Vad har jag råkat ut för skräp?


Recommended Posts

*********************************************

2009-06-06:

Tråden är låst då problemet är löst.

Tycker du att den är felaktigt låst, var god kontakta

Malou

*********************************************

Hej, hoppas någon här kan hjälpa mig med mitt problem.

Det första jag märkte av det var att det dök upp en ruta som värnade att Google updater inte kunde köras, en gång går ju bra men den återkom hela tiden

Så jag rensade bort allt av vad google-program jag hade och tänkte att det är lika bra att köra en ordentlig virus scan också, men jag kunde inte uppdatera mina virus definitioner, "får ej kontakt med server" fick jag som svar. Sen började firefox skicka iväg mig till allsköns sidor, men inte dit jag vill. Så jag tog och formaterade datorn och installerade XP på nytt men problemen kvarstår. När jag vill gå in på windows update så skickas jag till googles startsida.

Jag har kört Malwarebytes och inte heller det programmet kommer åt att uppdateras, men vid en körning med gamla definitioner så hittades en "trojan.dnschanger" jag tog bort alla infekterade filer men fortfarande vill det sig inte.

Link to comment
Share on other sites

Sådär ja, jag var lite för flitig på egen hand, körde Malwarebytes och den hittade en trojan så jag rensade lite för friskt. Men nu efter en formatering av datorn så verkar det fungera som det ska igen.

Har tagit ut en loggfil från HiJackThis, nu efter och den verkar tom och fin.

-----------------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:01:27, on 2009-02-14

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Avast4\aswUpdSv.exe

C:\Program\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program\Java\jre1.5.0\bin\jusched.exe

C:\Program\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program\Avast4\ashMaiSv.exe

C:\Program\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program\Trend Micro\HijackThis\steken.exe.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\jre1.5.0\bin\jusched.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\Program\Avast4\ashDisp.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0\bin\npjpi150.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program\Avast4\ashWebSv.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--

End of file - 2855 bytes

-----------------------------------------------

Meddela gärna om ni ser nå't konstigt ändå.

Tack för hjälpen!

Martin.

Link to comment
Share on other sites

Hej steken!

Härligt att höra att datorn mår bra igen efter formatering och nyinstallation av systemet ;)

Är det hela TM HJT-loggan du har kopierat in?

Hur fungerar uppdateringarna via Windows Update/Microsoft Update nu?

Vad var det för Trojan som hittades?

Ser att du har en äldre version av Javan installerad (en säkerhetsrisk). Den nyare heter Java Runtime Environment (JRE) 6 Update 11.

=> Java Runtime Environment: (Avinstallation/Installation):

Malwarebytes Anti-Malware:

Skriv ut nedanstående eller kopiera det till ett textdokument och spara det till skrivbordet:

Läs/Följ instruktionerna noga:

Hämta hem Malwarebytes Anti-Malware:

http://www.malwarebytes.org/index.php

1: Spara installationsfilen till skrivbordet

2: För att påbörja installationen dubbelklicka på mbam-setup.exe

3: Bocka för nedanstående

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

4: Klicka på Slutför

Om där finns uppdateringar kommer dessa att installeras.

Då ovanstående är gjort gå vidare med nedanstående procedur:

1: När programmet startar så välj Utför snabb scanning

2: Klicka på knappen Scanna

3: Scanningen kommer nu att ta en stund

3: När programmet scannat klart klicka Ok och sedan Visa resultat

4: Bocka för allt och klicka på Remove Selected

5: Då borttagningen är klar kommer en textfil i Anteckningar att öppnas upp med en logg. Kopiera/klistra in den loggan hit till din tråd.

6: Gör en ny TM HJT-logga kopiera in den hit så får vi se hur den ser ut.

7: Berätta/Tala om hur datorn mår och om där kvarstår problem

MVH/Malou

Link to comment
Share on other sites

Hej, vad det går undan. Ni är verkligen raska på att svara, stort tack!!!

"Är det hela TM HJT-loggan du har kopierat in?

Hur fungerar uppdateringarna via Windows Update/Microsoft Update nu?

Vad var det för Trojan som hittades?"

Det var hela "loggan" som jag klistrade in, antar att den inte blir så lång när datorn nästan är tom. :-)

Nu fungerar alla uppdateringar som de ska och mitt Windows är snart "up to date" igen.

Den trojan som hittades hette "trojan.dnschanger" changer tror jag.

Jag gjorde en körning med Malwarebyte när allt var klart och det såg ut som följer:

--------------------------------

Malwarebytes' Anti-Malware 1.34

Databasversion: 1761

Windows 5.1.2600 Service Pack 2

2009-02-14 12:05:46

mbam-log-2009-02-14 (12-05-46).txt

Skanningstyp: Snabb skanning

Antal skannade objekt: 52902

Förfluten tid: 1 minute(s), 37 second(s)

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

Infekterade registernycklar:

(Inga illasinnade poster hittades)

Infekterade registervärden:

(Inga illasinnade poster hittades)

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

Infekterade mappar:

(Inga illasinnade poster hittades)

Infekterade filer:

(Inga illasinnade poster hittades)

-------------------------------------------------------

Än en gång, tusen tack.

//Martin

Link to comment
Share on other sites

Hej steken!

Varsegod och tack själv för att vi får hjälpa samt för dina vänliga ord ;)

Vi gör så gott vi kan för att svara så snabbt vi kan.

Den trojan som hittades hette "trojan.dnschanger" changer tror jag.

Ok en riktig elaking som ändrar inställningarna i => Tcpip/DNSChanger/NameServer <=

Det var hela "loggan" som jag klistrade in, antar att den inte blir så lång när datorn nästan är tom. :-)

Nu fungerar alla uppdateringar som de ska och mitt Windows är snart "up to date" igen.

Ok ville bara försäkra mig om att det var hela loggan ;)

Underbart att höra att Windows Update/Microsoft Update fungerar som det skall igen och att du har fått allt Up To Date snart.

Malwarebytes' Anti-Malw loggan ser ren och fin ut. Mycket bra.

Och hur ser din TM HJT-logga ut nu?

Hur mår datorn nu?

MVH/Malou

Link to comment
Share on other sites

Nu mår datorn finfint. Uppdateringen av XP kommer väl fortgå hela dagen och datorn fungerar som den ska nu. Så det känns som att trojanen är borta.

Ny HiJack logg ser ut som följer:

-------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:17:16, on 2009-02-14

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Avast4\aswUpdSv.exe

C:\Program\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program\Java\jre6\bin\jusched.exe

C:\Program\Avast4\ashDisp.exe

C:\Program\Avast4\ashMaiSv.exe

C:\Program\Avast4\ashWebSv.exe

C:\Program\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program\Trend Micro\HijackThis\steken.exe.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [avast!] C:\Program\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program\Avast4\ashWebSv.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: getPlus® Helper - NOS Microsystems Ltd. - C:\Program\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--

End of file - 4583 bytes

----------------------------------

Link to comment
Share on other sites

Hej steken!

Nu mår datorn finfint. Uppdateringen av XP kommer väl fortgå hela dagen och datorn fungerar som den ska nu.

Härligt att datorn mår bra och att den fungerar utan problem igen ;)

Ser att du fått på SP3 samt övriga uppdateringar och även nyare versionen av Javan. Mycket bra.

Det kommer nog att med all säkerhet att ta sin lilla tid innan allt är färdiguppdaterat. Men det får man ta.

Så det känns som att trojanen är borta.

Den borde vara borta i och med att du formaterade om med allt vad det innebär. Och vad jag kan se utav loggarna samt nu din sista TM HJT-logga så ser allt rent och fint ut.

Du har gjort ett mycket bra jobb måste jag säga ;)

Vi kan ju avvakta någon dag eller om du upptäcker att något inte står rätt till under dagen eller imorgon så går vi vidare då med hjälp av andra skarpa verktyg.

Mina sedvanliga rekommendationer:

Hämta hem/installera ALLA SÄKERHETSUPPDATERINGAR/PATCHAR M.M.

Hämta hem/installera SP1/SP3 för det Operativsystem som används

(Windows XP/Windows Vista).

Finns att hämta hem från Windows Update/Microsoft Update.

Allt hittas på nedanstående sida under fliken Lite Tips & Råd för en säkrare dator:

Läs gärna även informationen under fliken Hur blev jag infekterad?

=> Dator&IT-Säkerhet:

=> Lite Tips & Råd för en säkrare dator:

MVH/Malou

Link to comment
Share on other sites

Hej steken!

Varsegod och tack själv för att vi fick hjälpa ;)

Du är välkommen åter.

Om där är ett nytt problem så starta gärna en ny tråd.

Ha det så bra och var rädd om datorn.

MVH/Malou

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share