UKASH TROJAN (WINDOWS7 )

[Stud]

.

DDS (Ver_2011-08-26.01) - NTFSAMD64 MINIMAL

Internet Explorer: 9.0.8112.16421

Run by MITTNAMN at 21:54:04 on 2012-09-21

Microsoft Windows 7 Home Premium 6.1.7600.0.1252.46.1053.18.4093.2724 [GMT 2:00]

.

AV: Telia Säker surf 9.15 *Enabled/Updated* {15414183-282E-D62C-CA37-EF24860A2F17}

SP: Telia Säker surf 9.15 *Enabled/Updated* {AE20A067-0E14-D9A2-F087-D456FD8D65AA}

SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

FW: Telia Säker surf 9.15 *Enabled* {2D7AC0A6-6241-D774-E168-461178D9686C}

.

============== Running Processes ===============

.

C:\Windows\system32\wininit.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe -k DcomLaunch

C:\Windows\system32\svchost.exe -k RPCSS

C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted

C:\Windows\system32\svchost.exe -k netsvcs

C:\Windows\system32\svchost.exe -k LocalSystemNetworkRestricted

C:\Windows\system32\svchost.exe -k NetworkService

C:\Windows\Explorer.EXE

C:\Windows\system32\ctfmon.exe

C:\Windows\System32\svchost.exe -k secsvcs

C:\Windows\SysWOW64\cmd.exe

C:\Windows\system32\conhost.exe

C:\Windows\SysWOW64\cscript.exe

C:\Windows\system32\wbem\wmiprvse.exe

C:\Windows\system32\DllHost.exe

.

============== Pseudo HJT Report ===============

.

uStart Page = about:blank

uURLSearchHooks: uTorrentControl2 Toolbar: {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll

mURLSearchHooks: uTorrentControl2 Toolbar: {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll

mWinlogon: Userinit=userinit.exe,

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

BHO: uTorrentControl2 Toolbar: {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll

BHO: Windows Live ID Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

BHO: Java™ Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll

TB: uTorrentControl2 Toolbar: {687578b9-7132-4a7a-80e4-30ee31099e03} - C:\Program Files (x86)\uTorrentControl2\prxtbuTor.dll

uRun: [RESTART_STICKY_NOTES] C:\Windows\System32\StikyNot.exe

mRun: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"

mRun: [sunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"

mRun: [ToshibaServiceStation] "C:\Program Files (x86)\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe" /hide:60

mRun: [TUSBSleepChargeSrv] %ProgramFiles(x86)%\TOSHIBA\TOSHIBA USB Sleep and Charge Utility\TUSBSleepChargeSrv.exe

mRun: [TWebCamera] "%ProgramFiles(x86)%\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" autorun

mRun: [PWRISOVM.EXE] C:\Program Files (x86)\PowerISO\PWRISOVM.EXE

mRun: [Telia] "C:\Program Files (x86)\Telia\Supportassistenten\bin\sprtcmd.exe" /P TeliaDA

mRun: [F-Secure Manager] "C:\Program Files (x86)\Telia\Telias sakerhetstjanster\Common\FSM32.EXE" /splash

mRun: [F-Secure TNB] "C:\Program Files (x86)\Telia\Telias sakerhetstjanster\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

mRun: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime

mRunOnce: [Malwarebytes Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

mRunOnce: [Malwarebytes Anti-Malware (cleanup)] rundll32.exe "C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript

StartupFolder: C:\Users\MITTNAMN\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\startup\Dropbox.lnk - C:\Users\MITTNAMN\AppData\Roaming\Dropbox\bin\Dropbox.exe

mPolicies-explorer: NoActiveDesktop = 1 (0x1)

mPolicies-system: ConsentPromptBehaviorAdmin = 0 (0x0)

mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)

mPolicies-system: EnableLUA = 0 (0x0)

mPolicies-system: EnableUIADesktopToggle = 0 (0x0)

mPolicies-system: PromptOnSecureDesktop = 0 (0x0)

IE: E&xportera till Microsoft Excel - C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000

IE: {76577871-04EC-495E-A12B-91F7C3600AFA} - http://adfarm.mediap...06-44921-9400-2

IE: {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.co...nk-21&site=home

IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL

LSP: C:\Program Files (x86)\Telia\Telias sakerhetstjanster\FSPS\program\FSLSP.DLL

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

TCP: DhcpNameServer = 192.168.1.1

TCP: Interfaces\{5963934B-D60F-4AB8-B46B-629B54093D99} : NameServer = 130.244.127.161 130.244.127.169

TCP: Interfaces\{96AD7295-473D-4B41-B91E-061B9259F3A8} : DhcpNameServer = 192.168.1.1

TCP: Interfaces\{96AD7295-473D-4B41-B91E-061B9259F3A8}\94E64756E6F6F54423 : DhcpNameServer = 192.168.1.1

TCP: Interfaces\{C7F7B18F-7264-41B9-88A5-59A4FAEF121D} : DhcpNameServer = 81.26.228.3 192.168.123.254

Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll

{18DF081C-E8AD-4283-A596-FA578C2EBDC3}

{687578b9-7132-4a7a-80e4-30ee31099e03}

{9030D464-4C02-4ABF-8ECC-5164760863C6}

{DBC80044-A445-435b-BC74-9C25C1C588A9}

{687578b9-7132-4a7a-80e4-30ee31099e03}

mRun-x64: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe"

mRun-x64: [sunJavaUpdateSched] "C:\Program Files (x86)\Java\jre6\bin\jusched.exe"

mRun-x64: [ToshibaServiceStation] "C:\Program Files (x86)\TOSHIBA\TOSHIBA Service Station\ToshibaServiceStation.exe" /hide:60

mRun-x64: [TUSBSleepChargeSrv] %ProgramFiles(x86)%\TOSHIBA\TOSHIBA USB Sleep and Charge Utility\TUSBSleepChargeSrv.exe

mRun-x64: [TWebCamera] "%ProgramFiles(x86)%\TOSHIBA\TOSHIBA Web Camera Application\TWebCamera.exe" autorun

mRun-x64: [PWRISOVM.EXE] C:\Program Files (x86)\PowerISO\PWRISOVM.EXE

mRun-x64: [Telia] "C:\Program Files (x86)\Telia\Supportassistenten\bin\sprtcmd.exe" /P TeliaDA

mRun-x64: [F-Secure Manager] "C:\Program Files (x86)\Telia\Telias sakerhetstjanster\Common\FSM32.EXE" /splash

mRun-x64: [F-Secure TNB] "C:\Program Files (x86)\Telia\Telias sakerhetstjanster\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

mRun-x64: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime

mRunOnce-x64: [Malwarebytes Anti-Malware] C:\Program Files (x86)\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

mRunOnce-x64: [Malwarebytes Anti-Malware (cleanup)] rundll32.exe "C:\ProgramData\Malwarebytes\Malwarebytes' Anti-Malware\cleanup.dll",ProcessCleanupScript

IE-X64: {76577871-04EC-495E-A12B-91F7C3600AFA} - http://adfarm.mediap...06-44921-9400-2

IE-X64: {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.co...nk-21&site=home

.

================= FIREFOX ===================

.

FF - ProfilePath - C:\Users\MITTNAMN\AppData\Roaming\Mozilla\Firefox\Profiles\lr4z2uj4.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/ig

FF - plugin: C:\Program Files (x86)\Java\jre6\bin\plugin2\npjp2.dll

FF - plugin: C:\Program Files (x86)\Microsoft Silverlight\4.1.10329.0\npctrlui.dll

FF - plugin: C:\Program Files (x86)\Picasa2\npPicasa2.dll

FF - plugin: C:\Program Files (x86)\Windows Live\Photo Gallery\NPWLPG.dll

FF - plugin: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_3_300_271.dll

FF - plugin: C:\Windows\SysWOW64\npdeployJava1.dll

FF - plugin: C:\Windows\SysWOW64\npmproxy.dll

.

============= SERVICES / DRIVERS ===============

.

R0 fsbts;fsbts;C:\Windows\System32\drivers\fsbts.sys [2012-3-9 42672]

R0 Thpdrv;TOSHIBA HDD Protection Driver;C:\Windows\system32\DRIVERS\thpdrv.sys --> C:\Windows\system32\DRIVERS\thpdrv.sys [?]

R0 Thpevm;TOSHIBA HDD Protection - Shock Sensor Driver;C:\Windows\system32\DRIVERS\Thpevm.SYS --> C:\Windows\system32\DRIVERS\Thpevm.SYS [?]

R0 tos_sps64;TOSHIBA tos_sps64 Service;C:\Windows\system32\DRIVERS\tos_sps64.sys --> C:\Windows\system32\DRIVERS\tos_sps64.sys [?]

R1 raddrvv3;raddrvv3;C:\Windows\SysWOW64\rserver30\raddrvv3.sys [2009-10-9 68704]

R2 rimspci;rimspci;C:\Windows\system32\DRIVERS\rimspe64.sys --> C:\Windows\system32\DRIVERS\rimspe64.sys [?]

R2 risdpcie;risdpcie;C:\Windows\system32\DRIVERS\risdpe64.sys --> C:\Windows\system32\DRIVERS\risdpe64.sys [?]

R2 rixdpcie;rixdpcie;C:\Windows\system32\DRIVERS\rixdpe64.sys --> C:\Windows\system32\DRIVERS\rixdpe64.sys [?]

R3 huawei_enumerator;huawei_enumerator;C:\Windows\system32\DRIVERS\ew_jubusenum.sys --> C:\Windows\system32\DRIVERS\ew_jubusenum.sys [?]

S1 F-Secure HIPS;F-Secure HIPS Driver;C:\Program Files (x86)\Telia\Telias sakerhetstjanster\HIPS\drivers\fshs.sys [2012-3-9 60040]

S1 FSES;F-Secure Email Scanning Driver;C:\Windows\system32\drivers\fses.sys --> C:\Windows\system32\drivers\fses.sys [?]

S1 FSFW;F-Secure Firewall Driver;C:\Windows\system32\drivers\fsdfw.sys --> C:\Windows\system32\drivers\fsdfw.sys [?]

S1 fsvista;F-Secure Vista Support Driver;C:\Program Files (x86)\Telia\Telias sakerhetstjanster\Anti-Virus\minifilter\fsvista.sys [2012-3-9 14904]

S1 PMCF;PMCF;\??\C:\Windows\system32\drivers\PMCF.sys --> C:\Windows\system32\drivers\PMCF.sys [?]

S1 VWiFiFlt;Virtual WiFi Filter Driver;C:\Windows\system32\DRIVERS\vwififlt.sys --> C:\Windows\system32\DRIVERS\vwififlt.sys [?]

S2 AMD External Events Utility;AMD External Events Utility;C:\Windows\system32\atiesrxx.exe --> C:\Windows\system32\atiesrxx.exe [?]

S2 camsvc;TOSHIBA Web Camera Service;C:\Program Files (x86)\Toshiba\TOSHIBA Web Camera Application\TWebCameraSrv.exe [2010-1-16 20544]

S2 cfWiMAXService;ConfigFree WiMAX Service;C:\Program Files (x86)\Toshiba\ConfigFree\CFIWmxSvcs64.exe [2009-8-10 248688]

S2 ConfigFree Gadget Service;ConfigFree Gadget Service;C:\Program Files (x86)\Toshiba\ConfigFree\CFProcSRVC.exe [2009-7-14 42368]

S2 ConfigFree Service;ConfigFree Service;C:\Program Files (x86)\Toshiba\ConfigFree\CFSvcs.exe [2009-3-10 46448]

S2 F-Secure Gatekeeper Handler Starter;FSGKHS;C:\Program Files (x86)\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe [2012-3-9 221864]

S2 sprtsvc_teliada;SupportSoft Sprocket Service (teliada);C:\Program Files (x86)\Telia\Supportassistenten\bin\sprtsvc.exe [2012-3-9 206120]

S2 TeamViewer5;TeamViewer 5;C:\Program Files (x86)\TeamViewer\Version5\TeamViewer_Service.exe [2011-9-22 2025336]

S2 tgsrvc_teliada;SupportSoft Repair Service (teliada);C:\Program Files (x86)\Telia\Supportassistenten\bin\tgsrvc.exe [2012-3-9 185640]

S2 TOSHIBA eco Utility Service;TOSHIBA eco Utility Service;C:\Program Files\TOSHIBA\TECO\TecoService.exe [2009-4-24 242176]

S2 TOSHIBA HDD SSD Alert Service;TOSHIBA HDD SSD Alert Service;C:\Program Files\TOSHIBA\TOSHIBA HDD SSD Alert\TosSmartSrv.exe [2009-3-17 84480]

S3 BTCFilterService;USB Networking Driver Filter Service;C:\Windows\system32\DRIVERS\motfilt.sys --> C:\Windows\system32\DRIVERS\motfilt.sys [?]

S3 ew_hwusbdev;Huawei MobileBroadband USB PNP Device;C:\Windows\system32\DRIVERS\ew_hwusbdev.sys --> C:\Windows\system32\DRIVERS\ew_hwusbdev.sys [?]

S3 ewusbmbb;HUAWEI USB-WWAN miniport;C:\Windows\system32\DRIVERS\ewusbwwan.sys --> C:\Windows\system32\DRIVERS\ewusbwwan.sys [?]

S3 F-Secure Gatekeeper;F-Secure Gatekeeper;C:\Program Files (x86)\Telia\Telias sakerhetstjanster\Anti-Virus\minifilter\fsgk.sys [2012-3-9 199848]

S3 FSORSPClient;F-Secure ORSP Client;C:\Program Files (x86)\Telia\Telias sakerhetstjanster\ORSP Client\fsorsp.exe [2012-3-9 61088]

S3 mirrorv3;mirrorv3;C:\Windows\system32\DRIVERS\rminiv3.sys --> C:\Windows\system32\DRIVERS\rminiv3.sys [?]

S3 motccgp;Motorola USB Composite Device Driver;C:\Windows\system32\DRIVERS\motccgp.sys --> C:\Windows\system32\DRIVERS\motccgp.sys [?]

S3 motccgpfl;MotCcgpFlService;C:\Windows\system32\DRIVERS\motccgpfl.sys --> C:\Windows\system32\DRIVERS\motccgpfl.sys [?]

S3 Motousbnet;Motorola USB Networking Driver Service;C:\Windows\system32\DRIVERS\Motousbnet.sys --> C:\Windows\system32\DRIVERS\Motousbnet.sys [?]

S3 motusbdevice;Motorola USB Dev Driver;C:\Windows\system32\DRIVERS\motusbdevice.sys --> C:\Windows\system32\DRIVERS\motusbdevice.sys [?]

S3 NETw5s64;Kortdrivrutin för Windows 7 64-bitars Intel® Wireless WiFi Link;C:\Windows\system32\DRIVERS\NETw5s64.sys --> C:\Windows\system32\DRIVERS\NETw5s64.sys [?]

S3 netw5v64;Intel® Wireless WiFi Link 5000 Series Adapter Driver for Windows Vista 64 Bit;C:\Windows\system32\DRIVERS\netw5v64.sys --> C:\Windows\system32\DRIVERS\netw5v64.sys [?]

S3 PGEffect;Pangu effect driver;C:\Windows\system32\DRIVERS\pgeffect.sys --> C:\Windows\system32\DRIVERS\pgeffect.sys [?]

S3 RTL8167;Realtek 8167 NT Driver;C:\Windows\system32\DRIVERS\Rt64win7.sys --> C:\Windows\system32\DRIVERS\Rt64win7.sys [?]

S3 SbieDrv;SbieDrv;C:\Program Files\Sandboxie\SbieDrv.sys [2011-11-23 158336]

S3 Ser2at;ATEN USB to Serial port driver;C:\Windows\system32\DRIVERS\ser2at64.sys --> C:\Windows\system32\DRIVERS\ser2at64.sys [?]

S3 TMachInfo;TMachInfo;C:\Program Files (x86)\Toshiba\TOSHIBA Service Station\TMachInfo.exe [2010-1-16 54136]

S3 WatAdminSvc;Aktiveringsteknologier för Windows-tjänst;C:\Windows\system32\Wat\WatAdminSvc.exe --> C:\Windows\system32\Wat\WatAdminSvc.exe [?]

S3 vwifimp;Microsoft Virtual WiFi Miniport Service;C:\Windows\system32\DRIVERS\vwifimp.sys --> C:\Windows\system32\DRIVERS\vwifimp.sys [?]

S4 F-Secure Filter;F-Secure File System Filter;C:\Program Files (x86)\Telia\Telias sakerhetstjanster\Anti-Virus\win2k\fsfilter.sys [2012-3-9 41896]

S4 F-Secure Recognizer;F-Secure File System Recognizer;C:\Program Files (x86)\Telia\Telias sakerhetstjanster\Anti-Virus\win2k\fsrec.sys [2012-3-9 27304]

S4 HWDeviceService64.exe;HWDeviceService64.exe;C:\ProgramData\DatacardService\HWDeviceService64.exe -/service --> C:\ProgramData\DatacardService\HWDeviceService64.exe -/service [?]

S4 MotoHelper;MotoHelper Service;C:\Program Files (x86)\Motorola\MotoHelper\MotoHelperService.exe [2010-9-7 202048]

S4 MozillaMaintenance;Mozilla Maintenance Service;C:\Program Files (x86)\Mozilla Maintenance Service\maintenanceservice.exe [2012-5-22 113120]

S4 RServer3;Radmin Server V3;C:\Windows\SysWOW64\rserver30\rserver3.exe [2009-10-9 1242504]

S4 Tele2 Mobile Partner. RunOuc;Tele2 Mobile Partner. OUC;C:\Program Files (x86)\Tele2 Mobile Partner\UpdateDog\ouc.exe [2012-2-24 218624]

.

=============== Created Last 30 ================

.

2012-09-19 23:02:28 -------- d-----w- C:\Users\MITTNAMN\AppData\Roaming\Malwarebytes

2012-09-19 23:02:08 -------- d-----w- C:\ProgramData\Malwarebytes

2012-09-19 23:02:07 25928 ----a-w- C:\Windows\System32\drivers\mbam.sys

2012-09-19 23:02:07 -------- d-----w- C:\Program Files (x86)\Malwarebytes' Anti-Malware

2012-09-19 22:25:26 8643640 ----a-w- C:\ProgramData\Microsoft\Windows Defender\Definition Updates\{41B701D7-1D70-4ABA-AF24-F0DCF317B163}\mpengine.dll

2012-09-19 15:30:50 -------- d-----w- C:\ProgramData\pamzuppmbmpbnro

2012-09-19 15:21:11 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{6D20BBDE-2F31-4DD4-826E-07CF0642297C}

2012-09-18 20:29:02 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\Apps

2012-09-18 19:55:48 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{2F1AC55B-CDB1-49FF-B592-8BECB942647C}

2012-09-17 18:22:19 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{B946971E-7210-4E6B-9625-6DDBAA3A4F42}

2012-09-16 12:12:36 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{BC4A886A-A757-49A6-AEC3-536DF8415CD7}

2012-09-15 19:44:44 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{807F33A3-8F50-4D6E-AA37-C08ADE674511}

2012-09-14 13:40:38 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{8EDB5520-82AA-487F-9EB8-1C880AFCBCF3}

2012-09-13 20:02:32 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{455010A3-8C07-493F-BD74-2542B54353CA}

2012-09-12 19:41:15 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{1452F7E3-B6E4-408C-A5E1-1909BAF76FFD}

2012-09-12 06:57:05 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{327DC71C-9E3C-4C98-B483-7ED1B4A9D693}

2012-09-11 16:25:05 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{419EBDEA-BF59-4951-B9F7-6685CE3AFBDF}

2012-09-10 20:25:38 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{C7CDC069-F0F4-4796-BC99-222E4BF49480}

2012-09-09 18:17:55 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{3CD90558-856E-4879-BC21-A57BAEA175D6}

2012-09-08 17:44:55 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{9562428C-8478-4C4F-BBC4-1372CC114CE1}

2012-09-07 17:46:34 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{0CFE4577-E35E-48C4-B718-27E9962E8B9C}

2012-09-06 17:24:48 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{F5729C07-312B-400F-AC65-F5D3D1115519}

2012-09-05 19:05:28 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{0380D29D-B5E6-4977-8395-09C7E5D16583}

2012-09-04 09:18:25 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{42D47D79-6CE6-4F5E-9BC7-2FDB13CB44FD}

2012-09-03 16:30:06 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{A4CFB57D-D77C-47A0-A019-DD3445BD7E8E}

2012-09-02 19:42:02 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{E78FFFCF-2589-4884-B42E-EDFDB557965B}

2012-09-02 19:40:38 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\Macromedia

2012-08-31 11:58:37 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{622C8F4B-5710-420A-85A8-3216656E751D}

2012-08-30 10:42:11 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{0EDDE250-4189-4EE8-97A9-11DBFF07D0E6}

2012-08-29 16:55:47 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{888558EE-9BB0-47CF-AAA2-75B06DD68E15}

2012-08-28 15:05:48 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{BF62F535-FF07-4146-B33C-7F03471163F9}

2012-08-27 10:10:33 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{85136B03-9852-483D-B36A-8AC149881949}

2012-08-26 17:09:55 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{1E9470FB-8C40-493E-A481-EE625E542843}

2012-08-25 14:20:08 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{6D4EF5CE-8302-4056-B445-89488C1B42B2}

2012-08-24 14:23:35 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{B4D6F202-9A56-41DC-9FDA-0DB2C25E38B9}

2012-08-23 18:54:19 -------- d-----w- C:\Users\MITTNAMN\AppData\Local\{F89CA15D-604D-4C21-9953-92D0CCB4E6C1}

.

==================== Find3M ====================

.

2011-04-22 14:10:44 1074241265 ----a-w- C:\Program Files (x86)\UrbanTerror411.exe

.

============= FINISH: 21:54:31,01 ===============

 

 

vittu satana! Fick UKASH-trojanen och givetvis på adminkonto så det hann redigera registernycklar etc. Har följt generella guider/åtgärder utan resultat

utan här krävs precision ! Därför vänder jag mig med stor tilltro till er bättre kunniga.

Nedan mitt sysinfo följt av händelseförlopp & sist DDSlogg

 

 

Microsoft Windows 7 Home Premium 6.1.7600.

3 konton (varav 2 admin )

Telia brandvägg + FSECURE updated.

 

Förlopp

1. Hur jag fick viruset är viktigt att utreda, kanske flash-java-webbläsar attack som alla andra men jag misstänker

snarare en mp3 låt som jag laddade ner i all hast för att hjälpa en bekant varav normala försiktighetsåtgärder sattes åt sidan...

UKASH-körde sin helbild direkt när låten skulle skickas via MSN !

Stängde ner datorn & bootade i felsäkert läge för att mauellt radera låten men när windows skulle

starta normalt gick det segt och UKASH-bilden kom tillbaka.

 

2. Tog bort nätverksåtkomst och stängde av datorn medans jag forskade runt efter andras lösningar/åtgärder på diverse forum.

Följde en rimlig guide som antydde att den skadliga koden bäst kunde åtgärdas i regedit. Felsäkert läge >kommandotolk

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\

"Shell"

 

värdet var redan explorer.exe (den korrupta?) så jag blankade fältet och gick vidare.

bockade ur tveksamheter i autostart (msconfig) samt körde en systemåterställning till ca 2 veckor gammal punkt.

Lade även AntiMalwareBytes på skrivbordet via usbsticka och startade om.

Scannen fann bara 2 saker typ adware/cookie/clicker

 

3. Tredje gången loggade jag med nya ideér ( felsäkert läge)

raderade manuellt exe filer i mappar som ProgramData,%appdata%,TEMP, cachen i webbläsare, alla återställningspunkter utom den sista + windows diskrensning.

*någonstans här körde jag en ny MBAM-scan och raderade det 1 objekt som fanns.

*någonstans körde jag DDS-logg från skrivbordet

 

Men nu för att knyta an till rubriken, i regedit fann jag något som hette "ExcludeProfileDirs" (REG_SZ) med ett värde

som just pekar åt %app%blabla.$RECYCLE.BIN

Är detta virusen i papperskorgen? Eller är det helt irrelevant och har att göra med windows-profiler-roaming dump.

 

4. I NULÄGET är det dock så att jag gick in i adminkonto #2 och körde F-SECURE utökad heuritisk scan som fann 8 virus

innan den fastnade på en .exe fil (ett spel som legat i vila 1 år.framgår i DDS loggen som urbanterror.exe ) det gick inte byta namn på den så det krävdes att

radera den manuellt i felsäkert läge.Kanske är finess i den skadliga koden eler så är det bara windows klenhet som har en tendens att låsa filer.

 

Åter igen en scan men F-SECURE fastnar igen. sökvägen är såklart:

C:\$RECYCLE.BIN\S-1-5-21-4178440304-4164610563-1246949688-1000\$R...

 

 

DDS Logg

*Den hamnade tydligen överst.

 

[Brynäsarn]

Jag ser i DDS-loggen att du har en väldigt gammal java-version med kända säkerhetshål,som

gör att datorn kan bli infekterad från en webbsida.Avinstallera och hämta uppdaterad Java

http://www.java.com/sv/ när datorn är ren.

[Cecilia]

2012-09-19 15:30:50 -------- d-----w- C:\ProgramData\pamzuppmbmpbnro

Hittar du den mappen?

Går det att ta bort den?

 

Kommer Ukash-bilden fortfarande upp?

Eller har du fått andra problem pga att du har städat bort sådant som borde vara kvar?

 

3. Helt irrelevant i detta fall. Du kan läsa om det registervärdet på http://support.microsoft.com/kb/188692 och det är inget som används i hemmiljö utan det gäller att innehållet i t ex papperskorgen inte ska kopieras till en central server. Gör absolut inget som står på den sidan utan den är endast till för läsning.

 

4. ***********Tutorial http://jpshortstuff.247fixes.com/SystemLook.html

Spara SystemLook på Skrivbordet från:

http://jpshortstuff.247fixes.com/SystemLook_x64.exe

 

Dubbelklicka på SystemLook-filen för att köra den.

 

Kopiera alla rader i rutan

:dir
C:\$RECYCLE.BIN
C:\$RECYCLE.BIN\S-1-5-21-4178440304-4164610563-1246949688-1000

och klistra in i det stora textfältet i SýstemLook.

Tryck på knappen Look för att starta sökningen.

När det är klart så kommer Anteckningar upp med en logg, och den klistrar du in här. Om loggen inte kommer upp så finns den som SystemLook.txt på Skrivbordet.

[Stud]

2012-09-19 15:30:50 -------- d-----w- C:\ProgramData\pamzuppmbmpbnro

Hittar du den mappen?

Går det att ta bort den?

 

När det är klart så kommer Anteckningar upp med en logg, och den klistrar du in här.

 

Hej tack för ditt engageman och respons.

Ja den mappen gick ta bort.

Här är systemlock info:

 

 SystemLook 30.07.11 by jpshortstuff
Log created at 22:39 on 22/09/2012 by MITTNAMN Administrator - Elevation successful

========== dir ==========

C:\$RECYCLE.BIN - Parameters: "(none)"

---Files---
None found.

---Folders---
S-1-5-20 d--hs-- [18:16 21/08/2012]
S-1-5-21-4178440304-4164610563-1246949688-1000 d--hs-- [15:44 16/01/2010]
S-1-5-21-4178440304-4164610563-1246949688-1001 d--hs-- [20:18 26/01/2010]
S-1-5-21-4178440304-4164610563-1246949688-1002 d--hs-- [18:11 16/02/2010]
S-1-5-21-4178440304-4164610563-1246949688-500 d--hs-- [10:26 16/01/2010]
S-1-5-21-4178440304-4164610563-1246949688-501 d--hs-- [10:46 27/08/2010]

C:\$RECYCLE.BIN\S-1-5-21-4178440304-4164610563-1246949688-1000 - Parameters: "(none)"

---Files---
$I18X4OJ --a---- 544 bytes [18:28 14/06/2012] [18:28 14/06/2012]
$ING349Z.exe --a---- 544 bytes [23:37 21/09/2012] [23:37 21/09/2012]
$IOQBLQP.lnk --a---- 544 bytes [07:35 15/06/2012] [07:35 15/06/2012]
$RNG349Z.exe --a---- 1074241265 bytes [14:12 22/04/2011] [14:10 22/04/2011]
$ROQBLQP.lnk --a---- 2603 bytes [07:34 15/06/2012] [07:34 15/06/2012]
desktop.ini --ahs-- 129 bytes [15:44 16/01/2010] [15:44 16/01/2010]

---Folders---
$R18X4OJ d------ [18:27 14/06/2012]

-= EOF =-

[Cecilia]

$RNG349Z.exe --a---- 1074241265 bytes [14:12 22/04/2011] [14:10 22/04/2011]

Det är en fil i en av användarnas Papperskorg och den är 1 GB stor och det är därmed inte konstigt att F-secure fastnar väldigt länge på den filen.

Kan du gå igenom de olika användarkontonas papperskorgar och tömma dem?

Däremot så är filnamnet inte $RNG349 när man tittar på den inifrån Papperskorgen.

 

Kommer Ukash-bilden fortfarande upp?

Eller har du fått andra problem pga att du har städat bort sådant som borde vara kvar?

[Stud]

$RNG349Z.exe --a---- 1074241265 bytes [14:12 22/04/2011] [14:10 22/04/2011]

Det är en fil i en av användarnas Papperskorg och den är 1 GB stor och det är därmed inte konstigt att F-secure fastnar väldigt länge på den filen.

Kan du gå igenom de olika användarkontonas papperskorgar och tömma dem?

Däremot så är filnamnet inte $RNG349 när man tittar på den inifrån Papperskorgen.

 

Kommer Ukash-bilden fortfarande upp?

Eller har du fått andra problem pga att du har städat bort sådant som borde vara kvar?

 

Oj,eftersom internetexplorer hängde sig fick jag skriva om hela inlägget och glömde en sak angående den filen.

(steg 5 dvs)

 

F-SECURE fastnade på den filen (urbanterror.exe i /ProgramData )

antagligen helt random exefil som angripits.

2 gånger,därför gick jag in i felsäkert läge och raderade den.

Då fastnade scannen istället på /Recycle.bin

Det är något skumt med den...filen är säkert skriven så windows är helt maktlös/att antivirus ska freeza

 

1. Jag fick bort Ukash-bilden i ett tidigt skede.

2. Nej jag har inte några märkbara fel utöver detta.

[Cecilia]

Det finns ingen anledning att tro att bara för att F-secure fastnar på en fil så är den infekterad.

 

Recycle.bin är mappen som innehåller alla papperskorgar. I en av papperskorgarna finns en programfil som är 1 GB stor och det tar F-secure en evinnerlig tid att kolla igenom ett program som är 1 GB stor. Jag skulle tro att det är urbanterror.exe som nu ligger i en av papperskorgarna för det stämmer med storleken:

2011-04-22 14:10:44 1074241265 ----a-w- C:\Program Files (x86)\UrbanTerror411.exe

$RNG349Z.exe --a---- 1074241265 bytes [14:12 22/04/2011] [14:10 22/04/2011]

 

Ukash-trojanen är normalt lätt att bli av med och jag skulle tro att detta var fullt tillräckligt för att inaktivera den:

bockade ur tveksamheter i autostart (msconfig)

 

Eftersom du har gjort en systemåterställning två veckor tillbaks i tiden så är det viktigt att du kör Windows Update, om inte månadens uppdateringar redan har installerats ännu en gång automatiskt.

 

Avinstallera uTorrentControl2 Toolbar pga http://www.systemlookup.com/CLSID/74052-tbuTor_dll_tbuTo0_dll_tbuTo1_dll_tbuTo2_dll_prxtbuTor_dll_prxtbuTo0_dll_prxtbuTo1_dll_prxtbuTo2_dll.html

 

Där verkar finnas gamla programversioner med säkerhetshål i datorn. Låt Secunias Software Inspector kolla upp datorn och fixa de problem som den rapporterar. Den engelska sidan http://www.bleepingcomputer.com/tutorials/detect-vulnerable-programs-with-secunia-psi/ beskriver hur man installerar och använder programmet.

 

Ta bort DDS-programmet och dess loggar.

[Stud]

Ukash-trojanen är normalt lätt att bli av med och jag skulle tro att detta var fullt tillräckligt för att inaktivera den:

 

Eftersom du har gjort en systemåterställning två veckor tillbaks i tiden så är det viktigt att du kör Windows Update, om inte månadens uppdateringar redan har installerats ännu en gång automatiskt.

 

Avinstallera uTorrentControl2 Toolbar pga http://www.systemloo...tbuTo2_dll.html

 

Möjligt. Vissa personer verkar bara kunnat döda processen när den uppenbarar sig medans andra verkar få problem att

ens få igång sitt operativ (enligt flashback tråden) där inte ens recovery console hjälpt. Koden skadar olika och i mitt fall angrep den

enkelt system & registernycklar.

 

 

uTorrentToolbaren såg jag medans jag radera lite program i kontrollpanelen/visa uppdateringar.

den var märklig och dold men är nu borta.

 

Hittar dock inte specifika JAVA-versioner ? ska jag avinstallera hela tramset istället?

Återkommer med scanresultat, Tack och får nog säga att det är natt för mig nu hehe

[Cecilia]

När du körde DDS så fanns Java version 6 Update 17 i datorn.

[Stud]

När du körde DDS så fanns Java version 6 Update 17 i datorn.

 

 

jajo alla aktuella uppdateringar skall ordnas,tro mig.

Ska antagligen installera om win7 snart och konfiguera ett gästkonto med sandboxie för all fortsatt surfning.

 

Jag fruktar mer för den aktuella statusen i mitt system dock.Skadan är redan skedd så att säga.

Fsecure får åter igen scanna över natten annars så måste det till drastistka åtgärder,det som ligger i papperskorgen fuckar/låser systemet.

Alternativet är väl att scanna skiten som slave via bootbart USB minne eller dylikt. fan

[Cecilia]

Har du tömt papperskorgarna?

 

Om en programfil är 1 GB stor spelar det ingen roll om den ligger på en hårddisk som också innehåller Windows som är igång eller om datorn är startad från ett USB-minne, det kommer att ta en evinnerlig tid för F-secure att kolla den.

[Stud]

Har du tömt papperskorgarna?

 

Vill minnas att jag tömt papperskorgen på samtliga windows-konton ett flertal gånger under detta äventyr.

Dels för att mp3låten hamnat där,men även detta virusskadade 1gb spel. Scannen kommer väl fastna oavsett ? för filen ligger ju fysiskt kvar på disken

även om windows tappar sin sökväg.

[Cecilia]

Det ser inte ut som att papperskorgen var tömd när du körde SystemLook i alla fall. F-secure söker bara igenom den del av hårddisken där Windows filsystem anger att det finns filer, dvs inte utrymme som tas upp av filer som har tagits bort, t ex från papperskorgen.

[Stud]

Det ser inte ut som att papperskorgen var tömd när du körde SystemLook i alla fall. F-secure söker bara igenom den del av hårddisken där Windows filsystem anger att det finns filer, dvs inte utrymme som tas upp av filer som har tagits bort, t ex från papperskorgen.

 

Hej scan klar (15 virus)

exe filer med "SuspiciousW32.Malware!Gemini" status

ska jag sätta i karaktän,eller ta bort?

[Cecilia]

Karantän

Man tar aldrig bort direkt.

[Stud]

tur jag frågade !....

 

kör scan med malwarebytes igen,nästa steg tycker du?

[Cecilia]

Ja, det blir bra och du kan dessutom köra denna online-skanner:

 

Skanna datorn online på http://www.eset.com/onlinescan/

För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

 

Avbocka alternativet Remove found threats

Bocka för Scan Archives

 

Klicka på Advanced Settings

Bocka för:

Scan for potentially unwanted applications

Scan for potentially unsafe applications

Enable Anti-Stealth Technology

 

Klicka på Scan

 

När skanningen är klar, kopiera resultatet och klistra sedan in det i ditt svar.

[Stud]

 

Klart.

Mängdvis av rena scanresultat nu.

 

Nu tänkte jag kolla hur man ska göra för att försiktigt närma sig "ruinens brant" igen.

Närmare bestämt att exportera ut bokmärken/etc från webbläsaren för firefox gick otroligt segt redan innan attacken

så bäst är väl att döda profilen och dumpa all data som härrör dit.

 

Tanken är att göra rätt från början,ett gästkonto med isolerad webbläsare (Sandboxie) och så spärrat som möjligt.

[Cecilia]

Har programmen hittat något mer?

 

Ta bort DDS, SystemLook och deras loggar.

 

Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.

http://mnin.blogspot.com/2009/02/why-i-enjoyed-tiggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.

 

Förbättra skyddet i datorn, se mina Råd för en säkrare dator: http://ceciliasec.wordpress.com/rad/

Det är mycket viktigt att hålla alla småprogram i datorn uppdaterade, gamla versioner av t ex Flash, Java och Adobe Reader innehåller kända säkerhetshål, vilka kan användas av en webbsida för att infektera datorn. Jag tycker att Secunias program (länk på min webbsida) är en bra hjälp för att kontrollera hur det står till med säkerhetshål i datorn och ange vad som behöver åtgärdas.

 

Börja med att göra gästkonto etc först och först därefter göra förändringar i ditt vanliga konto.

 

När det gäller Firefox så tror jag dessa sidor kan vara till nytta:

http://support.mozilla.org/en-US/kb/profiles-where-firefox-stores-user-data

http://support.mozilla.org/en-US/kb/profile-manager-create-and-remove-firefox-profiles

http://kb.mozillazine.org/Transferring_data_to_a_new_profile_-_Firefox