tingbrant Posted November 2, 2008 Share Posted November 2, 2008 ********************************************* 2009-01-08: Tråden är nu låst. Tycker du att den är felaktigt låst, var god kontakta Malou ********************************************* Hej! Igår kväll kom det rutor hela tiden som såg ut som ett antivirusprogram. Följde programmets instruktioner (där det stod att det fanns virus i datorn), men det fortsatte poppa upp rutor. Nu misstänker jag att det är ett falskt program, och efter vissa efterforskningar på Google så verkar det stämma. Jag har inte installerat programmet. Hoppas någon kan hjälpa till, skickar med en HJT-logga. Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:11:07, on 2008-11-02 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSExplorer.EXE C:WINDOWSsystem32spoolsv.exe C:WINDOWSsystem32hkcmd.exe C:ProgramF-SecureCommonFSM32.EXE C:ProgramQuickTimeqttask.exe C:ProgramMessengermsmsgs.exe C:WINDOWSsystem32ctfmon.exe C:ProgramPicasa2PicasaMediaDetector.exe C:ProgramAntivirus 2009av2009.exe C:ProgramF-SecureBackWeb7681197ProgramSERVIC~1.EXE C:ProgramF-SecureAnti-Virusfsgk32st.exe C:ProgramF-SecureAnti-VirusFSGK32.EXE C:ProgramF-SecureAnti-Virusfssm32.exe C:WINDOWSsystem32UAService7.exe C:ProgramF-SecureCommonFSMA32.EXE C:ProgramF-SecureBackWeb7681197ProgramBackWeb-7681197.exe C:ProgramF-SecureCommonFSMB32.EXE C:ProgramF-SecureCommonFCH32.EXE C:ProgramF-SecureCommonFAMEH32.EXE C:WINDOWSSystem32svchost.exe C:ProgramF-SecureCommonFNRB32.EXE C:ProgramF-SecureCommonFIH32.EXE C:ProgramF-SecureAnti-Virusfsav32.exe C:ProgramInternet Exploreriexplore.exe C:ProgramTrend MicroHijackThistingbrant.exe.exe R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = http://www.lansforsakringar.se/privat/sidor/default.aspx R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://start.tele2.se R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Länkar O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgramAdobeAcrobat 7.0ActiveXAcroIEHelper.dll O4 - HKLM..Run: [igfxTray] C:WINDOWSsystem32igfxtray.exe O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSsystem32hkcmd.exe O4 - HKLM..Run: [F-Secure Manager] "C:ProgramF-SecureCommonFSM32.EXE" /splash O4 - HKLM..Run: [QuickTime Task] "C:ProgramQuickTimeqttask.exe" -atboottime O4 - HKCU..Run: [MSMSGS] "C:ProgramMessengermsmsgs.exe" /background O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe O4 - HKCU..Run: [Picasa Media Detector] C:ProgramPicasa2PicasaMediaDetector.exe O4 - HKCU..Run: [39367741328490553921378468521550] C:ProgramAntivirus 2009av2009.exe O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'LOKAL TJÄNST') O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SYSTEM') O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:ProgramAdobeAcrobat 7.0Readerreader_sl.exe O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:ProgramMICROS~2OFFICE11EXCEL.EXE/3000 O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:ProgramMICROS~2OFFICE11REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgramMessengermsmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgramMessengermsmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1160483520046 O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:ProgramF-SecureBackWeb7681197ProgramSERVIC~1.EXE O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:ProgramF-SecureBackWeb7681197Programfsbwlan.exe O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:ProgramF-SecureAnti-Virusfsgk32st.exe O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:ProgramF-SecureCommonFNRB32.EXE O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:ProgramF-SecureCommonFSAA.EXE O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:ProgramF-SecureCommonFSMA32.EXE O23 - Service: Google Updater Service (gusvc) - Google - C:ProgramGoogleCommonGoogle UpdaterGoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:ProgramDelade filerInstallShieldDriver11Intel 32IDriverT.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:WINDOWSsystem32UAService7.exe -- End of file - 5320 bytes Link to comment Share on other sites More sharing options...
si3rra Posted November 2, 2008 Share Posted November 2, 2008 ser ut som att du har F-secure och "Antivirus 2009". Och den sistnämda är nog inget vänligt sinnat antivirus, utan tvärt om. Link to comment Share on other sites More sharing options...
Guest Malou Posted November 2, 2008 Share Posted November 2, 2008 Hej tingbrant! Självklart så skall vi hjälpa dig Jag har inte installerat programmet. Vad jag kan se i TM HJT-loggan så är det installerat. Gå till kontrollpanelen lägg till/ta bort och se där om du hittar => Antivirus 2009 <= Om du hittar det så avinstallera. Vidare: Nedanstående görs i normalläge för att se om där finns någon smitta: Hämta hem SmitfraudFix (av S!Ri) från nedanstående länk http://siri.urz.free.fr/Fix/SmitfraudFix.exe Spara ner den till skrivbordet. Öppna SmitfraudFix mappen och dubbelklicka på smitfraudfix.cmd Välj altenativ Search = klicka 1 och Enter Kopiera loggan som du får och klistra in den här i din tråd. OBS: VIKTIGT: Kör INTE några andra allternativ förrän du blir tillbedd att göra så! MVH/Malou Link to comment Share on other sites More sharing options...
tingbrant Posted November 2, 2008 Author Share Posted November 2, 2008 Hej! Antivirus 2009 finns inte i lägg till och ta bort program. Kan tillägga att säkerhetscenter finns i en engelsk variant nu, men operativsystemet är svenskt. Fönstret ser exakt ut som det svenska, men med lite annan text på engelska. SmitFraudFix v2.371 Scan done at 17:51:06,28, 2008-11-02 Run from C:Documents and SettingsLinnaSkrivbordSmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in normal mode »»»»»»»»»»»»»»»»»»»»»»»» Process C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSExplorer.EXE C:WINDOWSsystem32spoolsv.exe C:WINDOWSsystem32hkcmd.exe C:ProgramF-SecureCommonFSM32.EXE C:ProgramQuickTimeqttask.exe C:ProgramMessengermsmsgs.exe C:WINDOWSsystem32ctfmon.exe C:ProgramPicasa2PicasaMediaDetector.exe C:ProgramAntivirus 2009av2009.exe C:ProgramF-SecureBackWeb7681197ProgramSERVIC~1.EXE C:ProgramF-SecureAnti-Virusfsgk32st.exe C:ProgramF-SecureAnti-VirusFSGK32.EXE C:ProgramF-SecureAnti-Virusfssm32.exe C:WINDOWSsystem32UAService7.exe C:ProgramF-SecureCommonFSMA32.EXE C:ProgramF-SecureBackWeb7681197ProgramBackWeb-7681197.exe C:ProgramF-SecureCommonFSMB32.EXE C:ProgramF-SecureCommonFCH32.EXE C:ProgramF-SecureCommonFAMEH32.EXE C:WINDOWSSystem32svchost.exe C:ProgramF-SecureCommonFNRB32.EXE C:ProgramF-SecureCommonFIH32.EXE C:ProgramF-SecureAnti-Virusfsav32.exe C:ProgramInternet Exploreriexplore.exe C:WINDOWSsystem32cmd.exe »»»»»»»»»»»»»»»»»»»»»»»» hosts »»»»»»»»»»»»»»»»»»»»»»»» C: »»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWS »»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem »»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSWeb »»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem32 C:WINDOWSsystem32ieupdates.exe FOUND ! C:WINDOWSsystem32scui.cpl FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:WINDOWSsystem32LogFiles »»»»»»»»»»»»»»»»»»»»»»»» C:Documents and SettingsLinna »»»»»»»»»»»»»»»»»»»»»»»» C:DOCUME~1LINNA~1LOKALA~1Temp »»»»»»»»»»»»»»»»»»»»»»»» C:Documents and SettingsLinnaApplication Data C:Documents and SettingsLinnaApplication DataMicrosoftInternet ExplorerQuick LaunchAntivirus 2009.lnk FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» Start Menu C:DOCUME~1LINNA~1START-~1Antivirus 2009 FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:DOCUME~1LINNA~1FAVORI~1 »»»»»»»»»»»»»»»»»»»»»»»» Desktop C:DOCUME~1LINNA~1SKRIVB~1Antivirus 2009.lnk FOUND ! »»»»»»»»»»»»»»»»»»»»»»»» C:Program »»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys »»»»»»»»»»»»»»»»»»»»»»»» Desktop Components [HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerDesktopComponents0] "Source"="About:Home" "SubscribedURL"="About:Home" "FriendlyName"="Min aktuella startsida" »»»»»»»»»»»»»»»»»»»»»»»» o4Patch !!!Attention, following keys are not inevitably infected!!! o4Patch Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» IEDFix !!!Attention, following keys are not inevitably infected!!! IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» VACFix !!!Attention, following keys are not inevitably infected!!! VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix !!!Attention, following keys are not inevitably infected!!! 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix !!!Attention, following keys are not inevitably infected!!! AntiXPVSTFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWindows] "AppInit_DLLs"="" »»»»»»»»»»»»»»»»»»»»»»»» Winlogon !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] "Userinit"="C:WINDOWSsystem32userinit.exe," "System"="" »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS Description: Intel® PRO/1000 MT Network Connection - Miniport för paketschemaläggning DNS Server Search Order: 208.67.222.222 DNS Server Search Order: 208.67.220.220 HKLMSYSTEMCCSServicesTcpip..{7D69BE39-7D9B-40E0-98D0-234E3A329D03}: DhcpNameServer=208.67.222.222 208.67.220.220 HKLMSYSTEMCS1ServicesTcpip..{7D69BE39-7D9B-40E0-98D0-234E3A329D03}: DhcpNameServer=208.67.222.222 208.67.220.220 HKLMSYSTEMCS2ServicesTcpip..{7D69BE39-7D9B-40E0-98D0-234E3A329D03}: DhcpNameServer=208.67.222.222 208.67.220.220 HKLMSYSTEMCCSServicesTcpipParameters: DhcpNameServer=208.67.222.222 208.67.220.220 HKLMSYSTEMCS1ServicesTcpipParameters: DhcpNameServer=208.67.222.222 208.67.220.220 HKLMSYSTEMCS2ServicesTcpipParameters: DhcpNameServer=208.67.222.222 208.67.220.220 »»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection »»»»»»»»»»»»»»»»»»»»»»»» End Link to comment Share on other sites More sharing options...
Guest Malou Posted November 2, 2008 Share Posted November 2, 2008 Hej tingbrant! Antivirus 2009 finns inte i lägg till och ta bort program. Bra. Kan tillägga att säkerhetscenter finns i en engelsk variant nu, men operativsystemet är svenskt. Fönstret ser exakt ut som det svenska, men med lite annan text på engelska. Är mycket väl medveten om detta. Vanligt förekommande då det gäller SmitFraud infektioner SmitFraudFix hittade en hel del (mycket bra). Vi skall nu åtgärda detta med att gå vidare med steg 2 i proceduren. Skriv ut nedanstående instruktioner eller kopiera dem till ett textdokument och spara dem till skrivbordet: Läs/Följ instruktionerna mycket noga: OBS: Nedanstående procedurer skall utföras i den ordning de är skrivna: Logga ut från Internet/Dra ur nätverkskabeln: Starta om datorn till felsäkert läge (trycka F8-Tangenten upprepade gånger under uppstarten och välj Felsäkert läge i menyn): Varning: Att köra nedanstående allternativ #2 på en icke infekterad dator kan resultera i att din skrivbordsbakgrund deletas (tas bort): 1: Dubbelklicka på smitfraudfix Iconen som du sparade ner till skrivbordet. 2: Välj altenativ #2 Clean => klicka 2 => och Enter 3: Vänta tills den jobbar klart. 4: Disk Cleanup kommer nu att starta upp. Disk Cleanup kommer att ta bort/Deleta Temp, Temporary Internet Files, och andra filer som kan ha blivit kvar från den här infektionen. 5: På frågan "Registry cleaning - Do you want to clean the registry ?" svara Yes med att klicka Y och Enter 6: OM wininet.dll är infekterad får du frågan "Replace infected file ?" Svara Yes med att klicka Y och Enter. 7: Då SmitfraudFix är klar kommer du att få upp en röd meddelanderuta Computer will reboot now. Close all applications.. Låt datorn få göra detta. Om du har problem med din bakgrundsbild: Du borde nu kunna ställa in det som du vill ha det i Bildskärmsegenskaperna. 1: Ta fram Kontrollpanelen 2: Bildskärm 3: Skrivbord 4: Anpassa skrivbordet 5: Webb 6: Avbocka Security Info / privacy protection eller liknande om det finns. I ditt svar så klistrar du in: 1: Loggan från SmitfraudFix => C:rapport.txt. 2: Gör även en TM HJT-logga (scannad i normalläge), kopiera in den. 3: Samt skriver/talar om hur datorn mår. MVH/Malou Link to comment Share on other sites More sharing options...
tingbrant Posted November 2, 2008 Author Share Posted November 2, 2008 Hej! Fortfarande kommer det upp likadana rutor som det gjorde innan, nu vill den även ladda ner uppdateringar. Självklart har jag inte klickat på det. Filen wininet.dll verkar inte vara infekterad eftersom smitfraudfix inte frågade om det. En konstig sak var att programmet aldrig startade om datorn, men det kom en logga. Jag startade om datorn själv. SmitFraudFix v2.371 Scan done at 18:58:14,35, 2008-11-02 Run from C:Documents and SettingsLinnaSkrivbordSmitfraudFix OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT The filesystem type is NTFS Fix run in safe mode »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» Killing process »»»»»»»»»»»»»»»»»»»»»»»» hosts 127.0.0.1 localhost »»»»»»»»»»»»»»»»»»»»»»»» VACFix VACFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix S!Ri's WS2Fix: LSP not Found. »»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix GenericRenosFix by S!Ri »»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files C:WINDOWSsystem32ieupdates.exe Deleted C:WINDOWSsystem32scui.cpl Deleted C:Documents and SettingsLinnaApplication DataMicrosoftInternet ExplorerQuick LaunchAntivirus 2009.lnk Deleted C:DOCUME~1LINNA~1START-~1Antivirus 2009 Deleted C:DOCUME~1LINNA~1SKRIVB~1Antivirus 2009.lnk Deleted »»»»»»»»»»»»»»»»»»»»»»»» IEDFix IEDFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» 404Fix 404Fix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» AntiXPVSTFix AntiXPVSTFix Credits: Malware Analysis & Diagnostic Code: S!Ri »»»»»»»»»»»»»»»»»»»»»»»» RK »»»»»»»»»»»»»»»»»»»»»»»» DNS »»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files »»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System !!!Attention, following keys are not inevitably infected!!! [HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogon] "System"="" »»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning Registry Cleaning done. »»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix !!!Attention, following keys are not inevitably infected!!! SrchSTS.exe by S!Ri Search SharedTaskScheduler's .dll »»»»»»»»»»»»»»»»»»»»»»»» End Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:08:43, on 2008-11-02 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSsystem32spoolsv.exe C:WINDOWSExplorer.EXE C:WINDOWSsystem32hkcmd.exe C:ProgramF-SecureCommonFSM32.EXE C:ProgramQuickTimeqttask.exe C:ProgramMessengermsmsgs.exe C:WINDOWSsystem32ctfmon.exe C:ProgramPicasa2PicasaMediaDetector.exe C:ProgramAntivirus 2009av2009.exe C:ProgramAdobeAcrobat 7.0Readerreader_sl.exe C:ProgramF-SecureBackWeb7681197ProgramSERVIC~1.EXE C:ProgramF-SecureAnti-Virusfsgk32st.exe C:ProgramF-SecureAnti-VirusFSGK32.EXE C:ProgramF-SecureAnti-Virusfssm32.exe C:ProgramF-SecureBackWeb7681197ProgramBackWeb-7681197.exe C:WINDOWSsystem32UAService7.exe C:ProgramF-SecureCommonFSMA32.EXE C:ProgramF-SecureCommonFSMB32.EXE C:ProgramF-SecureCommonFCH32.EXE C:ProgramF-SecureCommonFAMEH32.EXE C:WINDOWSSystem32svchost.exe C:ProgramF-SecureCommonFNRB32.EXE C:ProgramF-SecureCommonFIH32.EXE C:ProgramF-SecureAnti-Virusfsav32.exe C:WINDOWSsystem32wuauclt.exe C:WINDOWSsystem32NOTEPAD.EXE C:ProgramInternet Exploreriexplore.exe C:ProgramTrend MicroHijackThistingbrant.exe.exe R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Länkar O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgramAdobeAcrobat 7.0ActiveXAcroIEHelper.dll O4 - HKLM..Run: [igfxTray] C:WINDOWSsystem32igfxtray.exe O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSsystem32hkcmd.exe O4 - HKLM..Run: [F-Secure Manager] "C:ProgramF-SecureCommonFSM32.EXE" /splash O4 - HKLM..Run: [QuickTime Task] "C:ProgramQuickTimeqttask.exe" -atboottime O4 - HKCU..Run: [MSMSGS] "C:ProgramMessengermsmsgs.exe" /background O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe O4 - HKCU..Run: [Picasa Media Detector] C:ProgramPicasa2PicasaMediaDetector.exe O4 - HKCU..Run: [39367741328490553921378468521550] C:ProgramAntivirus 2009av2009.exe O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'LOKAL TJÄNST') O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SYSTEM') O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:ProgramAdobeAcrobat 7.0Readerreader_sl.exe O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:ProgramMICROS~2OFFICE11EXCEL.EXE/3000 O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:ProgramMICROS~2OFFICE11REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgramMessengermsmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgramMessengermsmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1160483520046 O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:ProgramF-SecureBackWeb7681197ProgramSERVIC~1.EXE O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:ProgramF-SecureBackWeb7681197Programfsbwlan.exe O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:ProgramF-SecureAnti-Virusfsgk32st.exe O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:ProgramF-SecureCommonFNRB32.EXE O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:ProgramF-SecureCommonFSAA.EXE O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:ProgramF-SecureCommonFSMA32.EXE O23 - Service: Google Updater Service (gusvc) - Google - C:ProgramGoogleCommonGoogle UpdaterGoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:ProgramDelade filerInstallShieldDriver11Intel 32IDriverT.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:WINDOWSsystem32UAService7.exe -- End of file - 4878 bytes Link to comment Share on other sites More sharing options...
Guest Malou Posted November 2, 2008 Share Posted November 2, 2008 Hej tingbrant En konstig sak var att programmet aldrig startade om datorn, men det kom en logga. Jag startade om datorn själv. Den kan göra så ibland. Men det var bra att du själv gjorde en manuell omstart av datorn Fortfarande kommer det upp likadana rutor som det gjorde innan, nu vill den även ladda ner uppdateringar. Självklart har jag inte klickat på det. Filen wininet.dll verkar inte vara infekterad eftersom smitfraudfix inte frågade om det. Om wininet.dll varit infekterad hade du fått en förfrågan som jag skrev i instruktionen. Det är bra att du INTE klickar på något som har med denna Antivirus 2009 att göra. Att där fortfarande kan uppstå konstigheter beror på att vi är inte riktigt klara med alla procedurer ännu. Det återstår ytterligare några procedurer smitfraudfix har i vilket fall åtgärdat det vi önskade av den. Skriv ut nedanstående eller kopiera det till ett textdokument och spara det till skrivbordet: Läs/Följ instruktionerna noga: Hämta hem Malwarebytes Anti-Malware: http://www.besttechie.net/tools/mbam-setup.exe 1: Spara installationsfilen till skrivbordet 2: För att påbörja installationen dubbelklicka på mbam-setup.exe 3: Bocka för nedanstående Uppdatera Malwarebytes' Anti-Malware Starta Malwarebytes' Anti-Malware 4: Klicka på Slutför Om där finns uppdateringar kommer dessa att installeras. Då ovanstående är gjort gå vidare med nedanstående procedur: 1: När programmet startar så välj Utför snabb scanning 2: Klicka på knappen Scanna 3: Scanningen kommer nu att ta en stund 3: När programmet scannat klart klicka Ok och sedan Visa resultat 4: Bocka för allt och klicka på Remove Selected 5: Då borttagningen är klar kommer en textfil i Anteckningar att öppnas upp med en logg. Kopiera/klistra in den loggan hit till din tråd. 6: Gör en ny TM HJT-logga kopiera in den hit så får vi se hur den ser ut. MVH/Malou Link to comment Share on other sites More sharing options...
tingbrant Posted November 2, 2008 Author Share Posted November 2, 2008 Malwarebytes' Anti-Malware 1.30 Databasversion: 1356 Windows 5.1.2600 Service Pack 3 2008-11-02 19:34:26 mbam-log-2008-11-02 (19-34-26).txt Skanningstyp: Snabb skanning Antal skannade objekt: 49014 Förfluten tid: 5 minute(s), 57 second(s) Infekterade minnesprocesser: 1 Infekterade minnesmoduler: 0 Infekterade registernycklar: 0 Infekterade registervärden: 1 Infekterade registerdataposter: 0 Infekterade mappar: 1 Infekterade filer: 1 Infekterade minnesprocesser: C:ProgramAntivirus 2009av2009.exe (Rogue.Antivirus2008) -> Unloaded process successfully. Infekterade minnesmoduler: (Inga illasinnade poster hittades) Infekterade registernycklar: (Inga illasinnade poster hittades) Infekterade registervärden: HKEY_CURRENT_USERSOFTWAREMicrosoftWindowsCurrentVersionRun39367741328490553921378468521550 (Rogue.Antivirus2008) -> Quarantined and deleted successfully. Infekterade registerdataposter: (Inga illasinnade poster hittades) Infekterade mappar: C:ProgramAntivirus 2009 (Rogue.Antivirus2008) -> Quarantined and deleted successfully. Infekterade filer: C:ProgramAntivirus 2009av2009.exe (Rogue.Antivirus2008) -> Quarantined and deleted successfully. ------------------------------ Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:35:52, on 2008-11-02 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Normal Running processes: C:WINDOWSSystem32smss.exe C:WINDOWSsystem32winlogon.exe C:WINDOWSsystem32services.exe C:WINDOWSsystem32lsass.exe C:WINDOWSsystem32svchost.exe C:WINDOWSSystem32svchost.exe C:WINDOWSsystem32spoolsv.exe C:WINDOWSExplorer.EXE C:WINDOWSsystem32hkcmd.exe C:ProgramF-SecureCommonFSM32.EXE C:ProgramQuickTimeqttask.exe C:ProgramMessengermsmsgs.exe C:WINDOWSsystem32ctfmon.exe C:ProgramPicasa2PicasaMediaDetector.exe C:ProgramF-SecureBackWeb7681197ProgramSERVIC~1.EXE C:ProgramF-SecureAnti-Virusfsgk32st.exe C:ProgramF-SecureAnti-VirusFSGK32.EXE C:ProgramF-SecureAnti-Virusfssm32.exe C:ProgramF-SecureBackWeb7681197ProgramBackWeb-7681197.exe C:WINDOWSsystem32UAService7.exe C:ProgramF-SecureCommonFSMA32.EXE C:ProgramF-SecureCommonFSMB32.EXE C:ProgramF-SecureCommonFCH32.EXE C:ProgramF-SecureCommonFAMEH32.EXE C:WINDOWSSystem32svchost.exe C:ProgramF-SecureCommonFNRB32.EXE C:ProgramF-SecureCommonFIH32.EXE C:ProgramF-SecureAnti-Virusfsav32.exe C:ProgramInternet Exploreriexplore.exe C:ProgramTrend MicroHijackThistingbrant.exe.exe R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName = Länkar O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:ProgramAdobeAcrobat 7.0ActiveXAcroIEHelper.dll O4 - HKLM..Run: [igfxTray] C:WINDOWSsystem32igfxtray.exe O4 - HKLM..Run: [HotKeysCmds] C:WINDOWSsystem32hkcmd.exe O4 - HKLM..Run: [F-Secure Manager] "C:ProgramF-SecureCommonFSM32.EXE" /splash O4 - HKLM..Run: [QuickTime Task] "C:ProgramQuickTimeqttask.exe" -atboottime O4 - HKLM..RunOnce: [Malwarebytes' Anti-Malware] C:ProgramMalwarebytes' Anti-Malwarembamgui.exe /install /silent O4 - HKCU..Run: [MSMSGS] "C:ProgramMessengermsmsgs.exe" /background O4 - HKCU..Run: [ctfmon.exe] C:WINDOWSsystem32ctfmon.exe O4 - HKCU..Run: [Picasa Media Detector] C:ProgramPicasa2PicasaMediaDetector.exe O4 - HKUSS-1-5-19..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'LOKAL TJÄNST') O4 - HKUSS-1-5-20..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUSS-1-5-18..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'SYSTEM') O4 - HKUS.DEFAULT..Run: [CTFMON.EXE] C:WINDOWSSystem32CTFMON.EXE (User 'Default user') O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:ProgramAdobeAcrobat 7.0Readerreader_sl.exe O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:ProgramMICROS~2OFFICE11EXCEL.EXE/3000 O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:ProgramMICROS~2OFFICE11REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:WINDOWSNetwork Diagnosticxpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgramMessengermsmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:ProgramMessengermsmsgs.exe O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1160483520046 O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:ProgramF-SecureBackWeb7681197ProgramSERVIC~1.EXE O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:ProgramF-SecureBackWeb7681197Programfsbwlan.exe O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:ProgramF-SecureAnti-Virusfsgk32st.exe O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:ProgramF-SecureCommonFNRB32.EXE O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:ProgramF-SecureCommonFSAA.EXE O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:ProgramF-SecureCommonFSMA32.EXE O23 - Service: Google Updater Service (gusvc) - Google - C:ProgramGoogleCommonGoogle UpdaterGoogleUpdaterService.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:ProgramDelade filerInstallShieldDriver11Intel 32IDriverT.exe O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:WINDOWSsystem32UAService7.exe -- End of file - 4751 bytes Link to comment Share on other sites More sharing options...
tingbrant Posted November 2, 2008 Author Share Posted November 2, 2008 Kan tillägga att startsidan ändrades till msn efter smitfraudfix. Link to comment Share on other sites More sharing options...
Guest Malou Posted November 2, 2008 Share Posted November 2, 2008 Hej tingbrant! Kan tillägga att startsidan ändrades till msn efter smitfraudfix. Detta är helt normalt. Bara till att ändra tillbaka till den startsidan man vill ha ;) Strax klar med dina loggar. MVH/Malou Link to comment Share on other sites More sharing options...
Guest Malou Posted November 2, 2008 Share Posted November 2, 2008 Hej igen tingbrant! Malwarebytes' Anti-Malware har hittat samt åtgärdat det upphittade. Din TM HJT-logga ser numera ren och fin ut igen. Mycket bra. Hur mår datorn nu? Kvarstår där några problem? MVH/Malou Link to comment Share on other sites More sharing options...
tingbrant Posted November 2, 2008 Author Share Posted November 2, 2008 HEJ DET SER BRA UT INGA KONSTIGHETER MED DATORN LÄNGRE, TACK FÖR HJÄLPEN Link to comment Share on other sites More sharing options...
Guest Malou Posted November 2, 2008 Share Posted November 2, 2008 Hej igen tingbrant! Varsegod och tack själv för att vi fick hjälpa. Härligt att höra att datorn mår bra igen Nedanstående verktyg har förmågan att kunna ta bort/deleta filer/mappar/genvägar från de fix-program samt fix-programmen själva som vi har använt oss av. Skriv ut eller kopiera nedanstående till ett textdokument och spara det till skrivbordet: Läs/Följ Instruktionerna noga: Hämta hem avinstallationsprogrammet OTCleanIt: http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe 1: Spara ner den till skrivbordet 2: Starta programmet/verktyget genom att dubbelklicka på OTCleanIt.exe 3: Klicka på CleanUp! knappen. 4: Om du får varningar från dina skyddsprogram så ge OTCleanIt tillåtelse att få tillgång till Internet. 5: De olika fix-program som du har laddat ner kommer att avinstalleras, inkl. detta program, efter en omstart av datorn. ******************************************************************************* För att inte riskera att återtälla datorn till någon/några tidigare tidpunkter då eventuella otrevligheter förekom (detta då med tanke på att där finns/fanns otyg i din restore-mapp) så läs gärna igenom nedanstående information samt instruktion för hur man går tillväga med att rensa rent i restore-mappen m.m. OBS: Välj instruktionen för det Operativsystem just du använder: => Systemåterställning: (Så här Inaktiverar/Aktiverar du): Och här kommer mina sedvanliga rekommendationer: Hämta hem/installera ALLA SÄKERHETSUPPDATERINGAR/PATCHAR M.M. Hämta hem/installera SP1/SP3 för det Operativsystem som används (Windows XP/Windows Vista). Finns att hämta hem från Windows Update/Microsoft Update. Allt hittas på nedanstående sida under fliken Lite Tips & Råd för en säkrare dator: Läs gärna även informationen under fliken Hur blev jag infekterad? =>Dator&IT-Säkerhet: Ha det så bra och var rädd om datorn MVH/Malou Link to comment Share on other sites More sharing options...
Recommended Posts