Just nu i M3-nätverket
Jump to content

IE 7 startar sig själv med spy-/adware


Datanizze

Recommended Posts

hej! har ett litet problem här, då och då så startar internet explorer av sig själv och visar en popupruta (se bild). jag är rädd för att jag blivit infekterad av något :(, jag behöver hjälp! det är ju ganska obvious att det är fake, och jag är ganska så avancerad när det gäller datorer, så detta är ett mysterium.. har provat att installera om vista 3 ggr, och det kommer ändå tillbaka...

Tack på förhand

3416918a5ae97266

Link to comment
Share on other sites

http://www.superantispyware.com/downloads/SUPERAntiSpyware.exe
installera >UPPDATERA superantispyware.
scan computer >välj complete scan... >klicka på next >starta om (om det står så).
öppna superantispyware >preferences >statistics/logs >markera senaste loggen >view >kopiera in texten från loggen här (du kan radera ev cookies från loggen först).

spara HJTInstall.exe på skrivbordet >klicka på filen >välj install och klicka på: "do a system scan and save logfile".
posta den loggen från txt filen som visas då.
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

Link to comment
Share on other sites

http://www.superantispyware.com/downloads/SUPERAntiSpyware.exe
installera >UPPDATERA superantispyware.
scan computer >välj complete scan... >klicka på next >starta om (om det står så).
öppna superantispyware >preferences >statistics/logs >markera senaste loggen >view >kopiera in texten från loggen här (du kan radera ev cookies från loggen först).

spara HJTInstall.exe på skrivbordet >klicka på filen >välj install och klicka på: "do a system scan and save logfile".
posta den loggen från txt filen som visas då.
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe




Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:10:49, on 2008-06-16
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Windows\system32\Dwm.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\DAEMON Tools Lite\daemon.exe
D:\utorrent-1.8-beta-10431.upx.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Program Files\RocketDock\RocketDock.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Belkin\Bluetooth Software\BTTray.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Belkin\Bluetooth Software\BtStackServer.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Windows\system32\rundll32.exe
C:\Program Files\Minefield\firefox.exe
C:\Windows\system32\Taskmgr.exe
C:\Windows\explorer.exe
C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: (no name) - {11DC6EF3-C1FE-4A67-BCE9-5BC00059335D} - C:\Windows\system32\nnnljhgF.dll
O2 - BHO: (no name) - {57A52E74-004C-464B-96CC-4DFE5366EA02} - C:\Windows\system32\fCrPiGwt.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft

Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {30e4d146-13e8-ea6a-1414-bc414539d82e} - {e28d9354-14cb-4141-a6ae-8e31641d4e03} - C:\Windows\system32\bjxyhdva.dll
O3 - Toolbar: (no name) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - (no file)
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [startCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe
O4 - HKLM\..\Run: [amd_dc_opt] C:\Program Files\AMD\Dual-Core Optimizer\amd_dc_opt.exe
O4 - HKLM\..\Run: [MSServer] rundll32.exe C:\Windows\system32\fCrPiGwt.dll,#1
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [5c584cf1] rundll32.exe "C:\Windows\system32\buhxeoee.dll",b
O4 - HKLM\..\Run: [bM5f6b7f6d] Rundll32.exe "C:\Windows\system32\jweoucqa.dll",s
O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Run: [uTorrent] "D:\utorrent-1.8-beta-10431.upx.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [RocketDock] "C:\Program Files\RocketDock\RocketDock.exe"
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NÄTVERKSTJÄNST')
O4 - Global Startup: BTTray.lnk = ?
O8 - Extra context menu item: Skicka bild till &Bluetooth-enhet... - C:\Program Files\Belkin\Bluetooth

Software\btsendto_ie_ctx.htm
O8 - Extra context menu item: Skicka sida till &Bluetooth-enhet... - C:\Program Files\Belkin\Bluetooth Software\btsendto_ie.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05

\bin\ssv.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MI1933~1\Office12\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth

Software\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program Files\Belkin\Bluetooth

Software\btsendto_ie.htm
O13 - Gopher Prefix:
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Avira AntiVir Personal Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program

Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir

PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program Files\Belkin\Bluetooth Software\bin\btwdins.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common

Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software GmbH - C:\Windows\System32

\TuneUpDefragService.exe
O23 - Service: uvnc_service - UltraVNC - C:\Program Files\UltraVNC\WinVNC.exe

--
End of file - 6742 bytes


 malwarebytes' anti-malware logg:


Malwarebytes' Anti-Malware 1.17
Databasversion: 862

22:12:29 2008-06-16
mbam-log-6-16-2008 (22-12-20).txt

Skanningstyp: Snabb skanning
Antal skannade objekt: 40016
Förfluten tid: 6 minute(s), 24 second(s)

Infekterade minnesprocesser: 0
Infekterade minnesmoduler: 3
Infekterade registernycklar: 9
Infekterade registervärden: 4
Infekterade registerdataposter: 2
Infekterade mappar: 0
Infekterade filer: 32

Infekterade minnesprocesser:
(Inga illasinnade poster hittades)

Infekterade minnesmoduler:
C:\Windows\System32\buhxeoee.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\nnnljhgF.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\fCrPiGwt.dll (Trojan.Vundo) -> No action taken.

Infekterade registernycklar:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{11dc6ef3-c1fe-4a67-bce9-5bc00059335d} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{11dc6ef3-c1fe-4a67-bce9-5bc00059335d} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{57a52e74-004c-464b-96cc-4dfe5366ea02} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{57a52e74-004c-464b-96cc-4dfe5366ea02} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Malware.Trace) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\rdfa (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.

Infekterade registervärden:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\5c584cf1 (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSServer (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{57a52e74-004c-464b-96cc-4dfe5366ea02} (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\BM5f6b7f6d (Trojan.Agent) -> No action taken.

Infekterade registerdataposter:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\nnnljhgf -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\nnnljhgf  -> No action taken.

Infekterade mappar:
(Inga illasinnade poster hittades)

Infekterade filer:
C:\Windows\System32\buhxeoee.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\eeoexhub.ini (Trojan.Vundo) -> No action taken.
C:\Windows\System32\cojtdrpb.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\bprdtjoc.ini (Trojan.Vundo) -> No action taken.
C:\Windows\System32\gebbBUKC.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\CKUBbbeg.ini (Trojan.Vundo) -> No action taken.
C:\Windows\System32\CKUBbbeg.ini2 (Trojan.Vundo) -> No action taken.
C:\Windows\System32\meqlnedd.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\ddenlqem.ini (Trojan.Vundo) -> No action taken.
C:\Windows\System32\mhbtnttd.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\dttntbhm.ini (Trojan.Vundo) -> No action taken.
C:\Windows\System32\nnnljhgF.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\Fghjlnnn.ini (Trojan.Vundo) -> No action taken.
C:\Windows\System32\Fghjlnnn.ini2 (Trojan.Vundo) -> No action taken.
C:\Windows\System32\wengitrj.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\jrtignew.ini (Trojan.Vundo) -> No action taken.
C:\Windows\System32\fCrPiGwt.dll (Trojan.Vundo) -> No action taken.
C:\Windows\System32\nNExxUMd.dll (Trojan.Vundo) -> No action taken.
C:\Users\johan\AppData\Local\Temp\tmp000085d1 (Trojan.Vundo) -> No action taken.
C:\Users\johan\AppData\Local\Temp\tmp0000a12e (Trojan.Vundo) -> No action taken.
C:\Users\johan\AppData\Local\Temp\tmp0000c782 (Trojan.Vundo) -> No action taken.
C:\Users\johan\AppData\Local\Temp\tmp0000e761 (Trojan.Vundo) -> No action taken.
C:\Users\johan\AppData\Local\Temp\tmp0000e9b2 (Trojan.Vundo) -> No action taken.
C:\Users\johan\AppData\Local\Temp\tmp000beaea (Trojan.Vundo) -> No action taken.
C:\Users\johan\AppData\Local\Temp\tmp000e0991 (Trojan.Vundo) -> No action taken.
C:\Users\johan\AppData\Local\Temp\tmp00374a88 (Trojan.Vundo) -> No action taken.
C:\Users\johan\Local Settings\Temporary Internet Files\Content.IE5\54BH1VMG\kb456456[1] (Trojan.Vundo) -> No action taken.
C:\Users\johan\Local Settings\Temporary Internet Files\Content.IE5\S8HC03ZX\css4[1] (Trojan.Vundo) -> No action taken.
C:\Users\johan\Local Settings\Temporary Internet Files\Content.IE5\Z1FB1PT3\css4[1] (Trojan.Vundo) -> No action taken.
C:\Users\johan\Local Settings\Temporary Internet Files\Content.IE5\Z1FB1PT3\kb456456[1] (Trojan.Vundo) -> No action taken.
C:\Windows\System32\jweoucqa.dll (Trojan.Agent) -> No action taken.
C:\Windows\System32\clkcnt.txt (Trojan.Vundo) -> No action taken.

Link to comment
Share on other sites

nu EFTER att jag kört malwarebytes' anti-malware, DÅ reagerade avira..

eftersom att jag är ganska paranoid när det gäller sånt här så kommer jag att installera om vista IGEN, men jag får inte flash att funka :( någon som har en lösning på detta?

Link to comment
Share on other sites

starta om, scanna med mbam, posta den loggen och en ny HJT logg

se till att du väljer remove selected, efter mbam scan



mbam funkade, men jag installerar ändå om vista, jag vill ha 64 bitar wub.gif.

detta var det ända som kom upp:
"HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken."


Tack för hjälpen iaf, hoppas att detta kan hjälpa någon annan :P
Link to comment
Share on other sites

mbam rensa bort vundo, frågan är ju hur du fick in det



Jadu, säg det!
Kan ha varit inne på en smittad sida, installerat ett program med dolt virus, listan kan göras lång.. men eftersom att det kom tillbaka efter ominstalltion av systemet så skannade jag min andra hdd efter virus och där kom upp några som jag tagit bort nu, får se om det hjälper smile.png ....
Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...