Skräp i datorn?

Sitter hos en polare som nu lyckats få nått skit på datorn. Postar en hijackthis log så kanske ni kan hjälpa mej att få bort skiten?

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:25:51, on 2007-12-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
C:\WINDOWS\system32\CTsvcCDA.EXE
C:\Program\F-Secure\Anti-Virus\fsgk32st.exe
C:\Program\F-Secure\Anti-Virus\FSGK32.EXE
C:\Program\F-Secure\BackWeb\7681197\program\fsbwsys.exe
C:\Program\F-Secure\Common\FSMA32.EXE
C:\Program\F-Secure\Common\FSMB32.EXE
C:\Program\F-Secure\Anti-Virus\fssm32.exe
C:\Program\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\Program\F-Secure\Common\FCH32.EXE
C:\Program\F-Secure\Common\FAMEH32.EXE
C:\Program\F-Secure\Common\FNRB32.EXE
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program\F-Secure\Common\FIH32.EXE
C:\Program\F-Secure\FWES\Program\fsdfwd.exe
C:\Program\F-Secure\Anti-Virus\fsav32.exe
C:\Program\Video Add-on\icthis.exe
C:\Program\Video Add-on\icmntr.exe
C:\Program\Video Add-on\isfmntr.exe
C:\Program\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program\Analog Devices\SoundMAX\smax4.exe
C:\Program\Video Add-on\isfmm.exe
C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\System32\svchost.exe
C:\Program\F-Secure\Common\FSM32.EXE
C:\Program\iTunes\iTunesHelper.exe
C:\Program\DAEMON Tools\daemon.exe
C:\Program\TweakNow PowerPack 2006\RAM2_XP.exe
C:\Program\Delade filer\Real\Update_OB\realsched.exe
C:\Program\iPod\bin\iPodService.exe
C:\Program\Winamp\winampa.exe
C:\Program\MSN Messenger\MsnMsgr.Exe
C:\Program\F-Secure\FSGUI\fsguiexe.exe
C:\Program\Creative\MediaSource\Detector\CTDetect. exe
C:\Program\Steam\Steam.exe
C:\Program\Save\Save.exe
C:\Program\NETGEAR\WG111v2 Configuration Utility\RtlWake.exe
C:\Program\Stardock\ObjectDock\ObjectDock.exe
C:\Program\Windows Media Player\wmplayer.exe
C:\Program\MSN Messenger\usnsvc.exe
C:\Program\Mozilla Firefox\firefox.exe
C:\Program\F-Secure\FSGUI\fsavgui.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll
O2 - BHO: (no name) - {69B98C68-D2B8-4A4E-9CB7-E85B6F3A7014} - C:\Program\Video Add-on\isfmdl.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: e404 helper - {F10587E9-0E47-4CBE-84AE-7DD20B8684BB} - C:\Program\Helper\findsitedirect.dll
O3 - Toolbar: IE Custom Tools - {F2BADA0D-FD61-45EF-A994-64A073FD6613} - C:\Program\Video Add-on\ictmdl.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program\Analog Devices\SoundMAX\smax4.exe" /tray
O4 - HKLM\..\Run: [ATIPTA] "C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe"
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\F-Secure\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program\F-Secure\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\Run: [RAM Idle Professional] C:\Program\TweakNow PowerPack 2006\RAM2_XP.exe
O4 - HKLM\..\Run: [seekmo] "c:\program\seekmo\seekmo.exe"
O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program\Delade filer\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe
O4 - HKLM\..\Run: [NetLimiter] C:\Program\NetLimiter\NetLimiter.exe /s
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Creative Detector] C:\Program\Creative\MediaSource\Detector\CTDetect. exe /R
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program\Delade filer\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [Steam] "C:\Program\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [WhenUSave] "C:\Program\Save\Save.exe"
O4 - HKCU\..\Run: [Skype] "C:\Program\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\RunOnce: [FFTI] C:\Documents and Settings\Tobias\Application Data\Mozilla\Firefox\Profiles\4n0c0268.default\ext ensions\{B13721C7-F507-4982-B2E5-502A71474FED}\ffti.exe /VERYSILENT /SUPPRESSMSGBOXES /NORESTART /DestPath="C:\Documents and Settings\Tobias\Application Data\Mozilla\Firefox\Profiles/4n0c0268.default\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}"
O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program\Video Add-on\icthis.exe
O4 - HKLM\..\Policies\Explorer\Run: [start] C:\Program\Video Add-on\isfmntr.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Stardock ObjectDock.lnk = C:\Program\Stardock\ObjectDock\ObjectDock.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: F-Secure Automatic Update.lnk = C:\Program\F-Secure\BackWeb\7681197\program\F-Secure Automatic Update.exe
O4 - Global Startup: WG111v2 Smart Wizard Wireless Setting.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0\bin\npjpi150.dll
O9 - Extra button: (no name) - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.securesoftwarefeed.com/redirect.php (file missing)
O9 - Extra 'Tools' menuitem: IE Anti-Spyware - {9034A523-D068-4BE8-A284-9DF278BE776E} - http://www.securesoftwarefeed.com/redirect.php (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Program\PartyGaming\PartyPoker\RunApp.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O12 - Plugin for .spop: C:\Program\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {97E71027-0BA2-44F2-97DB-F84D808ED0B6} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab55762.cab
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://messenger.zone.msn.com/binary...o.cab55579.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program\DELADE~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: duhr - {3e0cee63-f8bc-4485-a745-cc01b2a0e9d9} - C:\WINDOWS\system32\bdzzzcl.dll (file missing)
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: F-Secure Automatic Update (BackWeb Plug-in - 7681197) - BackWeb Technologies Inc. - C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program\F-Secure\Anti-Virus\fsgk32st.exe
O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program\F-Secure\Common\FNRB32.EXE
O23 - Service: Fast Switching Compatibility - Unknown owner - C:\WINDOWS\system32\dllcache\fswitch.exe (file missing)
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program\F-Secure\BackWeb\7681197\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program\F-Secure\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\F-Secure\Common\FSMA32.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\1150\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe
O23 - Service: Microsoft Workstation Services - Unknown owner - C:\WINDOWS\system32\dllcache\wks-nt-xp.exe (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 9511 bytes


Mvh Adam

Vad för "skräp" är det det handlar om? Lättare att hitta felet om man vet vad man letar efter.

Datasäkerhet -> Datoranvändning - MS Windows

// Mod

Hur ser man vad som kanske är suspekt, och inte?
Ibland kan det vara mycket svårt att försöka sortera ut de processer/filer som verkar suspekta, kan dock tipsa om två saker:

• Heter filen/processen något konstigt som inte verkar betyda något?
  
• Har filen/processen ett namn som verkar lite för "brett" för att kunna beskriva ett program? (exempelvis save.exe som fanns i loggen)
  
• M.fl.

Något farligt hos mig?
När jag tittar igen om din logg såg jag nästan direkt saker som såg ut att utge sig för att vara något de inte är, jag sökte sedan efter dem på google för att få lite information om var och en. En lista över dessa följer;

• C:\Program\Video Add-on\icthis.exe
  Rekommenderar dig att ta bort denna fil direkt eftersom det, är en Trojan/Backdoor av typen Zlob.
  
  
• C:\Program\Video Add-on\icmntr.exe
  Se föregående.
  
  
• C:\Program\Video Add-on\isfmntr.exe
  Se föregående.
  
  
• C:\Program\Video Add-on\isfmntr.exe
  En Trojan/Bravo-D, borde tas bort direkt.
  
  
• C:\Program\Save\Save.exe
  En säkerhetsrisk enligt många sidor, står dock inte exakt vad det är.
  
  
• O4 - HKCU\..\Run: [WhenUSave] "C:\Program\Save\Save.exe"
  Se föregående.
  
  
• O4 - HKLM\..\Run: [seekmo] "c:\program\seekmo\seekmo.exe"
  Ett program som hör till ett nätverk som styrs utav 180 Solutions, den håller koll på vilka sidor du besöker och visar också reklam utifrån detta. Om du är mån om ditt privatliv borde denna tas bort.
  
  
• O23 - Service: Fast Switching Compatibility - Unknown owner - C:\WINDOWS\system32\dllcache\fswitch.exe (file missing)
  Verkar redan vara borttagen men har en gång i tiden varit Malware.

Jag har endast gått igenom listan en gång, och sökt efter information om de filer som jag tror är suspekta. Det kan säkerligen finnas fler så jag rekommenderar dig att göra en virusscan.

Tips & trix när datorn beter sig suspekt:
Det finns ett par åtgärder som man brukar vidta om man känner att sin dator känns ovanligt slö, eller annars har misstankar om att något inte riktigt står rätt till. Jag tänkte därför tipsa om ett par saker;

• Virusskanna med lämpigt antivirusprogram
  Att skanna sin dator efter olämpligheter är något som borde göras med jämna interval, gärna 1 gång i veckan om det är möjligt. Det är även bra om man ibland virusskannar datorn med ett annat antivirusprogram än det man använder normalt, detta för att vara alldeles säker på att inget virus slinker förbi.
  
  1. Uppdatera antivirusprogrammet databas
     
  2. Kör en "full system scan" eller dylikt
     
  3. Vidta de åtgärder som antivirusprogrammet rekommenderar
     
  
  
• Aktivera din brandvägg
  En brandvägg är inte bara ett skydd mot inkommande attacker, utan kan också ge dig information om program som försöker skicka information från din dator. Som exempel på vad för information som vi inte vill ska lämna vår dator kan nämnas:
  
  
  • Spam - många trojanska hästar används för att skicka iväg spam-mail, detta är både prestanda krävande men kan också resultera i att din ISP (Internet Service Provider) tillfälligt stänger av din uppkoppling, och detta vill vi ju absolut inte ska hända.
    
    
  • Känslig information - keyloggers m.fl. används för att samla ihop information om ett offer och sedan skicka det till "hackern". Med informationen "hackern" får kan han sedan göra en mängd olika saker som inkrätar på vårt privatliv.
    
  
  Om din brandvägg inte är aktiverad rekommenderar jag dig att aktivera den. Jag kan även tipsa om Outpost firewall, den kan visserligen kännas rätt avancerad om man inte sysslat med liknande saker innan. Men man lär sig fort och man kan även ställa in så att den ska sköta det mesta utan input från användaren.
  
  Om du inte hittar någon brandvägg som passar dig går det faktiskt alldeles utmärkt att använda Windows egna brandvägg. Den har dock inte särskilt mycket man kan konfiguera så att den passar en själv som användare. Dock gör deb iaf det som den ska göra, nämligen att skydda din dator!
  
  
• Tänkte även tipsa om Trend Micro HijackThis, men det vet du ju redan vad det är för något.