Hem | Forum | Chatt | Om webbplatsen | Kontakta oss

fråga om "virus" som poppar upp iexplorer rutor mm

Här läggs de trådar gällande systemrensningar m.m., som är lösta eller som inte har besökts av trådskaparen. Även äldre instruktionsinlägg läggs här. OBS! I den här forumdelen går det inte att posta inlägg. Det går enbart att läsa trådarna.

fråga om "virus" som poppar upp iexplorer rutor mm

Inläggav bollonator » ons 09 maj 2007, 10.48

Hej, jag använder firefox, och har avinstallerat internetexplorer. Eller försökt i all fall. Varje gång jag startar datorn finns det där igen. Men iexplorerfilen är dold.

I alla fall, varj gång jag börjar använda Firefox så börjar det poppa upp internet-explorer i olika fönster, och deras innehåll är kopplat till sådant som jag gör på firefox. "iexplore" kallas dessa processer i aktivitetshanteraren.

vad är det som startar dessa processer, och hur stoppar man dom?

jag har prövat att göra några olika virusscans, men ofta handlar det då om att saker i sysstemmapparna är infekterade, typ svhost och sånt (det är väl inget man kan radera utan att förstöra för datorn?)

har nån koll på vad detta kan vara?

förut har jag inte haft problemet. det senaste program jag installerat var ett program som hette "fulDC" - kan det möjligtvis komma därifån??

jag har även ett problem som dyker upp ibland i firefox. Det är nån sorts fejkad "spyware-doctor"-liknande popupruta som vänligen varnar mig för "varning - på din dator finns spår av vuxensidor", och när man klickar bort den öppnas en ny flik i firefox. mycket irriterande. någon som hört talas om detta?

Och - finns det program som hantetar sådana här saker, som är gratis, och som inte innebär att man efter eventuell rensning plötsligt inte kan starta sin dator?`det har jag varit med om för många gånger..
bollonator
 
Inlägg: 13
Blev medlem: ons 09 maj 2007, 10.36

Inläggav Malou » ons 09 maj 2007, 11.17

Hej och välkommen bollonator!

Jag har flyttat ditt inlägg (tråd) till forumskategorin Antispywareprogram då jag behöver få se loggar av olika slag.

Varför vill du avinstallera Internet Explorer?
Denna tillhör Windows samt så är den nödvändig att ha då du hämtar säkerhetsuppdateringar från Windows Update/Microsoft Update m.m.

Ang => svhost <= är den här rättstavad?
Om den är rättstavad så är det en elaking och bör därmed åtgärdas.

Och - finns det program som hantetar sådana här saker, som är gratis, och som inte innebär att man efter eventuell rensning plötsligt inte kan starta sin dator?`det har jag varit med om för många gånger..

Visst finns det gratisprogram/verktyg som kan hantera elakheter utan att datorn plötsligt inte startar upp.
Då du har råkat ut för detta så undrar jag, vad är det för program/verktyg du har använt och hur har du då gått tillväga för att råka ut för detta?

För att kunna hjälpa dig på bästa sätt och för att komma igång med att rensa rent från diverse otyg/otrevligheter så rekommenderar vi följa nedanstående instruktioner:
OBS:
Du måste vara inloggad på forumet för att kunna läsa på nedanstående sida:
=> Forumindex ~ Instruktioner ~ HiJack This Instruktioner

Då du gjort ovanstående:
Gör en HJT (HiJack This)-logga scannad i normalläge, kopiera in den hit så får vi se hur det ser ut.

OBS:
Starta ingen ny tråd i ämnet utan fortsätt posta här i din tråd :wink:

MVH/Malou
Malou
 

Inläggav bollonator » ons 09 maj 2007, 12.00

Hej, tack för hjälpen. Innan jag kör cleaner-programmet och HJT loggarna ska jag svara på några saker du frågade:

att jag försökt avinstallera internet explorer beror först och främst på att det där programmet som öppnar IE-fönster använder sig av internet explorer.
Jag tyckte det var skumt eftersom jag dels aldrig använder internet explorer, och inte har programmet öppet. Samt trodde jag avinstallerat det.

Jag tänkte då (enligt mig tekniskt okunniga logik) att om internet explorer inte fanns, så skulle inte dessa rutor öppnas! men icke..

Och nej, det är ett antal "svchost" som är öppna , inte "svhost"

Såhär ser processerna ut i aktivitetshanteraren, om det kan vara till nån hjälp:

ALCWZRD.EXE
alg.exe
csrss.exe
ctfmon.exe
explorer.exe
explorer.exe
hkcmd.exe
jusched,exe
Isass.exe
NMBgMonitor.exe
NMIndexStoreSvr.exe
PDPDServ.exe
qttask.exe
services.exe
shwiconEM.exe
slserv.exe
smss.exe
SOUNDMAN.exe
spoolsv.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
svchost.exe
System
Ststemets vänteprocess SYSTEM
taskmgr.exe
wdfmgr.exe
winlogon.exe
zHotkey.exe

och som sagt, när det poppar upp såna här förnster kallas de iexplore.exe

Jag återkommer!
bollonator
 
Inlägg: 13
Blev medlem: ons 09 maj 2007, 10.36

Inläggav bollonator » ons 09 maj 2007, 12.14

och här är loggen från HJT!

(för övrigt hoppar nya iexplore-rutor upp under tiden jag skriver detta, mycket irriterande sak, det där)

Logfile of HijackThis v1.99.1
Scan saved at 13:13:22, on 2007-05-09
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\zHotkey.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program\Digital Media Reader\shwiconem.exe
C:\Program\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program\ekort\ekort.exe
C:\Program\QuickTime\qttask.exe
C:\Program\iTunes\iTunesHelper.exe
C:\Program\Delade filer\Ahead\Lib\NMBgMonitor.exe
C:\Mina program\FILM - SPELA - RIPPA - KONVERTERA\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Mina program\NYTTOPROGRAM\tor privoxy bundle\Privoxy\privoxy.exe
C:\Program\Delade filer\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program\Delade filer\New Boundary\PrismXL\PRISMXL.SYS
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\WINDOWS\system32\notepad.exe
C:\Program\Mozilla Firefox\firefox.exe
C:\Program\CCleaner\ccleaner.exe
C:\Program\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = about:blank
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = about:blank
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyServer = 202.194.210.9:3128
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: (no name) - {16387892-2348-4D08-B70D-E80C1CFD90B1} - C:\WINDOWS\system32\qlrgjjof.dll
O2 - BHO: (no name) - {182B90A3-F372-438A-800C-6814B4DE417B} - (no file)
O2 - BHO: (no name) - {365277D4-2078-4EBF-AC6E-9B5515937491} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\jjxhbxra.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [ShowWnd] ShowWnd.exe
O4 - HKLM\..\Run: [Genväg till egenskapssida för High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunKistEM] C:\Program\Digital Media Reader\shwiconem.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Program\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [ekort] C:\Program\ekort\ekort.exe /dontopenmycards
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program\Delade filer\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Mina program\FILM - SPELA - RIPPA - KONVERTERA\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - Startup: Adobe Gamma.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = C:\Program\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Privoxy.lnk = C:\Mina program\NYTTOPROGRAM\tor privoxy bundle\Privoxy\privoxy.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\Program\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\MINAPR~1\NYTTOP~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: e-kort - {4C730913-3961-439b-83D5-F4E445520422} - C:\Program\ekort\ekort.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {0990D180-4226-4530-9777-AB82315505B9} (Installer Class) - https://www.swedbank.se/betala/ekort/oinstall.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid= ... lcid=0x409
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5112B683-1468-4AEC-BD3D-927AD07CD445}: NameServer = 148.160.16.66
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program\Delade filer\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program\DELADE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: ddccddc - C:\WINDOWS\
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: ssqrs - C:\WINDOWS\
O20 - Winlogon Notify: vtsqn - C:\WINDOWS\system32\vtsqn.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: wineak32 - wineak32.dll (file missing)
O20 - Winlogon Notify: wintuh32 - wintuh32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: avast! Antivirus - Unknown owner - C:\Program\Alwil Software\Avast4\ashServ.exe (file missing)
O23 - Service: avast! Mail Scanner - Unknown owner - C:\Program\Alwil Software\Avast4\ashMaiSv.exe" /service (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe
O23 - Service: NBService - Nero AG - C:\Program\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Program\Delade filer\New Boundary\PrismXL\PRISMXL.SYS
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program\Spyware Doctor\swdsvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
bollonator
 
Inlägg: 13
Blev medlem: ons 09 maj 2007, 10.36

Inläggav bollonator » ons 09 maj 2007, 12.30

av det jag ser på listan som jag känner igen är det ekort (ett program från banken), Daemon tools, quicktime,

samt Avast och Spywaredoctor (som jag avinstallerat!) + nån skum process från NERO som heter NM, powerdvd, privoxy och några till.

det mesta som för övrigt finns på listan känner jag inte till vad det är. ska jah starta om datorn efter att ha kört ccleaner, eller?
bollonator
 
Inlägg: 13
Blev medlem: ons 09 maj 2007, 10.36

Inläggav Malou » ons 09 maj 2007, 12.55

Hej bollonator!

Varsegod!

ska jah starta om datorn efter att ha kört ccleaner, eller?

Nej det behöver du inte göra :wink:

Jag tyckte det var skumt eftersom jag dels aldrig använder internet explorer, och inte har programmet öppet. Samt trodde jag avinstallerat det.
Jag tänkte då (enligt mig tekniskt okunniga logik) att om internet explorer inte fanns, så skulle inte dessa rutor öppnas! men icke..

Tyvärr en sådan åtgärd hjälper föga. Och som jag nämnde så behövs IE då du hämtar säkerhetsuppdateringarna. Dessutom så tillhör IE Windows systemet.

(för övrigt hoppar nya iexplore-rutor upp under tiden jag skriver detta, mycket irriterande sak, det där)

Förstår att detta är mycket irriterande. Men du får stå ut ett tag till med detta. Det kommer att ta några procedursvändor innan vi är klara och datorn är ren igen :wink:

Och nej, det är ett antal "svchost" som är öppna , inte "svhost"

Ok.
Helt normalt att man har några "svchost" som är igång.

Ang processerna i aktivitetshanteraren:
Är denna rättstavad => Isass.exe

Dessa båda nedanstående tillhör ditt Nero brännarprogram.
NMBgMonitor.exe
NMIndexStoreSvr.exe

Vem har du som Internetleverantör?
Vet du om din Internetleverantör använder sig av Proxyserver?

*********************************************************
Ang din HJT-logga.
Ser att där förekommer en hel del otrevligheter. Innan vi går vidare så gör det här nedanstående så får vi se om där finns fler otrevligheter.

Gör så här ang HJT så får vi se om något ytterligare dyker upp i loggan:
Döp om
HiJack This.exe =>Till => Rensare.exe
Högerklicka på Start-knappen => välj Utforskaren => välj C:\Program => välj HiJack This => markera/öppna HiJack This mappen i det vänstra fönstret => I det högra fönstret skall du nu kunna se HiJack This (dynamiten) => högerklicka på den och välj Byt Namn => skriv in Rensare.exe => klicka Enter-Tangenten => stäng ner utforskaren.

Gör en ny HJT-logga, kopiera in den hit så går vi vidare :wink:

MVH/Malou
Malou
 

Inläggav bollonator » ons 09 maj 2007, 13.26

svar: ja, isass är rättstavat (dubbelkollat detta nu)

internetleverantör: Bornet. (lokal leverantör i borås tror jag)

nej, ingen proxy såvitt jag vet. inget man behöver ställa in i browserinställningarna i af. det är "direktansluten till internet" -inställningen.

Döp om
HiJack This.exe =>Till => Rensare.exe
Högerklicka på Start-knappen => välj Utforskaren => välj C:\Program => välj HiJack This => markera/öppna HiJack This mappen i det vänstra fönstret => I det högra fönstret skall du nu kunna se HiJack This (dynamiten) => högerklicka på den och välj Byt Namn => skriv in Rensare.exe => klicka Enter-Tangenten => stäng ner utforskaren.
Jag förstod dina instruktioner som att jag skulle gå in i highjackthis-mappen i program och ändra highjackthis-programmet till rensare.exe


Jag tolkar detta som att jag ska gå in i highjackthis-mappen i program och ändra programmets namn från highjackthis.exe till rensare.exe. Är det korrekt? (eller var det något med vänster/höger fält i utforskaren jag missade? inte heller heter min highjackthis "dynamiten")

jag ändraade i alla fall namnet tkill rensare.exe och skapade en ny log.

LOGFIL2

(jag hade samtidigt firefox samt notepad öppna, jag hoppas inte det stör loggen på nåt vis!)


Logfile of HijackThis v1.99.1
Scan saved at 14:19:42, on 2007-05-09
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program\Delade filer\New Boundary\PrismXL\PRISMXL.SYS
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\zHotkey.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program\Digital Media Reader\shwiconem.exe
C:\Program\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program\ekort\ekort.exe
C:\Mina program\FILM - SPELA - RIPPA - KONVERTERA\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program\Mozilla Firefox\firefox.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\explorer.exe
C:\Program\Hijackthis\rensare.exe

O2 - BHO: (no name) - {16387892-2348-4D08-B70D-E80C1CFD90B1} - C:\WINDOWS\system32\qlrgjjof.dll
O2 - BHO: (no name) - {182B90A3-F372-438A-800C-6814B4DE417B} - (no file)
O2 - BHO: (no name) - {365277D4-2078-4EBF-AC6E-9B5515937491} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: (no name) - {D651AFF4-9590-424d-BD1E-8E33E090DFB3} - C:\WINDOWS\system32\jjxhbxra.dll
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [ShowWnd] ShowWnd.exe
O4 - HKLM\..\Run: [Genväg till egenskapssida för High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunKistEM] C:\Program\Digital Media Reader\shwiconem.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Program\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [ekort] C:\Program\ekort\ekort.exe /dontopenmycards
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Mina program\FILM - SPELA - RIPPA - KONVERTERA\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program\CCleaner\ccleaner.exe" /AUTO
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\Program\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\MINAPR~1\NYTTOP~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: e-kort - {4C730913-3961-439b-83D5-F4E445520422} - C:\Program\ekort\ekort.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {0990D180-4226-4530-9777-AB82315505B9} (Installer Class) - https://www.swedbank.se/betala/ekort/oinstall.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid= ... lcid=0x409
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5112B683-1468-4AEC-BD3D-927AD07CD445}: NameServer = 148.160.16.66
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program\Delade filer\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program\DELADE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: ddccddc - C:\WINDOWS\
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: ssqrs - C:\WINDOWS\
O20 - Winlogon Notify: vtsqn - C:\WINDOWS\system32\vtsqn.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: wineak32 - wineak32.dll (file missing)
O20 - Winlogon Notify: wintuh32 - wintuh32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe
O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Program\Delade filer\New Boundary\PrismXL\PRISMXL.SYS
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program\Spyware Doctor\swdsvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
bollonator
 
Inlägg: 13
Blev medlem: ons 09 maj 2007, 10.36

Inläggav Malou » ons 09 maj 2007, 14.08

Hej bollonator!

svar: ja, isass är rättstavat (dubbelkollat detta nu)

Ok om du är säker på att den stavas med i (I) och inte med l (L) så är det en otrevlighet.

internetleverantör: Bornet. (lokal leverantör i borås tror jag)

nej, ingen proxy såvitt jag vet. inget man behöver ställa in i browserinställningarna i af. det är "direktansluten till internet" -inställningen.

Ok.
Då vet jag :wink:

(jag hade samtidigt firefox samt notepad öppna, jag hoppas inte det stör loggen på nåt vis!)

Nejdå detta stör inte alls.

Jag tolkar detta som att jag ska gå in i highjackthis-mappen i program och ändra programmets namn från highjackthis.exe till rensare.exe. Är det korrekt? (eller var det något med vänster/höger fält i utforskaren jag missade? inte heller heter min highjackthis "dynamiten")

Du har gjort alldeles rätt :wink:
Nej den heter inte "dynamiten" den ser ut som en dynamitgubbe :wink:

Går igenom din HJT-logga nu och återkommer alldeles strax till dig. Håll ut så länge :wink:

MVH/Malou
Malou
 

Inläggav Malou » ons 09 maj 2007, 14.22

Hej bollonator!

Ser ut som att du fått bla en Vundo infektion i systemet!
Vi provar och ser om VundoFix kan hjälpa till.

Läs/följ instruktionera mycket noga:

Ladda ner VundoFix.exe till Skrivbordet från nedanstående länk:
http://www.atribune.org/ccount/click.php?id=4

Skriv ut nedanstående eller kopiera det till något textdokument och spara det till skrivbordet:

Starta om datorn till felsäkert läge (tryck F8-Tangenten upprepade gånger under uppstarten och välj felsäkert läge)

1: Dubbelklicka på VundoFix för att köra den.
2: När VundoFix har öppnats Klicka på Scan for Vundo.
3: När scanningen är klar så klicka på Remove Vundo.
4: När den frågar om du vill ta bort filerna så klicka på Yes.
5: Datorns Skrivbord vill nu försvinna medan programmet håller på och tar bort otrevligheter.
6 När det är klart så kommer det upp ett meddelande om att din dator kommer att stängas av, tryck på OK.
7: Starta nu igång datorn igen.

Notera:
Om VundoFix inte kunde ta bort någon/några filer vid första försöket kommer VundoFix att starta igen när datorn startats om. I sådana fall följ ovanstående instruktion "1 till och med 7" igen fast denna gång i normalläge där du befinner dig nu.

I ditt svar här så skriver du hur det har gått och klistrar in loggfilen
1: C:\vundofix.txt
2: Gör en n y HijackThis-logg (scannad i normalläge), kopiera in även den.

Om inte ovanstående hjälper så tar vi till andra metoder :wink:

MVH/Malou
Malou
 

Inläggav bollonator » ons 09 maj 2007, 14.24

angående Isass eller lsass

jag insåg nu att jag inte vet om det är l elller stort i - dvs I

det lutar nog åt att det är litet L och inte i.

du kan få en skärmdump för säkerhets skull :

http://img295.imageshack.us/img295/6803/iiasszt8.jpg

jämför man med PRISMXL så tycker jag att man ser att det är ett litet L ,
dvs lsass

..så det var ju DET bra i alla fall!!

EDIT: Jag skall följa instruktionerna när jag kommer tillbaka hem igen om några timmar. Tack för hjälpen så länge.
bollonator
 
Inlägg: 13
Blev medlem: ons 09 maj 2007, 10.36

Inläggav Malou » ons 09 maj 2007, 14.29

Hej bollonator!

Varsegod och tack själv för att vi får hjälpa!

Tittade på skärmdumpen du lagt med och det är ett litet L (l). Så den är helt ok :wink:

Jag skall följa instruktionerna när jag kommer tillbaka hem igen om några timmar.

Helt ok.
Du återkolmmer då du har tid :wink:

MVH/Malu
Malou
 

Inläggav bollonator » ons 09 maj 2007, 18.06

Hej, jag har nu genomfört vundofixen, och det gick som du beskrev (efter att jag valt att ta bort , så försvann skrivbordet ett tag, och sedan klickade jag ok för omstart av datorn)
Jag klipper här in vundofixloggen, samt en ny hijackthis-logg! (eller rensare.exe-logg kanske jag ska säga, för jag har inte bytt tillbaka namnet på programmet)

(OBS: skall bara tillägga att det nyss ploppade upp ett sånt där oombett iexplorer-fönster, så helt frisk tycks burken inte vara än!!)

********************
********************
VUNDOFIX-LOG:
********************
********************


VundoFix V6.3.21

Checking Java version...

Sun Java not detected
Scan started at 18:47:32 2007-05-09

Listing files found while scanning....

C:\WINDOWS\system32\aljgccgi.dll
C:\WINDOWS\system32\bcixjqwy.dll
C:\WINDOWS\system32\bhngarhd.dll
C:\WINDOWS\system32\bowdpyqh.ini
C:\WINDOWS\system32\bypewkdv.ini
C:\WINDOWS\system32\camqjvec.ini
C:\WINDOWS\system32\ccgtjmww.dll
C:\WINDOWS\system32\cevjqmac.dll
C:\WINDOWS\system32\ciingwxs.ini
C:\WINDOWS\system32\cjjuuqng.dll
C:\WINDOWS\system32\cnmqktnf.dll
C:\WINDOWS\system32\djjrqmfi.dll
C:\WINDOWS\system32\dpxhvoun.dll
C:\WINDOWS\system32\dqlhbnvu.dll
C:\WINDOWS\system32\drucnqyk.dll
C:\WINDOWS\system32\ehojmywm.ini
C:\WINDOWS\system32\emvxnowh.dll
C:\WINDOWS\system32\evtmuoel.dll
C:\WINDOWS\system32\fcpvujug.ini
C:\WINDOWS\system32\fntkqmnc.ini
C:\WINDOWS\system32\fthacwtu.dll
C:\WINDOWS\system32\fyikwqsk.ini
C:\WINDOWS\system32\gbryvtox.ini
C:\WINDOWS\system32\ghhsnmei.dll
C:\WINDOWS\system32\ghlvindj.dll
C:\WINDOWS\system32\glcawtyl.dll
C:\WINDOWS\system32\gmdvfuyj.dll
C:\WINDOWS\system32\gnquujjc.ini
C:\WINDOWS\system32\grxqjuet.ini
C:\WINDOWS\system32\gujuvpcf.dll
C:\WINDOWS\system32\gwasvpeq.dll
C:\WINDOWS\system32\gwfbhudo.dll
C:\WINDOWS\system32\heerpxid.dll
C:\WINDOWS\system32\hqypdwob.dll
C:\WINDOWS\system32\hwonxvme.ini
C:\WINDOWS\system32\hxmxibti.dll
C:\WINDOWS\system32\igccgjla.ini
C:\WINDOWS\system32\ihnxpkjk.dll
C:\WINDOWS\system32\ipxalccu.ini
C:\WINDOWS\system32\itbixmxh.ini
C:\WINDOWS\system32\jbojnwtc.dll
C:\WINDOWS\system32\jdnivlhg.ini
C:\WINDOWS\system32\jjxhbxra.dll
C:\WINDOWS\system32\jpfbdnpk.dll
C:\WINDOWS\system32\jplyeaol.ini
C:\WINDOWS\system32\jxgwidco.ini
C:\WINDOWS\system32\kpndbfpj.ini
C:\WINDOWS\system32\ksqwkiyf.dll
C:\WINDOWS\system32\ktiixeku.ini
C:\WINDOWS\system32\ktmceddq.ini
C:\WINDOWS\system32\legstjql.dll
C:\WINDOWS\system32\leoumtve.ini
C:\WINDOWS\system32\loaeylpj.dll
C:\WINDOWS\system32\mdtwaryt.dll
C:\WINDOWS\system32\mwymjohe.dll
C:\WINDOWS\system32\nlaqdfbb.dll
C:\WINDOWS\system32\nmbpytco.ini
C:\WINDOWS\system32\ocdiwgxj.dll
C:\WINDOWS\system32\octypbmn.dll
C:\WINDOWS\system32\oduhbfwg.ini
C:\WINDOWS\system32\oknxfmyp.ini
C:\WINDOWS\system32\oprrabhs.ini
C:\WINDOWS\system32\pmqbwssq.dll
C:\WINDOWS\system32\pwtbfylr.dll
C:\WINDOWS\system32\pymfxnko.dll
C:\WINDOWS\system32\qddecmtk.dll
C:\WINDOWS\system32\qeonafrv.dll
C:\WINDOWS\system32\qepvsawg.ini
C:\WINDOWS\system32\qhocyjur.dll
C:\WINDOWS\system32\qjlsdtxw.ini
C:\WINDOWS\system32\qjnqkkyq.ini
C:\WINDOWS\system32\qkdlewgp.dll
C:\WINDOWS\system32\qojcxvrr.ini
C:\WINDOWS\system32\qsswbqmp.ini
C:\WINDOWS\system32\qykkqnjq.dll
C:\WINDOWS\system32\rifdpfau.ini
C:\WINDOWS\system32\rrjrcoiu.dll
C:\WINDOWS\system32\rrvxcjoq.dll
C:\WINDOWS\system32\shbarrpo.dll
C:\WINDOWS\system32\srermrht.ini
C:\WINDOWS\system32\sxwgniic.dll
C:\WINDOWS\system32\teujqxrg.dll
C:\WINDOWS\system32\thrmrers.dll
C:\WINDOWS\system32\uafpdfir.dll
C:\WINDOWS\system32\ucclaxpi.dll
C:\WINDOWS\system32\uiocrjrr.ini
C:\WINDOWS\system32\ukexiitk.dll
C:\WINDOWS\system32\utwcahtf.ini
C:\WINDOWS\system32\vcnaseux.ini
C:\WINDOWS\system32\vdkwepyb.dll
C:\WINDOWS\system32\vjbfpxdu.exe
C:\WINDOWS\system32\wnatwlty.dll
C:\WINDOWS\system32\wnlreosw.ini
C:\WINDOWS\system32\vrfanoeq.ini
C:\WINDOWS\system32\wsoerlnw.dll
C:\WINDOWS\system32\wwmjtgcc.ini
C:\WINDOWS\system32\wxtdsljq.dll
C:\WINDOWS\system32\xlqxprwq.dll
C:\WINDOWS\system32\xotvyrbg.dll
C:\WINDOWS\system32\xuesancv.dll
C:\WINDOWS\system32\ytlwtanw.ini
C:\WINDOWS\system32\ywqjxicb.ini

Beginning removal...

Attempting to delete C:\WINDOWS\system32\aljgccgi.dll
C:\WINDOWS\system32\aljgccgi.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\bcixjqwy.dll
C:\WINDOWS\system32\bcixjqwy.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\bhngarhd.dll
C:\WINDOWS\system32\bhngarhd.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\bowdpyqh.ini
C:\WINDOWS\system32\bowdpyqh.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\bypewkdv.ini
C:\WINDOWS\system32\bypewkdv.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\camqjvec.ini
C:\WINDOWS\system32\camqjvec.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\ccgtjmww.dll
C:\WINDOWS\system32\ccgtjmww.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\cevjqmac.dll
C:\WINDOWS\system32\cevjqmac.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\ciingwxs.ini
C:\WINDOWS\system32\ciingwxs.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\cjjuuqng.dll
C:\WINDOWS\system32\cjjuuqng.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\cnmqktnf.dll
C:\WINDOWS\system32\cnmqktnf.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\djjrqmfi.dll
C:\WINDOWS\system32\djjrqmfi.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\dpxhvoun.dll
C:\WINDOWS\system32\dpxhvoun.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\dqlhbnvu.dll
C:\WINDOWS\system32\dqlhbnvu.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\drucnqyk.dll
C:\WINDOWS\system32\drucnqyk.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\ehojmywm.ini
C:\WINDOWS\system32\ehojmywm.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\emvxnowh.dll
C:\WINDOWS\system32\emvxnowh.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\evtmuoel.dll
C:\WINDOWS\system32\evtmuoel.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\fcpvujug.ini
C:\WINDOWS\system32\fcpvujug.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\fntkqmnc.ini
C:\WINDOWS\system32\fntkqmnc.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\fthacwtu.dll
C:\WINDOWS\system32\fthacwtu.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\fyikwqsk.ini
C:\WINDOWS\system32\fyikwqsk.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\gbryvtox.ini
C:\WINDOWS\system32\gbryvtox.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\ghlvindj.dll
C:\WINDOWS\system32\ghlvindj.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\gmdvfuyj.dll
C:\WINDOWS\system32\gmdvfuyj.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\gnquujjc.ini
C:\WINDOWS\system32\gnquujjc.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\grxqjuet.ini
C:\WINDOWS\system32\grxqjuet.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\gujuvpcf.dll
C:\WINDOWS\system32\gujuvpcf.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\gwasvpeq.dll
C:\WINDOWS\system32\gwasvpeq.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\gwfbhudo.dll
C:\WINDOWS\system32\gwfbhudo.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\heerpxid.dll
C:\WINDOWS\system32\heerpxid.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\hqypdwob.dll
C:\WINDOWS\system32\hqypdwob.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\hwonxvme.ini
C:\WINDOWS\system32\hwonxvme.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\hxmxibti.dll
C:\WINDOWS\system32\hxmxibti.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\igccgjla.ini
C:\WINDOWS\system32\igccgjla.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\ihnxpkjk.dll
C:\WINDOWS\system32\ihnxpkjk.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\ipxalccu.ini
C:\WINDOWS\system32\ipxalccu.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\itbixmxh.ini
C:\WINDOWS\system32\itbixmxh.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\jbojnwtc.dll
C:\WINDOWS\system32\jbojnwtc.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\jdnivlhg.ini
C:\WINDOWS\system32\jdnivlhg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\jjxhbxra.dll
C:\WINDOWS\system32\jjxhbxra.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\jpfbdnpk.dll
C:\WINDOWS\system32\jpfbdnpk.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\jplyeaol.ini
C:\WINDOWS\system32\jplyeaol.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\jxgwidco.ini
C:\WINDOWS\system32\jxgwidco.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\kpndbfpj.ini
C:\WINDOWS\system32\kpndbfpj.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\ksqwkiyf.dll
C:\WINDOWS\system32\ksqwkiyf.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\ktiixeku.ini
C:\WINDOWS\system32\ktiixeku.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\ktmceddq.ini
C:\WINDOWS\system32\ktmceddq.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\leoumtve.ini
C:\WINDOWS\system32\leoumtve.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\loaeylpj.dll
C:\WINDOWS\system32\loaeylpj.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\mdtwaryt.dll
C:\WINDOWS\system32\mdtwaryt.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\mwymjohe.dll
C:\WINDOWS\system32\mwymjohe.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\nlaqdfbb.dll
C:\WINDOWS\system32\nlaqdfbb.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\nmbpytco.ini
C:\WINDOWS\system32\nmbpytco.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\ocdiwgxj.dll
C:\WINDOWS\system32\ocdiwgxj.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\octypbmn.dll
C:\WINDOWS\system32\octypbmn.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\oduhbfwg.ini
C:\WINDOWS\system32\oduhbfwg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\oknxfmyp.ini
C:\WINDOWS\system32\oknxfmyp.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\oprrabhs.ini
C:\WINDOWS\system32\oprrabhs.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\pmqbwssq.dll
C:\WINDOWS\system32\pmqbwssq.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\pwtbfylr.dll
C:\WINDOWS\system32\pwtbfylr.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\pymfxnko.dll
C:\WINDOWS\system32\pymfxnko.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\qddecmtk.dll
C:\WINDOWS\system32\qddecmtk.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\qeonafrv.dll
C:\WINDOWS\system32\qeonafrv.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\qepvsawg.ini
C:\WINDOWS\system32\qepvsawg.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\qhocyjur.dll
C:\WINDOWS\system32\qhocyjur.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\qjlsdtxw.ini
C:\WINDOWS\system32\qjlsdtxw.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\qjnqkkyq.ini
C:\WINDOWS\system32\qjnqkkyq.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\qojcxvrr.ini
C:\WINDOWS\system32\qojcxvrr.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\qsswbqmp.ini
C:\WINDOWS\system32\qsswbqmp.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\qykkqnjq.dll
C:\WINDOWS\system32\qykkqnjq.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\rifdpfau.ini
C:\WINDOWS\system32\rifdpfau.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\rrjrcoiu.dll
C:\WINDOWS\system32\rrjrcoiu.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\rrvxcjoq.dll
C:\WINDOWS\system32\rrvxcjoq.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\shbarrpo.dll
C:\WINDOWS\system32\shbarrpo.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\srermrht.ini
C:\WINDOWS\system32\srermrht.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\sxwgniic.dll
C:\WINDOWS\system32\sxwgniic.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\teujqxrg.dll
C:\WINDOWS\system32\teujqxrg.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\thrmrers.dll
C:\WINDOWS\system32\thrmrers.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\uafpdfir.dll
C:\WINDOWS\system32\uafpdfir.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\ucclaxpi.dll
C:\WINDOWS\system32\ucclaxpi.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\uiocrjrr.ini
C:\WINDOWS\system32\uiocrjrr.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\ukexiitk.dll
C:\WINDOWS\system32\ukexiitk.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\utwcahtf.ini
C:\WINDOWS\system32\utwcahtf.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\vcnaseux.ini
C:\WINDOWS\system32\vcnaseux.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\vdkwepyb.dll
C:\WINDOWS\system32\vdkwepyb.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\vjbfpxdu.exe
C:\WINDOWS\system32\vjbfpxdu.exe Has been deleted!

Attempting to delete C:\WINDOWS\system32\wnatwlty.dll
C:\WINDOWS\system32\wnatwlty.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\wnlreosw.ini
C:\WINDOWS\system32\wnlreosw.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\vrfanoeq.ini
C:\WINDOWS\system32\vrfanoeq.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\wsoerlnw.dll
C:\WINDOWS\system32\wsoerlnw.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\wwmjtgcc.ini
C:\WINDOWS\system32\wwmjtgcc.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\wxtdsljq.dll
C:\WINDOWS\system32\wxtdsljq.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\xotvyrbg.dll
C:\WINDOWS\system32\xotvyrbg.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\xuesancv.dll
C:\WINDOWS\system32\xuesancv.dll Has been deleted!

Attempting to delete C:\WINDOWS\system32\ytlwtanw.ini
C:\WINDOWS\system32\ytlwtanw.ini Has been deleted!

Attempting to delete C:\WINDOWS\system32\ywqjxicb.ini
C:\WINDOWS\system32\ywqjxicb.ini Has been deleted!

Performing Repairs to the registry.
Done!



************************
************************
************************
HJT - LOGG
************************
************************
************************

Logfile of HijackThis v1.99.1
Scan saved at 19:04:48, on 2007-05-09
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program\Java\jre1.6.0_01\bin\jusched.exe
C:\WINDOWS\zHotkey.exe
C:\WINDOWS\system32\hkcmd.exe
C:\Program\Digital Media Reader\shwiconem.exe
C:\Program\CyberLink\PowerDVD\PDVDServ.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\ALCWZRD.EXE
C:\Program\ekort\ekort.exe
C:\Program\Grisoft\AVG Anti-Spyware 7.5\guard.exe
C:\Program\Grisoft\AVG7\avgcc.exe
C:\Mina program\FILM - SPELA - RIPPA - KONVERTERA\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program\Grisoft\AVG7\avgamsvr.exe
C:\Program\Grisoft\AVG7\avgupsvc.exe
C:\Program\Grisoft\AVG7\avgemc.exe
C:\Program\Delade filer\New Boundary\PrismXL\PRISMXL.SYS
C:\WINDOWS\system32\slserv.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\system32\notepad.exe
C:\WINDOWS\System32\svchost.exe
C:\Program\Mozilla Firefox\firefox.exe
C:\WINDOWS\Explorer.EXE
C:\Program\Hijackthis\rensare.exe

O2 - BHO: (no name) - {16387892-2348-4D08-B70D-E80C1CFD90B1} - C:\WINDOWS\system32\qlrgjjof.dll (file missing)
O2 - BHO: (no name) - {365277D4-2078-4EBF-AC6E-9B5515937491} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program\Java\jre1.6.0_01\bin\jusched.exe"
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [CHotkey] zHotkey.exe
O4 - HKLM\..\Run: [ShowWnd] ShowWnd.exe
O4 - HKLM\..\Run: [Genväg till egenskapssida för High Definition Audio] HDAudPropShortcut.exe
O4 - HKLM\..\Run: [IgfxTray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [SunKistEM] C:\Program\Digital Media Reader\shwiconem.exe
O4 - HKLM\..\Run: [RemoteControl] C:\Program\CyberLink\PowerDVD\PDVDServ.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE
O4 - HKLM\..\Run: [ekort] C:\Program\ekort\ekort.exe /dontopenmycards
O4 - HKLM\..\Run: [AVG7_CC] C:\Program\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Mina program\FILM - SPELA - RIPPA - KONVERTERA\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program\CCleaner\ccleaner.exe" /AUTO
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\Program\MICROS~3\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\MINAPR~1\NYTTOP~1\MICROS~1\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_11\bin\ssv.dll
O9 - Extra button: e-kort - {4C730913-3961-439b-83D5-F4E445520422} - C:\Program\ekort\ekort.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b31267.cab
O16 - DPF: {0990D180-4226-4530-9777-AB82315505B9} (Installer Class) - https://www.swedbank.se/betala/ekort/oinstall.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid= ... lcid=0x409
O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b31267.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b31267.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnme ... loader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{5112B683-1468-4AEC-BD3D-927AD07CD445}: NameServer = 148.160.16.66
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program\Delade filer\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL
O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program\DELADE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL
O20 - Winlogon Notify: ddccddc - C:\WINDOWS\
O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxsrvc.dll
O20 - Winlogon Notify: ssqrs - C:\WINDOWS\
O20 - Winlogon Notify: vtsqn - C:\WINDOWS\system32\vtsqn.dll (file missing)
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O20 - Winlogon Notify: wineak32 - wineak32.dll (file missing)
O20 - Winlogon Notify: wintuh32 - wintuh32.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - Unknown owner - C:\Program\Alwil Software\Avast4\aswUpdSv.exe (file missing)
O23 - Service: avast! Web Scanner - Unknown owner - C:\Program\Alwil Software\Avast4\ashWebSv.exe" /service (file missing)
O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program\Grisoft\AVG Anti-Spyware 7.5\guard.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVG7\avgemc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe
O23 - Service: PrismXL - New Boundary Technologies, Inc. - C:\Program\Delade filer\New Boundary\PrismXL\PRISMXL.SYS
O23 - Service: Spyware Doctor Auxiliary Service (sdAuxService) - PC Tools - C:\Program\Spyware Doctor\svcntaux.exe
O23 - Service: Spyware Doctor Service (sdCoreService) - PC Tools - C:\Program\Spyware Doctor\swdsvc.exe
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe
bollonator
 
Inlägg: 13
Blev medlem: ons 09 maj 2007, 10.36

Inläggav Malou » ons 09 maj 2007, 18.40

Hej bollonator!

Jag klipper här in vundofixloggen, samt en ny hijackthis-logg! (eller rensare.exe-logg kanske jag ska säga, för jag har inte bytt tillbaka namnet på programmet)

Det går bra att säga HJT trots att du döpt om den :wink:
Och du skall inte byta tillbaka till ursprungsnamnet.

(OBS: skall bara tillägga att det nyss ploppade upp ett sånt där oombett iexplorer-fönster, så helt frisk tycks burken inte vara än!!)

Helt ok att det fortsätter att poppa upp popupfönster då vi ännu inte är klara. Då dessa popupsen dyker upp så klicka inte någotnstans på den. För att stänga ner dem så klickar du på X'et uppe i högra hörnet på popupen.

Går igenom dina loggar nu och återkommer strax :wink:

MVH/Malou
Senast redigerad av Malou ons 09 maj 2007, 19.28, redigerad totalt 1 gång.
Malou
 

Inläggav bollonator » ons 09 maj 2007, 18.45

Tack så väldigt mycket! Jag är faktiskt nästan överväldigad av lycka över att av en slump råkat hamna på detta forum, när jag som mest behövde det, där jag satt i obehagliga skurar av IE-popups som gjorde reklam för det jag sökte efter på google..

OBS - Jag skall också tillägga att förutom den IE-ruta som ploppade upp i samband med att jag startade firefox, så har det nu gått hela tjugo minuter utan att en enda setts till! Jag får hoppas det håller i sig!
bollonator
 
Inlägg: 13
Blev medlem: ons 09 maj 2007, 10.36

Inläggav Malou » ons 09 maj 2007, 19.17

Hej bollonator!

Varsegod och tack så jättemycket för dina vänliga ord (värmer att höra) :emb:

OBS - Jag skall också tillägga att förutom den IE-ruta som ploppade upp i samband med att jag startade firefox, så har det nu gått hela tjugo minuter utan att en enda setts till! Jag får hoppas det håller i sig!

Underbart att höra att de förhoppningsvis har upphört. Men än skall vi inte säga för mycket.

VundodFix har hittat en hel del och som den har åtgärdat. Mycket bra.

Ser att du har AVG Anti-Spyware programmet installerat. Mycket bra.
Uppdatera programmet (mycket viktigt):
Scanna INTE med den ännu:

*********************************************************
Skriv ut nedanstående eller kopiera det till ett textdokument och spara det till skrivbordet:

Läs/följ instruktionerna mycket noga och i den ordning de är skrivna:

Öppna HJT => klicka på Scan-knappen => Bocka för nedanstående detalj => Stäng ner Webbläsaren => klicka på Fix Checked-knappen:

O2 - BHO: (no name) - {16387892-2348-4D08-B70D-E80C1CFD90B1} - C:\WINDOWS\system32\qlrgjjof.dll (file missing)
O2 - BHO: (no name) - {365277D4-2078-4EBF-AC6E-9B5515937491} - (no file)
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O20 - Winlogon Notify: ddccddc - C:\WINDOWS\
O20 - Winlogon Notify: ssqrs - C:\WINDOWS\

O20 - Winlogon Notify: vtsqn - C:\WINDOWS\system32\vtsqn.dll (file missing)
O20 - Winlogon Notify: wineak32 - wineak32.dll (file missing)
O20 - Winlogon Notify: wintuh32 - wintuh32.dll (file missing)


Då du gjort ovanstående:

Starta om datorn i felsäkert läge (tryck F8-Tangenten upprepade gånger under uppstarten av datorn):

För att hitta det du nu skall leta upp, måste du klicka (windowstangent+E) och i verktygsfältet klicka på "Verktyg>mappalternativ" och under "Visa" klicka på "Visa dolda filer och mappar" samt avbocka "dölj filnamstillägg för kända filtyper" och "Dölj skyddade operativsystemfiler"

Sök/Leta reda på:
Deleta de Fetmarkerade filerna (om de hittas):

C:\WINDOWS\system32\qlrgjjof.dll<=Deleta filen:
C:\WINDOWS\system32\vtsqn.dll<=Deleta filen:

De här nedanstående filerna är det lite oklart med var de ligger någonstans. Troligen så ligger de i system32 mappen: Men du får göra en manuell sökning efter dem:
ssqrs<=Deleta filen:
ddccddc<=Deleta filen:
wineak32.dll <=Deleta filen:
wintuh32.dll<=Deleta filen:

Töm papperskorgen:

Vidare:
Fortfarande felsäkert läge:


Gör så här för att scanna med AVG Anti-Spyware:

OBS: Öppna inga Windowsfönster eller program under AVG Anti-Spyware scanningens gång. Detta kan störa scanningsproceduren:

Starta AVG Anti-Spyware.
* Klicka på scanner.
* Klicka på Complete System Scan och låt AVG Anti-Spyware scanna igenom datorn.
Under tiden AVG Anti-Spyware scannar kommer det upp en lista till vänster med infekterade object (om några har hittats).
När scanningen är klar borde den tidigare rekommenderade inställningen att vara satt till "Quarantine".
Om inte klickar du på
* recommended action och väljer att sätta alla objekt i karantän.
* Klicka på knappen Apply all actions.
AVG Anti-Spyware kommer att visa All actions have been applied på höger sida.
Klicka på
* Save Report => Save Report As.
En textfil kommer att skapas.
Var säker på var du sparar textfilen någonstans så du hittar den igen (EX: spara den till skrivbordet).
Stäng ner AVG Anti-Spyware:

Nu:
Starta om datorn till normalläge igen:


I ditt svar så klistrar du in:
1: Loggan från AVG Anti-Spyware-scanningen.
2: Gör även en HijackThis-logg (scannad i normalläge), kopiera in den.
3: Samt skriver/talar om hur datorn mår.

Lycka till

MVH/Malou
Malou
 

Nästa

Återgå till Lösta och gamla problem/arkiv

Vilka är online

Användare som besöker denna kategori: Bing [Bot] och 0 gäster

cron