Just nu i M3-nätverket
Gå till innehåll

johanafm

Medlem
  • Antal inlägg

    21
  • Gick med

  • Senaste besök

  1. Du saknar ett alias. Och använd dig av den felinformation du kan få... $result = mysql_query(...); if (!$result) echo mysql_error($link); else { while ($row = mysql_fetch_array($result)) { ... } }
  2. Jag har aldrig använt Prototype så jag har ingen aning om problemet ligger där eller om det kan tänkas bero på hur en del webläsare hanterar modala fönster. Men ta bort alert() i ajaxUpdater och ta bort den alert som är i raden: var dv='meny';var pgm='../a/meny.php';alert (dv+pgm); Och till nästa gång, vänligen indentera din kod.
  3. Från http://www.w3.org/Protocols/rfc2616/rfc2616-sec3.html#sec3.2 Använd post method istället.
  4. "UPDATE tabell SET field='" . $a[1] ."'"; Detta kan ge väldigt obehagliga effekter om man inte verkligen vill uppdatera alla poster i en tabell... Och ska alla poster uppdateras finns det inget behov av att använda index. Samtliga poster (full table scan) måste ändå gås igenom. "UPDATE tabell SET field='" . $a[1] ."' WHERE field2 = 'värde'" är vad man normalt sett vill göra. Men angående att använda index... finns det index och de kan användas så används de, och det ska de göra även vid updates.
  5. Det finns gott om matematiska funktioner att köra direkt i en SQL-fråga. Ta en titt på ROUND, CEIL, FLOOR, TRUNCATE: http://dev.mysql.com/doc/refman/5.1/en/mathematical-functions.html [inlägget ändrat 2008-12-02 22:50:02 av johanafm]
  6. GROUP BY [värde] slår samman alla poster med samma [värde], i det här fallet årsdelen av datumet. Det innebär att all övrig information som är unik försvinner (endast ett värde visas). För MIN, SUM etc spelar det ingen roll i och med att de funktionerna endast genererar ett värde, och tillsammans med de använder man därför GROUP BY. Men i och med att name på tävlingarna är olika så kan du inte använda group by som du gör. Således vore det klart enklast att köra två SQL-frågor: 1) SELECT MIN(results.time) AS mini, YEAR(events.date) AS myYear FROM results INNER JOIN events ON events.ID = results.eventID GROUP BY myYear; Gå igenom samtliga årtal från den första frågan och köra den andra frågan mot respektive år. Antag att du sätter @mini och @myYear till respektive värde i ditt result set från fråga 1. 2) SELECT results.time, name, length, events.date FROM results INNER JOIN events ON events.ID = eventID WHERE YEAR(events.date) = @year AND results.time = @mini; Vill du tvunget ha ut allting med en fråga så är det enklaste jag kan komma på: SELECT results.time, name, length, events.date, YEAR(events.date) FROM results INNER JOIN events ON events.ID = eventID WHERE results.time IN (SELECT mini FROM (SELECT MIN(results.time) AS mini, YEAR(events.date) AS myYear FROM results INNER JOIN events ON events.ID = eventID GROUP BY myYear) AS tmp); Den allra sista biten "AS tmp" måste vara med. En härledd tabell (derived table) måste alltid tilldelas ett alias. Jag valde "tmp". För läsbarhetens skull rekommenderar jag dig att skippa backticks ` annat än när de verkligen behövs. Dvs, använd de endast när du döpt tabeller eller fält till reserverade ord. Själv skulle jag försöka undvika dylika ord helt och hållet när jag skapar databasen om det är möjligt (exempelvis "edate", "eventdate" eller "event_date" i stället för "date"). [inlägget ändrat 2008-12-02 21:37:13 av johanafm]
  7. Hej, sedan en tid tillbaks fungerar de ibland inte att försätta min bärbara dator i viloläge. Stöd för viloläge är aktiverat. Det kräver 2 GB och jag har 58 GB ledigt. Det händer som sagt inte alltid, men då och då misslyckas det med felmeddelande: Det finns inte tillräckligt med systemresurser för att slutföra API:n (misstänker att de menar API-anropet) tacksam för hjälp /johan
  8. Tackar för all hjälp Och nej, jag använder inte windowsbrandväggen. Kerio fungerar utmärkt och är i min mening väl värd kostnaden. Angående tipset för att lägga till webplatser i zonen ej tillförlitliga så angriper jag det på ett lite annorlunda sätt. Jag ställer in zonen internet extremt restriktivt. Följden blir förstås att väldigt många webplatser inte fungerar, men de lägger jag i stället till i zonen säkra platser om jag litar på dem. [inlägget ändrat 2007-12-20 22:30:52 av johanafm]
  9. Ännu en märklig sak har inträffat. Jag inaktiverade systemåterställning innan jag startade om datorn i felsäkert läge för att köra SDFix igen. När jag skulle aktivera systemåtersällning på nytt för att skapa en återställningspunkt innan jag scannade systemet igen så var det redan aktiverat och alla gamla återställningspunkter finns kvar. Däremot hittade AVG ingenting nu. Sysinternals rootkitrevealer och sophos anti-rootkit nästa, eller är allt verkligen grönt?
  10. Har precis haft datorn i felsäkert läge, och kört SDFix igen. Därefter automatstartar den inte efter reboot, varken i felsäkert eller normalt läge. Jag startade andra körningen manuellt vilket fungerade däremot. Vad kan vara orsaken till att SDFix inte kör igång per automatik? Den var tillagd för att köras vid systemstart. SDFix[log] SDFix: Version 1.119 Run by johan on 2007-12-20 at 17:51 Microsoft Windows XP [Version 5.1.2600] Running From: J:\Misc\Security\SDFix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: No Trojan Files Found Removing Temp Files... ADS Check: C:\WINDOWS No streams found. C:\WINDOWS\system32 No streams found. C:\WINDOWS\system32\svchost.exe No streams found. C:\WINDOWS\system32\ntoskrnl.exe No streams found. Final Check: catchme 0.3.1333.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2007-12-20 18:13:45 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden services & system hive ... [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Program\DAEMON Tools\" "h0"=dword:00000000 "khjeh"=hex:12,da,a4,52,d6,76,25,0e,45,42,10,a8,d5,53,b3,5f,c7,24,62,30,0d,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,1a,24,bc,56,93,63,22,cb,fe,55,97,66,2a,b6,4e,7b,1c,.. "khjeh"=hex:96,7e,b7,65,83,f2,a8,69,79,9d,d0,5f,ca,5f,82,57,14,e4,55,4c,3a,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:9c,e3,14,7a,1d,aa,c8,d1,d0,9f,f0,bf,41,03,de,1f,c6,68,a6,61,16,.. [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41] "khjeh"=hex:0f,d1,78,e6,de,49,17,8a,bb,db,f0,d1,da,43,f2,ac,2b,bf,53,d4,ee,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg] "s0"=dword:01974492 "s1"=dword:17ac55f5 "s2"=dword:5b2bfd6b "h0"=dword:00000001 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4] "p0"="C:\Program\DAEMON Tools\" "h0"=dword:00000000 "khjeh"=hex:12,da,a4,52,d6,76,25,0e,45,42,10,a8,d5,53,b3,5f,c7,24,62,30,0d,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001] "a0"=hex:20,01,00,00,1a,24,bc,56,93,63,22,cb,fe,55,97,66,2a,b6,4e,7b,1c,.. "khjeh"=hex:96,7e,b7,65,83,f2,a8,69,79,9d,d0,5f,ca,5f,82,57,14,e4,55,4c,3a,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40] "khjeh"=hex:9c,e3,14,7a,1d,aa,c8,d1,d0,9f,f0,bf,41,03,de,1f,c6,68,a6,61,16,.. [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41] "khjeh"=hex:0f,d1,78,e6,de,49,17,8a,bb,db,f0,d1,da,43,f2,ac,2b,bf,53,d4,ee,.. scanning hidden registry entries ... [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher] "TracesProcessed"=dword:00000058 "TracesSuccessful"=dword:00000012 scanning hidden files ... scan completed successfully hidden processes: 0 hidden services: 0 hidden files: 0 Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list] "C:\\Program\\Kerio\\Personal Firewall 4\\kpf4gui.exe"="C:\\Program\\Kerio\\Personal Firewall 4\\kpf4gui.exe:*:Enabled:Kerio Personal Firewall 4 - GUI" "C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019" "C:\\Documents and Settings\\johan\\Skrivbord\\utorrent.exe"="C:\\Documents and Settings\\johan\\Skrivbord\\utorrent.exe:*:Enabled:æTorrent" "F:\\Spel\\Dungeon Siege 2\\DungeonSiege2.exe"="F:\\Spel\\Dungeon Siege 2\\DungeonSiege2.exe:*:Enabled:Dungeon Siege 2 Game Executable" "F:\\Spel\\Civilization 4\\Civilization4.exe"="F:\\Spel\\Civilization 4\\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4" "C:\\Program\\Messenger\\msmsgs.exe"="C:\\Program\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "F:\\Spel\\NWN 2\\nwn2main.exe"="F:\\Spel\\NWN 2\\nwn2main.exe:*:Enabled:Neverwinter Nights 2 Main" "F:\\Spel\\NWN 2\\nwn2main_amdxp.exe"="F:\\Spel\\NWN 2\\nwn2main_amdxp.exe:*:Enabled:Neverwinter Nights 2 AMD" "F:\\Spel\\NWN 2\\nwupdate.exe"="F:\\Spel\\NWN 2\\nwupdate.exe:*:Enabled:Neverwinter Nights 2 Updater" "F:\\Spel\\NWN 2\\nwn2server.exe"="F:\\Spel\\NWN 2\\nwn2server.exe:*:Enabled:Neverwinter Nights 2 Server" "C:\\Program\\AVG7\\avginet.exe"="C:\\Program\\AVG7\\avginet.exe:*:Enabled:avginet.exe" "C:\\Program\\AVG7\\avgamsvr.exe"="C:\\Program\\AVG7\\avgamsvr.exe:*:Enabled:avgamsvr.exe" "C:\\Program\\AVG7\\avgcc.exe"="C:\\Program\\AVG7\\avgcc.exe:*:Enabled:avgcc.exe" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" "F:\\Spel\\Empire Earth III\\EE3.exe"="F:\\Spel\\Empire Earth III\\EE3.exe:*:Enabled:Empire Earth III" "C:\\Program\\Skype\\Phone\\Skype.exe"="C:\\Program\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" [HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files: --------------- Files with Hidden Attributes: Finished! [/log] Av det jag förstår ser det bra ut. Däremot är det bara D-tools + SPTD som jag har koll på under hidden services och system hive. Men om du inte skulle se något lurt, har du förslag på andra verktyg jag kan använda? Eller ska jag bara känna mig lugn och vara nöjd med resultaten?
  11. Cecilia skrev: Ahh det stämmer. Beställde en dator där för ett år sedan och deras sida funkade inte som den skulle. Det var deras förslag att lägga till deras IP. Cecilia skrev: Redan för några dagar sedan hittade AVG trojanen i en av sytem restore-filerna, och det verkade som om AVG tog bort filen utan problem. Så när den ånyo dyker upp några dagar efter en fullständig scan som påstår sig ha rensat allt utan problem undrar man ju om det ligger skräp kvar nånstans. Cecilia skrev: Låter som en bra idé. Cecilia skrev: Jag antog att det var normal läge som gällde efter att SDFix gått igenom systemet i felsäkert läge. Var det fel? Får väl testa att dra igång datorn i felsäkert en gång till och se om det händer något då. Cecilia skrev: Nej, AVG hittade inga problem med JKP.exe. Däremot känner jag inte igen den filen och ser inte vad den har i lokala inställningar att göra heller. [inlägget ändrat 2007-12-20 17:46:49 av johanafm]
  12. Mitt antivirusprogram, AVG, hittade för några dagar sedan en trojan. Idag fanns det på nytt en trojan i SystemRestore. Känns inte helt stabilt... Körde SDFix i felsäkert läge. Efter omstart hände det inte mer. Försökte köra Norman Malware remover men programmet startar inte. HiJackThis:[log] Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 08:46:55, on 2007-12-20 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\Explorer.EXE C:\Program\Trend Micro\HijackThis\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.altavista.com/ R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar N3 - Netscape 7: user_pref("browser.startup.homepage", "http://eveinfo.com/"); (C:\Documents and Settings\JOHAN\Application Data\Mozilla\Profiles\default\vb8jenls.slt\prefs.js) N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\JOHAN\Application Data\Mozilla\Profiles\default\vb8jenls.slt\prefs.js) O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program\Yahoo!\Companion\Installs\cpn\yt.dll O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program\Yahoo!\Companion\Installs\cpn\yt.dll O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program\DAEMON Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [AVG7_CC] C:\Program\AVG7\avgcc.exe /STARTUP O4 - HKLM\..\Run: [sDFix] J:\Misc\Security\SDFix\RunThis.bat /second O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-20\..\Run: [AVG7_Run] C:\Program\AVG7\avgw.exe /RUNONCE (User 'NETWORK SERVICE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE O4 - Global Startup: Personal.lnk = C:\Program\Personal\bin\Personal.exe O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000 O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe O15 - Trusted Zone: *.3com.com O15 - Trusted Zone: www.adobe.com O15 - Trusted Zone: *.amd.com O15 - Trusted Zone: *.cruiser.com O15 - Trusted Zone: *.dn.se O15 - Trusted Zone: *.element5.com O15 - Trusted Zone: secure.eve-online.com O15 - Trusted Zone: http://www.eve-online.com O15 - Trusted Zone: *.forsakringskassan.se O15 - Trusted Zone: http://www.gamebanshee.com O15 - Trusted Zone: www9.golf.se O15 - Trusted Zone: *.multidirect.se O15 - Trusted Zone: www.mysql.com O15 - Trusted Zone: http://support.necam.com O15 - Trusted Zone: http://www.regeneration-corp.com O15 - Trusted Zone: *.shiningforcecentral.com O15 - Trusted Zone: www.sif.se O15 - Trusted Zone: http://www.skatteverket.se O15 - Trusted Zone: *.spelbutiken.se O15 - Trusted Zone: http://www.swebusexpress.se O15 - Trusted Zone: http://www.ececs.uc.edu O15 - Trusted Zone: http://www.war-europe.com O15 - Trusted Zone: http://www.webhallen.com O15 - Trusted Zone: *.webhallen.com O15 - Trusted Zone: www.youtube.com O15 - Trusted Zone: www.zend.com O15 - Trusted Zone: *.zuggsoft.com O15 - Trusted IP range: http://192.168.1.1 O15 - Trusted IP range: 194.198.103.56 O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Apache2.2 - Apache Software Foundation - C:\Program\Apache2.2\bin\httpd.exe O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program\AVG7\avgamsvr.exe O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program\AVG7\avgupsvc.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: JKP - Unknown owner - C:\DOCUME~1\johan\LOKALA~1\Temp\JKP.exe (file missing) O23 - Service: MySQL - Unknown owner - C:\Program\MySQL\MySQL.exe (file missing) O23 - Service: Sunbelt Personal Firewall 4 (SPF4) - Sunbelt Software - C:\Program\Sunbelt Software\Personal Firewall\kpf4ss.exe -- End of file - 5239 bytes [/log] Markerade och valde fix för två saker: O15 - Trusted IP range: 194.198.103.56 C:\DOCUME~1\johan\LOKALA~1\Temp\JKP.exe (file missing) Hur ser det ut i övrigt? Tacksam för hjälp
  13. Angående tiden det tar att scanna så beror det till stor del på att det är ca 700 GB data att gå igenom. Vad gäller hosts filen så var det en temporär lösning som borde vara fixat "på riktigt" nu, så jag kanske inte ens behöver bry mig, men tack för påminnelsen. Tackar en hel massa för hjälpen! Har varit otroligt bra, både med detaljkunskap och länkar till ett helt gäng nyttiga verktyg jag inte kände till. en mycket tacksam johanafm [inlägget ändrat 2007-04-27 20:30:07 av johanafm]
  14. SDFix gick ju betydligt snabbare att köra [log]SDFix: Version 1.79 Run by johan - 2007-04-27 - 18:17:06,00 Microsoft Windows XP [Version 5.1.2600] Running From: C:\sdfix Safe Mode: Checking Services: Restoring Windows Registry Values Restoring Windows Default Hosts File Rebooting... Normal Mode: Checking Files: Below files will be copied to Backups folder then removed: C:\WINDOWS\system32\TFTP1264 - Deleted C:\WINDOWS\system32\TFTP1304 - Deleted C:\WINDOWS\system32\TFTP148 - Deleted C:\WINDOWS\system32\TFTP1512 - Deleted C:\WINDOWS\system32\TFTP1520 - Deleted C:\WINDOWS\system32\TFTP1656 - Deleted C:\WINDOWS\system32\TFTP1772 - Deleted C:\WINDOWS\system32\TFTP1880 - Deleted C:\WINDOWS\system32\TFTP1952 - Deleted C:\WINDOWS\system32\TFTP2032 - Deleted C:\WINDOWS\system32\TFTP204 - Deleted C:\WINDOWS\system32\TFTP2316 - Deleted C:\WINDOWS\system32\TFTP404 - Deleted C:\WINDOWS\system32\TFTP480 - Deleted C:\WINDOWS\system32\TFTP508 - Deleted C:\WINDOWS\system32\TFTP592 - Deleted C:\WINDOWS\system32\TFTP836 - Deleted C:\WINDOWS\system32\TFTP904 - Deleted Removing Temp Files ADS Check: Checking if ADS is attached to system32 Folder C:\WINDOWS\system32 No streams found. Checking if ADS is attached to svchost.exe C:\WINDOWS\system32\svchost.exe No streams found. Final Check: Remaining Services: ------------------ Authorized Application Key Export: [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List] "C:\\Program\\Kerio\\Personal Firewall 4\\kpf4gui.exe"="C:\\Program\\Kerio\\Personal Firewall 4\\kpf4gui.exe:*:Enabled:Kerio Personal Firewall 4 - GUI" "C:\\WINDOWS\\system32\\sessmgr.exe"="C:\\WINDOWS\\system32\\sessmgr.exe:*:Disabled:@xpsp2res.dll,-22019" "C:\\Documents and Settings\\johan\\Skrivbord\\utorrent.exe"="C:\\Documents and Settings\\johan\\Skrivbord\\utorrent.exe:*:Enabled:µTorrent" "F:\\Spel\\Dungeon Siege 2\\DungeonSiege2.exe"="F:\\Spel\\Dungeon Siege 2\\DungeonSiege2.exe:*:Enabled:Dungeon Siege 2 Game Executable" "F:\\Spel\\Civilization 4\\Civilization4.exe"="F:\\Spel\\Civilization 4\\Civilization4.exe:*:Enabled:Sid Meier's Civilization 4" "C:\\Program\\Messenger\\msmsgs.exe"="C:\\Program\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger" "F:\\Spel\\NWN 2\\nwn2main.exe"="F:\\Spel\\NWN 2\\nwn2main.exe:*:Enabled:Neverwinter Nights 2 Main" "F:\\Spel\\NWN 2\\nwn2main_amdxp.exe"="F:\\Spel\\NWN 2\\nwn2main_amdxp.exe:*:Enabled:Neverwinter Nights 2 AMD" "F:\\Spel\\NWN 2\\nwupdate.exe"="F:\\Spel\\NWN 2\\nwupdate.exe:*:Enabled:Neverwinter Nights 2 Updater" "F:\\Spel\\NWN 2\\nwn2server.exe"="F:\\Spel\\NWN 2\\nwn2server.exe:*:Enabled:Neverwinter Nights 2 Server" "C:\\Program\\Skype\\Phone\\Skype.exe"="C:\\Program\\Skype\\Phone\\Skype.exe:*:Enabled:Skype" "C:\\Program\\AVG7\\avginet.exe"="C:\\Program\\AVG7\\avginet.exe:*:Enabled:avginet.exe" "C:\\Program\\AVG7\\avgamsvr.exe"="C:\\Program\\AVG7\\avgamsvr.exe:*:Enabled:avgamsvr.exe" "C:\\Program\\AVG7\\avgcc.exe"="C:\\Program\\AVG7\\avgcc.exe:*:Enabled:avgcc.exe" "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\DomainProfile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019" Remaining Files: --------------- Backups Folder: - C:\SDFix\backups\backups.zip Checking For Files with Hidden Attributes: Finished[/log]
  15. Efter scan hos Virustotal rapporterar 2 scanverktyg var sin infektion av intel.exe. Jag startade felsäkert, packade filen med arj och tog bort den. Systemstart fungerar åtminstonde som vanligt, så behövs filen intel.exe är det väl åtminstonde till något icke systemkritiskt. Ny scan med Combofix visar inte längre någon gömd process heller. [log]STATUS FINISHEDComplete scanning result of intel.exe, received in VirusTotal at 04.27.2007, 121807 (CET). Antivirus Version Update Result AhnLab-V3 2007.4.26.0 04.27.2007 no virus found AntiVir 7.4.0.15 04.27.2007 no virus found Authentium 4.93.8 04.26.2007 no virus found Avast 4.7.981.0 04.26.2007 no virus found AVG 7.5.0.464 04.26.2007 no virus found BitDefender 7.2 04.27.2007 no virus found CAT-QuickHeal 9.00 04.26.2007 no virus found ClamAV devel-20070416 04.27.2007 no virus found DrWeb 4.33 04.27.2007 no virus found eSafe 7.0.15.0 04.27.2007 no virus found eTrust-Vet 30.7.3599 04.27.2007 no virus found Ewido 4.0 04.26.2007 no virus found FileAdvisor 1 04.27.2007 no virus found Fortinet 2.85.0.0 04.27.2007 no virus found F-Prot 4.3.2.48 04.26.2007 no virus found F-Secure 6.70.13030.0 04.27.2007 Trojan-SpyW32Voqai.A Ikarus T3.1.1.5 04.27.2007 no virus found Kaspersky 4.0.2.24 04.27.2007 no virus found McAfee 5018 04.26.2007 no virus found Microsoft 1.2405 04.27.2007 no virus found NOD32v2 2223 04.27.2007 no virus found Norman 5.80.02 04.26.2007 no virus found Panda 9.0.0.4 04.27.2007 no virus found Prevx1 V2 04.27.2007 no virus found Sophos 4.16.0 04.23.2007 no virus found Sunbelt 2.2.907.0 04.19.2007 no virus found Symantec 10 04.27.2007 no virus found TheHacker 6.1.6.095 04.15.2007 no virus found VBA32 3.11.4 04.27.2007 no virus found VirusBuster 4.3.79 04.26.2007 no virus found Webwasher-Gateway 6.0.1 04.27.2007 Win32.Malware.gen!52 (suspicious) Aditional Information File size 17920 bytes MD5 eee8fcf6fee57979c1d88ee59abac20f SHA1 de21da2326ee25fea9da18cd9a5e020bbd7e2c69 [/log] Gmer visar inte heller något udda som jag förstår det, vilket i princip var förväntat (samma rootkit scanner som Combofix använder om jag förstått saken rätt). Den sparade dock ingen logfil per automatik, och jag lyckades stänga programmet genom att klicka på en OK-knapp innan jag undersökt om man kunde be om att få en log på vad den hittat. Jag drar en ny scan med den och postar här när det är klart. RootkitRevealer producerade dock en del. Som kommentar till den loggen kan nämnas att HKLM/SYSTEM/.../sptd/cfg bör tillhöra SCSI pass through direct om det inte är något elakt som figurerar under annan identitet... Varför det är access denied vet jag dock inte.. Vidare så är de 3 sista raderna, för disk E:, inget att direkt bry sig om. Det är en gammal disk med win98SE som jag inte använt på evigheter. Tydligen fanns det kvar rester av något där, men när RootkitRevealer accessade de 3 filerna så sade AVG till om infektion och rensade upp skräpet. [log]HKU\.DEFAULT\Control Panel\International 2007-04-27 12:59 0 bytes Security mismatch. HKU\.DEFAULT\Control Panel\International\Geo 2007-04-27 12:59 0 bytes Security mismatch. HKU\S-1-5-21-725345543-1677128483-839522115-1004\Control Panel\International 2007-04-27 12:59 0 bytes Security mismatch. HKU\S-1-5-21-725345543-1677128483-839522115-1004\Control Panel\International\Geo 2007-04-27 12:59 0 bytes Security mismatch. HKU\S-1-5-18\Control Panel\International 2007-04-27 12:59 0 bytes Security mismatch. HKU\S-1-5-18\Control Panel\International\Geo 2007-04-27 12:59 0 bytes Security mismatch. HKLM\SECURITY\Policy\Secrets\SAC* 2006-02-20 10:20 0 bytes Key name contains embedded nulls (*) HKLM\SECURITY\Policy\Secrets\SAI* 2006-02-20 10:20 0 bytes Key name contains embedded nulls (*) HKLM\SOFTWARE\Classes\cfexefile\DefaultIcon 2007-04-27 12:54 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shell 2007-04-27 12:54 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shell\open 2007-04-27 12:54 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shell\open\command 2007-04-27 12:54 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shell\runas 2007-04-27 12:54 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shell\runas\command 2007-04-27 12:54 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shellex 2007-04-27 12:54 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shellex\ContextMenuHandlers 2007-04-27 12:54 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shellex\ContextMenuHandlers\CmdLineExt 2007-04-27 12:54 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shellex\ContextMenuHandlers\VDMSound LaunchPad 2007-04-27 12:54 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shellex\DropHandler 2007-04-27 12:54 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers 2007-04-27 12:54 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers\PifProps 2007-04-27 12:54 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers\ShimLayer Property Page 2007-04-27 12:54 0 bytes Security mismatch. HKLM\SOFTWARE\Classes\cfexefile\shellex\PropertySheetHandlers\{B41DB860-8EE4-11D2-9906-E49FADC173CA} 2007-04-27 12:54 0 bytes Security mismatch. HKLM\SOFTWARE\Microsoft\Cryptography\RNG\Seed 2007-04-27 15:14 80 bytes Data mismatch between Windows API and raw hive data. HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg 2006-08-06 01:00 0 bytes Access is denied. C:\$AttrDef 2006-02-20 04:25 2.50 KB Hidden from Windows API. C:\$BadClus 2006-02-20 04:25 0 bytes Hidden from Windows API. C:\$BadClus:$Bad 2006-02-20 04:25 37.27 GB Hidden from Windows API. C:\$Bitmap 2006-02-20 04:25 1.16 MB Hidden from Windows API. C:\$Boot 2006-02-20 04:25 8.00 KB Hidden from Windows API. C:\$Extend 2006-02-20 04:25 0 bytes Hidden from Windows API. C:\$Extend\$ObjId 2006-02-20 04:25 0 bytes Hidden from Windows API. C:\$Extend\$Quota 2006-02-20 04:25 0 bytes Hidden from Windows API. C:\$Extend\$Reparse 2006-02-20 04:25 0 bytes Hidden from Windows API. C:\$LogFile 2006-02-20 04:25 64.00 MB Hidden from Windows API. C:\$MFT 2006-02-20 04:25 66.19 MB Hidden from Windows API. C:\$MFTMirr 2006-02-20 04:25 4.00 KB Hidden from Windows API. C:\$Secure 2006-02-20 04:25 0 bytes Hidden from Windows API. C:\$UpCase 2006-02-20 04:25 128.00 KB Hidden from Windows API. C:\$Volume 2006-02-20 04:25 0 bytes Hidden from Windows API. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.dll 2006-12-14 16:28 252.00 KB Visible in Windows API, but not in MFT or directory index. C:\WINDOWS\assembly\GAC_32\System.EnterpriseServices\2.0.0.0__b03f5f7f11d50a3a\System.EnterpriseServices.Wrapper.dll 2006-12-14 16:28 111.50 KB Visible in Windows API, but not in MFT or directory index. D:\$AttrDef 2004-08-26 14:25 2.50 KB Hidden from Windows API. D:\$BadClus 2004-08-26 14:25 0 bytes Hidden from Windows API. D:\$BadClus:$Bad 2004-08-26 14:25 152.66 GB Hidden from Windows API. D:\$Bitmap 2004-08-26 14:25 4.77 MB Hidden from Windows API. D:\$Boot 2004-08-26 14:25 8.00 KB Hidden from Windows API. D:\$Extend 2004-08-26 14:25 0 bytes Hidden from Windows API. D:\$Extend\$ObjId 2004-08-26 14:25 0 bytes Hidden from Windows API. D:\$Extend\$Quota 2004-08-26 14:25 0 bytes Hidden from Windows API. D:\$Extend\$Reparse 2004-08-26 14:25 0 bytes Hidden from Windows API. D:\$LogFile 2004-08-26 14:25 64.00 MB Hidden from Windows API. D:\$MFT 2004-08-26 14:25 27.91 MB Hidden from Windows API. D:\$MFTMirr 2004-08-26 14:25 4.00 KB Hidden from Windows API. D:\$Secure 2004-08-26 14:25 0 bytes Hidden from Windows API. D:\$UpCase 2004-08-26 14:25 128.00 KB Hidden from Windows API. D:\$Volume 2004-08-26 14:25 0 bytes Hidden from Windows API. E:\$VAULT$.AVG\12423859.FIL 2007-04-27 16:19 64.47 KB Hidden from Windows API. E:\$VAULT$.AVG\12433046.FIL 2007-04-27 16:19 48.42 KB Hidden from Windows API. E:\$VAULT$.AVG\12438500.FIL 2007-04-27 16:19 16.46 KB Hidden from Windows API. E:\System Volume Information\_restore{C62BBB1C-277D-4058-8842-E8BCD09B916F}\RP421\A0033034.exe 2006-02-17 17:07 64.00 KB Visible in Windows API, but not in MFT or directory index. E:\System Volume Information\_restore{C62BBB1C-277D-4058-8842-E8BCD09B916F}\RP421\A0033035.exe 2006-02-17 17:07 47.95 KB Visible in Windows API, but not in MFT or directory index. E:\System Volume Information\_restore{C62BBB1C-277D-4058-8842-E8BCD09B916F}\RP421\A0033043.exe 2006-01-18 20:57 16.00 KB Visible in Windows API, but not in MFT or directory index.[/log] Jag undrar dock vad "0 bytes security mismatch" indikerar om du vet direkt eller kanske var jag kan läsa in mig på det. Så bara SDFix kvar. Ska ladda ner och starta den omgående. Jag tänkte dock posta vad jag fått fram så långt så länge iom att varje scan tar rätt mycket tid. Exempelvis höll RootkitRevealer på i närmare 2 timmar.
×
×
  • Skapa nytt...