Begreppet Spyware har funnits ett tag nu, och det hela har grenat ut sig lite. Du har Spyware, Malware,
Adware med flera som trängs om att få en plats för din dator. En del av skälet till dessa namn är att dom
inte riktigt faller in i kategorin virus trots att dom kan orsaka nog så stor skada och oreda på eran
dator.

Så, hur upptäcker man dom här sakerna då ? Jo, ett vanligt scenario är att ni startar eran webbläsare
och där ligger ett nytt verktygsfält som ni inte har sett förut. Ni tittar lite och inget ser egentligen bekant
ut och det verkar inte finnas något sätt att ta bort verktygsfältet. Varje gång ni startar webläsaren
så kommer det förbenade verktygsfältet tillbaka. Till råga på allt så verkar det som om varenda
sida på hela internet helt plötsligt är nerlusad med pop-up fönster med reklam. Grattis. Ni har nu
råkat ut för en klassisk add-ware.

Hur får man då bort detta. Jo, det finns flertalet verktyg för att ta bort dessa bland dom största
hittas “Ad-Aware” från Lavasoft och “Spybot” Jag har själv inte använt Spybot, så jag kan tyvärr inte
säga vilket som skulle passa just er, men jag vet att Ad-Aware fungerar tillräckligt bra för en normal
användare och den är dessutom användarvänlig.

Ni lyckas i allafall ladda ner Ad-Aware och installera detta. Ni hittar verktygsfältet bland dom filer som
markeras som suspekta och tar bort det. Sedan när ni startar webläsaren nästa gång så kommer det
där ******* verktygsfältet tillbaka igen. Det är har dom flesta ger upp. Dom antingen formaterar datorn,
återställer till en tidigare tidpunkt och kanske tappar information alternativt ringer dom en support.

Ett tips här är att inte ge upp så lätt. Du vill väl inte att skurkarna ska vinna striden om din dator?
Google är i det här skedet din bästa vän och det spelar egentligen ingen större roll vad man har
råkat ut för, då internet formligen kryllar av hjälpforum. Väldigt många i dessa forum kan lösa ditt
problem, och ungefär lika ofta kommer dom att be om en HJT log.

Vad är då en HJT log?
HJT står för “HiJackThis som är ett gratisprogram som går igenom datorn efter vad som körs
för stunden och tittar efter “Browser Hijack Objects”, alltså program som gör om lite i din webläsare
så att tillexempel ett verktygsfält kan installera om sig själv om man lyckas ta bort det.
Programmet kan ni hitta här: http://download.cnet.com/Trend-Micro-HijackThis/3000-8022_4-10227353.html

När man har laddat ner och installerat programmet trycker man på “Do a system scan and save a log file” och
då visas allt som för tillfället körs samt en textfil skapas. Den textfilen kommer att visas på skärmen,
och det som man börjar att leta efter är så kallade BHO. Såhär ser min log ut:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:44:38, on 2009-10-23
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16640)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program\Delade filer\Symantec Shared\ccApp.exe
C:\Program\SYMANT~1\VPTray.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\Twain_32\PLEOMAX PWC-4000\SnapTrap.exe
C:\Program\Java\jre6\bin\jusched.exe
C:\Program\Windows Sidebar\sidebar.exe
C:\Program\DAEMON Tools Lite\daemon.exe
C:\Program\Paltalk Messenger\paltalk.exe
C:\Program\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program\Bonjour\mDNSResponder.exe
C:\Program\Symantec AntiVirus\DefWatch.exe
C:\Program\Java\jre6\bin\jqs.exe
C:\WINDOWS\system32\svchost.exe
C:\Program\Symantec AntiVirus\Rtvscan.exe
C:\Program\Delade filer\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program\RealVNC\VNC4\WinVNC4.exe
C:\Program\Windows Sidebar\sidebar.exe
C:\WINDOWS\System32\svchost.exe
C:\Program\Windows Live\Messenger\msnmsgr.exe
C:\Program\Windows Live\Contacts\wlcomm.exe
C:\Program\Microsoft ActiveSync\Wcescomm.exe
C:\Program\MICROS~3\rapimgr.exe
C:\Program\Delade filer\Adobe\Updater6\Adobe_Updater.exe
C:\Program\Aston\Aston.exe
C:\Program\Aston\XP\internat.exe
C:\WINDOWS\VistaDrive\VistaDrive.exe
C:\WINDOWS\stsystra.exe
C:\WINDOWS\Twain_32\PLEOMAX PWC-4000\SnapTrap.exe
C:\Program\Mozilla Firefox\firefox.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe

R1 – HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 – HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 – HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 – HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.se/ie
R0 – HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R1 – HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 – HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 – BHO: AcroIEHelperStub – {18DF081C-E8AD-4283-A596-FA578C2EBDC3} – C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 – BHO: Windows Live inloggningshjälpen – {9030D464-4C02-4ABF-8ECC-5164760863C6} – C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 – BHO: Java(tm) Plug-In 2 SSV Helper – {DBC80044-A445-435b-BC74-9C25C1C588A9} – C:\Program\Java\jre6\bin\jp2ssv.dll
O2 – BHO: JQSIEStartDetectorImpl – {E7E6F031-17CE-4C07-BC86-EABFE594F69C} – C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 – HKLM\..\Run: [VistaDrive] C:\WINDOWS\VistaDrive\VistaDrive.exe
O4 – HKLM\..\Run: [ccApp] “C:\Program\Delade filer\Symantec Shared\ccApp.exe”
O4 – HKLM\..\Run: [vptray] C:\Program\SYMANT~1\VPTray.exe
O4 – HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 – HKLM\..\Run: [Adobe Reader Speed Launcher] “C:\Program\Adobe\Reader 9.0\Reader\Reader_sl.exe”
O4 – HKLM\..\Run: [StartCCC] “C:\Program\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe” MSRun
O4 – HKLM\..\Run: [UVS12 Preload] C:\Program\Corel\Corel VideoStudio 12\uvPL.exe
O4 – HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 – HKLM\..\Run: [STICAP] C:\WINDOWS\Twain_32\PLEOMAX PWC-4000\SnapTrap.exe
O4 – HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 – HKLM\..\Run: [SunJavaUpdateSched] “C:\Program\Java\jre6\bin\jusched.exe”
O4 – HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 – HKCU\..\Run: [TransBar] C:\Program\AKSoftware\TransBar\TransBar.exe /s
O4 – HKCU\..\Run: [Sidebar] C:\Program\Windows Sidebar\sidebar.exe /autoRun
O4 – HKCU\..\Run: [msnmsgr] “C:\Program\Windows Live\Messenger\msnmsgr.exe” /background
O4 – HKCU\..\Run: [DAEMON Tools Lite] “C:\Program\DAEMON Tools Lite\daemon.exe” -autorun
O4 – HKCU\..\Run: [uTorrent] “C:\Program\uTorrent\uTorrent.exe”
O4 – HKCU\..\Run: [H/PC Connection Agent] “C:\Program\Microsoft ActiveSync\Wcescomm.exe”
O4 – HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘LOKAL TJÄNST’)
O4 – HKUS\S-1-5-19\..\Run: [TransBar] C:\Program\AKSoftware\TransBar\TransBar.exe /s (User ‘LOKAL TJÄNST’)
O4 – HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘LOKAL TJÄNST’)
O4 – HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘NETWORK SERVICE’)
O4 – HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘NETWORK SERVICE’)
O4 – HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘SYSTEM’)
O4 – HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘SYSTEM’)
O4 – HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ‘Default user’)
O4 – HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User ‘Default user’)
O4 – Startup: Adobe Gamma.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe
O8 – Extra context menu item: E&xportera till Microsoft Excel – res://C:\Program\MICROS~4\OFFICE11\EXCEL.EXE/3000
O9 – Extra button: Create Mobile Favorite – {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} – C:\Program\MICROS~3\INetRepl.dll
O9 – Extra button: (no name) – {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} – C:\Program\MICROS~3\INetRepl.dll
O9 – Extra ‘Tools’ menuitem: Create Mobile Favorite… – {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} – C:\Program\MICROS~3\INetRepl.dll
O9 – Extra button: PalTalk – {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} – C:\Program\Paltalk Messenger\Paltalk.exe
O9 – Extra button: Referensinformation – {92780B25-18CC-41C8-B9BE-3C9C571A8263} – C:\Program\MICROS~4\OFFICE11\REFIEBAR.DLL
O9 – Extra button: (no name) – {e2e2dd38-d088-4134-82b7-f2ba38496583} – C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 – Extra ‘Tools’ menuitem: @xpsp3res.dll,-20001 – {e2e2dd38-d088-4134-82b7-f2ba38496583} – C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 – Extra button: ICQ6 – {E59EB121-F339-4851-A3BA-FE49C35617C2} – C:\Program\ICQ6.5\ICQ.exe
O9 – Extra ‘Tools’ menuitem: ICQ6 – {E59EB121-F339-4851-A3BA-FE49C35617C2} – C:\Program\ICQ6.5\ICQ.exe
O23 – Service: Adobe LM Service – Adobe Systems – C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 – Service: Ati HotKey Poller – ATI Technologies Inc. – C:\WINDOWS\system32\Ati2evxx.exe
O23 – Service: ATI Smart – Unknown owner – C:\WINDOWS\system32\ati2sgag.exe
O23 – Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) – Apple Computer, Inc. – C:\Program\Bonjour\mDNSResponder.exe
O23 – Service: Symantec Event Manager (ccEvtMgr) – Symantec Corporation – C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe
O23 – Service: Symantec Password Validation (ccPwdSvc) – Symantec Corporation – C:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe
O23 – Service: Symantec Settings Manager (ccSetMgr) – Symantec Corporation – C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe
O23 – Service: Symantec AntiVirus Definition Watcher (DefWatch) – Symantec Corporation – C:\Program\Symantec AntiVirus\DefWatch.exe
O23 – Service: FLEXnet Licensing Service – Macrovision Europe Ltd. – C:\Program\Delade filer\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 – Service: Java Quick Starter (JavaQuickStarterService) – Sun Microsystems, Inc. – C:\Program\Java\jre6\bin\jqs.exe
O23 – Service: SAVRoam (SavRoam) – symantec – C:\Program\Symantec AntiVirus\SavRoam.exe
O23 – Service: Symantec Network Drivers Service (SNDSrvc) – Symantec Corporation – C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe
O23 – Service: Symantec SPBBCSvc (SPBBCSvc) – Symantec Corporation – C:\Program\Delade filer\Symantec Shared\SPBBC\SPBBCSvc.exe
O23 – Service: Symantec AntiVirus – Symantec Corporation – C:\Program\Symantec AntiVirus\Rtvscan.exe
O23 – Service: Ulead Burning Helper (UleadBurningHelper) – Ulead Systems, Inc. – C:\Program\Delade filer\Ulead Systems\DVD\ULCDRSvr.exe

–
End of file – 9062 bytes

Jag har rödmarkerat det som HJT misstänker kan vara browser hijack objects, i det här fallet vet jag dock att
det är sådant som är “false positives” med andra ord, saker som är ok, men som ändå visas som BHO.
I mitt fall är det Windows live messenger, Java samt Acrobat Reader som visas.

Om man i HJT kryssar i rutan som finns för varje objekt och klickar på “Fix Checked” försöker den att
åtgärda problemet, och väldigt ofta lyckas det utan större krångel att fixa problemet.

Hur får man då in spyware, adware och malware. Tja, den vanligaste orsaken är faktiskt detsamma
som för virus. Man har installerat och kört ett program som har innehållit koden som skapar problemet.

Ett exempel som tydligt visade hur adware kunde läggas in var i fildelningsprogrammet kazaa. Där
hade man som standard en adware som kallades Cydoor om jag inte minns helt fel.

Övriga exempel på adware, spyware och liknande hittas dagligen med alla dessa “install our toolbar”
som finns på nätet.

Det här är ett ämne som man skulle kunna skriva om i evighet och ändå inte täcka in allt, så jag
stannar upp här, och kanske återkommer till ämnet senare.

Frågor?