Svenska antispywareforum

[Rune.K]

*********************************************
2010-03-02:
Tråden är nu låst eftersom problemet verkar vara löst
Tycker du att den är felaktigt låst, var god kontakta
Malou
*********************************************
För någon timme sedan började min WinXP-dator bete sej konstigt.
Legal WinXP med alla uppdateringar.
Jag stängde onödiga program och skannade datorn med ClamWin också uppdaterat med nya virusdefinitioner.
ClamWin stannade efter ett tag, och fick ett mystiskt felmeddelande från ClamWin efter ett tag som jag tyvärr inte sparade.
Provade 2 olika systemåterställningspunkter med felmeddelande att det inte gick att återställa.
Har inte provat felsäkert läge ännu.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 00:46:12, on 2010-02-19
Platform: Windows XP SP3 (WinNT 5.01.2600)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe
C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program Files\ClamWin\bin\ClamTray.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Opgmc\NetPerSec\NetPerSec.exe
C:\Program Files\Winamp\winamp.exe
C:\Program Files\PokerStars\PokerStars.exe
C:\Program Files\PokerStars\PokerStarsCommunicate.exe
C:\Opgmc\Hijackthis\HiJackThis_v2.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://tvprogram.nu/cgi-tvprogram/tv_8.cgi?NU
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Foxit Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - C:\Program Files\AskBarDis\bar\bin\askBar.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [CTSysVol] C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [ClamWin] "C:\Program Files\ClamWin\bin\ClamTray.exe" --logon
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\pch6admin\Local Settings\Application Data\Google\Update\GoogleUpdate.exe" /c
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\S-1-5-18\..\RunOnce: [RunNarrator] Narrator.exe (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - HKUS\.DEFAULT\..\RunOnce: [RunNarrator] Narrator.exe (User 'Default user')
O4 - Startup: Shortcut to NetPerSec.exe.lnk = C:\Opgmc\NetPerSec\NetPerSec.exe
O4 - Startup: Winamp.lnk = C:\Program Files\Winamp\winamp.exe
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program Files\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windows ... 2033033187
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NVIDIA Performance Driver Service - Unknown owner - C:\Program Files\NVIDIA Corporation\Performance Drivers\nvPDsvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies, Inc. - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 6053 bytes

[laston]

Hej! Denna Toolbar är inte så bra att ha i datorn så avinstallera den C:\Program Files\AskBarDis( Brukar finnas en avinstallationsfil i programmappen)
http://www.systemlookup.com/CLSID/27159 ... r_dll.html

Skriv ut nedanstående eller kopiera det till ett textdokument och spara det till skrivbordet:
Läs/Följ instruktionerna noga:

Hämta hem Malwarebytes Anti-Malware:
http://www.malwarebytes.org/index.php

1: Spara installationsfilen till skrivbordet
2: För att påbörja installationen dubbelklicka på mbam-setup.exe
3: Bocka för nedanstående
Uppdatera Malwarebytes' Anti-Malware
Starta Malwarebytes' Anti-Malware
4: Klicka på Slutför
Om där finns uppdateringar kommer dessa att installeras.

Då ovanstående är gjort gå vidare med nedanstående procedur:

1: När programmet startar så välj Utför snabb scanning
2: Klicka på knappen Scanna
3: Scanningen kommer nu att ta en stund
3: När programmet scannat klart klicka Ok och sedan Visa resultat
4: Bocka för allt och klicka på Remove Selected
5: Då borttagningen är klar kommer en textfil i Anteckningar att öppnas upp med en logg. Kopiera/klistra in den loggan hit till din tråd.
6: Gör även en TM HJT-logga kopiera in den till din tråd så får vi se hur den ser ut.

Mvh laston

[Rune.K]

Tack för tipset om Malwarebytes!

Körde snabb skanning, där hittades inga fel.
Körde fullständig skanning och hittade det här >
Files Infected:
C:\System Volume Information\_restore{E4A084A2-5A7C-4C56-B5DD-41582FC918C2}\RP143\A0032700.dll (Trojan.FakeAlert)

Min dator verkar fungera normalt nu förutom att systemåterställningen inte fungerar.
Det ska jag åtgärda så fort som möjligt
/Rune

[laston]

Hej! Infekterade filer i C:\System Volume Information är inte farliga för din dator men det var ändå bra att du tog bort den
Kör en onlinescan med ett annat antivirusprogram för att kolla upp datorn lite mer,nån av dessa tex
http://www.eset.com/onlinescan/
http://www.bitdefender.com/scanner/online/free.html

Mvh laston

[Malou]

Hej Rune.K!

Ser att du får god hjälp av Laston

Har redigerat ditt inlägg med att kopiera in din TM HJT-logga direkt i ditt inlägg.
Av säkerhetsskäl så rekomenderar vi att loggar etc... skall läggas in direkt i inlägget och inte inom taggar/bifogade filer eller dyligt.

OBS:
Kopiera INTE in loggan (textfilen) som bifogad fil ej heller inom code-taggar eller annat.
Kopiera/klistra in loggan DIREKT i ditt inlägg.

MVH/Malou

[Rune.K]

Angående
Files Infected:
C:\System Volume Information\_restore{E4A084A2-5A7C-4C56-B5DD-41582FC918C2}\RP143\A0032700.dll (Trojan.FakeAlert)
så kollade jag tidsstämpeln på filen och den är ca en månad gammal (från Kubuntu).
Visst är det så att det inte stämmer till 100% med varningarna av infekterade filer, ibland är det väl falskt alarm?
Det första jag ska göra i mitt WinXP, det är att köra onlinescanningen från Eset tack för tipset.
Därefter ska jag få ordning på systemåterställningen.
/Rune

Edit:
Körde http://www.eset.com/onlinescan/
Eset online scanner hittade inget virus på min dator.
Har startat om systemåterställningen och den verkar fungera normalt.
Tror att mitt WinXP fick någon sorts hicka
Nästa steg är att installera ett antivirusprogram med realtids-skanning, har bara ClamWin sedan ett bra tag.
Tack för all hjälp!
Jag återkommer med andra frågor.

[laston]

Hej! Härligt att systemåterställningen fungerar igen,kan stämma som du säger att den bara hängt upp sig
Mycket bra beslut att byta till ett antivirusprogram med realtidsskydd,Avast 5 är numera tillgänglig på svenska och ett mycket bra gratis alternativ
http://www.avast.com/free-antivirus-download leta efter Multi-language sä ska du kunna få den på svenska!

Mvh laston

[Rune.K]

Tyvärr så fungerar inte min systemåterställning, jag trodde det räckte att starta om den.
Idag testade jag att återställa...men nix det fungerade inte.
Jag googlade och vad jag förstår så ska man avinstallera system restore, för att sedan installera det igen.
Det behöver jag inte hjälp med, det fixar jag...
Jag är inte beroende av mitt WinXP så jag har inte så bråttom.

Angående gratis antivirusprogram så är AVG min favorit för tillfället.
Jag vet av egen erfarenhet att en del tycker är bökigt, men själv har jag inga problem med det.

Jag har scannat min WinXP-partition med malwarebytes och antivirusprogram både lokalt och från mitt Win7 RC.
Det hittas inga virus eller liknande.
Jag måste nog erkänna att jag är ganska paranoid vad det gäller säkerheten på min dator.
/Rune

[Malou]

Hej Rune.K!

Hur går det för dig. Har du fått ordning på bla systemåterställningen?

//Malou

[Rune.K]

Hej Rune.K!

Hur går det för dig. Har du fått ordning på bla systemåterställningen?

//Malou

Nä, inte ännu.
Förövrigt är WinXP friskt, jag har skannat efter malware enligt alla konstens regler.
En sak till jag ska göra det är köra scandisk(felkontroll av disken), min erfarenhet av Windows är att det händer då och då att det blir fel i filsystemet. Och som sin tur kan resultera i att något inte fungerar ordentligt.

Jag sitter mest i Linux.
/Rune

[Malou]

Hej Rune.K!

Härligt att höra att din XP mår bra för övrigt.
Det är inte alltid som en scanning med exempelvis antivirusprogram/MBAM etc.. visar på något ibland så kan man behöva ta till lite skarpare verktyg för att se om där finns något som ligger och lurar. Och visst så kan där vara något hårdvarufel/mjukvarufel inte helt omöjligt. För att rätta till det så kan där behövas en reparation av systemet med hjälp av din XP-Skiva.
Men om du vill så kan vi ta en lite djupare titt i systemet för att se om där kan finnas något som inte bör finnas där. I sådana fall så gör nedanstående procedur.
Hämta hem DDS:
http://www.saswsupport.se/?page_id=399

OBS:
Kopiera INTE in loggan (textfilen) som bifogad fil ej heller inom code-taggar eller annat.
Kopiera/klistra in loggan DIREKT i ditt inlägg.

MVH/Malou

[Rune.K]

Vill du ge mej mer information om programmet DDS, så är jag tacksam.
/Rune

PS
Jag är väldigt paranoid numera när det gäller Windows OS, du får ursäkta mej.

[Malou]

Hej Rune.K!

Jag är väldigt paranoid numera när det gäller Windows OS, du får ursäkta mej.

Inget att be om ursäkt för Jag/Vi använder endast verktyg som är säkra och som jag/Vi får från verktygsmakarna (Spywarehuners)

DDS är ett verktyg som gör en genomsökning av ditt system och har förmågan att lista fler filer än vad exempelvis TM HJT kan. Den åtgärdar inget, det får man göra manuellt om jag ser några elaka/smittade filer i den.

//Malou