Svenska antispywareforum

[Malou]

Malwarebytes' Anti-Malware hittade och åtgärdade en otrevlighet. Mycket bra.
TM HJT-loggan ser numera ren och fin ut igen.
MEN ser att Symantec ligger kvar som en service och ligger och kör i bakgrunden. Den skall vi åtgärda med hjälp av nedanstående procedur.

Skriv ut nedanstående eller kopiera det till något textdokument och spara det till skrivbordet:
Läs/Följ instruktionerna mycket noga:

Starta om datorn till felsäkert läge (tryck F8-Tangenten upprepade gånger):

Gå till Start => Kör => Skriv i Kör fältet services.msc => Klicka Ok-knappen

Leta efter service med namnet

Symantec Lic NetConnect service (CLTNetCnService)

1: Dubbelklicka på den och sen Stoppa den
(Om inte Stoppa-knappen fungerar gå vidare med steg 2: Inaktiverad)
2: Sen ändra Startmetod till Inaktiverad
3: Klicka Verkställ och sen Ok
Stäng fönstret sen.

Öppna TM HJT => klicka på Scan-knappen => Bocka för nedanstående detalj => Stäng ner Webbläsaren => klicka på Fix Checked-knappen:

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe (file missing)

Vidare:
Fortfarande felsäkert läge:

För att hitta det du nu skall leta upp gör nedanstående:
Ställ in Utforskaren så du kan se alla filer:
1: Högerklicka på Start-knappen
2: Välj Utforska
3: I verktygsfältet klicka på => Verktyg => Mappalternativ
4: Välj fliken => Visning sätt en bock i => Visa dolda filer och mappar
5: Avbocka Dölj filnamnstillägg för kända filtyper
6: Avbocka Dölj skyddade operativsystemfiler


Sök/Leta reda på:
Navigera dig fram enligt nedanstående sökväg och deleta mappen

C:\Program Files\Common Files\Symantec Shared <=Deleta hela mappen Symantec Shared

Vidare:
Fortfarande felsäkert läge:

Gå till Start => Kör => Skriv sen i Kör fältet cleanmgr => Klicka Ok-knappen
Bocka i de här nedanstående och putsa bort dom

Temporary Files
Temporary Internet Files
Recycle Bin

Nu:
Starta om datorn till normalläge igen:

Gör en ny TM HJT-logga, kopiera in den hit till din tråd så får vi se hur det ser ut.
Berätta även hur datorn mår och om där kvarstår några problem.

Lycka till
MVH/Malou

[vildmärren]

Hej igen!!

Jag följde dina instruktioner men kunde inte hitta 023-symantec... i hjt-listan när jag körde i felsäkert läge. Men jag hoppade över det då, och slutförde resten av dina instruktioner. Säg till om det var fel gjort av mig.

Nu när jag startat om datorn och kört hjt igen kan jag fortfarande inte se o23-symantec... , vilket jag antar är bra?!?

Datorn har inte hängt sig eller segat sedan jag rensat, den känns piggare. Imorgon kommer dottern hem och då får väl datorn eldprovet

Så här ser loggen ut nu:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:08:01, on 2008-10-29
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
C:\Program Files\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\D-Link\D-Link RangeBooster N 650 DWA-547\acs.exe
C:\WINDOWS\system32\RUNDLL32.EXE
C:\WINDOWS\RTHDCPL.EXE
C:\Program Files\Winamp\winampa.exe
C:\Program Files\iTunes\iTunesHelper.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\SweetIM\Messenger\SweetIM.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\WINDOWS\VM_STI.EXE
C:\Program Files\HiYo\bin\HiYo.exe
C:\Program Files\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
C:\Program Files\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe
C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe
C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program Files\Bonjour\mDNSResponder.exe
C:\Program Files\Java\jre6\bin\jqs.exe
C:\Program Files\Nikon\Wireless Camera Setup Utility\NkPtpEnum.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
C:\Program Files\iPod\bin\iPodService.exe
C:\Program Files\Trend Micro\HijackThis\vildmarren.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://home.sweetim.com
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java(tm) Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [SkyTel] SkyTel.EXE
O4 - HKLM\..\Run: [WinampAgent] "C:\Program Files\Winamp\winampa.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [SweetIM] C:\Program Files\SweetIM\Messenger\SweetIM.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [BigDogPath] C:\WINDOWS\VM_STI.EXE Audio Web Cam 31
O4 - HKLM\..\Run: [HiYo] C:\Program Files\HiYo\bin\HiYo.exe /RunFromStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [ccleaner] "C:\Program Files\CCleaner\CCleaner.exe" /AUTO
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Skärmurklipp och start för OneNote 2007.lnk = C:\Program Files\Microsoft Office\Office12\ONENOTEM.EXE
O4 - Global Startup: NkbMonitor.exe.lnk = C:\Program Files\Nikon\PictureProject\NkbMonitor.exe
O4 - Global Startup: Wireless Connection Manager.lnk = C:\Program Files\D-Link\D-Link RangeBooster N 650 DWA-547\wirelesscm.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000
O9 - Extra button: Skicka till OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Ski&cka till OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe
O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/ms ... b56986.cab
O16 - DPF: {2250C29C-C5E9-4F55-BE4E-01E45A40FCF1} (CMediaMix Object) - http://musicmix.messenger.msn.com/Medialogic.CAB
O16 - DPF: {2D8ED06D-3C30-438B-96AE-4D110FDC1FB8} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan ... stubie.cab
O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary/ZI ... b56649.cab
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Me ... b56907.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/s ... wflash.cab
O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab
O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/Mi ... b56986.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: Atheros Configuration Service (ACS) - Atheros - C:\Program Files\D-Link\D-Link RangeBooster N 650 DWA-547\acs.exe
O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe
O23 - Service: NkPtpEnumP2 - Nikon Corporation - C:\Program Files\Nikon\Wireless Camera Setup Utility\NkPtpEnum.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8907 bytes

[Malou]

Hej vildmärren!

Tog bort din dubbelpost

Datorn har inte hängt sig eller segat sedan jag rensat, den känns piggare. Imorgon kommer dottern hem och då får väl datorn eldprovet

Underbart härligt att höra att datorn mår bra igen.
Håller tummarna för att hon inte utsätter datorn för otroliga eldprov Du får prata med henne om hur viktigt det är att inte klicka på allt som dyker upp etc...
Vidare besök inte oseriösa sidor. Klicka inte på allt som dyker upp på skärmen (använd X'et uppe i högra hörnet för att stänga ner eventuella popupsfönster). Klicka aldrig på länkar som du får tillsänt dig via MSN Messenger (om du inte med säkerhet vet vad det är). Likaså gäller mail som du får tillsänt dig (öppna inte okända mail) släng dem.

Man kan aldrig skydda sig till 100% (tyvärr). Man får göra så gott man kan med de skyddsprogram man har intallerade i datorn.
Se till att de alltid är väl uppdaterade (automatiska uppdateringar) samt att man mellan varven gör manuella uppdateringar.
Se till att automatisk fullständig genomsökning är aktiverad samt gärna göra en manuell genomsökning mellan varven.
Gör någon/några onlinescanningar mellan varven.

Jag följde dina instruktioner men kunde inte hitta 023-symantec... i hjt-listan när jag körde i felsäkert läge. Men jag hoppade över det då, och slutförde resten av dina instruktioner. Säg till om det var fel gjort av mig.
Nu när jag startat om datorn och kört hjt igen kan jag fortfarande inte se o23-symantec... , vilket jag antar är bra?!?

Du har gjort allt rätt Och det är även helt ok om du inte hittade det jag bad dig söka efter. Tar med den proceduren för att säkerställa att den verkligen är borta

Din TM HJT-logga ser numera ren och fin ut igen. Kan inte hitta några otrevligheter eller andra konstigheter i den längre. Du har gjort ett mycket bra jobb


Och här kommer mina sedvanliga rekommendationer:
Hämta hem/installera ALLA SÄKERHETSUPPDATERINGAR/PATCHAR M.M.
Hämta hem/installera SP1/SP3 för det Operativsystem som används
(Windows XP/Windows Vista).
Finns att hämta hem från Windows Update/Microsoft Update.
Allt hittas på nedanstående sida under fliken Lite Tips & Råd för en säkrare dator:
Läs gärna även informationen under fliken Hur blev jag infekterad?
=>Dator&IT-Säkerhet:

Ha det så bra och var rädd om datorn.

MVH/Malou

[Dr.Pul]

Vildmärren, enligt folk som laddat ned saker och ting och även besökt sidan, har fått saker och ting dom inte viljat ha så som spyware med mera. I alla fall vad dom påpekar i McAfee SiteAdvisor sidan.

Toggle
http://www.siteadvisor.com/sites/toggle ... e&aff_id=0
http://www.mywot.com/en/scorecard/toggl ... ent-120046

Ircfast
http://www.siteadvisor.com/sites/ircfas ... e&aff_id=0
http://safeweb.norton.com/report/show?name=ircfast.com

Lite sökning på google. Ircfast och toggle försöker alltid ligga 1:a på google har jag märkt, och folk på andra sidor verkar länka till dom sidorna och tror det är helt säkert. Så jag skulle inte lita på dom för 5 öre. Eftersom det är spyware och allt i deras program.

SweetIM har h*n laddat ned den också på ircfast?

[vildmärren]

Håller tummarna för att hon inte utsätter datorn för otroliga eldprov Du får prata med henne om hur viktigt det är att inte klicka på allt som dyker upp etc...
Vidare besök inte oseriösa sidor. Klicka inte på allt som dyker upp på skärmen (använd X'et uppe i högra hörnet för att stänga ner eventuella popupsfönster). Klicka aldrig på länkar som du får tillsänt dig via MSN Messenger (om du inte med säkerhet vet vad det är). Likaså gäller mail som du får tillsänt dig (öppna inte okända mail) släng dem.

Jo, jag skall ta ett snack med henne. Skall visa henne det du skrivit, för av någon anledning tar det bättre när någon annan än mamma säger det...

Man kan aldrig skydda sig till 100% (tyvärr). Man får göra så gott man kan med de skyddsprogram man har intallerade i datorn.
Se till att de alltid är väl uppdaterade (automatiska uppdateringar) samt att man mellan varven gör manuella uppdateringar.
Se till att automatisk fullständig genomsökning är aktiverad samt gärna göra en manuell genomsökning mellan varven.
Gör någon/några onlinescanningar mellan varven.

På tal om uppdateringar, du såg ju att jag använde en gammal version av Java. När jag öppnade kontrollpanelen för Java och klickade på "uppdatera" fick jag meddelandet att jag hade senaste versionen. Men det var ju inte sant. Konstigt...

Din TM HJT-logga ser numera ren och fin ut igen. Kan inte hitta några otrevligheter eller andra konstigheter i den längre. Du har gjort ett mycket bra jobb

Tack så mycket för all vägledning, kan lätt säga att det här hade jag inte listat ut på egen hand.

Supertack!!

[vildmärren]

Vildmärren, enligt folk som laddat ned saker och ting och även besökt sidan, har fått saker och ting dom inte viljat ha så som spyware med mera. I alla fall vad dom påpekar i McAfee SiteAdvisor sidan.

Toggle
http://www.siteadvisor.com/sites/toggle ... e&aff_id=0
http://www.mywot.com/en/scorecard/toggl ... ent-120046

Ircfast
http://www.siteadvisor.com/sites/ircfas ... e&aff_id=0
http://safeweb.norton.com/report/show?name=ircfast.com

Lite sökning på google. Ircfast och toggle försöker alltid ligga 1:a på google har jag märkt, och folk på andra sidor verkar länka till dom sidorna och tror det är helt säkert. Så jag skulle inte lita på dom för 5 öre. Eftersom det är spyware och allt i deras program.

SweetIM har h*n laddat ned den också på ircfast?

Ojoj, ja det var nyttig läsning i länkarna. Skall förklara för henne vad som kan hända. Det är inte ens säkert att hon själv har lagt in den som hemsida. Numera har jag lagt in google.se som hemsida, jag tror det är den hon egentligen vill ha.

Och då skall jag också kontrollera hur hon laddat ner SweetIM. Antar att om hon nu MÅSTE ha den, så kan jag ta bort den hon har nu och ladda hem en från en sida jag vet är säker. Eller??

Tack för infon!!

[Dr.Pul]

Kan vara så att om hon laddat ned något från ircfast så har själva programmet ändrat startsidan eller liknande.


2008-11-13:
Tråden är nu låst eftersom problemet är löst
Tycker du att den är felaktigt låst, var god kontakta
Malou