MSN-virus

Tja.
Min kille var dum och klickade på en länk och nu har han fått problem.
Jag körde hijack och behöver er hjälp med att analysera loggen.
Tack på förhand.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 22:54:23, on 2008-06-03
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\Program\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program\GLOCAL~1\backweb\1334833\Program\SERVIC ~1.EXE
C:\Program\Glocalnet Säkerhetspaket\Anti-Virus\fsgk32st.exe
C:\Program\Glocalnet Säkerhetspaket\backweb\1334833\program\fsbwsys.exe
C:\Program\Glocalnet Säkerhetspaket\Anti-Virus\FSGK32.EXE
C:\Program\Glocalnet Säkerhetspaket\Common\FSMA32.EXE
C:\WINDOWS\System32\inetsrv\inetinfo.exe
C:\Program\Glocalnet Säkerhetspaket\Anti-Virus\fssm32.exe
C:\Program\Glocalnet Säkerhetspaket\Common\FSMB32.EXE
C:\WINDOWS\System32\tcpsvcs.exe
C:\Program\Glocalnet Säkerhetspaket\backweb\1334833\Program\fspex.exe
C:\WINDOWS\System32\snmp.exe
C:\Program\Glocalnet Säkerhetspaket\Common\FCH32.EXE
C:\Program\Glocalnet Säkerhetspaket\Common\FAMEH32.EXE
C:\Program\Glocalnet Säkerhetspaket\Anti-Virus\fsqh.exe
C:\Program\Glocalnet Säkerhetspaket\Anti-Virus\fsrw.exe
C:\Program\Glocalnet Säkerhetspaket\FSPC\fspc.exe
C:\Program\Glocalnet Säkerhetspaket\Anti-Virus\fsav32.exe
C:\Program\Glocalnet Säkerhetspaket\FWES\Program\fsdfwd.exe
C:\Program\Glocalnet Säkerhetspaket\Common\FSM32.EXE
C:\Program\GLOCAL~1\ANTI-S~1\fsaw.exe
C:\Program\Glocalnet Säkerhetspaket\FSGUI\ispnews.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program\Java\jre1.6.0_05\bin\jusched.exe
C:\Program\QuickTime\qttask.exe
C:\Program\Winamp\winampa.exe
C:\Program\Glocalnet Säkerhetspaket\FSGUI\fsguidll.exe
C:\Program\Windows Defender\MSASCui.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\Program\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program\Windows Live\Messenger\msnmsgr.exe
C:\Program\Messenger\msmsgs.exe
C:\Program\Internet Explorer\iexplore.exe
C:\Program\Delade filer\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program\MICROS~3\Office12\GRA8E1~1.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program\google\googletoolbar1.dll
O4 - HKLM\..\Run: [Winamp Agent] C:\WINDOWS\System32\winamp.exe
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\Glocalnet Säkerhetspaket\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program\Glocalnet Säkerhetspaket\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program\Glocalnet Säkerhetspaket\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [News Service] "C:\Program\Glocalnet Säkerhetspaket\FSGUI\ispnews.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [OM_Monitor] C:\Program\OLYMPUS\OLYMPUS Master\FirstStart.exe
O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Program\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [RegistryCleanFixMFC] C:\Program\RegistryCleaner\registrycleaner.exe
O4 - HKCU\..\Run: [OM_Monitor] C:\Program\OLYMPUS\OLYMPUS Master\Monitor.exe -NoStart
O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Glocalnet Säkerhetspaket.lnk = ?
O8 - Extra context menu item: &Blockera detta popup-fönster - C:\Program\Glocalnet Säkerhetspaket\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Webbfilter - {200DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program\Glocalnet Säkerhetspaket\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program\Glocalnet Säkerhetspaket\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: Webbfilter - {200DB664-75B5-47c0-8B45-A44ACCF73F01} - C:\Program\Glocalnet Säkerhetspaket\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Program\Glocalnet Säkerhetspaket\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Inaktivera webbsidefilter - {200DB664-75B5-47c0-8B45-A44ACCF73F02} - C:\Program\Glocalnet Säkerhetspaket\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Program\Glocalnet Säkerhetspaket\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Blockera den här webbplatsen - {200DB664-75B5-47c0-8B45-A44ACCF73F03} - C:\Program\Glocalnet Säkerhetspaket\FSPC\fspcmsie.dll
O9 - Extra button: (no name) - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Program\Glocalnet Säkerhetspaket\FSPC\fspcmsie.dll
O9 - Extra 'Tools' menuitem: &Tillåt den här webbplatsen - {200DB664-75B5-47c0-8B45-A44ACCF73F04} - C:\Program\Glocalnet Säkerhetspaket\FSPC\fspcmsie.dll
O9 - Extra button: Skicka till OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Ski&cka till OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: IE-sköld - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program\Glocalnet Säkerhetspaket\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-sköld... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program\Glocalnet Säkerhetspaket\Anti-Spyware\ieshield.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/wind...?1195988353371
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/micr...?1197010069026
O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary...t.cab56907.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{78BECFED-11B4-4322-9822-BF9232BCD6A7}: NameServer = 81.216.65.11,81.216.65.12
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program\MICROS~3\Office12\GR99D3~1.DLL
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: Glocalnet Säkerhetspaket (BackWeb Plug-in - 1334833) - BackWeb Technologies Inc. - C:\Program\GLOCAL~1\backweb\1334833\Program\SERVIC ~1.EXE
O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corporation - C:\Program\Glocalnet Säkerhetspaket\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program\Glocalnet Säkerhetspaket\backweb\1334833\program\fsbwsys.exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program\Glocalnet Säkerhetspaket\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure HTTP Server (fshttps) - F-Secure Corporation - C:\Program\Glocalnet Säkerhetspaket\FSPC\fshttps\fshttps.exe
O23 - Service: FSMA - F-Secure Corporation - C:\Program\Glocalnet Säkerhetspaket\Common\FSMA32.EXE
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program\Google\Common\Google Updater\GoogleUpdaterService.exe

--
End of file - 10264 bytes

ahaaaaa det är så, fattar precis

med det vill du säga?

de här raderna/filerna ska bort (obs stavningen på csrs.exe)
O4 - HKLM\..\Run: [Client Server Runtime Process] C:\WINDOWS\System32\csrs.exe
O4 - HKLM\..\Run: [Windows Network Firewall] C:\WINDOWS\System32\firewall.exe

Sicka in de smittade filerna enligt: http://support.f-secure.se/swe/home/...roblem/sample/


sedan tror jag skyddet fungerar bättre om du Konfigurerar F-secure rätt!
Högerklicka på den blå skölden vid klockan,
Välj "Öppna F-secure ...."
Klicka på "länken" "Avancerat"

Öppna "Virusskydd & SpionProgram"
Klicka på "Realtidsgenomsökning"
Se till att realtidsavsökningen är AKTIVERAD!
Välj "Avsök ALLA FILER" (dvs. avsöker alla FilTyper)
Markera "Sök efter spionprogram"
Om du har många komprimerade filer (typ filmer etc.) välj då att ange de komprimerade filernas filändelser som "Undantag" från realtidsavsökningen, vilket minskar datorns belastning
OBS! Markera "Sök igenom webbtrafik"

Under "åtgärder" välj:
När virus hittas = "Ta bort automatiskt" (Varför behålla nya smittade filer)
När spionprogram hittas= "Ta bort automatiskt" (Varför behålla nya spionprogram!)

Välj även att blockera Spårningscookies
samt att visa meddelande vid genomsökning av webbtrafik


Gå därefter till Manuell genomsökning
Upprepa ovan Men AKTIVERA GENOMSÖKNING AV ALLA KOMPRIMERADE FILER (=inga undantag)

Gå därefter till E-postgenomsökning
Aktivera genomsökning av såväl inkommande som utgående e-post
Välj att genomsöka ALLA bilagor och genomsök komprimerade filer

Ange åtgärder:
Välj att bekämpa inkommande angripna bilagor
Blockera utgående angripna bilagor
samt lämna blockerad e-post i utkorgen
Visa givetvis ev. rapport!

Aktivera schemalagd genomsökning
varje "Valfri veckodag" varje vecka när datorn varit inaktiv i 15minuter

Aktivera även ev. Webbläsarkontroll + ev. systemkontroll (systemstartsändringar samt kritiska systemändringar)


Notera dock att det bästa skyddet mot smittor av alla slag är att ALDRIG logga in med administrativt konto utan istället ALLTID logga alltid in med "begränsat konto" och vid behov använda "Shift" och högerklick samt "Kör som.." för att köra programinstallationer osv. med administrativa behörigheter.
Helst bör man även kombinera detta med att förstärka windows grundsäkerhetsinställningar t.ex. genom att installera via Winguider.se, som kraftigt förstärker säkerheten och samtidigt gör att du kan logga in som användare helt utan problem!


PS! Du bör även avinstallera Windows defender då det kan krocka med virusskyddet! Dessutom bör du ta bort: O4 - HKCU\..\Run: [RegistryCleanFixMFC] C:\Program\RegistryCleaner\registrycleaner.exe
Då dessa verktyg är ineffektiva och i många fall tar bort fel saker.. DS!

nu har jag gjort allt, tack för hjälpen!