Hoppa till innehåll

Foto

Virus eller?


  • Vänligen logga in för att kunna svara
36 svar till detta ämne

#1 Yoshis

Yoshis

    Användare

  • Medlemmar
  • PipPip
  • 30 inlägg

Postad 25 september 2009 klockan 23:19

Hej igen!

Nu har jag lyckats ta bort alla filer du skrev utom c:\windows\system32\cssd ll32.dl
Den kan ju i för sig ha försvunnit efter jag kört den där comodo cleaner?? Vet faktiskt inte, men här kommer en ny logg iallafall.

MVH // Yoshis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:40:46, on 2009-09-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program\Delade filer\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\hphmon06.exe
C:\HP\KBD\KBD.EXE
C:\Program\Delade filer\InterVideo\SchSvr\SchSvr.exe
C:\Program\InterVideo\Common\Bin\WinRemote.exe
C:\Program\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
C:\Program\D-Tools\daemon.exe
C:\Program\Delade filer\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program\Logitech\QuickCam\Quickcam.exe
C:\Program\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program\SlySoft\CloneCD\CloneCDTray.exe
C:\Program\Java\jre6\bin\jusched.exe
C:\Program\Avira\AntiVir Desktop\avguard.exe
C:\Program\Avira\AntiVir Desktop\avgnt.exe
C:\Program\Bonjour\mDNSResponder.exe
C:\Program\SlySoft\AnyDVD\AnyDVDtray.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program\Java\jre6\bin\jqs.exe
c:\Program\Delade filer\LightScribe\LSSrvc.exe
C:\Program\Delade filer\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\WebUpdateSvc4.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program\Delade filer\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program\Delade filer\Logishrd\LQCVFX\COCIManager.exe
C:\Program\internet explorer\iexplore.exe
C:\Program\internet explorer\iexplore.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe



#2 Cecilia

Cecilia

    Beroende

  • Huvudmoderator
  • 84 200 inlägg
  • Ort:Stockholm

Postad 26 september 2009 klockan 00:02

Jag ser inget skadligt i loggen, loggen, men det finns många skadliga program som inte syns i en HijackThis-logg. Jag ser att MBAM håller på och kör, vad har det hittat för något?

#3 Yoshis

Yoshis

    Användare

  • Medlemmar
  • PipPip
  • 30 inlägg

Postad 26 september 2009 klockan 00:51

Hej Cecilia och alla andra!

Har du något bra råd, vad man kan använda för program för att rensa trojaner, spyware osv. ?
Litar inte riktigt på detta program jag använder: Malwarebytes' Anti-Malware 1.41
Här kommer 2 olika loggar den senaste först och sedan den jag gjorde vid midnatt, tidigare idag! finns det nåt program som kan skydda mig från Total Security 2009? Det var ju den som försörde min dator tidigare ikväll!


Logg1:

Malwarebytes' Anti-Malware 1.41
Database version: 2775
Windows 5.1.2600 Service Pack 2

2009-09-26 01:42:49
mbam-log-2009-09-26 (01-42-49).txt

Scan type: Quick Scan
Objects scanned: 105104
Time elapsed: 4 minute(s), 43 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Logg2:

Malwarebytes' Anti-Malware 1.41
Database version: 2775
Windows 5.1.2600 Service Pack 2

2009-09-25 23:33:45
mbam-log-2009-09-25 (23-33-45).txt

Scan type: Quick Scan
Objects scanned: 104961
Time elapsed: 4 minute(s), 6 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 1
Registry Values Infected: 2
Registry Data Items Infected: 2
Folders Infected: 1
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b6b571fb-b71d-449c-ad70-82e966328795} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_CURRENT_USER\Control Panel\don't load\scui.cpl (Hijack.SecurityCenter) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\don't load\wscui.cpl (Hijack.SecurityCenter) -> Quarantined and deleted successfully.

Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Folders Infected:
C:\Documents and Settings\HP_Ägaren\Start-meny\Program\Total Security (Rogue.TotalSecurity) -> Quarantined and deleted successfully.

Files Infected:
C:\Documents and Settings\HP_Ägaren\Start-meny\Program\Total Security\Total Security 2009.lnk (Rogue.TotalSecurity) -> Quarantined and deleted successfully.

MVH// Yoshis



#4 alderbaran

alderbaran

    Nykomling

  • Medlemmar
  • Pip
  • 2 inlägg
  • Ort:FRÖSÖN

Postad 26 september 2009 klockan 05:28

Yoshis
För det första var hittar man detta:
"Total Security 2009" ??
Ge mig nedladdningslänken.
Sätter man på datorn så har man väl ngt slags kondom/skydd på eller ?
Ladda ned codecs o ev andra "tillägg" gör man väl med viss åtskillnad.
- Hur man skyddar sig , vanligt "common sense" räcker rätt långt.
Om man inte vet vad det innebär kan man väl räkna med att olyckor sker.

#5 Cecilia

Cecilia

    Beroende

  • Huvudmoderator
  • 84 200 inlägg
  • Ort:Stockholm

Postad 26 september 2009 klockan 06:44

Total Security har ju funnits sedan mitten på augusti så jag skulle tro att MBAM klarar av att få bort det, särskilt som det jag läser om det inte visar att det skulle vara något särskilt besvärligt att få bort. Men vi kan se vad ComboFix visar.

Ladda ner ComboFix till Skrivbordet:
http://download.blee...Bs/ComboFix.exe

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.
Hur? Se http://www.bleepingc...opic114351.html
Kör ComboFix och följ anvisningarna som visas.
Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

Det här forumet har svårt att hantera långa inlägg så du måste dela upp loggen i många inlägg. Ett inlägg bör max vara 50 rader långt och helst inte mer än 25.

Om du får problem med att komma ut på internet:
Kontrollpanelen - Nätverksanslutningar
högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

#6 Yoshis

Yoshis

    Användare

  • Medlemmar
  • PipPip
  • 30 inlägg

Postad 26 september 2009 klockan 10:45

Logg fr combofix:

ComboFix 09-09-25.01 - HP_Ägaren 2009-09-26 11:27.1.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.46.1053.18.1023.531 [GMT 2:00]
Körs från: c:\documents and settings\HP_Ägaren\Skrivbord\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Skapade en ny återställningspunkt
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((((((   Andra raderingar   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\HP_Ägaren\Application Data\Microsoft\Clip Organizer\mstore10.mgc
c:\documents and settings\Steffi\Application Data\Microsoft\Clip Organizer\mstore10.mgc
c:\documents and settings\Steffi\Application Data\Microsoft\Clip Organizer\Offic10.MGC
c:\windows\Installer\46437.msi
c:\windows\Installer\4ada89.msi
c:\windows\Installer\7530ea.msi
c:\windows\Installer\7530eb.msp
c:\windows\Installer\7530ec.msp
c:\windows\Installer\7530ed.msp
c:\windows\Installer\7530ee.msp
c:\windows\Installer\7530ef.msp
c:\windows\Installer\7530f0.msp
c:\windows\Installer\7530f1.msp
c:\windows\Installer\7530f2.msp
c:\windows\Installer\7530f3.msp
c:\windows\Installer\7530f4.msp
c:\windows\Installer\75315f.msi
c:\windows\Installer\753160.msp
c:\windows\Installer\753161.msp
c:\windows\Installer\753162.msp
c:\windows\Installer\753163.msp
c:\windows\Installer\753164.msp
c:\windows\Installer\753165.msp
c:\windows\Installer\753166.msp
c:\windows\Installer\753167.msp
c:\windows\Installer\753168.msp
c:\windows\Installer\753169.msp
c:\windows\Installer\8d294b.msp
c:\windows\Installer\8d2968.msp
c:\windows\system32\ps2.bat



#7 Yoshis

Yoshis

    Användare

  • Medlemmar
  • PipPip
  • 30 inlägg

Postad 26 september 2009 klockan 10:46


.
((((((((((((((((((((((((   Filer Skapade från 2009-08-26 till 2009-09-26  ))))))))))))))))))))))))))))))
.

2009-09-25 22:31 . 2009-09-25 22:54 -------- d-----w- c:\program\Spybot - Search & Destroy
2009-09-25 22:31 . 2009-09-25 22:53 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-09-25 22:09 . 2009-09-25 22:09 -------- d-----w- c:\program\Trend Micro
2009-09-25 21:34 . 2009-09-25 22:35 -------- d-----w- c:\program\Error Repair Professional
2009-09-25 21:15 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-25 21:15 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-25 21:15 . 2009-09-25 21:15 -------- d-----w- c:\program\Malwarebytes' Anti-Malware
2009-09-25 21:07 . 2009-09-25 21:07 -------- d-----w- c:\documents and settings\Steffi\Application Data\Malwarebytes
2009-09-25 21:07 . 2009-09-25 21:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-25 20:59 . 2009-09-25 21:06 -------- d-----w- c:\program\Enigma Software Group
2009-09-25 20:32 . 2009-09-25 20:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Canneverbe Limited
2009-09-25 20:32 . 2009-09-25 20:32 -------- d-----w- c:\program\CCleaner
2009-09-14 15:42 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-09-14 15:42 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-09-14 15:42 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-09-14 15:42 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-09-14 15:42 . 2009-09-14 15:42 -------- d-----w- c:\program\Avira
2009-09-14 15:42 . 2009-09-14 15:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-09-13 16:13 . 2009-09-13 16:13 9381 ----a-w- c:\windows\system32\epfwdata.bin
2009-09-11 08:07 . 2009-09-11 08:07 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD Shrink
2009-09-11 07:33 . 2003-08-15 12:55 348160 ----a-w- c:\windows\system32\eSellerateEngine.dll
2009-09-10 00:05 . 2003-01-26 11:41 40960 ----a-w- c:\windows\system32\ssubtmr6.dll



#8 Yoshis

Yoshis

    Användare

  • Medlemmar
  • PipPip
  • 30 inlägg

Postad 26 september 2009 klockan 10:46


.
((((((((((((((((((((((((((((((((((((((((   Find3M Rapport   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-26 08:49 . 2008-07-18 12:53 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
2009-09-26 08:49 . 2008-07-18 12:53 0 ----a-w- c:\windows\system32\drivers\logiflt.iad
2009-09-26 00:16 . 2005-01-01 16:42 384 ----a-w- c:\windows\system32\DVCStateBkp-{00000003-00000000-00000006-00001102-00000004-20051102}.dat
2009-09-26 00:16 . 2005-01-01 16:42 384 ----a-w- c:\windows\system32\DVCState-{00000003-00000000-00000006-00001102-00000004-20051102}.dat
2009-09-26 00:16 . 2008-09-22 19:29 12 ----a-w- c:\windows\bthservsdp.dat
2009-09-25 21:27 . 2008-07-19 16:10 -------- d-----w- c:\documents and settings\Steffi\Application Data\Skype
2009-09-25 21:26 . 2008-07-19 16:12 -------- d-----w- c:\documents and settings\Steffi\Application Data\skypePM
2009-09-25 21:24 . 2009-01-20 20:19 -------- d-----w- c:\documents and settings\Steffi\Application Data\uTorrent
2009-09-14 15:12 . 2008-07-26 20:29 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-09-14 14:33 . 2009-03-09 18:43 -------- d-----w- c:\documents and settings\Steffi\Application Data\TeamViewer
2009-09-14 14:33 . 2008-07-18 12:16 -------- d-----w- c:\program\Tetra Blocks v1.5
2009-09-14 14:31 . 2008-07-18 14:17 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet
2009-09-14 14:31 . 2008-07-18 12:25 -------- d-----w- c:\documents and settings\All Users\Application Data\WLInstaller
2009-09-11 09:22 . 2008-07-18 14:07 -------- d-----w- c:\program\Delade filer\Adobe
2009-09-10 20:08 . 2008-07-18 23:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-08-26 22:32 . 2005-01-01 16:27 -------- d-----w- c:\program\Java
2009-08-17 23:55 . 2008-07-18 12:58 47360 ----a-w- c:\windows\system32\drivers\pcouffin.sys
2009-08-13 19:55 . 2009-08-13 19:55 -------- d-----w- c:\documents and settings\Steffi\Application Data\ESET
2009-08-10 16:53 . 2004-11-29 16:42 84948 ----a-w- c:\windows\system32\perfc01D.dat
2009-08-10 16:53 . 2004-11-29 16:42 447474 ----a-w- c:\windows\system32\perfh01D.dat
2009-08-09 10:53 . 2008-12-28 00:08 -------- d-----w- c:\program\TuneUp Utilities 2009
2009-08-09 10:36 . 2008-07-18 14:29 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
2009-08-09 10:35 . 2008-12-29 22:05 -------- d-----w- c:\program\NOS
2009-08-09 10:34 . 2008-07-18 13:31 -------- d-----w- c:\program\Delade filer\Nikon
2009-08-09 10:33 . 2008-12-28 00:07 -------- d-sh--w- c:\documents and settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}
2009-08-05 09:08 . 2004-08-04 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-31 05:52 . 2008-07-18 13:31 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLdu.DAT
2009-07-31 05:31 . 2009-07-31 05:31 604488 ----a-w- c:\windows\system32\TUProgSt.exe
2009-07-31 05:31 . 2009-07-06 22:17 361288 ----a-w- c:\windows\system32\TuneUpDefragService.exe
2009-07-31 05:31 . 2009-07-31 05:31 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUp Software
2009-07-25 03:23 . 2008-12-28 02:41 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-17 19:00 . 2004-08-04 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-15 09:48 . 2009-07-31 05:31 29000 ----a-w- c:\windows\system32\uxtuneup.dll
2009-07-13 21:43 . 2004-08-04 11:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 17:00 . 2004-08-04 11:00 915456 ----a-w- c:\windows\system32\wininet.dll
2008-01-19 06:09 . 2008-07-18 19:11 22 --sha-w- c:\windows\SMINST\HPCD.SYS

#9 Yoshis

Yoshis

    Användare

  • Medlemmar
  • PipPip
  • 30 inlägg

Postad 26 september 2009 klockan 10:49


.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Not* Tomma poster & legitima standardposter visas inte.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AnyDVD"="c:\program\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-12-27 2292672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-02-24 5537792]
"HPHUPD06"="c:\program\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [2004-06-07 49152]
"HPHmon06"="c:\windows\system32\hphmon06.exe" [2004-06-07 659456]
"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-02 61440]
"Home Theater SchSvr"="c:\program\Delade filer\InterVideo\SchSvr\SchSvr.exe" [2005-05-10 106496]
"WINREMOTE"="c:\program\InterVideo\Common\Bin\WinRemote.exe" [2005-05-10 233472]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"PS2"="c:\windows\system32\ps2.exe" [2004-10-25 90112]
"CTDVDDET"="c:\program\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" [2003-06-18 45056]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]
"regcmdcons"="c:\hp\bin\cloaker.exe" [1999-11-07 27136]
"DAEMON Tools-1033"="c:\program\D-Tools\daemon.exe" [2004-08-22 81920]
"LogitechCommunicationsManager"="c:\program\Delade filer\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 563984]
"LogitechQuickCamRibbon"="c:\program\Logitech\QuickCam\Quickcam.exe" [2007-10-25 2178832]
"GrooveMonitor"="c:\program\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"CloneCDTray"="c:\program\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]
"SunJavaUpdateSched"="c:\program\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"avgnt"="c:\program\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Malwarebytes Anti-Malware (reboot)"="c:\program\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"Malwarebytes' Anti-Malware"="c:\program\Malwarebytes' Anti-Malware\mbamgui.exe" [2009-09-10 420176]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-02-24 1495040]
"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CTHELPER.EXE [2003-11-14 24576]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2004-06-29 88363]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-03 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SetDefaultMIDI"="MIDIDEF.EXE" - c:\windows\MIDIDEF.EXE [2003-06-21 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\cssdll32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"UpdReg"=c:\windows\UpdReg.EXE
"Adobe Reader Speed Launcher"="c:\program\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001

#10 Yoshis

Yoshis

    Användare

  • Medlemmar
  • PipPip
  • 30 inlägg

Postad 26 september 2009 klockan 10:50


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program\\uTorrent\\uTorrent.exe"=
"c:\\Program\\Bonjour\\mDNSResponder.exe"=
"c:\\Program\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Documents and Settings\\HP_Ägaren\\temp\\TeamViewer3\\TeamViewer.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"c:\\Program\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program\Avira\AntiVir Desktop\sched.exe [2009-09-14 108289]
R2 MBAMService;MBAMService;c:\program\Malwarebytes' Anti-Malware\mbamservice.exe [2009-09-25 269648]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-07-31 604488]
R2 WebUpdate4;Web Update Wizard Service V4;c:\windows\system32\WebUpdateSvc4.exe [2008-01-18 258264]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2009-09-25 19160]
R3 PhTVTune;ASUS WDM TV Tuner;c:\windows\system32\drivers\PhTVTune.sys [2005-01-01 24544]
R3 WN5401;Liteon Wireless LAN PCI 802.11 a/b/g adapter WN5401A;c:\windows\system32\drivers\wn5401.sys [2005-01-01 449920]
S2 ekrn;ESET Service;"c:\program\ESET\ESET NOD32 Antivirus\ekrn.exe" --> c:\program\ESET\ESET NOD32 Antivirus\ekrn.exe [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Innehållet i mappen 'Schemalagda aktiviteter':

2009-09-26 c:\windows\Tasks\1-Click Maintenance.job
- c:\program\TuneUp Utilities 2009\OneClickStarter.exe [2009-07-16 08:54]



#11 Yoshis

Yoshis

    Användare

  • Medlemmar
  • PipPip
  • 30 inlägg

Postad 26 september 2009 klockan 10:51


.
.
------- Extra genomsökning -------
.
uStart Page = hxxp://www.tt.se/
uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=SV_SE&c=Q305&bd=pavilion&pf=desktop
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=SV_SE&c=Q305&bd=pavilion&pf=desktop
uInternet Settings,ProxyOverride = *.local
IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-26 11:30
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide]
"ImagePath"="\??\c:\docume~1\HP_GAR~1\LOKALA~1\Temp\ASFWHide"
.
--------------------- LÅSTA REGISTERNYCKLAR ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"



#12 Yoshis

Yoshis

    Användare

  • Medlemmar
  • PipPip
  • 30 inlägg

Postad 26 september 2009 klockan 10:52


.
--------------------- DLLer som "laddats" under processer som körs ---------------------

- - - - - - - > 'winlogon.exe'(1220)
c:\windows\system32\cssdll32.dll

- - - - - - - > 'lsass.exe'(1296)
c:\windows\system32\cssdll32.dll
.
Sluttid: 2009-09-26 11:32
ComboFix-quarantined-files.txt  2009-09-26 09:32

Före genomsökningen: 118 594 355 200 byte ledigt
Efter genomsökningen: 118 611 537 920 byte ledigt

WindowsXP-KB310994-SP2-Home-BootDisk-SVE.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

238 --- E O F --- 2009-09-15 18:51


Det var hela loggen! Tack så hemskt mycket Cecilia, att du hjälper oss icke kunniga! :)

MVH // Yoshis 



#13 Cecilia

Cecilia

    Beroende

  • Huvudmoderator
  • 84 200 inlägg
  • Ort:Stockholm

Postad 26 september 2009 klockan 11:22

Du kan läsa vad andra skriver om Error Repair Professional:
http://www.mywot.com...-repair-pro.com
Om programmet har fixat något så återställ om möjligt innan du avinstallerar det.

Det verkar också finnas något program från Enigma Software Group i datorn. Det är inte heller något bra: http://www.mywot.com...gmasoftware.com
Så avinstallera det också.

Det finns rester av Eset Nod32 i datorn så kör deras borttagningsprogram:
http://www.betterant...html#1170455686

Har du haft Comodo i datorn också?

Surfa till http://www.virustotal.com (fungerar bäst med Internet Explorer) klistra in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här. Upprepa med nästa filnamn.
c:\windows\system32\eSellerateEngine.dll
c:\windows\system32\ssubtmr6.dll
c:\windows\system32\drivers\logiflt.iad
c:\windows\system32\drivers\lvuvc.hs
c:\windows\system32\cssdll32.dll


#14 Yoshis

Yoshis

    Användare

  • Medlemmar
  • PipPip
  • 30 inlägg

Postad 26 september 2009 klockan 12:57

http://www.mywot.com/sv/scorecard/enigmasoftware.com
Så avinstallera det också=Lyckades inte hitta avinstallation så jag höger klickade på mappen med programmet och slängde hela mappen.

Det finns rester av Eset Nod32 i datorn så kör deras borttagningsprogram:
http://www.betterantivirus.com/nod32-antivirus-faqs/faqs/c1095623943.html#1170455686
Detta är gjort nu, tack det funkade utmärkt

Ang. Surfa till http://www.virustotal.com
Fattar inte riktigt, vad och hur använder jag informationen????

AntivirusVersionSenaste UppdateringResultata-squared4.5.0.242009.09.08-AhnLab-V35.0.0.22009.09.07-AntiVir7.9.1.122009.09.07-Antiy-AVL2.0.3.72009.09.08-Authentium5.1.2.42009.09.07-Avast4.8.1351.02009.09.07-AVG8.5.0.4092009.09.07-BitDefender7.22009.09.08-CAT-QuickHeal10.002009.09.08-ClamAV0.94.12009.09.08-Comodo22412009.09.08-DrWeb5.0.0.121822009.09.07-eSafe7.0.17.02009.09.06-eTrust-Vet31.6.67252009.09.08-F-Prot4.5.1.852009.09.07-F-Secure8.0.14470.02009.09.08-Fortinet3.120.0.02009.09.08-GData192009.09.08-IkarusT3.1.1.72.02009.09.08-Jiangmin11.0.8002009.09.08-K7AntiVirus7.10.8372009.09.05-Kaspersky7.0.0.1252009.09.08-McAfee57342009.09.07-McAfee+Artemis57342009.09.07-McAfee-GW-Edition6.8.52009.09.08-Microsoft1.50052009.09.08-NOD3244042009.09.08-Norman6.01.092009.09.07-nProtect2009.1.8.02009.09.07-Panda10.0.2.22009.09.07-PCTools4.4.2.02009.09.07-Prevx3.02009.09.08-Rising21.46.10.002009.09.08-Sophos4.45.02009.09.08-Sunbelt3.2.1858.22009.09.07-Symantec1.4.4.122009.09.08-TheHacker6.3.4.3.3972009.09.07-TrendMicro8.950.0.10942009.09.08-VBA323.12.10.102009.09.08-ViRobot2009.9.8.19222009.09.08-VirusBuster4.6.5.02009.09.07-Övrig informationFile size: 40960 bytesMD5   : dc7a3bc0fc185cd68848dc6f7d7b026bSHA1  : c661cb1198f5e3927a67884e71ca95ff33026224SHA256: 6618b3ab331642449f0b07e4f39abf9fc3bb90ae90b298f1b9ffd58ca5397399PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13E4
timedatestamp.....: 0x3E33E583 (Sun Jan 26 14:41:23 2003)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4885 0x5000 5.66 5acec7c9e9ddbd64f6dd64703d7e2e5e
.data 0x6000 0x5F8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x7000 0x1BAC 0x2000 3.88 fdf07ec06ad68b2436bb0f848c2b57a3
.reloc 0x9000 0x57A 0x1000 2.66 065b7238c4cf413b8007f104d058aeb3

( 1 imports )

> msvbvm60.dll: _CIcos, _adj_fptan, __vbaStrI4, __vbaVarMove, __vbaFreeVar, __vbaAptOffset, __vbaFreeVarList, _adj_fdiv_m64, __vbaRaiseEvent, _adj_fprem1, __vbaStrCat, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, -, __vbaObjSet, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, -, _CIsin, __vbaChkstk, EVENT_SINK_AddRef, __vbaGenerateBoundsError, DllFunctionCall, _adj_fpatan, EVENT_SINK_Release, _CIsqrt, -, __vbaObjIs, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, __vbaStrToUnicode, _adj_fprem, _adj_fdivr_m64, __vbaFailedFriend, __vbaFPException, __vbaStrVarVal, __vbaVarCat, -, _CIlog, __vbaErrorOverflow, __vbaNew2, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, -, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, -, -, -, -, -, __vbaStrToAnsi, _CIatan, __vbaStrMove, __vbaCastObj, _allmul, _CItan, _CIexp, __vbaFreeStr, __vbaFreeObj

( 1 exports )

> DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServerTrID  : File type identification
Windows OCX File (90.7%)
Win32 Executable Generic (6.2%)
Generic Win/DOS Executable (1.4%)
DOS Executable Generic (1.4%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)ssdeep: 768:vjBzwlSCIuAXEDsyPFHhOlLA57EkcAZnhtyFmNj:vLuAUocFHMlL07fRZPHPEiD  : -RDS   : NSRL Reference Data Set


#15 Cecilia

Cecilia

    Beroende

  • Huvudmoderator
  • 84 200 inlägg
  • Ort:Stockholm

Postad 26 september 2009 klockan 16:58

Bra att du har fått bort programmen.

Du har fattat rätt när det gäller virustotal. Även om du inte kan tolka informationen så kan jag göra det. Men jag inser nu att det blir lite mycket att klistra in här så du kan i stället klistra in länkarna till de olika resultaten.
Du ska alltså ladda upp alla filerna jag listade på virustotal en efter en och så vill jag veta vad resultatet blir för varje fil. Observera att i det sista filnamnet ska det inte vara något mellrum mitt i namnet.

#16 Yoshis

Yoshis

    Användare

  • Medlemmar
  • PipPip
  • 30 inlägg

Postad 26 september 2009 klockan 17:29

Hej, okej, gör ett försök! Borde ju funka att läsa :)

MVH//Yoshis

c:\windows\system32\eSellerateEngine.dll


http://www.virustotal.com/sv/analisis/ce31be0698f3ccf6fd0c34391823bd249c186ce76917223118f9bb358af6c624-1240835692


c:\windows\system32\ssubtmr6.dll

http://www.virustotal.com/sv/analisis/6618b3ab331642449f0b07e4f39abf9fc3bb90ae90b298f1b9ffd58ca5397399-1252392656

c:\ windows\system32\drivers\logiflt.iad
http://www.virustotal.com/vt/sv/recepcion?eb2f545c9d3f5d7c214f3b8e3ff32f3a


c:\windows\system32\drivers\lvuvc.hs
http://www.virustotal.com/vt/sv/recepcion?fdf014b84905515279f625a85cb93ec3


c:\windows\system32\cssd ll32.dll
http://www.virustotal.com/sv/analisis/55bb3124fbea8a6a3363e4028d1b05b52a5b1346df983e8d2c4dcd4577e5fabb-1253717206


#17 Cecilia

Cecilia

    Beroende

  • Huvudmoderator
  • 84 200 inlägg
  • Ort:Stockholm

Postad 26 september 2009 klockan 17:42

De två första och den sista länken fungerar men inte de två andra. Om du tittar på länkarna så ser du att de ser annorlunda ut, med recepcion i stället för analisis.

#18 Yoshis

Yoshis

    Användare

  • Medlemmar
  • PipPip
  • 30 inlägg

Postad 26 september 2009 klockan 18:09

Hej igen!

Får bara detta som resultat när jag försöker ladda upp filerna på virustotal.com=
[b]"0 bytes size received / Se ha recibido un archivo vacio"[/b]

Vet inte om jag gör fel, men det tror ja inte eftersom att jag lyckades med vissa?







Hmm vet inte vad jag gör för fel, dock...

MVH// Yoshis




#19 Cecilia

Cecilia

    Beroende

  • Huvudmoderator
  • 84 200 inlägg
  • Ort:Stockholm

Postad 26 september 2009 klockan 18:22

Kan du ta bort de två filerna:
c:\ windows\system32\drivers\logiflt.iad
c:\windows\s ystem32\drivers\lvuvc.hs


Har du haft Comodo i datorn också?

#20 Yoshis

Yoshis

    Användare

  • Medlemmar
  • PipPip
  • 30 inlägg

Postad 26 september 2009 klockan 18:39

Hej igen!

Jodå körde comodo en sväng, när mitt service avtal hos HP slutade gälla och tänkte använda det till jag köpt något annat, men efter lite strul med datorn, bestämde jag mig att avinstallera det utan att ens börja använda det. :) 

Jo, angående filerna 

c:\ windows\system32\drivers\logiflt.iad
c:\windows\s ystem32\drivers\lvuvc.hs

Kan jag ta bort dessa utan att förstöra datorn?

MVH// Yoshis





0 användare läser detta ämne

0 medlemmar, 0 gäster, 0 anonyma medlemmar

 

Senaste trådarna

pc för alla Senaste nytt


Prenumerera på nyheter

Missa inte PC för Allas
smarta nyhetsbrev
Läs mer om nyhetsbreven här!
  PFA Express
  Veckans surftips
  Extreme
PC för Alla-nätverket