Just nu i M3-nätverket
Gå till innehåll
haal

Trojan Downloader Ruin

Rekommendera Poster

Vad rapporterar att det finns en trojan?

I vilken fil och mapp finns trojanen?

 

Vi kan ju se om HijackThis visar något till att börja med:

http://www.thespykiller.co.uk/files/HJTsetup.exe

Installera, kör, skanna och spara loggen (inget annat).

 

I ditt svar bifogar du HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Vid start av pc meddelar F-secure: could be infected with un unknown virus. filen finns i c:\windows\temp och heter AVP206.tmp den tycks dock byta namn varje gång jag startar och byter ut 206 till andra kombinationer.

Det är Webroot Spy Sweeper som meddelar: Trojan Horse found: trojan-downloader-ruin

 

Bifogar log från HJT

Tacksam för hjälp[log]Logfile of HijackThis v1.99.1

Scan saved at 18:49:54, on 2006-10-25

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

C:\Program\F-Secure\Anti-Virus\fssm32.exe

C:\Program\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\Program\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\system32\wltrysvc.exe

C:\WINDOWS\system32\bcmwltry.exe

C:\Program\F-Secure\Common\FSMA32.EXE

C:\Program\F-Secure\Common\FSMB32.EXE

C:\Program\F-Secure\Common\FCH32.EXE

C:\WINDOWS\System32\alg.exe

C:\Program\F-Secure\Common\FAMEH32.EXE

C:\Program\F-Secure\Common\FNRB32.EXE

C:\Program\F-Secure\Common\FIH32.EXE

C:\Program\F-Secure\Anti-Virus\fsav32.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Program\F-Secure\Common\FSM32.EXE

C:\Program\Samsung\NetworkScan\NSCSysTrayUI.exe

C:\Program\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\Program\Plaxo\2.11.1.5\PlaxoHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\Webroot\Spy Sweeper\SSU.EXE

C:\Program\MICROS~2\Office10\OUTLOOK.EXE

C:\Program\Microsoft Office\Office10\WINWORD.EXE

C:\Program\Sony Ericsson\Mobile\SyncIndicator.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

C:\WINDOWS\explorer.exe

C:\Program\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.leta.se'>http://www.leta.se'>http://www.leta.se

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://www.leta.se

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.leta.se

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Hans\Application Data\Mozilla\Profiles\default\x3atiwm6.slt\prefs.js)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program\google\googletoolbar2.dll

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\F-Secure\Common\FSM32.EXE"

O4 - HKLM\..\Run: [NSCSysTrayUI] "C:\Program\Samsung\NetworkScan\NSCSysTrayUI.exe" /HIDEUI

O4 - HKLM\..\Run: [spySweeper] "C:\Program\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKCU\..\Run: [PlaxoUpdate] "C:\Program\Plaxo\2.11.1.5\PlaxoHelper.exe" -a

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Personal.lnk = C:\Program\Personal\bin\Personal.exe

O8 - Extra context menu item: &Google Search - res://c:\program\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Similar Pages - res://c:\program\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_02\bin\npjpi150_02.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program\Microsoft ActiveSync\INETREPL.DLL

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4A026B12-94F3-4D2F-A468-96AA55DE20A5} (NetCamPlayerWeb11g Control) - http://85.194.150.60:2000/img/NetCamPlayerWeb11g.ocx

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.60 85.255.112.226

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.60 85.255.112.226

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.60 85.255.112.226

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

O23 - Service: COGKLWFZ - Sysinternals - www.sysinternals.com - C:\DOCUME~1\Hans\LOKALA~1\Temp\COGKLWFZ.exe

O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Program\F-Secure\BackWeb\7681197\Program\fsbwlan.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program\F-Secure\Common\FNRB32.EXE

O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program\F-Secure\Common\FSAA.EXE

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\F-Secure\Common\FSMA32.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program\Delade filer\PCSuite\Services\ServiceLayer.exe

O23 - Service: VHRGYKWE - Sysinternals - www.sysinternals.com - C:\DOCUME~1\Hans\LOKALA~1\Temp\VHRGYKWE.exe

O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program\Webroot\Spy Sweeper\SpySweeper.exe

O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\system32\wltrysvc.exe

 

[/log]

 

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Det är en gammal Java med säkerhetshål installerat. Avinstallera alla Java i Kontrollpanelen - Lägg till eller ta bort program och installera därefter en ny härifrån: http://www.java.com/sv/

 

Har du laddat ner och installerat något från Sysinternals?

O23 - Service: COGKLWFZ - Sysinternals - www.sysinternals.com - C:\DOCUME~1\Hans\LOKALA~1\Temp\COGKLWFZ.exe

O23 - Service: VHRGYKWE - Sysinternals - www.sysinternals.com - C:\DOCUME~1\Hans\LOKALA~1\Temp\VHRGYKWE.exe

 

Kontrollpanelen - Lägg till eller ta bort program

Om följande finns där så ta bort.

WareOut

UnSpyPC

SpyBlocs

liknande namn

 

Ladda ner FixWareout från en av dessa platser och spara t ex på Skrivbordet:

http://downloads.subratam.org/Fixwareout.exe

http://swandog46.geekstogo.com/Fixwareout.exe

 

Spara filen på Skrivbordet.

 

Stäng alla program eftersom datorn kommer att startas om snart.

 

Dubbelklicka på den just nedladdade filen för att starta programmet FixWareout.

[log]Tryck sedan Next, Install, kolla att Run fixit är förbockad och tryck Finish.

Fixen börjar köra, följ alla anvisningar. När du blir ombedd att starta om datorn så gör det. Det är normalt att omstarten tar längre tid än vanligt.

Så småningom så kommer HijackThis att starta av sig själv. Välj Scan och bocka för dessa rader (om de finns kvar):

 

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.60 85.255.112.226

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.60 85.255.112.226

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.60 85.255.112.226

 

Tryck Fix checked.

Avsluta HijackThis och tryck OK för att fortsätta.

Eventuellt så behöver du starta om datorn igen.

 

Klistra in loggfilen C:\fixwareout\report.txt och en ny HijackThis-logg i ditt svar samt skriv hur det har gått.[/log]

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Hej

Har prövat följa dina instruktioner. Osäkert om jag laddat nåt från sysinternals.

Hoppas du kan läsa ut nåt av loggarna. Vad gör jag nu?

[log]Fixwareout ver 1.003

Last edited 8/11/2006

Post this report in the forums please

 

Reg Entries that were deleted

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ruins\irpmd

...

 

Random Runs removed from HKLM

"dmpri.exe"=-

...

 

PLEASE NOTE, There WILL be LEGITIMATE FILES LISTED. IF YOU ARE UNSURE OF WHAT IT IS LEAVE THEM ALONE.

 

»»»»» Searching by size/names...

 

»»»»»

Search five digit cs, dm and jb files.

This WILL/CAN also list Legit Files, Submit them at Virustotal

C:\WINDOWS\SYSTEM32\CSTPK.EXE 51 732 2006-09-29

C:\WINDOWS\SYSTEM32\DMPRI.EXE 61 024 2004-08-04

 

Other suspects.

Directory of C:\WINDOWS\system32

 

»»»»» Misc files.

 

»»»»» Checking for older varients covered by the Rem3 tool.

[/log][log]Logfile of HijackThis v1.99.1

Scan saved at 12:23:57, on 2006-10-26

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program\F-Secure\Anti-Virus\fssm32.exe

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\system32\wltrysvc.exe

C:\WINDOWS\system32\bcmwltry.exe

C:\Program\F-Secure\Common\FSMA32.EXE

C:\Program\F-Secure\Common\FSMB32.EXE

C:\Program\F-Secure\Common\FCH32.EXE

C:\Program\F-Secure\Common\FAMEH32.EXE

C:\Program\F-Secure\Common\FNRB32.EXE

C:\Program\F-Secure\Common\FIH32.EXE

C:\Program\F-Secure\Anti-Virus\fsav32.exe

C:\Program\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program\F-Secure\Common\FSM32.EXE

C:\Program\Samsung\NetworkScan\NSCSysTrayUI.exe

C:\Program\Java\jre1.5.0_09\bin\jusched.exe

C:\Program\Plaxo\2.11.1.5\PlaxoHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

C:\Program\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Hans\Application Data\Mozilla\Profiles\default\x3atiwm6.slt\prefs.js)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program\google\googletoolbar2.dll

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\F-Secure\Common\FSM32.EXE"

O4 - HKLM\..\Run: [NSCSysTrayUI] "C:\Program\Samsung\NetworkScan\NSCSysTrayUI.exe" /HIDEUI

O4 - HKLM\..\Run: [spySweeper] "C:\Program\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKCU\..\Run: [PlaxoUpdate] "C:\Program\Plaxo\2.11.1.5\PlaxoHelper.exe" -a

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Personal.lnk = C:\Program\Personal\bin\Personal.exe

O8 - Extra context menu item: &Google Search - res://c:\program\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Similar Pages - res://c:\program\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program\Microsoft ActiveSync\INETREPL.DLL

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4A026B12-94F3-4D2F-A468-96AA55DE20A5} (NetCamPlayerWeb11g Control) - http://85.194.150.60:2000/img/NetCamPlayerWeb11g.ocx

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: NameServer = 85.255.114.60 85.255.112.226

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: NameServer = 85.255.114.60 85.255.112.226

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: NameServer = 85.255.114.60 85.255.112.226

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

O23 - Service: COGKLWFZ - Unknown owner - C:\DOCUME~1\Hans\LOKALA~1\Temp\COGKLWFZ.exe (file missing)

O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Program\F-Secure\BackWeb\7681197\Program\fsbwlan.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program\F-Secure\Common\FNRB32.EXE

O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program\F-Secure\Common\FSAA.EXE

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\F-Secure\Common\FSMA32.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program\Delade filer\PCSuite\Services\ServiceLayer.exe

O23 - Service: VHRGYKWE - Unknown owner - C:\DOCUME~1\Hans\LOKALA~1\Temp\VHRGYKWE.exe (file missing)

O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program\Webroot\Spy Sweeper\SpySweeper.exe

O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\system32\wltrysvc.exe

 

[/log]

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Gå till http://www.virustotal.com/ och skriv in ett av nedanstående filnamn i rutan, tryck på Send. Vänta tills resultatet är klart (Status blir Finished) och klistra in resultatet (inkl. filstorlek här).

C:\WINDOWS\SYSTEM32\CSTPK.EXE

C:\WINDOWS\SYSTEM32\DMPRI.EXE

 

Gjorde du allt jag skrev inkl. förbockande och fixande med HijackThis?

 

Kontrollpanelen - Administrationsverktyg - Tjänster

Leta reda på COGKLWFZ i listan, dubbelklicka på det, välj Stoppa om det går samt sätt Startmetod till Inaktiverad.

Upprepa med VHRGYKWE

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Hej

Har gjort allt inkl. förbockande m.m. HijackThis. COGKLWFZ och VHRGYKWE var redan stoppad men jag satte ändå startmedtod till Inaktiverad.

 

Vad gör jag härnäst? Är mycket tacksam för den hjälp jag fått hittills.

 

Här är loggen från virustotal:

 

[log]STATUS: FINISHEDComplete scanning result of "CSTPK.EXE", received in VirusTotal at 10.26.2006, 13:12:59 (CET).

 

Antivirus Version Update Result

AntiVir 7.2.0.32 10.26.2006 no virus found

Authentium 4.93.8 10.26.2006 could be a corrupted executable file

Avast 4.7.892.0 10.26.2006 no virus found

AVG 386 10.26.2006 no virus found

BitDefender 7.2 10.26.2006 MemScan:Trojan.Downloader.Mohbpork.A

CAT-QuickHeal 8.00 10.25.2006 (Suspicious) - DNAScan

ClamAV devel-20060426 10.26.2006 no virus found

DrWeb 4.33 10.26.2006 Trojan.DnsChange

eTrust-InoculateIT 23.73.37 10.26.2006 no virus found

eTrust-Vet 30.3.3158 10.26.2006 Win32/Alureon!generic

Ewido 4.0 10.26.2006 Downloader.Agent.uj

Fortinet 2.82.0.0 10.26.2006 suspicious

F-Prot 3.16f 10.26.2006 no virus found

F-Prot4 4.2.1.29 10.26.2006 generic

Ikarus 0.2.65.0 10.26.2006 no virus found

Kaspersky 4.0.2.24 10.26.2006 no virus found

McAfee 4881 10.25.2006 no virus found

Microsoft 1.1609 10.25.2006 no virus found

NOD32v2 1.1835 10.26.2006 a variant of Win32/Small.FB

Norman 5.80.02 10.26.2006 no virus found

Panda 9.0.0.4 10.26.2006 Trj/Ruins.MB

Sophos 4.10.0 10.26.2006 no virus found

TheHacker 6.0.1.105 10.25.2006 no virus found

UNA 1.83 10.25.2006 no virus found

VBA32 3.11.1 10.25.2006 suspected of Trojan-Downloader.Agent.32

VirusBuster 4.3.15:9 10.26.2006 no virus found

 

 

Aditional Information

File size: 51732 bytes

MD5: 255dfd91c6921e79aed6f6424bc5c313

SHA1: 33b267e4193dd3219a6519d00f43dddf967ce15e

packers: PECRYPT

[/log]

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

 

Ta bort C:\WINDOWS\SYSTEM32\CSTPK.EXE

 

Om det är otrevligheter i den andra filen så ta bort den också.

 

Lägg hit en ny HijackThis-logg.

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Hej

 

Har tagit bort C:\WINDOWS\SYSTEM32\CSTPK.EXE Vilken är den andra filen med ev. otrevligheter?

 

Innan senste åtgärden startade jag om datorn. F-secure hittade:

C:\WINDOWS\TEMP\AVP231.TMP "could be infected with an unknown virus"

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 14:02:56, on 2006-10-26

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

C:\Program\F-Secure\Anti-Virus\fssm32.exe

C:\Program\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Webroot\Spy Sweeper\SpySweeper.exe

C:\WINDOWS\system32\wltrysvc.exe

C:\WINDOWS\system32\bcmwltry.exe

C:\Program\F-Secure\Common\FSMA32.EXE

C:\Program\F-Secure\Common\FSMB32.EXE

C:\Program\F-Secure\Common\FCH32.EXE

C:\Program\F-Secure\Common\FAMEH32.EXE

C:\Program\F-Secure\Common\FNRB32.EXE

C:\Program\F-Secure\Common\FIH32.EXE

C:\Program\F-Secure\Anti-Virus\fsav32.exe

C:\WINDOWS\system32\WgaTray.exe

C:\WINDOWS\Explorer.EXE

C:\Program\F-Secure\Common\FSM32.EXE

C:\Program\Samsung\NetworkScan\NSCSysTrayUI.exe

C:\Program\Webroot\Spy Sweeper\SpySweeperUI.exe

C:\Program\Java\jre1.5.0_09\bin\jusched.exe

C:\Program\Plaxo\2.11.1.5\PlaxoHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\Webroot\Spy Sweeper\SSU.EXE

C:\Program\MICROS~2\Office10\OUTLOOK.EXE

C:\Program\Microsoft Office\Office10\WINWORD.EXE

C:\Program\Sony Ericsson\Mobile\SyncIndicator.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\HEWLET~1\HPSHAR~1\hpgs2wnf.exe

C:\Program\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

N3 - Netscape 7: user_pref("browser.search.defaultengine", "engine://C%3A%5CProgram%5CNetscape%5CNetscape%5Csearchplugins%5CSBWeb_01.src"); (C:\Documents and Settings\Hans\Application Data\Mozilla\Profiles\default\x3atiwm6.slt\prefs.js)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.5.0_09\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar2.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program\google\googletoolbar2.dll

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\F-Secure\Common\FSM32.EXE"

O4 - HKLM\..\Run: [NSCSysTrayUI] "C:\Program\Samsung\NetworkScan\NSCSysTrayUI.exe" /HIDEUI

O4 - HKLM\..\Run: [spySweeper] "C:\Program\Webroot\Spy Sweeper\SpySweeperUI.exe" /startintray

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre1.5.0_09\bin\jusched.exe"

O4 - HKCU\..\Run: [PlaxoUpdate] "C:\Program\Plaxo\2.11.1.5\PlaxoHelper.exe" -a

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Personal.lnk = C:\Program\Personal\bin\Personal.exe

O8 - Extra context menu item: &Google Search - res://c:\program\google\GoogleToolbar2.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program\google\GoogleToolbar2.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program\google\GoogleToolbar2.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program\google\GoogleToolbar2.dll/cmcache.html

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O8 - Extra context menu item: Similar Pages - res://c:\program\google\GoogleToolbar2.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program\google\GoogleToolbar2.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_09\bin\ssv.dll

O9 - Extra button: Create Mobile Favorite - {2EAF5BB1-070F-11D3-9307-00C04FAE2D4F} - C:\Program\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra button: (no name) - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program\Microsoft ActiveSync\INETREPL.DLL

O9 - Extra 'Tools' menuitem: Create Mobile Favorite... - {2EAF5BB2-070F-11D3-9307-00C04FAE2D4F} - C:\Program\Microsoft ActiveSync\INETREPL.DLL

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {4A026B12-94F3-4D2F-A468-96AA55DE20A5} (NetCamPlayerWeb11g Control) - http://85.194.150.60:2000/img/NetCamPlayerWeb11g.ocx

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: WRNotifier - C:\WINDOWS\SYSTEM32\WRLogonNTF.dll

O23 - Service: F-Secure BackWeb (BackWeb Client - 7681197) - Unknown owner - C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

O23 - Service: F-Secure BackWeb LAN Access - Unknown owner - C:\Program\F-Secure\BackWeb\7681197\Program\fsbwlan.exe

O23 - Service: F-Secure Gatekeeper Handler Starter - F-Secure Corp. - C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Network Request Broker - F-Secure Corporation - C:\Program\F-Secure\Common\FNRB32.EXE

O23 - Service: F-Secure Authentication Agent (FSAA) - F-Secure Corporation. All Rights Reserved. - C:\Program\F-Secure\Common\FSAA.EXE

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\F-Secure\Common\FSMA32.EXE

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program\Delade filer\PCSuite\Services\ServiceLayer.exe

O23 - Service: Webroot Spy Sweeper Engine (WebrootSpySweeperService) - Webroot Software, Inc. - C:\Program\Webroot\Spy Sweeper\SpySweeper.exe

O23 - Service: WLTRYSVC - Unknown owner - C:\WINDOWS\system32\wltrysvc.exe[/log]

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Hej!

 

Innan senste åtgärden startade jag om datorn. F-secure hittade:

C:\WINDOWS\TEMP\AVP231.TMP "could be infected with an unknown virus"

 

Prova att skicka filen till f-secure för undersökning:

se: http://support.f-secure.se/swe/home/virusproblem/sample/

 

(Läs stycket längst ner på sidan)

 

;0)

 

 

/Thomas

Ladda ner professionella väl genomtänkta installationsanvisningar som ger hög säkerhet mot virus & angrepp, stabil drift samt optimal prestanda på: http://www.winguider.se Finns för Win2000 Pro & för XP Pro (3 olika versioner) Ej för XP home

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Vilken är den andra filen med ev. otrevligheter?

Den andra som jag bad dig skanna på virustotal: C:\WINDOWS\SYSTEM32\DMPRI.EXE

 

Jag ser inget otrevligt i loggen längre.

Töm mappen C:\WINDOWS\TEMP

Skanna igenom datorn med F-secure och låt den ta bort det den hittar.

Starta om datorn.

Fortfarande klagomål från F-secure?

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Hej

 

Logg från virustotal. Är det nåt mer som ska bort?

 

[log]STATUS: FINISHEDComplete scanning result of "DMPRI.EXE", received in VirusTotal at 10.26.2006, 14:27:26 (CET).

 

Antivirus Version Update Result

AntiVir 7.2.0.32 10.26.2006 no virus found

Authentium 4.93.8 10.26.2006 could be a corrupted executable file

Avast 4.7.892.0 10.26.2006 no virus found

AVG 386 10.26.2006 no virus found

BitDefender 7.2 10.26.2006 MemScan:Trojan.Downloader.Mohbpork.B

CAT-QuickHeal 8.00 10.25.2006 (Suspicious) - DNAScan

ClamAV devel-20060426 10.26.2006 no virus found

DrWeb 4.33 10.26.2006 Trojan.DnsChange

eTrust-InoculateIT 23.73.37 10.26.2006 no virus found

eTrust-Vet 30.3.3158 10.26.2006 Win32/Alureon!generic

Ewido 4.0 10.26.2006 Trojan.Small.fb

Fortinet 2.82.0.0 10.26.2006 suspicious

F-Prot 3.16f 10.26.2006 no virus found

F-Prot4 4.2.1.29 10.26.2006 no virus found

Ikarus 0.2.65.0 10.26.2006 no virus found

Kaspersky 4.0.2.24 10.26.2006 no virus found

McAfee 4881 10.25.2006 no virus found

Microsoft 1.1609 10.25.2006 no virus found

NOD32v2 1.1835 10.26.2006 a variant of Win32/Small.FB

Norman 5.80.02 10.26.2006 no virus found

Panda 9.0.0.4 10.26.2006 Suspicious file

Sophos 4.10.0 10.26.2006 no virus found

TheHacker 6.0.1.105 10.25.2006 no virus found

UNA 1.83 10.25.2006 no virus found

VBA32 3.11.1 10.25.2006 suspected of Malware.Agent.11

VirusBuster 4.3.15:9 10.26.2006 no virus found

 

 

Aditional Information

File size: 61024 bytes

MD5: 227f3e5d4a25710dacb643e6ae3fde8d

SHA1: d105992a40b9fbfd9d43dc4b2cce2279fcb82626

packers: PECRYPT

[/log]

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Hej

Nu har jag följt alla dina instruktioner och även tagit bort C:\WINDOWS\SYSTEM32\DMPRI.EXE startat om datorn och allt tycks fungera normalt igen.

 

Tusen tack för hjälpen!!

 

/Hans

 

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Tack själv för alla poäng! :) :)

 

Här kommer mina vanliga råd för en säkrare dator, men det är såklart viktigt att man använder sitt förnuft också.

 

Uppdatera från Windows Update och kör antispionprogrammen AVG Anti-Spyware (Ewido), Spybot S&D och/eller Ad-aware regelbundet.

http://www.ewido.net/en/

http://www.safer-networking.org/en/download/index.html

http://www.lavasoft.com

 

Komplettera antivirusprogrammet med några online-skanningar då och då:

http://housecall.trendmicro.com/

http://www.bitdefender.com/scan8/ie.html

http://www.pandasoftware.com/products/activescan/

 

Använd en brandvägg (bättre än den inbyggda i XP), finns gratis från t ex ZoneLabs.

http://www.zonelabs.com/store/content/home.jsp

 

Om man använder Internet Explorer så kan det vara lämpligt att ha programmen SpywareBlaster och SpywareGuard, vilka hindrar en hel del otrevliga program från att laddas ner resp. köras:

http://www.javacoolsoftware.com

 

Se över säkerhetsinställningarna i Internet Explorer, det finns en hel del tips här:

http://www.spywarewarrior.com/uiuc/btw/ie/ie-opts.htm

 

Samt kör IE-SpyAd som lägger en hel massa otrevliga webbplatser i zonen Ej tillförlitliga i Internet Explorer så att de inte kan göra något med datorn:

http://www.spywarewarrior.com/uiuc/resource.htm

 

Om man byter webbläsare så är det bara SpywareGuard som behövs. Andra webbläsare är t ex Mozilla Firefox och Opera:

http://www.mozilla.org

http://www.opera.com

 

Allt gratis för hemanvändare/personligt bruk.

 

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Skapa ett nytt konto på vårt forum. Det är lätt!

Registrera ett nytt konto

Logga in

Redan medlem? Logga in här.

Logga in nu



×