Problem med ett virus: rdriv, Trojan.cachecachekit

17 december, 2006

Hej!

Jag försöker hjälpa min bror med ett virus han lyckats få på sin burk.

Hans bärbara dator lämnades in på service pga strul så de utförde en återställning med hjälp av en Norton för detta virus; C:\WINDOWS\SYSTEM32\rdriv.sys

Norton meddelar att filen är borttagen men varningen dyker upp oavbrutet efter det.

Jag bifogar en logg från HijackThis då jag sett att det är något ni önskar se.

Oerhört tacksam för hjälp.

/ Tommy

[log]

Logfile of HijackThis v1.99.1

Scan saved at 19:49:41, on 2006-12-17

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program\Norton AntiVirus\navapsvc.exe

C:\Program\Norton AntiVirus\SAVScan.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\atiptaxx.exe

C:\WINDOWS\System32\pctspk.exe

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\IMWEBSTA.EXE

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\d4rkyz.exe

C:\Program\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program\QuickTime\qttask.exe

C:\Program\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\updata.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\Program\MSN Messenger\MsnMsgr.Exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\Google\Google Desktop Search\GoogleDesktopIndex.exe

C:\Program\Google\Google Desktop Search\GoogleDesktopDisplay.exe

C:\Program\Google\Google Desktop Search\GoogleDesktopCrawl.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Messenger\msmsgs.exe

C:\WINDOWS\Taskend.exe

C:\Program\Outlook Express\msimn.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar2.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\Windows Live Toolbar\msntb.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Program\Norton AntiVirus\NavShExt.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program\google\googletoolbar2.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\System32\\NeroCheck.exe

O4 - HKLM\..\Run: [ATIModeChange] Ati2mdxx.exe

O4 - HKLM\..\Run: [AtiPTA] atiptaxx.exe

O4 - HKLM\..\Run: [PCTVOICE] pctspk.exe

O4 - HKLM\..\Run: [Trickler] "c:\documents and settings\ägaren\lokala inställningar\temp\~vis0000\gain_4104.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [iMWEBSTA.EXE] IMWEBSTA.EXE START

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\Program\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [sSC_UserPrompt] C:\Program\Delade filer\Symantec Shared\Security Center\UsrPrmpt.exe

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [iSPSERVICE] C:\WINDOWS\System32\d4rkyz.exe

O4 - HKLM\..\Run: [Google Desktop Search] "C:\Program\Google\Google Desktop Search\GoogleDesktop.exe" /startup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [Microsoft Windows Updata2] updata.exe

O4 - HKLM\..\RunServices: [Microsoft Windows Updata2] updata.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background

O8 - Extra context menu item: &Windows Live Search - res://C:\Program\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: Öppna på ny flik i bakgrunden - res://C:\Program\Windows Live Toolbar\Components\sv-se\msntabres.dll.mui/229?c34748cf394949b1a489b34fd3bdd7ec

O8 - Extra context menu item: Öppna på ny flik i förgrunden - res://C:\Program\Windows Live Toolbar\Components\sv-se\msntabres.dll.mui/230?c34748cf394949b1a489b34fd3bdd7ec

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O16 - DPF: {56336BCB-3D8A-11D6-A00B-0050DA18DE71} (RdxIE Class) - http://software-dl.real.com/14a4a214587131928206/netzip/RdxIE601.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O20 - AppInit_DLLs: C:\Program\Google\GOOGLE~1\GOEC62~1.DLL

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

O23 - Service: GoogleDesktopManager - Google - C:\Program\Google\Google Desktop Search\GoogleDesktopManager.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Norton AntiVirus Auto Protect-tjänst (navapsvc) - Symantec Corporation - C:\Program\Norton AntiVirus\navapsvc.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Unknown owner - C:\Program\Delade filer\Panda Software\PavShld\pavprsrv.exe (file missing)

O23 - Service: SAVScan - Symantec Corporation - C:\Program\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program\DELADE~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

O23 - Service: end task (Taskend) - Unknown owner - C:\WINDOWS\Taskend.exe

[/log]

18 december, 2006

Det är flera otrevligheter i den loggen. Jag behöver lite mer information om några filer. Gå till http://www.virustotal.com/ klistra in ett av följande filnamn i rutan, tryck på Send och vänta tills resultatet är klart (Status blir Finished). Klistra in resultatet (inkl. filstorlek) här. Upprepa med nästa filnamn.

c:\documents and settings\ägaren\lokala inställningar\temp\~vis0000\gain_4104.exe

C:\WINDOWS\System32\d4rkyz.exe

C:\WINDOWS\System32\updata.exe

C:\WINDOWS\Taskend.exe

19 december, 2006

Hej Cecilia och tack för att du tar dig tid.

Jag vet inte riktigt hur mycket du vill ha av den information som man fick fram efter scanningen så jag klistrar in rubbet.

[log]C:\WINDOWS\System32\d4rkyz.exe

STATUS: FINISHED

Complete scanning result of "d4rkyz.exe", received in VirusTotal at 12.19.2006, 20:13:06 (CET).

Antivirus Version Update Result

AntiVir 7.3.0.19 12.19.2006 BDS/mIRC-1771008.A

Authentium 4.93.8 12.15.2006 is a security risk or a "backdoor" program

Avast 4.7.892.0 12.19.2006 no virus found

AVG 386 12.19.2006 no virus found

BitDefender 7.2 12.19.2006 Win32.IRC.Kelebek

CAT-QuickHeal 8.00 12.19.2006 RiskWare.mIRC.6.03 (Not a Virus)

ClamAV devel-20060426 12.19.2006 no virus found

DrWeb 4.33 12.19.2006 no virus found

eSafe 7.0.14.0 12.19.2006 no virus found

eTrust-InoculateIT 23.73.89 12.19.2006 Win32/IRCFlood.1771008!Trojan

eTrust-Vet 30.3.3262 12.19.2006 no virus found

Ewido 4.0 12.19.2006 no virus found

Fortinet 2.82.0.0 12.19.2006 W32/MIRCBased!tr.bdr

F-Prot 3.16f 12.15.2006 security risk or a "backdoor" program

F-Prot4 4.2.1.29 12.19.2006 generic

Ikarus T3.1.0.27 12.19.2006 Backdoor.IRC.mIRC-based

Kaspersky 4.0.2.24 12.19.2006 not-a-virus:Client-IRC.Win32.mIRC.603

McAfee 4922 12.19.2006 no virus found

Microsoft 1.1904 12.19.2006 IGetNet (threat-c)

NOD32v2 1928 12.19.2006 no virus found

Norman 5.80.02 12.19.2006 no virus found

Panda 9.0.0.4 12.19.2006 Suspicious file

Prevx1 V2 12.19.2006 Win32.Worm.Rbot

Sophos 4.12.0 12.18.2006 no virus found

Sunbelt 2.2.907.0 12.18.2006 IGetNet

TheHacker 6.0.3.134 12.18.2006 Aplicacion/Riskware.mIRC.6.03

UNA 1.83 12.19.2006 Backdoor.mIRC-based.F43F

VBA32 3.11.1 12.19.2006 no virus found

VirusBuster 4.3.19:9 12.19.2006 no virus found

Aditional Information

File size: 1771008 bytes

MD5: 8ec1dc41329c12c454595fbfd39f88c2

SHA1: 81aaa39802905c8b3ee132c978ddb3cc3f3db1b5

Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PXC=da204666088

[/log]

[log]

c:\documents and settings\ägaren\lokala inställningar\temp\~vis0000\gain_4104.exe

STATUS: FINISHED

Complete scanning result of "gain_4104.exe", received in VirusTotal at 12.19.2006, 20:18:42 (CET).

Antivirus Version Update Result

AntiVir 7.3.0.19 12.19.2006 no virus found

Authentium 4.93.8 12.15.2006 no virus found

Avast 4.7.892.0 12.19.2006 no virus found

AVG 386 12.19.2006 no virus found

BitDefender 7.2 12.19.2006 no virus found

CAT-QuickHeal 8.00 12.19.2006 no virus found

ClamAV devel-20060426 12.19.2006 no virus found

DrWeb 4.33 12.19.2006 no virus found

eSafe 7.0.14.0 12.19.2006 no virus found

eTrust-InoculateIT 23.73.89 12.19.2006 no virus found

eTrust-Vet 30.3.3262 12.19.2006 no virus found

Ewido 4.0 12.19.2006 no virus found

Fortinet 2.82.0.0 12.19.2006 no virus found

F-Prot 3.16f 12.15.2006 no virus found

F-Prot4 4.2.1.29 12.19.2006 no virus found

Ikarus T3.1.0.27 12.19.2006 no virus found

Kaspersky 4.0.2.24 12.19.2006 no virus found

McAfee 4922 12.19.2006 no virus found

Microsoft 1.1904 12.19.2006 no virus found

NOD32v2 1928 12.19.2006 no virus found

Norman 5.80.02 12.19.2006 no virus found

Panda 9.0.0.4 12.19.2006 no virus found

Prevx1 V2 12.19.2006 no virus found

Sophos 4.12.0 12.18.2006 no virus found

Sunbelt 2.2.907.0 12.18.2006 no virus found

TheHacker 6.0.3.134 12.18.2006 no virus found

UNA 1.83 12.19.2006 no virus found

VBA32 3.11.1 12.19.2006 no virus found

VirusBuster 4.3.19:9 12.19.2006 no virus found

Aditional Information

File size: 0 bytes

MD5: d41d8cd98f00b204e9800998ecf8427e

SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

[/log]

C:\WINDOWS\System32\updata.exe

Den här filen laddar tydligen aldrig färdigt i sökningen.

[log]

STATUS: FINISHEDComplete scanning result of "Taskend.exe", received in VirusTotal at 12.19.2006, 20:28:00 (CET).

Antivirus Version Update Result

AntiVir 7.3.0.19 12.19.2006 no virus found

Authentium 4.93.8 12.15.2006 no virus found

Avast 4.7.892.0 12.19.2006 no virus found

AVG 386 12.19.2006 no virus found

BitDefender 7.2 12.19.2006 no virus found

CAT-QuickHeal 8.00 12.19.2006 no virus found

ClamAV devel-20060426 12.19.2006 no virus found

DrWeb 4.33 12.19.2006 no virus found

eSafe 7.0.14.0 12.19.2006 no virus found

eTrust-InoculateIT 23.73.89 12.19.2006 no virus found

eTrust-Vet 30.3.3262 12.19.2006 no virus found

Ewido 4.0 12.19.2006 no virus found

Fortinet 2.82.0.0 12.19.2006 no virus found

F-Prot 3.16f 12.15.2006 no virus found

F-Prot4 4.2.1.29 12.19.2006 no virus found

Ikarus T3.1.0.27 12.19.2006 no virus found

Kaspersky 4.0.2.24 12.19.2006 no virus found

McAfee 4922 12.19.2006 no virus found

Microsoft 1.1904 12.19.2006 no virus found

NOD32v2 1928 12.19.2006 no virus found

Norman 5.80.02 12.19.2006 no virus found

Panda 9.0.0.4 12.19.2006 no virus found

Prevx1 V2 12.19.2006 no virus found

Sophos 4.12.0 12.18.2006 no virus found

Sunbelt 2.2.907.0 12.18.2006 no virus found

TheHacker 6.0.3.134 12.18.2006 no virus found

UNA 1.83 12.19.2006 no virus found

VBA32 3.11.1 12.19.2006 no virus found

VirusBuster 4.3.19:9 12.19.2006 no virus found

Aditional Information

File size: 0 bytes

MD5: d41d8cd98f00b204e9800998ecf8427e

SHA1: da39a3ee5e6b4b0d3255bfef95601890afd80709

[/log]

Hoppas du kan klura ut nått av dessa heiroglyfer.

Jag uppskattar verkligen din hjälp.

/ Tommy

19 december, 2006

Den första filen du skannade är ett program som öppnar en bakdörr till datorn så att andra kan komma åt den från internet. Håll intenetanslutningen urdragen så mycket som möjligt och när datorn är ren så byt alla lösenord etc som används i datorn och på internet (eller ännu bättre gör det redan nu från en ren dator).

Ladda ner rdrivrem:

http://www.atribune.org/downloads/rdrivrem.zip

Packa upp innehållet till Skrivbordet.

Ladda ner AVG Anti-Spyware (Ewido):

http://www.ewido.net/en/download/

Installera och uppdatera enligt anvisningarna på den här sidan:

http://rstones12.geekstogo.com/ewidosetup.htm Bara den första punktlistan, du ska inte skanna än.

Ladda ner ATF-Cleaner och spara på Skrivbordet:

http://www.atribune.org/ccount/click.php?id=1

[log]Starta om datorn i felsäkert läge genom att trycka F8 upprepade gånger under uppstarten och välja Felsäkert i menyn.

Kontrollpanelen - Administrationsverktyg - Tjänster

Leta upp end task i listan, dubbelklicka och välj Startmetod Inaktiverad och tryck på Stoppa om det går.

Gå in i rdrivrem-mappen på Skrivbordet och dubbelklicka på rdrivRem.bat för att köra programmet. Följ instruktionerna på skärmen. När det är klart så sparas en loggfil som heter rdriv.txt i rdrivRem-mappen.

Dubbelklicka på ATF-Cleaner.exe för att starta programmet.

Under Main välj Select All. Tryck på Empty Selected.

Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

Tryck på Exit i Main-menyn för att stänga programmet.

Skanna datorn med AVG Anti-Spyware på detta sätt:

Tryck på Scanner

Gå till Scan-fliken

Tryck på Complete System Scan

När skanningen är klar, det tar ett tag, så välj Apply all actions

Tryck Reports, sedan välj Save report as och spara rapporten t ex på Skrivbordet.

Starta om datorn i normalt läge.

I ditt svar så skriver du hur datorn mår nu, hur det har gått samt klistar in rdriv.txt, Ewido-rapporten och en ny HijackThis-logg.[/log]

20 december, 2006

Hej igen!

Jag har nu gjort alla de åtgärder som du noterat i ditt tidigare inlägg.

Det gick bra att utföra dom allihop. Efter scanningen med AVG så hittades ett antal olika spyware program och det gick inte att klicka på "Apply all actions" då de tydligen redan hade utförts. Men åtgärden som utfördes var default till "Ignore once" så jag tog mig friheten att ändra detta till "Delete" och sen "Apply all actions".

Det jag märkte nu vid uppstarten efter att jag gjort allt detta var att en ruta med namnet mIRC dök upp. Vi har inte installerat detta program och enligt brorsan har en ruta "blinkat till" vid uppstart tidigare men nu fastnade den på skärmen.

Det står i ramen på rutan: By PoH (irc-bot)

Söker jag efter mirc i datorn hittas en fil i System32 mappen, filtyp: konfigurationsinställningar.

En annan sak jag tänkte på var att när jag startade datorn i felsäkertläge fanns det två användare att välja mellan; "Administratör" och "Ägaren" men när man startar datorn normalt finns endast "Ägaren". Vet inte om detta är någon information av vikt men...

Här kommer loggarna:

AVG Anti-Spyware

[log]

---------------------------------------------------------

AVG Anti-Spyware - Scan Report

---------------------------------------------------------

+ Created at: 17:06:19 2006-12-20

+ Scan result:

HKLM\SOFTWARE\Gator.com -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Gator.com\GInternet -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Gator.com\GInternet\Proxy -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Gator.com\Gator -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Gator.com\Gator\dyn -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Gator.com\Gator\dyn\GCH -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Gator.com\Gator\dyn\GCH\_gi -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Gator.com\Gator\dyn\GCH\_ts -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Gator.com\Gator\stat -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Gator.com\Trickler -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Gator.com\Trickler\Files -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Gator.com\Trickler\Files\Bundle -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Gator.com\Trickler\Files\Bundle\chk -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Gator.com\Trickler\Files\Bundle\dl -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Gator.com\Trickler\Files\OemResDll -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Gator.com\Trickler\Files\OemResDll\chk -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Gator.com\Trickler\Files\OemResDll\dl -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Gator.com\Trickler\Files\SilentSetup -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Gator.com\Trickler\Files\SilentSetup\chk -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Gator.com\Trickler\Files\SilentSetup\dl -> Adware.Gator : Cleaned.

HKLM\SOFTWARE\Microsoft\Internet Explorer\Extensions\{c95fe080-8f5d-11d2-a20b-00aa003c157a} -> Adware.Generic : Cleaned.

C:\WINDOWS\system32\m4x[5] -> Backdoor.Sliv.a : Cleaned.

C:\WINDOWS\system32\m4x[1] -> Backdoor.Zapchast : Cleaned.

C:\WINDOWS\system32\m4x[4] -> Backdoor.Zapchast : Cleaned.

C:\WINDOWS\system32\m4x[6] -> Backdoor.Zapchast : Cleaned.

C:\WINDOWS\system32\m4x[7] -> Backdoor.Zapchast : Cleaned.

C:\WINDOWS\system32\m4x[c] -> Backdoor.Zapchast : Cleaned.

C:\WINDOWS\system32\m4x[2] -> Worm.Randon : Cleaned.

C:\WINDOWS\system32\m4x[3] -> Worm.Randon.a : Cleaned.

::Report end

[/log]

HijackThis

[log]

Logfile of HijackThis v1.99.1

Scan saved at 17:35:00, on 2006-12-20

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\atiptaxx.exe

C:\WINDOWS\System32\pctspk.exe

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\WINDOWS\System32\IMWEBSTA.EXE

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\WINDOWS\System32\d4rkyz.exe

C:\Program\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program\QuickTime\qttask.exe

C:\Program\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\updata.exe

C:\Program\HP\HP Software Update\HPWuSchd2.exe

C:\Program\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program\Google\GoogleToolbarNotifier\1.2.908.5008\GoogleToolbarNotifier.exe

C:\WINDOWS\System32\Ati2evxx.exe

C:\Program\MSN Messenger\MsnMsgr.Exe

C:\Program\Google\Google Desktop Search\GoogleDesktopIndex.exe

C:\Program\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program\Norton AntiVirus\navapsvc.exe

C:\Program\Norton AntiVirus\SAVScan.exe

C:\Program\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Google\Google Desktop Search\GoogleDesktopDisplay.exe

C:\Program\Google\Google Desktop Search\GoogleDesktopCrawl.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\HP\Digital Imaging\bin\hpqSTE08.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program\Windows NT\Tillbehör\WORDPAD.EXE