IE8 - Slutar inte skapa nya processer

[Cecilia]

Tack för filen!

Ladda ner HijackThis:

http://www.trendsecure.com/portal/en-US/_d.../HJTInstall.exe

Installera, starta (högerklick - Run as administrator) och välj "Do a system scan and save a logfile", kopiera loggen som kommer upp och klistrain i ditt svar.

[WhyBother]

HiJackThis:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:55:48, on 2009-09-29

Platform: Unknown Windows (WinNT 6.01.3504)

MSIE: Internet Explorer v8.00 (8.00.7600.16385)

Boot mode: Normal

Running processes:

C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe

C:\Program Files (x86)\uTorrent\uTorrent.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Windows\SysWOW64\Ctxfihlp.exe

C:\Windows\SysWOW64\CTXFISPI.EXE

C:\Program Files (x86)\Internet Explorer\IELowutil.exe

C:\Program Files (x86)\Windows Media Player\wmplayer.exe

C:\Program Files (x86)\Adobe\Adobe Dreamweaver CS4\dreamweaver.exe

C:\Program Files (x86)\Windows Live\Contacts\wlcomm.exe

C:\Program Files (x86)\Mozilla Firefox\firefox.exe

C:\Program Files (x86)\Spotify\spotify.exe

E:\Setupx.exe

E:\Nero 7 Premium\Setupx.exe

C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

C:\Program Files (x86)\Internet Explorer\iexplore.exe

C:\Program Files (x86)\Internet Explorer\iexplore.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: D - {0160F9E6-5B25-34A2-81F1-1A25F5DEFB09} - C:\Windows\SysWow64\xwr60722.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll

O2 - BHO: Windows Live ID Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll

O4 - HKLM\..\Run: [avast!] "C:\Program Files\Alwil Software\Avast4\ashDisp.exe"

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [AdobeCS4ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe" -launchedbylogin

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [uTorrent] "C:\Program Files (x86)\uTorrent\uTorrent.exe"

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'LOCAL SERVICE')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'NETWORK SERVICE')

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: @C:\Windows\WindowsMobile\INetRepl.dll,-222 - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra 'Tools' menuitem: @C:\Windows\WindowsMobile\INetRepl.dll,-223 - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Windows\WindowsMobile\INetRepl.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL

O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll

O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll

O13 - Gopher Prefix:

O16 - DPF: {5AE58FCF-6F6A-49B2-B064-02492C66E3F4} (MUCatalogWebControl Class) - http://catalog.update.microsoft.com/v7/sit...b?1250371452405

O16 - DPF: {6D2EF4B4-CB62-4C0B-85F3-B79C236D702C} (ContactExtractor Class) - http://www.facebook.com/controls/contactx.dll

O16 - DPF: {8100D56A-5661-482C-BEE8-AFECE305D968} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2009.0...oUploader55.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)

O23 - Service: ASKUpgrade - Unknown owner - C:\Program Files (x86)\AskBarDis\bar\bin\ASKUpgrade.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\CTAELicensing.exe

O23 - Service: Creative Dolby Digital Live Pack Licensing Service - Creative Labs - C:\Program Files (x86)\Common Files\Creative Labs Shared\Service\DDLLicensing.exe

O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files (x86)\Creative\Shared Files\CTAudSvc.exe

O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

--

End of file - 9017 bytes

[Cecilia]

Om du inte har avinstallerat Ask Toolbar än så gör det.

Skanna med HijackThis (Kör som administratör) och bocka för:

O2 - BHO: D - {0160F9E6-5B25-34A2-81F1-1A25F5DEFB09} - C:\Windows\SysWow64\xwr60722.dll

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll

Avsluta alla andra program.

Tryck Fix checked.

Starta om datorn.

Ställ in Utforskaren/Datorn så att du kan se alla filer:

Verktyg - Mappalternativ - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Ta bort filerna (om de finns kvar):

C:\Windows\SysWow64\xwr60722.dll

Ta bort mapparna (om de finns kvar):

C:\Program Files (x86)\AskBarDis

Kontrollpanelen - Administrationsverktyg - Tjänster

Leta upp ASKUpgrade i listan, dubbelklicka och välj Startmetod Inaktiverad.

Starta om.

Hur fungerar Internet Explorer nu?

[WhyBother]

Jag avinstallerade Ask Toolbar. (Har ingen aning om när den blev installerad bara)

Det gick inte att markera dessa, för de fanns inte med:

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files (x86)\AskBarDis\bar\bin\askBar.dll

Ingen av dessa fanns kvar heller..

C:\Windows\SysWow64\xwr60722.dll

C:\Program Files (x86)\AskBarDis

Ska nu låta Internet Explorer vara igång lite, återkommer snart hur det fungerar.

[WhyBother]

Ja, det räcker med ett par minuter för att konstatera att Internet Explorer mår bra igen.. ;-)

Tack så mycket för hjälpen Cecilia! Du vet vad du gör!

[Cecilia]

Så bra att IE fungerar igen!

Tack, jag har ju rensat datorer några år så det vore ju illa annars.

Så bra att avinstallationen av Ask tog bort raderna i loggen och mappen också.

Bra att filen var borta.

Ask följer med flera gratisprogram numera om man inte är noga och bockar av det under installationen.

Men xwr60722.dll har inget med Ask att göra, kanske med något illegalt program?

Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.

http://mnin.blogspot.com/2009/02/why-i-enj...iggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.

Förbättra skyddet i datorn, se mina Råd för en säkrare dator: http://ceblstockholm.googlepages.com/home

[e-son]

[WhyBother]

Ska kanske tillägga att de program som jag medvetet installerat på nyinstallation (ingen uppgradering) av Win 7 är:

Utorrent

Hijackthis

VLC

Axife Mouse Recorder

Adobe Dreamweaver 30 dagars testversion

Opera

Firefox

Spotify

WinRar

SQLyog Enterprise

Microsoft Office 2007

Audacity

Win7codecs (skulle vara pålitligt enl andra)

Windows Live

(skulle installera Nero, men det funkade inte för W7)

[WhyBother]

Tillägg:

Axife Mouse Recorder är trial

Dreamweaver är trial

WinRar är trial

De andra programmen är gratis eller så har jag licens för dem.

Inget illegalt alltså.

[PCGuiden]

Detta innebär att jag också har problem med något, eftersom jag har samma symptom

[Cecilia]

De andra programmen är gratis eller så har jag licens för dem.

Inget illegalt alltså.

Det låter ju bra. Så här såg det ut i loggen:

2009-09-26 01:34 <DIR> --d----- c:\programdata\FLEXnet

2009-09-26 01:32 225,280 a------- c:\windows\system32\xwr60722.dll

2009-09-26 01:17 <DIR> --d----- c:\program files (x86)\common files\Macrovision Shared

så filen kom in mellan en Macrovision-mapp och en FLEXnet-mapp skapades.

DDS-programmet och loggarna kan du ta bort från datorn förstås.

Detta innebär att jag också har problem med något, eftersom jag har samma symptom

Starta upp din egen tråd i forumet för rensningar http://www.alltomxp.se/forum/index.php?showforum=41

[WhyBother]

Det låter ju bra. Så här såg det ut i loggen:

2009-09-26 01:34 <DIR> --d----- c:\programdata\FLEXnet

2009-09-26 01:32 225,280 a------- c:\windows\system32\xwr60722.dll

2009-09-26 01:17 <DIR> --d----- c:\program files (x86)\common files\Macrovision Shared

så filen kom in mellan en Macrovision-mapp och en FLEXnet-mapp skapades.

DDS-programmet och loggarna kan du ta bort från datorn förstås.

Så det har med Adobe reader att göra eller?

[Cecilia]

Nej, inget av det där har med Adobe Reader att göra.

FLEXnet verkar vara ett kopieringsskyddsprogram eller licenshanteringsprogram http://en.wikipedia.org/wiki/Flexnet.

Macrovision är ett företag som står bakom många program bland annat FLEXnet http://en.wikipedia.org/wiki/Macrovision.

Det skiljer några minuter emellan också så det behöver inte hänga ihop. Du kommer inte ihåg vad du gjorde/installerade natten mot lördag?

[e-son]

Nej, inget av det där har med Adobe Reader att göra.

FLEXnet verkar vara ett kopieringsskyddsprogram eller licenshanteringsprogram http://en.wikipedia.org/wiki/Flexnet.

Macrovision är ett företag som står bakom många program bland annat FLEXnet http://en.wikipedia.org/wiki/Macrovision.

Det skiljer några minuter emellan också så det behöver inte hänga ihop. Du kommer inte ihåg vad du gjorde/installerade natten mot lördag?

En gissning är att det hänger ihop med programmet Axife Mouse Recorder...! Behöver inte vara något fel på programmet i sig, men med tanke på hur många ställen det finns för nedladdning, så kan kan det mycket väl ha blivit "kryddat" någonstans.

[JoWa]

FLEXnet Licensing Service används för alla betalprogram från Adobe, i WhyBothers fall Dreamweaver.

[Cecilia]

Har ni någon erfarenhet av Dreamweaver? Är det normalt att det lägger in ett tillägg (BHO) till IE?

För det skulle ju kunna vara ett falsklarm. Men det ser verkligen ut som en Chepdu-fil med bara D som BHO-namn och det filnamnet, men det kan ju tänkas att Chepdu-infektionen försöker härmas.

http://virscan.org/report/71a0810cbb9acab2...5060a96a30.html

http://www.threatexpert.com/report.aspx?md...f9d945c36e105a1

[e-son]

Har ni någon erfarenhet av Dreamweaver? Är det normalt att det lägger in ett tillägg (BHO) till IE?

För det skulle ju kunna vara ett falsklarm. Men det ser verkligen ut som en Chepdu-fil med bara D som BHO-namn och det filnamnet, men det kan ju tänkas att Chepdu-infektionen försöker härmas.

http://virscan.org/report/71a0810cbb9acab2...5060a96a30.html

http://www.threatexpert.com/report.aspx?md...f9d945c36e105a1

Har ingen större erfarenhet av Dreamweaver, då jag per automatik undviker Adobes kolosser, men eftersom webpublicering ingår i funktionerna så är det fullt tänkbart att programmet lägger en plugg i IE.

Edited September 30, 2009 by e-son

[Cecilia]

WhyBother, fungerar Dreamweaver nu?

[WhyBother]

WhyBother, fungerar Dreamweaver nu?

Ja, det fungerar. Men det var väldigt trögstartat och stod som "Not responding" två gånger.

[Cecilia]

Efter lite tips och snack med zipp så kom vi fram till att Chapdu-BHOer brukar åtföljas av en registerändring och en annan fil. Vet du hur man hanterar registereditorn regedit?

För där så behöver följande nyckel kontrolleras:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe

Det ska inte finnas något data med Debugger eller ctfmon för den nyckeln.

Om du hittar något sådant så skriv här vad du hittar.

Varifrån laddade du ner Dreamweaver?

[WhyBother]

Efter lite tips och snack med zipp så kom vi fram till att Chapdu-BHOer brukar åtföljas av en registerändring och en annan fil. Vet du hur man hanterar registereditorn regedit?

För där så behöver följande nyckel kontrolleras:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ctfmon.exe

Det ska inte finnas något data med Debugger eller ctfmon för den nyckeln.

Om du hittar något sådant så skriv här vad du hittar.

Varifrån laddade du ner Dreamweaver?

Nej. Efter CurrentVersion fanns inget mer. Inget om ctfmon

Laddade hem det från adobe.com

[Cecilia]

Det låter ju bra.

Pröva med att ominstallera Dreamweaver så får vi se om det blir samma problem med IE igen.

[WhyBother]

Det låter ju bra.

Pröva med att ominstallera Dreamweaver så får vi se om det blir samma problem med IE igen.

Jag har för mig att Trial försvinner helt då? Man får ju bara 30 dagars prova på en gång.

[Cecilia]

Okej, nu hinner jag inte prova att installera själv men jag kan se om jag hinner sent i kväll.

[Cecilia]

Det visade sig att jag måste registrera mig på Adobes webbplats med korrekta uppgifter enligt villkoren och det vill jag inte göra, så tyvärr ingen provinstallation av Dreamweaver.