Jeg tror jeg har en keylogger.

[Programvare]

Jeg fikk en greie på msn som jeg var så dum nok til å åpne

 

Så en kompis fortalte meg litt og han sa at det sannsynligvis var en keylogger.

 

Derfro trenger jeg hjelp fort. Ettersom jeg driver med mye sensitiv informasjon på pcen.

 

edit: Hijackthis-logg:

 

Klikk for å se/fjerne innholdet nedenfor

Logfile of HijackThis v1.99.1

Scan saved at 13:26:39, on 01.09.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINNT\System32\smss.exe

C:\WINNT\system32\winlogon.exe

C:\WINNT\system32\services.exe

C:\WINNT\system32\lsass.exe

C:\WINNT\system32\svchost.exe

C:\WINNT\System32\svchost.exe

C:\WINNT\Explorer.EXE

C:\WINNT\system32\spoolsv.exe

C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

C:\WINNT\System32\nvsvc32.exe

C:\Programfiler\Wireless 802.11g Monitor\WLService.exe

C:\WINNT\System32\svchost.exe

C:\Programfiler\Wireless 802.11g Monitor\WLanCfgG.exe

C:\PROGRA~1\Grisoft\AVG7\avgcc.exe

C:\Programfiler\TuneUp Utilities 2007\MemOptimizer.exe

C:\Programfiler\Purrint\Purrint.exe

C:\Programfiler\Last.fm\LastFM.exe

C:\Programfiler\MSN Messenger\usnsvc.exe

C:\Programfiler\uTorrent\utorrent.exe

C:\Programfiler\Opera\Opera.exe

C:\Programfiler\Spybot - Search & Destroy\SpybotSD.exe

C:\Program Files\HijackThis\kongle.exe.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.vg.no/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Fellesfiler\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.6.0_01\bin\ssv.dll

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVG7\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Programfiler\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [TuneUp MemOptimizer] "C:\Programfiler\TuneUp Utilities 2007\MemOptimizer.exe" autostart

O4 - Startup: Purrint.lnk = C:\Programfiler\Purrint\Purrint.exe

O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_01\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O16 - DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} (DivXBrowserPlugin Object) - http://go.divx.com/plugin/DivXBrowserPlugin.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSN Messenger\msgrapp.8.1.0178.00.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FELLES~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINNT\SYSTEM32\WgaLogon.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Programfiler\Fellesfiler\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVG7\avgemc.exe

O23 - Service: ASUS Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINNT\System32\nvsvc32.exe

O23 - Service: R54G Wireless Service - Unknown owner - C:\Programfiler\Wireless 802.11g Monitor\WLService.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINNT\system32\ZoneLabs\vsmon.exe

O23 - Service: Windows Live Setup Service (WLSetupSvc) - Unknown owner - C:\Programfiler\Windows Live\installer\WLSetupSvc.exe (file missing)

Endret 1. september 2007 av Metalheart

[lupah]

Bruk kun copy/paste på alle logins og passord inntil du får fiksa det hvertfall.

[norbat]

Vel, loggen ser fin ut den.

 

Prøv dette:

Hent Combofix, og legg det på skrivebordet

 

Kjør combofix.exe, og følg veiledningen.

Du må ikke klikke på vinduet mens programmet kjører.

 

Post loggfilen fra combofix.

[Programvare]

Her er combofix-loggen:

 

Klikk for å se/fjerne innholdet nedenfor

ComboFix 07-08-30.3 - "Wenche" 2007-09-01 21:22:08.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1044.18.242 [GMT 2:00]

* Created a new restore point

 

 

((((((((((((((((((((((((( Files Created from 2007-08-01 to 2007-09-01 )))))))))))))))))))))))))))))))

 

 

2007-09-01 21:19 51,200 --a------ C:\WINNT\nircmd.exe

2007-09-01 19:14 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\PROGRA~1\Protexis

2007-09-01 16:33 <DIR> dr-h----- C:\DOCUME~1\Wenche\Siste

2007-08-18 14:30 <DIR> d-------- C:\DOCUME~1\Wenche\PROGRA~1\Apple Computer

2007-08-18 14:29 <DIR> d-------- C:\DOCUME~1\ALLUSE~1\PROGRA~1\Apple Computer

2007-08-17 20:42 <DIR> d-------- C:\Programfiler\Valve

2007-08-16 19:01 221,184 --a------ C:\WINNT\system32\wmpns.dll

2007-08-07 21:03 <DIR> d-------- C:\Programfiler\Last.fm

 

 

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

 

2007-09-01 18:59 --------- d-------- C:\DOCUME~1\Wenche\PROGRA~1\uTorrent

2007-09-01 15:57 --------- d-------- C:\Programfiler\Fellesfiler\Wise Installation Wizard

2007-08-31 20:53 359808 --a------ C:\WINNT\system32\drivers\TCPIP.SYS.ORIGINAL

2007-08-31 20:53 359808 --a------ C:\WINNT\system32\drivers\TCPIP.SYS

2007-08-29 19:29 --------- d-------- C:\Programfiler\MediaMonkey

2007-08-29 15:14 --------- d-------- C:\DOCUME~1\Wenche\PROGRA~1\LimeWire

2007-08-28 20:43 --------- d-------- C:\DOCUME~1\Wenche\PROGRA~1\Skype

2007-08-27 18:13 --------- d-------- C:\Programfiler\TuneUp Utilities 2007

2007-08-21 21:52 --------- d-------- C:\DOCUME~1\Wenche\PROGRA~1\DivX

2007-08-19 20:49 --------- d-------- C:\DOCUME~1\Wenche\PROGRA~1\Uniblue

2007-08-19 20:47 --------- d-------- C:\Programfiler\Uniblue

2007-08-05 15:53 --------- d-a------ C:\DOCUME~1\ALLUSE~1\PROGRA~1\TEMP

2007-07-30 19:19 92504 --a------ C:\WINNT\system32\cdm.dll

2007-07-30 19:19 549720 --a------ C:\WINNT\system32\wuapi.dll

2007-07-30 19:19 53080 --a------ C:\WINNT\system32\wuauclt.exe

2007-07-30 19:19 43352 --a------ C:\WINNT\system32\wups2.dll

2007-07-30 19:19 325976 --a------ C:\WINNT\system32\wucltui.dll

2007-07-30 19:19 271224 --a------ C:\WINNT\system32\mucltui.dll

2007-07-30 19:19 207736 --a------ C:\WINNT\system32\muweb.dll

2007-07-30 19:19 203096 --a------ C:\WINNT\system32\wuweb.dll

2007-07-30 19:19 1712984 --a------ C:\WINNT\system32\wuaueng.dll

2007-07-30 19:18 33624 --a------ C:\WINNT\system32\wups.dll

2007-07-23 20:20 --------- d-------- C:\Programfiler\Fellesfiler\Canon

2007-07-23 19:57 --------- d-------- C:\Programfiler\EvilLyrics

2007-07-22 22:00 --------- d-------- C:\Programfiler\MSN Messenger

2007-07-06 00:06 --------- d-------- C:\Programfiler\Microsoft CAPICOM 2.1.0.2

2007-07-05 18:12 --------- d-------- C:\Programfiler\Purrint

2007-06-26 08:10 1104896 --a------ C:\WINNT\system32\msxml3.dll

2007-06-24 15:36 8 --a------ C:\WINNT\pchealth\HELPCTR\Config\incstore.bin

2007-06-19 15:33 282112 --a------ C:\WINNT\system32\gdi32.dll

2007-06-13 15:24 1033216 --a------ C:\WINNT\explorer.exe

2007-04-05 13:38 76880 --a------ C:\DOCUME~1\Wenche\Autorun.exe

 

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"nwiz"="nwiz.exe" [2002-01-15 17:06 C:\WINNT\system32\nwiz.exe]

"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2007-05-09 19:37]

"ZoneAlarm Client"="C:\Programfiler\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 01:02]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"TuneUp MemOptimizer"="C:\Programfiler\TuneUp Utilities 2007\MemOptimizer.exe" [2007-04-26 21:50]

"Uniblue RegistryBooster 2"="C:\Programfiler\Uniblue\RegistryBooster 2\RegistryBooster.exe" [2007-08-14 16:52]

 

C:\DOCUME~1\Wenche\START-~1\PROGRA~1\Oppstart\

Purrint.lnk - C:\Programfiler\Purrint\Purrint.exe [2005-03-31 06:12:30]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"GreyMSIAds"=1 (0x1)

"NoTrayItemsDisplay"=0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start-meny^Programmer^Oppstart^Adobe Reader Speed Launch.lnk]

backup=C:\WINNT\pss\Adobe Reader Speed Launch.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start-meny^Programmer^Oppstart^Adobe Reader Synchronizer.lnk]

backup=C:\WINNT\pss\Adobe Reader Synchronizer.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start-meny^Programmer^Oppstart^Microsoft Office.lnk]

backup=C:\WINNT\pss\Microsoft Office.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Wenche^Start-meny^Programmer^Oppstart^Adobe Gamma.lnk]

backup=C:\WINNT\pss\Adobe Gamma.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Wenche^Start-meny^Programmer^Oppstart^Stardock ObjectDock.lnk]

backup=C:\WINNT\pss\Stardock ObjectDock.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]

C:\Programfiler\Fellesfiler\Adobe\Updater5\AdobeUpdater.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\InfoMyCa.exe]

C:\Programfiler\Wireless 802.11g Monitor\InfoMyCa.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]

C:\Programfiler\Logitech\Video\ManifestEngine.exe boot

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoRepair]

C:\Programfiler\Logitech\Video\ISStart.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]

C:\Programfiler\Logitech\Video\LogiTray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMSX]

C:\WINNT\system32\LVCOMSX.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"anvshell"=anvshell.exe

"NvCplDaemon"=RUNDLL32.EXE NvQTwk,NvCplDaemon initialize

 

R0 DiMaint;Eicon Maintenance Driver;C:\WINNT\system32\DRIVERS\DISDN\dimaint.sys

R1 ANVIOCTL;ANVIOCTL;C:\WINNT\system32\DRIVERS\anvioctl.sys

R1 pwd_2K;pwd_2K;C:\WINNT\system32\drivers\pwd_2K.sys

R2 DiCapi;Eicon CAPI 2.0 Driver;C:\WINNT\system32\DRIVERS\DISDN\capi202k.sys

R2 DiPort;Eicon Port Driver;C:\WINNT\system32\DRIVERS\DISDN\diport40.sys

R2 R54G Wireless Service;R54G Wireless Service;C:\Programfiler\Wireless 802.11g Monitor\WLService.exe

R2 UxTuneUp;TuneUp Theme Extension;C:\WINNT\System32\svchost.exe -k netsvcs

R3 DiWan;Eicon Driver for all Diva Client cards;C:\WINNT\system32\DRIVERS\DISDN\Diwan.sys

R3 rt2571;Wireless 802.11g USB Adapter Driver;C:\WINNT\system32\DRIVERS\rt2571.sys

 

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

 

*Newly Created Service* - GTNDIS5

 

Contents of the 'Scheduled Tasks' folder

2007-06-22 15:16:12 C:\WINNT\Tasks\1-Click Maintenance.job - C:\Programfiler\TuneUp Utilities 2007\SystemOptimizer.exe

2007-06-25 16:07:07 C:\WINNT\Tasks\Uniblue SpeedUpMyPC Nag.job - C:\Programfiler\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe

2007-06-25 16:07:07 C:\WINNT\Tasks\Uniblue SpeedUpMyPC.job - C:\Programfiler\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe

 

**************************************************************************

 

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-01 21:26:11

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

Completion time: 2007-09-01 21:29:30 - machine was rebooted

C:\ComboFix-quarantined-files.txt ... 2007-09-01 21:29

 

--- E O F ---

[norbat]

Loggen ser helt ok ut.

 

Vi kan ta en scan for Rootkit, bare for å utelukke at det ligger noe skjulte infeksjoner.

 

Last ned AVG Anti-rootkit Free og legg det på skrivebordet. Kjør en søk og se om den finner noe.

 

Hva sto det på linken du klikket på?

[Programvare]

Det sto noe sånt som: Check who's blocked you on msn, gså en link til en side.

Og dum som jeg er trykker jeg på den og da begynte msn-en min og sende ut den linken til alle automatisk uten at jeg fikk vite det. Så hvis alle trykker på den blir det et kaos. Men jeg endra passord og sånn ganske fort så det gikk greit. Men jeg hørte med en kompis som hadde trykka på den før og han hadde fått en keylogger da som han merka og fikk fjerna.

 

edit: Jeg må ta en reboot for å kunne installere det, så i'll be back.

 

edit 2: Jeg søker igjennom nå.

Endret 1. september 2007 av Metalheart

[norbat]

Ja, denne er ikke helt ukjent

 

Hvis den har installert seg så vil den ha laget en oppføring i registeret. Du kan sjekke om den er der:

 

Klikk: Start->Kjør

Skriv: regedit

 

Gå til følgende:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

I høyre felt, se om du finner noe med følgende tekst:

"BlockChecker" = "stien til 'programmet'"

 

(Combofix-loggen viste at den ikke lå der men.....)

 

Hvis det ikke ligger noe der så vil jeg tro at ting og tang er i orden. Antar du kan bruke MSN uten at det blir noe surr?

Endret 1. september 2007 av norbat

[Programvare]

Nei, den fant visst ingen rootkits.

 

Msn funker også helt greit. Da ser det ut til å være i orden da. Beklager for å ha brydd deg.

 

Jeg bare lurer på en ting til. Jeg sliter med veldig treg oppstart. Registeret mitt er greit nok og hardisken er også grei. Har attpåtil fulgt noen guider på nettet, men det hjalp ikke stort.

Det pleier å ta ca. 4 minutter fra jeg trykker på knappen til pc'en er funksjonabel.

Noen tips?

[norbat]

Bare hyggelig

 

Treg oppstart kan skyldes flere ting.

Du har kanskje allerede vært ute i msconfig og fjernet programmer du ikke behøver å starte opp når windows starter?

 

Trenger pc'n en diskdefragmentering?

 

Har du ok med ledig plass på hd?

 

Du kan sjekke om det er noen systemfiler som trenger å fixet:

Klikk: Start -> Kjør

Skriv: sfc /scannow (mellomrom mellom sfc og / )

Du trenger antakelig XP-cd'n.

Endret 1. september 2007 av norbat

[Programvare]

XP'cd'n har jeg ikke for øyeblikket. Jeg har defragmentert, men det er litt dårlig plass på harddisken. 12,2 GB ledig av 68,8 GB.

 

Jeg har fjernet alle programmer jeg ikke trenger ved oppstart.

 

Jeg fant en link på nettet med noen tips, men er ikke helt trygg på sånne ukjente lenker. Kan du se om den er ganske harmløs?

 

http://www.hjelperdeg.net/modules/newbb/vi...c_id=55&forum=2

[norbat]

Lenken er ganske harmløs, men flere av tipsene skulle det være unødvendig å utføre.

 

Hvis du har fjernet de programmene du ikke ønsker skal start opp når du starter windows + kjørt en diskdefragmentering og det fortsatt er rimelig tregt, så ville jeg ha kjørt en sfc /scannow evt. repair av windows.

 

Hvordan er hardwaren din forresten?

[Programvare]

Hva mener du med hvordan er hardwaren min?

 

Hva vil den repairen av windows-greia gå ut på?

[norbat]

Hardware: eks. Minnekapasitet kan ha betydning for hvor rask en pc oppleves

 

En repair vil reinstallere windows uten at noe data går tapt (i teorien). Om dette vil gjøre pc'n raskere er ingen garanti. Men du trenger XP-cd'n til dette også.

[Programvare]

Hardwaren min:

 

Windows XP Home Edition

Service Pack 2

Tech Computers Intel P4 CPU 1,80 GHz

512 MB RAM

 

68,8 GB HD.

 

 

Takk for hjelpen norbat. Jeg skal også prøve programmet bootvis.exe som visstnok skulle hjelpe på oppstartshastighet.

[Cotul]

512 MB RAM blir vel raskt litt lite med XP og hva annet du måtte ha til å kjøre under oppstart ?

[Programvare]

Oppstrten min består av XP ofc, Tune Up MemOptimizer, AVG, Trådløs Nettverkstilkobling, Purrint og Zone Alarm brannmur.

 

Ikke noe mer. Men jeg er enig i at 512 MB er litt lite for meg. Hvor mye koster det å få oppgradert til f.eks 2 GB? Og hvordan gjør jeg det?

[Cotul]

er det en stasjonær pc eller bærbar?

 

hvis det er en stasjonær er det ganske lett å sett i mer ram. bærbar blir muligens litt verre.

[Programvare]

Stasjonær. Men den er kjøpt i 2002 og har vært brukt flittig i 5 år, så jeg vurderer nesten å kjøpe en ny snart. Er det da noe vits å innstallere ny RAM?

[Gjest Slettet+oiasdf79]

Med tanke på at hele pc'n er såpass gammel vil du nok helt klart få mest effekt av å kjøpe en helt ny.

 

Wiken...

[Programvare]

Vurderer å kjøpe denne: http://www.elprice.no/Product/ProductInfo.aspx?id=29034

 

Men jeg er fortsatt litt usikker på om jeg skal kjøpe laptop eller stasjonær.

 

Jeg bruker den jo bare til å høre på musikk, msn, diverse programmer, surfe veldig mye på nettet, se på film, og litt lekser.

 

Den skal ikke fraktes noe sted, siden jeg reiser eksepsjonelt lite.