WordPFind logg

[Henrik]

Nu har jag definitivt sett förändringar.
Kan inte ändra mitt skrivbordsunderlägg. Nu så har jag enbakgrund där det står "Your system is infected"
Jag har tagit bort alla filer med hjälp av hijackthis. Men hur får jag bort bakgrunden så jag kan ändra till vilken bakgrund jag vill? Det står väl i någon tag i registret va?


MVH

Henrik

[Die Hard]

Hej Henrik :)

Sorry för att jag inte svarat tidigare. Jag har haft lite annat att göra, ibland gör sig "det riktiga livet" sig påmint.

Gör så här, så ska vi se om vi inte tar ett steg framåt:

Gå hit och ladda ner SmitRem

Spara den på skrivbordet. Dubbelklicka för att packa upp innehållet till en egen mapp du väljer.
Starta om datorn till felsäkert läge öppna SmitRem-mappen och dubbelklicka på RunThis.bat
för att starta verktyget. Följ anvisningarna på menyn och låt diskrensningen fullföljas.

När du startat om kan du ställa om din bakgrundsbild.
OBS: I XP kanske utseendet nu visas i klassikt läge, det ställer du om vid "Tema" fliken under "Egenskaper" genom att klicka (Windowsknapp+R) och skriva desk.cpl>OK.

Posta sedan en ny HJT-log

Hälsningar

Die Hard :)

[Henrik]

Logfile of HijackThis v1.99.1
Scan saved at 13:03:01, on 2005-10-05
Platform: Windows XP SP1 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\System32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program\ewido\security suite\ewidoctrl.exe
C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program\Java\j2re1.4.2_04\bin\jusched.exe
C:\WINDOWS\System32\svchost.exe
C:\Program\Delade filer\Logitech\QCDriver3\LVCOMS.EXE
C:\Program\D-Tools\daemon.exe
C:\Program\iTunes\iTunesHelper.exe
C:\Program\Delade filer\Symantec Shared\Security Center\UsrPrmpt.exe
C:\Program\Evidence Eliminator\ee.exe
C:\Program\iPod\bin\iPodService.exe
C:\Program\Hijackthis\HijackThis.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} -

C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control

Panel\atiptaxx.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched]

C:\Program\Java\j2re1.4.2_04\bin\jusched.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program\Delade

filer\Logitech\QCDriver3\LVCOMS.EXE
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program\D-Tools\daemon.exe"  -lang

1033
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [SSC_UserPrompt] C:\Program\Delade filer\Symantec

Shared\Security Center\UsrPrmpt.exe
O4 - HKLM\..\Run: [Evidence Eliminator] C:\Program\Evidence Eliminator\ee.exe

/m
O8 - Extra context menu item: E&xportera till Microsoft Excel -

res://c:\Program\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} -

C:\WINDOWS\System32\msjava.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol -

{08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll
O9 - Extra button: Referensinformation -

{92780B25-18CC-41C8-B9BE-3C9C571A8263} -

C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: ICQ 4.1 - {B863453A-26C3-4e1f-A54D-A2CD196348E9} -

C:\Program\ICQLite\ICQLite.exe
O9 - Extra 'Tools' menuitem: ICQ Lite -

{B863453A-26C3-4e1f-A54D-A2CD196348E9} - C:\Program\ICQLite\ICQLite.exe
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF}

(MsnMessengerSetupDownloadControl Class) -

http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O23 - Service: Remote Procedure Call (RPC) Helper ( 11Fßä#·ºÄÖ`I) - Unknown

owner - C:\WINDOWS\system32\mfcmw.exe"  /s (file missing)
O23 - Service: Ati HotKey Poller - Unknown owner -

C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation

- C:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation -

C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe
O23 - Service: ewido security suite control - ewido networks -

C:\Program\ewido\security suite\ewidoctrl.exe
O23 - Service: iPod-tjänst (iPodService) - Apple Computer, Inc. -

C:\Program\iPod\bin\iPodService.exe
O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec

Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe
O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation -

C:\Program\Delade filer\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 - Service: System Startup Service  (SvcProc) - Unknown owner -

C:\WINDOWS\svcproc.exe (file missing)
O23 - Service: TuneUp WinStyler Theme Service (TUWinStylerThemeSvc) - TuneUp

Software GmbH - C:\Program\TuneUp Utilities 2004\WinStylerThemeSvc.exe


mvh Henrik

[Die Hard]

Henrik :)

Sådärja :thumbup:

Nu fick vi bort servicen vi jagat !

Frågan är hur ditt system verkar nu?
Har du XP-temat och verkar det stabilt utan pop-ups eller annat ovälkommet beteende?

EDIT: Kan du köra det här lilla verktyget:  http://www.fbeej.ctrlaltdel.dk/Programmer/fl.zip
Posta loggen. Det kollar katalogen i din "Application Data" mapp.

Die Hard :)

[Henrik]

Det verkar precis som vanligt. Ja, jag har xp temat, Men nu så går den inte in på massa olika sidor automatiskt.
Jag har själv rensat lite i Application data-mapparna :) Så det ska nog se bra ut nu.. Här kommer iaf loggen:

Volymen i enhet C har ingen etikett.
Volymens serienummer ,,r 80A7-A1E1

Inneh†ll i katalogen C:\Documents and Settings\Admin\Application Data

2004-06-22  17:53    <KAT>          Adobe
2005-06-09  20:21    <KAT>          Ahead
2005-08-16  18:48    <KAT>          Apple Computer
2004-06-22  17:56    <KAT>          Creative
2005-09-18  17:49    <KAT>          F-Secure
2004-06-18  13:27    <KAT>          Help
2005-07-08  19:18    <KAT>          ICQLite
2005-10-05  03:43    <KAT>          Identities
2004-06-22  17:53    <KAT>          InterTrust
2005-09-15  22:21    <KAT>          Macromedia
2004-06-18  23:50    <KAT>          Sun
2004-06-19  00:04    <KAT>          TuneUp Software
               0 fil(er)                   0 byte
              12 katalog(er)   4ÿ651ÿ741ÿ184 byte ledigt
Volymen i enhet C har ingen etikett.
Volymens serienummer ,,r 80A7-A1E1

Inneh†ll i katalogen C:\Documents and Settings\All Users\Application Data

2005-08-16  18:47    <KAT>          Apple Computer
2004-07-12  21:12    <KAT>          MSN6
2005-08-16  19:00    <KAT>          QuickTime
2005-06-15  22:52    <KAT>          Sony Ericsson
2005-07-02  20:06    <KAT>          Support.com
2005-09-15  20:35    <KAT>          Symantec
2004-06-19  00:03    <KAT>          TuneUp Software
               0 fil(er)                   0 byte
               7 katalog(er)   4ÿ651ÿ741ÿ184 byte ledigt
Volymen i enhet C har ingen etikett.
Volymens serienummer ,,r 80A7-A1E1

Inneh†ll i katalogen C:\Documents and Settings\Default User\Application Data

2004-06-18  14:57    <KAT>          .
2004-06-18  14:57    <KAT>          ..
2004-06-18  14:57                62 desktop.ini
               1 fil(er)                  62 byte
               2 katalog(er)   4ÿ651ÿ741ÿ184 byte ledigt
Volymen i enhet C har ingen etikett.
Volymens serienummer ,,r 80A7-A1E1

Inneh†ll i katalogen C:\Documents and Settings\LocalService\Application Data

Volymen i enhet C har ingen etikett.
Volymens serienummer ,,r 80A7-A1E1

Inneh†ll i katalogen C:\Documents and Settings\NetworkService\Application Data

[TRACE] Enumerating jobs and queues
[TRACE] Activating job '1-Click Maintenance.job'
[TRACE] Printing all job properties

  ApplicationName:    'C:\Program\TuneUp Utilities 2004\SystemOptimizer.exe'
  Parameters:         '/schedulestart'
  WorkingDirectory:   ''
  Comment:            'Starts 1-Click Maintenance at scheduled times'
  Creator:            'Admin'
  Priority:           NORMAL
  MaxRunTime:         259200000 (3d  0:00:00)
  IdleWait:           10
  IdleDeadline:       60
  MostRecentRun:      09/30/2005 17:15:00
  NextRun:            10/07/2005 17:15:00
  StartError:         S_OK
  ExitCode:           0
  Status:             SCHED_S_TASK_READY
  ScheduledWorkItem Flags:
    DeleteWhenDone          = 0
    Suspend                 = 0
    StartOnlyIfIdle         = 0
    KillOnIdleEnd           = 0
    RestartOnIdleResume     = 0
    DontStartIfOnBatteries  = 0
    KillIfGoingOnBatteries  = 0
    RunOnlyIfLoggedOn       = 1
    SystemRequired          = 0
    Hidden                  = 0
  TaskFlags:          0

  1 Trigger

  Trigger 0:
    Type:            Weekly
    WeeksInterval:   1
    DaysOfTheWeek:   .....F.
    StartDate:       08/07/2001
    EndDate:         08/07/2005
    StartTime:       17:15
    MinutesDuration: 0
    MinutesInterval: 0
    Flags:
      HasEndDate      = 0
      KillAtDuration  = 0
      Disabled        = 0


[TRACE] Activating job 'Symantec NetDetect.job'
[TRACE] Printing all job properties

  ApplicationName:    'C:\Program\Symantec\LiveUpdate\NDETECT.EXE'
  Parameters:         ''
  WorkingDirectory:   'C:\Program\Symantec\LiveUpdate'
  Comment:            'Symantec NetDetect'
  Creator:            'Admin'
  Priority:           NORMAL
  MaxRunTime:         259200000 (3d  0:00:00)
  IdleWait:           10
  IdleDeadline:       60
  MostRecentRun:      09/16/2005  4:56:00
  NextRun:            00/00/0000  0:00:00
  StartError:         S_OK
  ExitCode:           0
  Status:             SCHED_S_TASK_DISABLED
  ScheduledWorkItem Flags:
    DeleteWhenDone          = 0
    Suspend                 = 1
    StartOnlyIfIdle         = 0
    KillOnIdleEnd           = 0
    RestartOnIdleResume     = 0
    DontStartIfOnBatteries  = 0
    KillIfGoingOnBatteries  = 0
    RunOnlyIfLoggedOn       = 1
    SystemRequired          = 0
    Hidden                  = 0
  TaskFlags:          0

  1 Trigger

  Trigger 0:
    Type:            Daily
    DaysInterval:    1
    StartDate:       09/16/2005
    EndDate:         00/00/0000
    StartTime:       08:57
    MinutesDuration: 1440
    MinutesInterval: 240
    Flags:
      HasEndDate      = 0
      KillAtDuration  = 0
      Disabled        = 0

[Henrik]

En fråga till.. Om jag nu installerar t.ex. F-secure anti-virus. Kan detta virus/trojan installeras på min dator då, även om jag har anti-virus skydd? eller måste jag köra en mjukvaru brandvägg ex. zonealarm, för att det ej skall kunna installeras i mitt system då jag besöker någon websida som sprider det.


mvh

Henrik

[Die Hard]

Hej Henrik :)

Du har redan en version av Symantec (Norton). Om du installerar ett annat antivirus, se till att avinstallera detta ordentligt först.
Sedan skyddar inte ett antivirusprogram särskilt bra mot spionprogram. Att installera ZoneAlarm är en bra ide

Här finns det att ladda ner:
http://www.download.com/3000-2092-10039884.html

För att installera och konfigurera, gå hit för info med bilder:
http://www.markusjansson.net/eza.html

Behåll också Ewido. Efter att test-perioden är slut kommer programmet att fungera lika bra. Vad som kommer att fattas är "Real time monitorn" samt de automatiska uppdateringarna. Men du hämtar uppdateringar manuellt från huvudmenyn ,lika bra.
Skanna sedan ofta efter att du slutat surfa.
Jag tror du fick länken hit, till Ewido-guiden:
http://www.greyknight17.com/spy/Tutorials/ewidoQuickGuide.pdf

Surfa säkert

Hälsar

Die Hard :)

[Henrik]

Tack för all hjälp!

Återkommer vid nya virus/trojan infektioner.  8)

mvh

Henrik

[Die Hard]

Du är välkommen närsomhelst (inte för snart bara)  :P  :P

Die Hard :)