~~~

 

Free XXX Sites List.url

Antivirus Test Online.url

 

 

~~~ system32 folder ~~~

 

1024 dir

msvol.tlb

ld****.tmp

mssearchnet.exe

ncompat.tlb

nvctrl.exe

mscornet.exe

hp***.tmp

logfiles

 

 

~~~ Icons in System32 ~~~

 

ts.ico

ot.ico

 

 

~~~ Windows directory ~~~

 

 

 

~~~ Drive root ~~~

 

 

~~~ Miscellaneous Files/folders ~~~

 

 

 

 

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

 

 

 

Remaining Post-run Files

 

 

~~~ Program Files ~~~

 

 

 

~~~ Shortcuts ~~~

 

 

 

~~~ Favorites ~~~

 

 

 

~~~ system32 folder ~~~

 

 

 

~~~ Icons in System32 ~~~

 

 

 

~~~ Windows directory ~~~

 

 

 

~~~ Drive root ~~~

 

 

 

~~~ Miscellaneous Files/folders ~~~

 

 

 

 

~~~ Wininet.dll ~~~

 

CLEAN!

 

 

Och här är Spyaxe loggen:

 

 

SpyAxeFix © by noahdfear

 

 

Microsoft Windows XP [Version 5.1.2600]

The current date is: 2005-12-05

The current time is: 18:27:35,82

 

spyaxe directory present

 

spyaxe uninstaller present

 

Starting spyaxe uninstaller

 

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

Copyright© 2002-2003 Craig.Peacock@beyondlogic.org

Error, Cannot find a process with an image name of spyaxe.exe

 

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

Copyright© 2002-2003 Craig.Peacock@beyondlogic.org

Killing PID 444 'explorer.exe'

 

 

Command Line Process Viewer/Killer/Suspender for Windows NT/2000/XP V2.03

Copyright© 2002-2003 Craig.Peacock@beyondlogic.org

Error, Cannot find a process with an image name of rundll32.exe

 

svchosts.dll present

 

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\SharedTaskScheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

"{1B68470C-2DEF-493B-8A4A-8E2D81BE4EA5}"="st3"

 

 

 

Tack för all hjälp ännu en gång!

 

 

[Zipp.]

 

Är Kaspersky Anti-Virus kvar på datorn eller har du avinstallerat den.

 

[Gäst idgadmin]

Kaspersky har jag kvar ja. Ska jag ta bort den? Är det därför datan hackar nu? Många program hakar eller stannar upp, detta började uppstå samtidigt som spyaxe fanns i datan.

 

[927]

 

kaspersky skyddar bra mot allt, det gör inte norton så jag rek i massor att du behåller kav.

 

 

 

[inlägget ändrat 2005-12-06 01:22:12 av 927]

[Zipp.]

> ser exakt likadant ut som Microsoft update ikonen.<

 

Är den borta nu?

 

> Kaspersky har jag kvar ja. Ska jag ta bort den <

 

Nej

 

Scanna med Hijack bocka i och Fixsa

 

O4 - HKLM\..\Run: [KAVPersonal50] C:\Program Files\Kaspersky Lab\Kaspersky Anti-Virus Personal\kav.exe /minimize

 

Sen ska det vara ok enligt alla loggar.

 

[inlägget ändrat 2005-12-06 10:51:32 av Zipp]

[Gäst idgadmin]

Ja den ikonen som ser ut som microsoft-update är borta. Men hur kommer det sig att datan hackar fortfarande? Det gjorde den inte innan ikonen dök upp?

 

 

[Zipp.]

 

Vet inte farför det hackar men uppdatera Kaspersky Anti-Virus och pröva att scanna med den.

Stäng av Norton så länge.

 

[927]

 

kolla i enhetshanteraren om det är nån process som äter mycke cpu eller minne

 

[Gäst idgadmin]

Nu har det slutat hacka sen jag stängt av Norton. Men nu kan jag inte ha på msn. Varje gång jag sätter på den så försvinner den efter ett litet tag. vad kan det bero på? Hände aldrig förut. Tack

 

 

[Gäst idgadmin]

>ystem Startup Service (SvcProc)

 

dubbelklicka på den och ändra startmetod till inaktiverad Verkställ och Ok<

 

 

Ska jag aktivera den igen nu? Varje gång jag startar datorn så frågar den mig när jag kommer till desktop.

 

 

[927]

 

avinstallera norton helt, inkl live update

 

nej du ska inte aktivera den men jag fattar inte hur detta kan ske när den är inaktiverad...

 

ta bort filen C:\WINDOWS\svcproc.exe om du hittar den

 

scanna datorn med kaspersky

 

[Gäst idgadmin]

Nu har jag avinstallerat norton och liveupdate.

 

>ej du ska inte aktivera den men jag fattar inte hur detta kan ske när den är inaktiverad...<

 

Jag gjorde inte exakt som Zipp sa för jag hittade ingenstans att inaktivera den, så jag skrev msconfig på run och bockade av den istället.

 

 

 

[Zipp.]

 

Skriv i Run fältet services.msc och Ok

Leta efer service med namn

 

System Startup Service (SvcProc)

 

dubbelklicka på den och ändra startmetod till inaktiverad

 

[Gäst idgadmin]

Det har jag gjort, men hittar inget.