Flashback bygger pepparkakshus!
  1. Dator och IT
  2. IT-säkerhet

Väldigt jobbigt problem, spyware/virus

Svara
2007-01-05, 01:32
  #1
Gustavkuken
Medlem
Gustavkukens avatar
Har ett väldigt irriterande problem - får upp falska varningsrutor om spam osv hela tiden, såklart med en suspekt länk bifogat. Har sökt igenom med nod32 och raderat allting ett antal gånger, men problemet består. Jag kan dessutom inte komma åt "lägga till och ta bort program" eller windows-klockan nere i system tray. Här är min hijackthis-logg:

Logfile of HijackThis v1.99.1
Scan saved at 01:06:22, on 2007-01-05
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\System32\devldr32.exe
C:\Program\Compaq\Easy Access Button Support\StartEAK.exe
C:\Program\Norton AntiVirus\navapsvc.exe
C:\Program\NORTON~1\navapw32.exe
C:\Program\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe
D:\Program\NetLimiter 2 Pro\nlsvc.exe
D:\Program\Winamp\winampa.exe
C:\Program\Compaq\Easy Access Button Support\CPQEAKSYSTEMTRAY.EXE
C:\Program\Compaq\Easy Access Button Support\CPQEADM.EXE
C:\Compaq\EAKDRV\EAUSBKBD.EXE
D:\Program\DAEMON Tools\daemon.exe
C:\Program\QuickTime\qttask.exe
C:\Program\Compaq\EASYAC~1\BttnServ.exe
C:\Program\iTunes\iTunesHelper.exe
C:\Program\Eset\nod32krn.exe
C:\Program\Eset\nod32kui.exe
C:\WINDOWS\System32\nvsvc32.exe
D:\Program\PerSono\perstray.exe
C:\WINDOWS\System32\MsPMSPSv.exe
D:\Program\NetLimiter 2 Pro\NLClient.exe
C:\Program\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\Program\MSN Messenger\msnmsgr.exe
C:\Program\Opera\Opera.exe
D:\Program\Winamp\winamp.exe
D:\Gustav\inst\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://hem-pc.atea.se/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=041d&a c
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=041d&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=041d&s=search&ap=b204
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=041d&s=search&ap=b204
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://desktop.presario.net/scripts/redirectors/presario/deskredir2.dll?s=consumer&ap=b201&c=1c02&lc=041d&a c
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [CPQEASYACC] C:\Program\Compaq\Easy Access Button Support\StartEAK.exe
O4 - HKLM\..\Run: [AHQInit] C:\Program\Creative\SBLive\Program\AHQInit.exe
O4 - HKLM\..\Run: [NAV Agent] C:\Program\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\Updreg.exe
O4 - HKLM\..\Run: [srmclean] C:\Cpqs\Scom\srmclean.exe
O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program\Adaptec\Easy CD Creator 5\DirectCD\DirectCD.exe"
O4 - HKLM\..\Run: [WinampAgent] D:\Program\Winamp\winampa.exe
O4 - HKLM\..\Run: [DAEMON Tools] "D:\Program\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\System32\drvvef.dll,startup
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\opmxthbl.dll",setvm
O4 - HKLM\..\Run: [nod32kui] "C:\Program\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background
O4 - Global Startup: Perstray.lnk = ?
O8 - Extra context menu item: Download all links using BitComet - res://D:\Program\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download all videos using BitComet - res://D:\Program\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: Download link using &BitComet - res://D:\Program\BitComet\BitComet.exe/AddLink.htm
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O16 - DPF: {9D190AE6-C81E-4039-8061-978EBAD10073} (F-Secure Online Scanner 3.0) - http://support.f-secure.com/ols/fscax.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: IMAPI CD-Burning COM Service (ImapiService) - Roxio Inc. - C:\WINDOWS\System32\ImapiRox.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe
O23 - Service: Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - C:\Program\Norton AntiVirus\navapsvc.exe
O23 - Service: NetLimiter (nlsvc) - Locktime Software - D:\Program\NetLimiter 2 Pro\nlsvc.exe
O23 - Service: Intel(R) NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\System32\NMSSvc.exe
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset - C:\Program\Eset\nod32krn.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program\DELADE~1\SYMANT~1\SCRIPT~1\SBServ.exe



Vad kan problemet vara?
Citera
2007-01-05, 01:41
  #2
Trill
Medlem
Trills avatar
Dessa ska bort (Scan med HJT , bocka för och tryck på fix checked) :

Kod: 
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc =041d&s=search&ap=b204 	

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc =041d&s=search&ap=b204

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://search.presario.net/scripts/redirectors/presario/srchredir2.dll?c=1c02&lc=041d&s=search&ap=b204

Kör efter det Panda online scan och AVG-Antispyware. Efter det så kör du HJT och klistrar in en ny log.

Sen vill jag också att du ska svara på frågan om du vet vad detta är :
D:\Program\NetLimiter 2 Pro\nlsvc.exe

Om du inte vet så ladda upp filen på www.virustotal.com

PandaOnlineScan och AVG-Antispyware finns i länksamlingen.
Citera
2007-01-05, 01:48
  #3
Sigmaswe
Medlem
Sigmaswes avatar
Kod: 
D:\Program\NetLimiter 2 Pro\nlsvc.exe

Den filen är OK, det är en del av programmet NetLimiter som används för att begränsa hur mycket bandvidd varje dator i ett nätverk får använda. Det är ett bra program om man har många familjemedlemmar som konstant sitter och tankar stora filer över bittorrent
Citera
2007-01-05, 01:50
  #4
Trill
Medlem
Trills avatar
Citat:
Ursprungligen postat av Sigmaswe
Kod: 
D:\Program\NetLimiter 2 Pro\nlsvc.exe

Den filen är OK, det är en del av programmet NetLimiter som används för att begränsa hur mycket bandvidd varje dator i ett nätverk får använda. Det är ett bra program om man har många familjemedlemmar som konstant sitter och tankar stora filer över bittorrent
Mybad, tänkte väl att jag kände igen namnet. Ser du något annat suspekt i HJT loggen?

Gustavkuken, avinstallera Norton och kör enbart med NOD32. Allting fungerar mycket bättre då.
Citera
2007-01-05, 02:21
  #5
Trill
Medlem
Trills avatar
Ladda upp denna fil på www.virustotal.com :

C:\WINDOWS\System32\devldr32.exe
Citera
2007-01-05, 02:25
  #6
Gustavkuken
Medlem
Gustavkukens avatar
Citat:
Ursprungligen postat av Trill
Ladda upp denna fil på www.virustotal.com :

C:\WINDOWS\System32\devldr32.exe

Done and done
Citera
2007-01-05, 06:44
  #7
MannenGbg
Medlem
MannenGbgs avatar
Byt namn på hijackthis till något annat, en del trojaner gömmer sig annars för den. Posta en ny logga efter du tagit bort nedanstående

Starta om datan till felsäkert läge och ta bort dessa

O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\System32\drvvef.dll,startup
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\opmxthbl.dll",setvm

Leta sen upp och ta bort dessa filer

C:\WINDOWS\System32\drvvef.dll
C:\WINDOWS\System32\opmxthbl.dll
Citera
2007-01-05, 23:40
  #8
Gustavkuken
Medlem
Gustavkukens avatar
Citat:
Ursprungligen postat av MannenGbg
Byt namn på hijackthis till något annat, en del trojaner gömmer sig annars för den. Posta en ny logga efter du tagit bort nedanstående

Starta om datan till felsäkert läge och ta bort dessa

O4 - HKLM\..\Run: [CTDrive] rundll32.exe C:\WINDOWS\System32\drvvef.dll,startup
O4 - HKLM\..\Run: [DllRunning] rundll32.exe "C:\WINDOWS\System32\opmxthbl.dll",setvm

Leta sen upp och ta bort dessa filer

C:\WINDOWS\System32\drvvef.dll
C:\WINDOWS\System32\opmxthbl.dll

Done, fast jag hittade ingen drvvef.dll i system32, alls.
Citera
2007-01-05, 23:46
  #9
Trill
Medlem
Trills avatar
Citat:
Ursprungligen postat av Gustavkuken
Done, fast jag hittade ingen drvvef.dll i system32, alls.
Gå in i valfri mapp och tryck på
verktyg-mappalternativ-visning. I den menyn som du är nu kan du nog klura ut vad du ska bocka bort.

Edit: Du kan också söka efter filen genom Start-Sök
Citera
2007-01-06, 16:15
  #10
MannenGbg
Medlem
MannenGbgs avatar
glöm inte heller att posta en ny hijackthis logga

om du inte hittar filen så finns program som man kan ta bort dom med
Citera
2007-01-07, 01:34
  #11
Frozenhero
Medlem
Citat:
Ursprungligen postat av Trill
Ladda upp denna fil på www.virustotal.com :

C:\WINDOWS\System32\devldr32.exe

Det är väl en helt legitim process?

Description:
devldr32.exe is installed with Creative Labs audio hardware. Installed to start automatically by default, this process is crucial to Creative Labs AudioHQ, Creative Mixer and audio input. This program is a non-essential system process, but should not be terminated unless suspected to be causing problems.

Citerat från : http://www.liutilities.com/products/wintaskspro/processlibrary/devldr32/
Citera
2007-01-07, 11:13
  #12
Trill
Medlem
Trills avatar
Citat:
Ursprungligen postat av Frozenhero
Det är väl en helt legitim process?

Description:
devldr32.exe is installed with Creative Labs audio hardware. Installed to start automatically by default, this process is crucial to Creative Labs AudioHQ, Creative Mixer and audio input. This program is a non-essential system process, but should not be terminated unless suspected to be causing problems.

Citerat från : http://www.liutilities.com/products/wintaskspro/processlibrary/devldr32/
Jag var osäker och därför bad jag han att ladda upp den på Virustotal.com .

Citat:
About half the pages say it's a virus, the other half say it's not. I do
have a SoundBlaster Live! soundcard and have a 4-speaker system with
sub-woofer. According to what I read on some sites, this is a Win XP file
to allow rear speakers to work. I've not installed my SoundBlaster drivers
that came with the card, because the card is older than XP and I wanted to
check with Creative first to see if I should use those old drivers and then
use the LiveDrvUni-Pack(ENG).exe file I found on their driver & softwarelist.
Citera
Svara

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in