Hej på er alla!

Jag har ett problem som jag behöver hjälp med, så jag sökte upp swerat såklart
Här är problemet: jag är ett troget tibia fan för det första. Varje gång jag öppnar tibia.exe och knapprar in account number och password så startas en IEXPLORE.EXE-process. Man ser inte internet explorer men den lägs typ över tibia fönstret, så man måste trycka alt+f4 eller ctrl+alt+del och sen avsluta processen. Web sidan är helt tom, vilket gör mig bara mer förvirrad. Jag har virus-scannat datorn med avast och scanant datorn med Spybot-S&D och hitta inga virus.

Nu behöver jag er hjälp!
Har något nåt tips om hur jag kan får bort sk*ten? (nej, jag tänker inte formatera om hårddisken)


Om du tänker skriva ett meningslöst inlägg, gå vidare!

tack på förhand

Det låter som att det kan vara en keylogger. Kolla om du ser något misstänksamt med HijackThis eller Codius Watch This beroende på vilken som fungerar bäst.

Tack för ditt svar!
Jag tror inte det är en keylogger men det är inte omöjligt att det är det.

Här kommer scan loggen, hoppas det inte finns nåt skämmit (hade 2 tibia client uppe då)

Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\windows\system32\Ati2evxx.exe
C:\Program\Alwil Software\Avast42\aswUpdSv.exe
C:\Program\Alwil Software\Avast42\ashServ.exe
C:\windows\system32\spoolsv.exe
C:\WINDOWS\ATKKBService.exe
D:\Xampplite nya\xampplite\mysql\bin\mysqld-nt.exe
C:\windows\system32\PnkBstrA.exe
C:\Program\Alwil Software\Avast42\ashMaiSv.exe
C:\Program\Alwil Software\Avast42\ashWebSv.exe
C:\windows\system32\WgaTray.exe
C:\windows\Explorer.EXE
C:\Program\D-Link\DGE-530T\dlnetst.exe
C:\Program\Java\jre1.6.0_03\bin\jusched.exe
C:\windows\SOUNDMAN.EXE
D:\Program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe
C:\Program\Analog Devices\Core\smax4pnp.exe
C:\Program\Analog Devices\SoundMAX\Smax4.exe
D:\Program\QuickTime\qttask.exe
C:\Program\ALWILS~1\Avast42\ashDisp.exe
D:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe
C:\Program\iTunes\iTunesHelper.exe
C:\Program\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE
C:\WINDOWS\services.exe
C:\Program\Delade filer\Teleca Shared\CapabilityManager.exe
C:\windows\system32\ctfmon.exe
C:\Program\MSN Messenger\MsnMsgr.Exe
C:\Program\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
C:\Program\DAEMON Tools\daemon.exe
C:\Program\Messenger\msmsgs.exe
C:\Program\iPod\bin\iPodService.exe
C:\Program\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
D:\Program\Spybot - Search & Destroy\TeaTimer.exe
C:\Program\Delade filer\Teleca Shared\Generic.exe
D:\ECP\ESC2\esc2.exe
D:\Program\Sony Ericsson\Mobile2\Mobile Phone Monitor\epmworker.exe
C:\Program\Logitech\SetPoint\SetPoint.exe
C:\Program\PerSono\perstray.exe
C:\Program\Delade filer\Logitech\KHAL\KHALMNPR.EXE
C:\windows\system32\svchost.exe
C:\Program\MSN Messenger\usnsvc.exe
C:\windows\system32\rsvp.exe
D:\Tibia 8.0\Tibia.exe
C:\Program\Mozilla Firefox\firefox.exe
D:\Tibia 8.2\Tibia.exe
D:\tibia auto3\loader.exe
D:\tibia auto3\loader.exe
C:\windows\system32\NOTEPAD.EXE
D:\Program Files\VentriloMIX\Ventrilo 2.1.4.exe
C:\Program\Internet Explorer\iexplore.exe
C:\Program\Internet Explorer\iexplore.exe
C:\Program\Internet Explorer\iexplore.exe
C:\Program\Internet Explorer\iexplore.exe
C:\Program\Internet Explorer\iexplore.exe
C:\Program\Internet Explorer\iexplore.exe
C:\Program\Internet Explorer\iexplore.exe
D:\Program\Trend Micro\HijackThis\HijackThis.exe
C:\Program\Internet Explorer\iexplore.exe
C:\Program\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://tunet.tu.orebro.se/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: CvgraphObj Object - {12355F3E-90C3-41AA-8705-15969AF7F210} - C:\WINDOWS\vgraph.dll (file missing)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program\SPYBOT~1\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O4 - HKLM\..\Run: [DLink Control Panel Silent] rundll32 dlnetcp.cpl,SilentCall
O4 - HKLM\..\Run: [DLink System Tray] C:\Program\D-Link\DGE-530T\dlnetst.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "D:\Program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program\Analog Devices\Core\smax4pnp.exe
O4 - HKLM\..\Run: [SoundMAX] "C:\Program\Analog Devices\SoundMAX\Smax4.exe" /tray
O4 - HKLM\..\Run: [QuickTime Task] "D:\Program\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [avast!] C:\Program\ALWILS~1\Avast42\ashDisp.exe
O4 - HKLM\..\Run: [Adobe Photo Downloader] "D:\Program\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [StartCCC] "C:\Program\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [CatalystRegistration] "C:\Program\ATI\CatalystRegistration\dolce.exe"
O4 - HKLM\..\Run: [Windows] C:\WINDOWS\services.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [LDM] C:\Program\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [AdobeUpdater] C:\Program\Delade filer\Adobe\Updater5\AdobeUpdater.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] D:\Program\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [E-Sport Client 2] "D:\ECP\ESC2\esc2.exe"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Startup: WinMySQLadmin.lnk = D:\Xampplite nya\xampplite\mysql\bin\winmysqladmin.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = D:\Program\Adobe\Reader 8.0\Reader\reader_sl.exe
O4 - Global Startup: Adobe Reader Synchronizer.lnk = D:\Program\Adobe\Reader 8.0\Reader\AdobeCollabSync.exe
O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\Program\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Perstray.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Program\SPYBOT~1\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Program\SPYBOT~1\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O17 - HKLM\System\CCS\Services\Tcpip\..\{D2557BCC-3D47-42AB-B5BE-8AD24E93ED1D}: NameServer = 192.177.0.1
O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program\Alwil Software\Avast42\aswUpdSv.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Program\Alwil Software\Avast42\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program\Alwil Software\Avast42\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program\Alwil Software\Avast42\ashWebSv.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe
O23 - Service: Macromedia Licensing Service - Macromedia - C:\Program\Delade filer\Macromedia Shared\Service\Macromedia Licensing.exe
O23 - Service: MySql - Unknown owner - D:/Xampplite nya/xampplite/mysql/bin/mysqld-nt.exe
O23 - Service: PnkBstrA - Unknown owner - C:\windows\system32\PnkBstrA.exe
O23 - Service: Sandra Data Service (SandraDataSrv) - SiSoftware - C:\Program\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcDataSrv.exe
O23 - Service: Sandra Service (SandraTheSrv) - SiSoftware - C:\Program\SiSoftware\SiSoftware Sandra Lite 2005.SR3\RpcSandraSrv.exe
O23 - Service: wampapache - Apache Software Foundation - D:\wamp\bin\apache\apache2.2.6\bin\httpd.exe

--
End of file - 9391 bytes

Kolla upp C:\WINDOWS\services.exe, det skall bara finnas en sådan fil och det skall ligga under C:\WINDOWS\system32\.

Ok, jag förstod inte riktigt vad du menade med "Kolla upp" men jag gick in i c:\windows\ och hittade services.exe. Jag vet inte vad den gör där, om den inte ska vara där, och jag undrar om jag kan ta bort den, utan att hela datorn får spratt

Först genom virustotal eller dylikt, gärna även en sandbox eller dylikt.
Finns den även i system32 så har du ju ett problem.

Ett dumt problem är att den troligen ligger i systemrestore vid det här laget och reparerar sig själv om den tas bort... Men som sagt, försök först förstå vad det kan vara du har, sedan hitta en lösning.

Här är resultat från c:\windows\services.exe:
Fil services.exe mottagen 2007.12.10 21:45:56 (CET)
Antivirus Version Senaste Uppdatering Resultat
AhnLab-V3 2007.12.10.1 2007.12.10 Win-RAT/Tibia.1284063
AntiVir 7.6.0.40 2007.12.10 TR/Spy.Gen
Authentium 4.93.8 2007.12.10 -
Avast 4.7.1098.0 2007.12.10 -
AVG 7.5.0.503 2007.12.10 PSW.Generic5.TQK
BitDefender 7.2 2007.12.10 RAT.PWS.Tibia.AY
CAT-QuickHeal 9.00 2007.12.10 TrojanPSW.Tibia.cj
ClamAV 0.91.2 2007.12.10 RAT.Dropper-3164
DrWeb 4.44.0.09170 2007.12.10 -
eSafe 7.0.15.0 2007.12.10 -
eTrust-Vet 31.3.5366 2007.12.10 -
Ewido 4.0 2007.12.10 RAT.Tibia.cj
FileAdvisor 1 2007.12.10 -
Fortinet 3.14.0.0 2007.12.10 -
F-Prot 4.4.2.54 2007.12.08 W32/Pws.XSN
F-Secure 6.70.13030.0 2007.12.10 RAT-PSW.Win32.Tibia.cj
Ikarus T3.1.1.12 2007.12.10 RAT-PWS.Win32.Delf.mc
Kaspersky 7.0.0.125 2007.12.10 RAT-PSW.Win32.Tibia.cj
McAfee 5182 2007.12.10 -
Microsoft 1.3007 2007.12.10 -
NOD32v2 2714 2007.12.10 Win32/PSW.Tibia.CJ
Norman 5.80.02 2007.12.10 W32/Tibia.QC
Panda 9.0.0.4 2007.12.10 Suspicious file
Prevx1 V2 2007.12.10 -
Rising 20.21.42.00 2007.12.07 RAT.PSW.Win32.Tibia.cj
Sophos 4.24.0 2007.12.10 Troj/Tibia-Gen
Sunbelt 2.2.907.0 2007.12.07 -
Symantec 10 2007.12.10 -
TheHacker 6.2.9.154 2007.12.10 -
VBA32 3.12.2.5 2007.12.10 RAT-PSW.Win32.Tibia.cj
VirusBuster 4.3.26:9 2007.12.10 -
Webwasher-Gateway 6.6.2 2007.12.10 RAT.Spy.Gen
Övrig information
File size: 1274846 bytes
MD5: d8ec81b8d57aa270404c4dbd2d6f42a3
SHA1: f5c612f37f2cea61bd7a102870c4e6e7e5011b3d
PEiD: -

/\/\/\/\/\/\/\/\/\/\/\/\/\/\
Jag tror det talar för sig själv.
Jag scanna också c:\windows\system32\services.exe och det fanns inga virus där.
Jag vet inte vad systemrestore eller vart det ligger men jag testar allafall att ta bort sk*ten nu!

edit: det gick inte...


tack för era svar!!!!

Keyloggern ligger antagligen och kör i bakgrunden och väntar på att spelet skall starta så att den sedan kan skicka iväg inloggningsuppgifterna via IE för att komma runt brandväggar.

Lättast är att starta Windows i felsäkert läge och sedan ta bort filen. Starta om datorn och tryck F8 innan Windows börjar ladda.

Den kan ha återställningsfunktioner dessutom. Om det bråkar mycket att få bort den kan man köra på en latmans-blockering och skapa filer med samma namn (tomma) och markera dem som skyddade systemfiler. Hade problem med en pryl som nyttjade windows återställningstjänster, där det fick bli en temporär lösning. Men som blind sa, felsäkert läge först

Om trojanen nu reparerar sig själv, som ni säger, så har jag för mig att man ska stänga av windows recovery. Rätta mig om jag har fel.

Eller innan du stänger av Windows Recovery, testa köra en system återsällning. Om nu det är så att trojanen/keyloggern reparerar sig själv.

Det beror lite på hur viruset är kodat i sig, den behöver inte alls gå via windows recovery utan kan ha ett annat program som håller koll på om services.exe finns kvar varje gång datorn startas upp. Är den borttagen så lägger den dit sig själv igen.

Programmet Security Task Manager har tillgång att låsa filer så att de aldrig kan startas igen efter en uppstart. Med andra ord så kommer filen ligga kvar, men den kommer inte startas och inte göra någon nytta (skada i detta fallet )