har jag virus? (bild)

Ladda hem Ad-Aware och kör det en gång.

Ropa Lenco tre gånger högt så skall hjälpen komma.

Kör hijackthis och kolla om du ser något misstänktsamt, posta loggen här så kan troligtvis någon hjälpa dig. Testa även Spybot search and destroy samt spywareblaster.

(Inget ont mot Lenco han gör ett suveränt jobb här på forumet)

JAg har detta

Logfile of HijackThis v1.99.0
Scan saved at 21:35:37, on 2005-01-24
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe
C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program\NVIDIA Corporation\NvMixer\NVMixerTray.exe
C:\Program\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe
C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program\Delade filer\Symantec Shared\ccApp.exe
C:\Program\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program\Messenger\msmsgs.exe
C:\WINDOWS\system32\CTsvcCDA.exe
C:\Program\Norton AntiVirus\navapsvc.exe
C:\Program\Norton AntiVirus\SAVScan.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\DOCUME~1\Erik\LOKALA~1\Temp\Temporär katalog 1 för hijackthis.zip\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll
O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll
O4 - HKLM\..\Run: [NVMixerTray] "C:\Program\NVIDIA Corporation\NvMixer\NVMixerTray.exe"
O4 - HKLM\..\Run: [CTSysVol] C:\Program\Creative\SBAudigy LS\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [InCD] C:\Program Files\ahead\InCD\InCD.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"
O4 - HKLM\..\Run: [Zone Labs Client] "C:\Program\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [Steam] C:\Program\Valve\Steam\\Steam.exe -silent
O4 - Global Startup: NetVoyager.lnk = C:\Program\SPACE INTERNATIONAL\NetVoyager\NetVoyager.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D834DA2F-003C-435A-BCF4-B6A26244042E}: NameServer = 195.67.199.30 195.67.199.31
O23 - Service: Ati HotKey Poller - Unknown - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Symantec Event Manager - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe
O23 - Service: Symantec Password Validation - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe
O23 - Service: Symantec Settings Manager - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Norton AntiVirus Auto Protect-tjänst - Symantec Corporation - C:\Program\Norton AntiVirus\navapsvc.exe
O23 - Service: SAVScan - Symantec Corporation - C:\Program\Norton AntiVirus\SAVScan.exe
O23 - Service: ScriptBlocking Service - Symantec Corporation - C:\Program\DELADE~1\SYMANT~1\SCRIPT~1\SBServ.exe
O23 - Service: TrueVector Internet Monitor - Zone Labs Inc. - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

Är det något skumt med detta?

O4 - HKLM\..\Run: [<°b@¡•§TlY«f°EÀ‡ÀÌC:\Program\ISTsvc\istsvc.exe] C:\WINDOWS\qxotyw.exe

Finns en annan tråd där någon har problem med denna fulig (ISTsvc) så ta en titt i den. >_<

så här hade jag försökt lösa det iaf...

starta i felsäkert läge - avsluta följande processer om de är igång.
C:\WINDOWS\system32\hb184h3b7mjymthd.exe

bocka för följande i hijackthis och klicka "fix checked"
ALLA R1
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://win-eto.com/hp.htm?id=33464
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://lookfor.cc?pin=44768
O2 - BHO: (no name) - {467FAEB2-5F5B-4c81-BAE0-2A4752CA7F4E} - C:\WINDOWS\system32\UD6HJ5~1.DLL
O4 - HKLM\..\Run: [AQ3HelperStartUp] C:\Program\AQUATI~1\AQ3HEL~1.EXE /partner AQ3
O4 - HKLM\..\Run: [CloseLicenseInfoCorn] C:\Documents and Settings\All Users\Application Data\ROADBINDCLOSELICENSE\city beep.exe
O4 - HKLM\..\Run: [HopeShowEggsByte] C:\Documents and Settings\All Users\Application Data\PLAYGREATHOPESHOW\ownsinside.exe
O4 - HKLM\..\Run: [Control handler] C:\WINDOWS\system32\hb184h3b7mjymthd.exe
O4 - HKLM\..\Run: [KqP4lEE] C:\WINDOWS\qxotyw.exe
O4 - HKLM\..\Run: [sais] c:\program\180solutions\sais.exe
O4 - HKLM\..\Run: [fhIRjBZ] C:\WINDOWS\qxotyw.exe
O4 - HKLM\..\Run: [<°b@¡•§TlY«f°EÀ‡ÀÌC:\Program\ISTsvc\istsvc.exe] C:\WINDOWS\qxotyw.exe
O4 - Global Startup: GStartup.lnk = C:\Program\Delade filer\GMT\GMT.exe
O16 - DPF: {22A88341-AFCB-45F0-A856-C2BAE74F878E} (InstallX Class) - http://www.20x2p.com/5c5878e7/enter.cab
O16 - DPF: {706F3805-27D7-478D-80E5-E25D2BB030B3} (VacPro.internazionale_ver3) - http://www.advnt01.com/dialer/internazionale_ver3.CAB
O16 - DPF: {9E98E84C-79E1-49C3-82EB-798FCD552EFB} (VacPro.internazionale_ver4) - http://www.advnt01.com/dialer/internazionale_ver4.CAB

starta om datorn - håll tummarna - posta en ny logg ! (finns ett par filer till som jag tror ska bort - måste kolla lite mer på dom bara !)

om sakerna verkar ha försvunnit från loggen så kan du leta rätt på följande filer/mappar och ta bort dom
C:\WINDOWS\system32\UD6HJ5~1.DLL
C:\Documents and Settings\All Users\Application Data\ROADBINDCLOSELICENSE\
C:\Documents and Settings\All Users\Application Data\PLAYGREATHOPESHOW\
C:\WINDOWS\system32\hb184h3b7mjymthd.exe
C:\WINDOWS\qxotyw.exe
c:\program\180solutions\
C:\WINDOWS\qxotyw.exe

men som sagt - posta en ny logg !

OT:
Mattias.F, är loggan avataren du har Scanias V8 logga?

bara jag som tycker det är skummt med:
O4 - HKCU\..\Run: [msnmsgr] "C:\Program\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\Msmsgs.exe" /background

2 st messenger och olika sökvägar. men det kanske är medvetet

MSN Messenger
O4 - HKCU\..\Run: [msnmsgr] "C:\Program\MSN Messenger\msnmsgr.exe" /background

Windows Messenger
O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\Msmsgs.exe" /background

windows messenger kan tasbort med följande kommando i kör fältet

RunDll32 advpack.dll,LaunchINFSection %windir%\INF\msmsgs.inf,BLC.Remove

har man SP1 så blir det ett felmedellande

anledningen till att msn och windows messenger startar i /background är för att hotmail ska funka ordentligt
har personligen varit med om att internet explorer hänger sig när man går in i hotmail och msn eller windows messenger inte har startats med /background

Sen så kan du ta allt microsoft säger med en nypa salt...

den varningsruta som kommer upp när du laddar denna hemsidan http://here4search.com/enter.htm?id=33464 som du säger blir din startsida är bara ett javascript... inget farligt alltså...

<script>
var answer = confirm("WARNING!\r\rWindows detected spy software \"scpStelth.cih\" ver.2.018.\rSomebody is trying to access you through port 443.\rYour private information is in danger.\r\rMicrosoft AntiSpyware Version: 1.0.501\rThis version expires on: 31.07.2005\rSpyware Definition Version: 5683 (21.01.2005 20:37:43)\r\r\rClick \"OK\" for info on how to remove this spy software.")
if (answer)
{ window.location = "http://kita-search.com/v2/search.php?id=33464&qq=spyware";}
else {
window.open("http://here4search.com/consol03.htm?id=33464","popup","left=10, top=10,width=300, height=300,scrollbars=0,menubar=0,toolbar=0,location=0,personalbar=0,status=0,resizable=0");
}
</script>

TA BORT DET SOM JAG LÄMNAT KVAR I DIN LOGG......................................... det var en massa skräp där ska du veta....

När du startar datorn så ser du en bild. Kan stå Asus, MSI, Dell eller nåt annat crap beroende på dator. När du ser den bilden trycker du F8. Du ska inte hålla den nere utan bara TRYCKA F8. Funkar det inte så kör neanderthalvarianten och tryck på F8 upprepade gånger ifrån det att du startat datorn.

eller börja trycka F8 när du sett att alla enheter har hittats brukar räcka

Hehe, lär vara många som går på dylika vackra rutor
Den är som sagt harmlös, men någonting har dock gjort så att du inte kan byta startsida.