HomeHome   FAQFAQ   SearchSearch   RegisterRegister   Log inLog in 
MSN-maskar, ny guide om hur du blir kvitt malware

 
Post new topic   Reply to topic    Swedish Maffia Forum Index -> Guides
View previous topic :: View next topic  
Author Message
mts
pensionerad hest


Joined: 05 Aug 2003
Posts: 4658
Location: nkpg

PostPosted: Mon Dec 04, 2006 12:26 pm    Post subject: MSN-maskar, ny guide om hur du blir kvitt malware Reply with quote

Nu är det dags igen, om du råkat klicka på en länk mot t.ex links4all.biz och din dator beter sig (infoga tysk accent här) "mycket mycket märklig" kan det vara bra att läsa vidare (och sluta använda den fåniga tyska accenten). Den här guiden lär kunna hjälpa dig mot de flesta typer av malware.

Först av allt. ryck ur nätverkskabeln och stäng alla program, när du är _säker_ på att du inte har t.ex msn eller icq eller nåt annat program som använder nätet kan du sätta i kabeln igen.

Steg 1, Ta bort virus
Jag använder mig av onlinescannern från Kaspersky eller Bitdefender, det går säkert bra med trend micro eller andra också, smaken är som baken...
http://www.kaspersky.com/virusscanner
http://www.bitdefender.com/scan8/ie.html

(bägge dessa scanners använder ActiveX vilket kräver att du öppnar länkarna i Internet Explorer)
Efter att du scannat och gjort ev. åtgärder är det dags för nästa punkt...

Steg 2, Adware/Spyware
Adware och Spyware är program som gör att de där irriterande popup-fönstrena dyker upp och annat skräp. De kanske inte är destruktiva som virus är, det är väldigt vanligt att maskar (en form av virus som likt en mask kravlar igenom hål i datorer, brandväggar och annat nätverksutrustning) har en s.k payload som de installerar på varje dator de infekterar. Denna payload är i regel en bakdörr för överbelastningsattacker, trojaner eller adware/spyware.
Här kan det vara en idé att använda olika program då de ganska ofta hittar olika saker. Bäst resultat tycker jag att jag får med hjälp av Spybot S&D och SuperAntiSpyware (bara namnet säger ju allt, eller hur?
Spybot Arrow http://fileforum.betanews.com/detail/Spybot_Search_and_Destroy/1043809773/1
SuperAntiSpyware Arrow http://www.superantispyware.com/downloadfile.html?productid=SUPERANTISPYWAREFREE

Gemensamt för de här programmen är att det är viktigt att uppdatera innan du scannar så alla definitioner är så nya som möjligt.

Steg 3, HiJackThis
För att verkligen kolla så du fått bort allt skräp är HiJackThis ett fenomenalt verktyg. ladda ner från http://www.thespykiller.co.uk/files/HJTSetup.exe och kör, se till att välja det första valet när du kör HJT, då får du en loggfil som du kan posta t.ex här i forumet (Help & Support är bäst lämpat) om du är osäker. HJT kan förstöra rätt mycket för dig om du inte är försiktig, så det är bättre att undersöka och fråga istället för att chansa.

Om det ändå inte funkar
Fungerar det inte? Kommentera gärna här i tråden så uppdaterar jag guiden på stört.

Felsäkert läge
Ibland kan det hända att onlinescanners eller andra för den delen inte kan ta bort virus i "normalläge" för att de t.ex inte kommer åt en katalog som heter "System Volume Information". Då brukar det vara en lösning att starta om datorn i s.k felsäkert läge. Detta gör du genom att starta om datorn och trycka på F8 innan windows UI laddas dvs. innan windowsloggan dyker upp för första gången. under denna period blinkar en markör i övre vänstra hörnet, för enkelhetens skull kan du trycka på f8 upprepade gånger för att inte missa. Därefter kan du välja att starta windows i "felsäkert läge med nätverk", då laddas minimalt med drivrutiner och program för att du ska kunna felsöka datorn.

_________________
lvl84 human ironist.
Gick i pension 080805


Last edited by mts on Tue Dec 05, 2006 23:53 pm; edited 2 times in total
Back to top
View user's profile Send private message Visit poster's website
mts
pensionerad hest


Joined: 05 Aug 2003
Posts: 4658
Location: nkpg

PostPosted: Mon Dec 04, 2006 12:29 pm    Post subject: Reply with quote

Här är förresten en logg från HiJackthis jag gjorde direkt efter att jag skrev guiden från min laptop. Använd gärna "quote" eller "code" när ni postar loggar.

Code:

Logfile of HijackThis v1.99.1
Scan saved at 12:15:59, on 2006-12-04
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program\Analog Devices\SoundMAX\SMax4PNP.exe
C:\Program\Java\jre1.5.0_06\bin\jusched.exe
C:\Program\Synaptics\SynTP\SynTPEnh.exe
C:\Program\Razer_Pro_Solutions\razerhid.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Program\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe
C:\Program\iTunes\iTunesHelper.exe
C:\Program\SpeedswitchXP\SpeedswitchXP.exe
C:\Program\Messenger\msmsgs.exe
C:\Program\Razer_Pro_Solutions\razerofa.exe
C:\Program\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe
C:\Program\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\System32\svchost.exe
C:\Program\iPod\bin\iPodService.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
C:\Program\MSN Messenger\MsnMsgr.Exe
C:\Program\Microsoft Office\OFFICE11\OUTLOOK.EXE
C:\Program\Microsoft Office\OFFICE11\WINWORD.EXE
C:\WINDOWS\system32\iid.exe
C:\Program\Mozilla Firefox\firefox.exe
C:\Program\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Adobe Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [SoundMAX] C:\Program\Analog Devices\SoundMAX\Smax4.exe /tray
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program\Java\jre1.5.0_06\bin\jusched.exe
O4 - HKLM\..\Run: [SynTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [Net iD] C:\WINDOWS\system32\iid.exe
O4 - HKLM\..\Run: [razer] C:\Program\Razer_Pro_Solutions\razerhid.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [kav] "C:\Program\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe"
O4 - HKLM\..\Run: [Acrobat Assistant 7.0] "C:\Program\Adobe\Adobe Acrobat 7.0\Distillr\Acrotray.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [ATIPTA] C:\PROGRAM\ATI TECHNOLOGIES\ATI CONTROL PANEL\ATIPTAXX.EXE
O4 - HKCU\..\Run: [SpeedswitchXP] C:\Program\SpeedswitchXP\SpeedswitchXP.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background
O8 - Extra context menu item: Convert link target to Adobe PDF - res://C:\Program\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert link target to existing PDF - res://C:\Program\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert selected links to Adobe PDF - res://C:\Program\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
O8 - Extra context menu item: Convert selected links to existing PDF - res://C:\Program\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
O8 - Extra context menu item: Convert selection to Adobe PDF - res://C:\Program\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert selection to existing PDF - res://C:\Program\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
O8 - Extra context menu item: Convert to existing PDF - res://C:\Program\Adobe\Adobe Acrobat 7.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
O8 - Extra context menu item: Download all links using BitComet - res://C:\Program\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Download link using &BitComet - res://C:\Program\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Skicka till &Bluetooth - C:\Program\WIDCOMM\Bluetooth-programvara\btsendto_ie_ctx.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll
O9 - Extra button: Web Anti-Virus - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program\Kaspersky Lab\Kaspersky Anti-Virus 6.0\scieplugin.dll
O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\WIDCOMM\Bluetooth-programvara\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\WIDCOMM\Bluetooth-programvara\btsendto_ie.htm
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O16 - DPF: {01113300-3E00-11D2-8470-0060089874ED} (Support.com Configuration Class) - http://webkc.support.telia.se/sdccommon/download/tgctlcm.cab
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1139938825326
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1163611181528
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program\Delade filer\Microsoft Shared\Help\hxds.dll
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: widimg - {EE7C2AFF-5742-44FF-BD0E-E521B0D3C3BA} - C:\WINDOWS\system32\btxppanel.dll
O20 - Winlogon Notify: klogon - C:\WINDOWS\system32\klogon.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Kaspersky Anti-Virus 6.0 (AVP) - Unknown owner - C:\Program\Kaspersky Lab\Kaspersky Anti-Virus 6.0\avp.exe" -r (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Program\Analog Devices\SoundMAX\SMAgent.exe



_________________
lvl84 human ironist.
Gick i pension 080805
Back to top
View user's profile Send private message Visit poster's website
mts
pensionerad hest


Joined: 05 Aug 2003
Posts: 4658
Location: nkpg

PostPosted: Mon Dec 04, 2006 12:40 pm    Post subject: Reply with quote

justja #2, läs också igenom magnus underbara lilla guide i ämnet: http://www.swm.se/viewtopic.php?t=9754
_________________
lvl84 human ironist.
Gick i pension 080805
Back to top
View user's profile Send private message Visit poster's website
Display posts from previous:   
Post new topic   Reply to topic    Swedish Maffia Forum Index -> Guides All times are GMT + 1 Hour
Page 1 of 1

 
Jump to:  
You cannot post new topics in this forum
You cannot reply to topics in this forum
You cannot edit your posts in this forum
You cannot delete your posts in this forum
You cannot vote in polls in this forum
You cannot attach files in this forum
You can download files in this forum
   
Powered by phpBB © 2001, 2005 phpBB Group
Om Cookies