Har fått ett virus som heter " Antivirus 2008 XP"

[Cecilia]

Slå på systemåterställning på en gång. Den kanske funkar bättre nu när den blivit tömd.

 

PSExec var troligen en del av Antivirus XP. Panda kunde inte känna igen någon av filerna när du skannade på virustotal-sidan, men den har ju blivit uppdaterad sedan dess så nu kanske det gick att hitta någon av dem i systemåterställningen.

 

Du hittar en länk till Secunias programkontroll på sidan

http://ceblstockholm.googlepages.com/home

 

[Gunnvor]

Ja, nu har jag visst fixat allt! Startat systemåterställning igen och uppgraderat till nyaste versioner av Java, Flash mm. Puh!

Återigen tack för all hjälp, underbart att kunna fixa sånt här själv hemma och slippa lämna in datorn.

 

[streettess13]

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:36:48, on 2008-08-30

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

c:\Program\Delade filer\Symantec Shared\ccProxy.exe

C:\WINDOWS\Explorer.EXE

c:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

c:\Program\Norton Internet Security\ISSVC.exe

c:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

c:\Program\Delade filer\Symantec Shared\SPBBC\SPBBCSvc.exe

c:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\Program\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE

c:\Program\Norton Internet Security\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\wdfmgr.exe

c:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

C:\Program\Java\jre1.5.0_05\bin\jusched.exe

C:\windows\system\hpsysdrv.exe

C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\WINDOWS\ALCXMNTR.EXE

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\HP\KBD\KBD.EXE

C:\Program\Hp\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\system32\Rundll32.exe

C:\WINDOWS\system32\lphcce3j0e57l.exe

C:\Program\rhc9e3j0e57l\rhc9e3j0e57l.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Windows Live\Messenger\MsnMsgr.Exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\system32\pphcce3j0e57l.exe

C:\Program\Enigma Software Group\SpyHunter\SpyHunter3.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.polisman.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - c:\Program\Norton Internet Security\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\jre1.5.0_05\bin\jusched.exe

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [ATIPTA] "C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe"

O4 - HKLM\..\Run: [AlcxMonitor] ALCXMNTR.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [ccApp] "c:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [urlLSTCK.exe] c:\Program\Norton Internet Security\UrlLstCk.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [HP Software Update] C:\Program\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [symantec NetDriver Monitor] C:\Program\SYMNET~1\SNDMon.exe /Consumer

O4 - HKLM\..\Run: [lphcce3j0e57l] C:\WINDOWS\system32\lphcce3j0e57l.exe

O4 - HKLM\..\Run: [sMrhc9e3j0e57l] C:\Program\rhc9e3j0e57l\rhc9e3j0e57l.exe

O4 - HKLM\..\Run: [bMab5137d4] Rundll32.exe "C:\WINDOWS\system32\lhipnnua.dll",s

O4 - HKLM\..\Run: [a8620448] rundll32.exe "C:\WINDOWS\system32\fwofvlab.dll",a

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_05\bin\npjpi150_05.dll

O9 - Extra button: Blogga detta - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Blogga detta i Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Hjälp med anslutning - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Hjälp med anslutning - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Automatisk LiveUpdate-schemaläggare - Symantec Corporation - C:\Program\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - c:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - c:\Program\Delade filer\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - c:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - c:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: ISSvc (ISSVC) - Symantec Corporation - c:\Program\Norton Internet Security\ISSVC.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Program\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: Norton AntiVirus Auto Protect-tjänst (navapsvc) - Symantec Corporation - c:\Program\Norton Internet Security\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - c:\Program\Norton Internet Security\Norton AntiVirus\SAVScan.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - c:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - c:\Program\Delade filer\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - c:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

 

--

End of file - 7775 bytes

[/log]

 

[Cecilia]

streettess13, denna tråd är redan rörig och lång, vilket leder till risk för misstag och det blir långsamt med visningar av tråden. Var därför snäll och starta upp din egen tråd genom att trycka på Skriv inlägg i vänsterkolumnen.

 

[orange80]

Hejsan, jag igen behöver lite hjälp. visste inte vart jag skulle skriva så jag skriver här. Efter att jag gjorde körde antivirus programmet tog jag bort en fil eller ngt liknande som hade virus och den filen fanns i c:\system volume information. Problemet är att när jag har stängt av datan och sedan när den startas kommer det fram text att maskin vara inte har hittats och att starta datan i felsäker läge i normal läge osv. jag startar med senast fungerade konfigurering då det fungerar som vanligt, annars om jag tar startar i normal blir det blå och det står "vänta........" det fortsätter så där. vad är problemet? vad kan göras?

 

 

 

[Cecilia]

Kan du hitta någon logg i antivirusprogrammet där det står mer exakt vad den hittade?

 

[orange80]

jo här kommer det:

 

C:\System Volume Information\_restore{A5A4E01A-E62D-458A-BBCB-CE502E80DE6B}\RP1\A0000001.exe - Win32/TrojanDownloader.FakeAlert.FK trojan - deleted

 

 

[Cecilia]

Det är en rest efter Antivirus 2008 XP.

C:\System Volume Information\_restore är stället där systemåterställningsfunktionen lagrar olika systemåterställningspunkter. Det betyder att medan din dator var infekterad så skapade Windows en systemåterställningspunkt. Så länge som de skadliga filerna ligger i den mappen så är de ofarliga. Däremot så om du återställer till en tidpunkt då datorn var infekterad så blir även de skadliga filerna återställda.

 

Du kan ta bort samtliga systemåterställningspunkter genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt.

Systemåterställningsfunktionen slår man av och på här:

Högerklick på Den här datorn - Egenskaper - Systemåterställning

 

Antivirusprogrammet borde kunna ta bort filer därifrån utan problem, men det kan ju ha klantat sig.

 

För att lösa ditt nuvarande uppstartsproblem, så se om du kan göra en systemåterställning (Start - Program - Tillbehör - Systemverktyg) tillbaks till igår innan antivirusprogrammet försökte ta bort filen.

 

[orange80]

Du kan ta bort samtliga systemåterställningspunkter genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt.

Systemåterställningsfunktionen slår man av och på här:

Högerklick på Den här datorn - Egenskaper - Systemåterställning

 

ska jag trycka på inaktivera då och sedan starta om datorn,, men jag förstår inte riktigt vad du menar med att starta en ny punkt.

 

 

 

[Cecilia]

Först inaktivera, sedan starta om och aktivera.

På samma ställe där man (in)aktiverar så finns något att trycka på för att skapa en systemåterställningspunkt.

 

[orange80]

har gjort det du skrev men jag hittar ingen ställe att skapa en ny systemåterställningspunkt? dessutom när jag startade datan startade jag den genom att trycka på senast fungerade konfiguration.

 

[Cecilia]

Du kan också skapa systemåterställningspunkter i Start - Program - Tillbehör - Systemverktyg.

 

[orange80]

behöver jag skapa en ny systemåterställningspunkt. jag vet inte vad jag ska för beskrivning av återställningspunkten.

 

[Cecilia]

Man ska alltid ha minst en systemåterställningspunkt som man kan backa till om man råkar klanta till det med några inställningar.

Du kan kalla den Skapat själv.

 

[orange80]

okej jag har gjort det nu,, vad ska jag göra efteråt?

 

[Cecilia]

Vad händer när du startar normalt?

 

[orange80]

när jag startar normalt blir det som innan "vänta......."

 

 

För att lösa ditt nuvarande uppstartsproblem, så se om du kan göra en systemåterställning (Start - Program - Tillbehör - Systemverktyg) tillbaks till igår innan antivirusprogrammet försökte ta bort filen.

 

har ej gjort detta men försökt men jag kan inte gå tillbaka till innan antivirusprogrammet tog bort filen. det finns bara för idag. jag klickar på systemåterställning -> återställ datorn till en tidigare tidpunkt.. där finns den nya skapade och en annan "systemkontrollpunkt".

 

[Cecilia]

Om du har något annat anslutet än mus och tangentbord så ta bort det.

 

Hur uppför sig datorn vid start till felsäkert läge? Kommer det upp några filnamn?

 

[orange80]

hejsan. startade datan för en liten stund sedan, tänkte att jag skulle starta den i felsäker läge så som du skrev men det behövdes inte eftersom datan startade helt normal. sedan dök en liten skylt fram där det stod att skadlig program hade tagits bort och sedan klickade jag på slutför. startade om datan en gång till och det fungerar bra. det enda problemet är att windows-brandvägg blir alltid av fastän den är på när man stänger av datan.

 

 

 

 

 

[Cecilia]

Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Dra ur internetanslutningen och stäng av alla program du ser inklusive antivirusprogram, antispionprogram och brandvägg, alternativt starta om datorn i felsäkert läge.

Kör ComboFix och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram och brandvägg är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

 

[orange80]

hejsan här kommer loggen från combofix

 

[log]ComboFix 08-09-10.04 - E 2008-09-11 15:29:45.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1053.18.661 [GMT 2:00]

Running from: C:\Documents and Settings\E\Skrivbord\ComboFix.exe

* Created a new restore point

* Resident AV is active

 

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\E\Cookies\e@ad.adtoma[1].txt

C:\WINDOWS\inetinfx.exe

C:\WINDOWS\inidirx.ini

C:\WINDOWS\ponto.DLL

C:\WINDOWS\system32\MEGATRON.ini

 

.

((((((((((((((((((((((((( Files Created from 2008-08-11 to 2008-09-11 )))))))))))))))))))))))))))))))

.

 

2100-02-16 17:09 . 2001-02-16 16:37 62 --a--c--- C:\WINDOWS\system32\LXBOUSCI.INI

2008-09-05 19:01 . 2008-09-05 19:01 115,016 --a------ C:\WINDOWS\system32\MSINET.OCX

2008-09-05 19:01 . 2008-09-05 19:01 113,152 --a------ C:\WINDOWS\system\ptvenck.exe

2008-09-05 19:01 . 2008-09-05 19:01 112,128 -r-hs---- C:\WINDOWS\system32\youtube0,84283837263[1].scr

2008-08-18 21:17 . 2008-09-09 21:40 <KAT> d-------- C:\WINDOWS\system32\CatRoot_bak

2008-08-12 14:42 . 2008-08-12 14:42 <KAT> d-------- C:\WINDOWS\system32\config\systemprofile\Lokala instõllningar

2008-08-12 14:42 . 2008-08-12 14:42 <KAT> d-------- C:\Documents and Settings\NetworkService\Lokala instõllningar

2008-08-12 14:42 . 2008-08-12 14:42 <KAT> d-------- C:\Documents and Settings\LocalService\Lokala instõllningar

2008-08-12 14:42 . 2008-08-12 14:42 <KAT> d-------- C:\Documents and Settings\E\Lokala instõllningar

2008-08-11 19:49 . 2008-09-09 22:39 <KAT> d-------- C:\Program\Nod32

2008-08-11 19:49 . 2008-08-11 19:46 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys

2008-08-11 19:49 . 2008-08-11 19:46 298,104 --a------ C:\WINDOWS\system32\imon.dll

2008-08-11 19:49 . 2008-08-11 19:46 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys

2008-08-11 19:46 . 2008-08-11 19:46 <KAT> d-------- C:\Program\ESET

2008-08-11 01:57 . 2008-08-12 01:31 <KAT> d-------- C:\Program\Championship Manager 01-02

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-09 23:52 --------- d-----w C:\Program\DC++

2008-08-30 20:45 --------- d-----w C:\Documents and Settings\E\Application Data\Skype

2008-08-11 18:11 --------- d-----w C:\Program\Delade filer\Adobe

2008-08-11 18:05 --------- d-----w C:\Program\PokerNEWS Toolbar

2008-08-10 18:27 --------- d-----w C:\Documents and Settings\E\Application Data\Malwarebytes

2008-08-10 18:27 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-08-10 18:21 --------- d-----w C:\Program\Trend Micro

2008-08-10 18:06 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-08-06 09:27 --------- d-----w C:\Program\Yahoo!

2008-08-06 09:26 --------- d-----w C:\Documents and Settings\E\Application Data\Yahoo!

2008-07-24 22:52 --------- d-----w C:\Documents and Settings\E\Application Data\Winamp

2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll

2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll

2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll

2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll

2008-07-18 20:07 270,880 ----a-w C:\WINDOWS\system32\mucltui.dll

2008-07-18 20:07 210,976 ----a-w C:\WINDOWS\system32\muweb.dll

2008-07-07 20:32 253,952 ----a-w C:\WINDOWS\system32\es.dll

2008-06-24 16:25 74,240 ----a-w C:\WINDOWS\system32\mscms.dll

2008-06-24 16:12 295,936 ------w C:\WINDOWS\system32\wmpeffects.dll

2008-06-23 16:42 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-06-20 17:42 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll

2008-06-11 00:04 200,704 ----a-w C:\WINDOWS\system32\ssldivx.dll

2008-06-11 00:04 1,044,480 ----a-w C:\WINDOWS\system32\libdivx.dll

2006-09-23 15:37 18,224 -c--a-w C:\Documents and Settings\E\Application Data\GDIPFONTCACHEV1.DAT

.

 

((((((((((((((((((((((((((((( snapshot@2008-08-12_14.41.23.29 )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-04-23 04:22:15 124,928 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\advpack.dll

+ 2008-04-23 04:22:15 347,136 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\dxtmsft.dll

+ 2008-04-23 04:22:15 214,528 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\dxtrans.dll

+ 2008-04-23 04:22:15 133,120 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\extmgr.dll

+ 2008-04-23 04:22:15 63,488 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\icardie.dll

+ 2008-04-22 07:44:39 70,656 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ie4uinit.exe

+ 2008-04-23 04:22:15 153,088 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ieakeng.dll

+ 2008-04-23 04:22:15 230,400 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ieaksie.dll

+ 2008-04-20 05:07:51 161,792 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ieakui.dll

+ 2008-04-23 04:22:15 383,488 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ieapfltr.dll

+ 2008-04-23 04:22:15 384,512 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\iedkcs32.dll

+ 2008-04-23 04:22:15 6,066,176 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ieframe.dll

+ 2008-04-23 04:22:15 44,544 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\iernonce.dll

+ 2008-04-23 04:22:15 267,776 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\iertutil.dll

+ 2008-04-22 07:39:58 13,824 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\ieudinit.exe

+ 2008-04-22 07:44:55 625,664 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\iexplore.exe

+ 2008-04-23 04:22:15 27,648 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\jsproxy.dll

+ 2008-04-23 04:22:15 459,264 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\msfeeds.dll

+ 2008-04-23 04:22:15 52,224 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\msfeedsbs.dll

+ 2008-04-23 20:22:18 3,591,680 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\mshtml.dll

+ 2008-04-23 04:22:16 478,208 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\mshtmled.dll

+ 2008-04-23 04:22:16 193,024 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\msrating.dll

+ 2008-04-23 04:22:16 671,232 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\mstime.dll

+ 2008-04-23 04:22:16 102,912 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\occache.dll

+ 2008-04-23 04:22:16 44,544 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\pngfilt.dll

+ 2007-03-06 03:38:55 214,752 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\spuninst.exe

+ 2007-03-06 03:40:05 381,152 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\spuninst\updspapi.dll

+ 2008-04-23 04:22:16 105,984 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\url.dll

+ 2008-04-23 04:22:16 1,159,680 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\urlmon.dll

+ 2008-04-23 04:22:16 233,472 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\webcheck.dll

+ 2008-04-23 04:22:16 826,368 -c----w C:\WINDOWS\ie7updates\KB953838-IE7\wininet.dll

+ 2007-04-19 12:09:30 167,256 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\D140110900063D11C8EF10054038389C\11.0.8173\IETAG.DLL

+ 2007-05-31 11:35:22 6,420,320 ----a-r C:\WINDOWS\Installer\$PatchCache$\Managed\D140110900063D11C8EF10054038389C\11.0.8173\POWERPNT.EXE

- 2008-07-20 01:04:45 593,920 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\accicons.exe

+ 2008-09-10 22:45:45 593,920 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\accicons.exe

- 2008-07-20 01:04:45 12,288 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\cagicon.exe

+ 2008-09-10 22:45:45 12,288 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\cagicon.exe

- 2008-07-20 01:04:45 86,016 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\inficon.exe

+ 2008-09-10 22:45:46 86,016 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\inficon.exe

- 2008-07-20 01:04:44 135,168 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\misc.exe

+ 2008-09-10 22:45:45 135,168 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\misc.exe

- 2008-07-20 01:04:45 11,264 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\mspicons.exe

+ 2008-09-10 22:45:46 11,264 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\mspicons.exe

- 2008-07-20 01:04:45 27,136 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\oisicon.exe

+ 2008-09-10 22:45:46 27,136 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\oisicon.exe

- 2008-07-20 01:04:46 4,096 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\opwicon.exe

+ 2008-09-10 22:45:46 4,096 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\opwicon.exe

- 2008-07-20 01:04:46 794,624 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\outicon.exe

+ 2008-09-10 22:45:46 794,624 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\outicon.exe

- 2008-07-20 01:04:45 249,856 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\pptico.exe

+ 2008-09-10 22:45:45 249,856 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\pptico.exe

- 2008-07-20 01:04:44 61,440 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\pubs.exe

+ 2008-09-10 22:45:45 61,440 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\pubs.exe

- 2008-07-20 01:04:46 23,040 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\unbndico.exe

+ 2008-09-10 22:45:46 23,040 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\unbndico.exe

- 2008-07-20 01:04:44 286,720 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\wordicon.exe

+ 2008-09-10 22:45:45 286,720 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\wordicon.exe

- 2008-07-20 01:04:44 409,600 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\xlicons.exe

+ 2008-09-10 22:45:45 409,600 ----a-r C:\WINDOWS\Installer\{9011041D-6000-11D3-8CFE-0150048383C9}\xlicons.exe

- 2008-05-15 01:04:47 167,936 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\accicons.exe

+ 2008-09-10 22:44:14 167,936 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\accicons.exe

- 2008-05-15 01:04:47 2,560 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\cagicon.exe

+ 2008-09-10 22:44:14 2,560 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\cagicon.exe

- 2008-05-15 01:04:47 81,920 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\fpicon.exe

+ 2008-09-10 22:44:14 81,920 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\fpicon.exe

- 2008-05-15 01:04:46 34,304 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\misc.exe

+ 2008-09-10 22:44:14 34,304 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\misc.exe

- 2008-05-15 01:04:47 8,192 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\mspicons.exe

+ 2008-09-10 22:44:15 8,192 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\mspicons.exe

- 2008-05-15 01:04:47 3,584 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\opwicon.exe

+ 2008-09-10 22:44:15 3,584 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\opwicon.exe

- 2008-05-15 01:04:47 114,688 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\outicon.exe

+ 2008-09-10 22:44:15 114,688 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\outicon.exe

- 2008-05-15 01:04:46 16,384 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\PEicons.exe

+ 2008-09-10 22:44:14 16,384 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\PEicons.exe

- 2008-05-15 01:04:46 30,720 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\pptico.exe

+ 2008-09-10 22:44:14 30,720 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\pptico.exe

- 2008-05-15 01:04:47 22,528 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\unbndico.exe

+ 2008-09-10 22:44:15 22,528 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\unbndico.exe

- 2008-05-15 01:04:46 45,056 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\wordicon.exe

+ 2008-09-10 22:44:14 45,056 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\wordicon.exe

- 2008-05-15 01:04:46 90,112 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\xlicons.exe

+ 2008-09-10 22:44:14 90,112 ----a-r C:\WINDOWS\Installer\{9028041D-6000-11D3-8CFE-0050048383C9}\xlicons.exe

- 2008-04-23 04:22:15 124,928 ----a-w C:\WINDOWS\system32\advpack.dll

+ 2008-06-23 16:42:32 124,928 ----a-w C:\WINDOWS\system32\advpack.dll

- 2008-04-23 04:22:15 124,928 -c--a-w C:\WINDOWS\system32\dllcache\advpack.dll

+ 2008-06-23 16:42:32 124,928 -c--a-w C:\WINDOWS\system32\dllcache\advpack.dll

- 2007-07-30 17:19:20 92,504 -c--a-w C:\WINDOWS\system32\dllcache\cdm.dll

+ 2008-07-18 20:10:48 94,920 -c--a-w C:\WINDOWS\system32\dllcache\cdm.dll

- 2008-04-23 04:22:15 347,136 -c--a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll

+ 2008-06-23 16:42:32 347,136 -c--a-w C:\WINDOWS\system32\dllcache\dxtmsft.dll

- 2008-04-23 04:22:15 214,528 -c--a-w C:\WINDOWS\system32\dllcache\dxtrans.dll

+ 2008-06-23 16:42:32 214,528 -c--a-w C:\WINDOWS\system32\dllcache\dxtrans.dll

- 2005-07-26 04:42:48 243,200 -c--a-w C:\WINDOWS\system32\dllcache\es.dll

+ 2008-07-07 20:32:47 253,952 -c--a-w C:\WINDOWS\system32\dllcache\es.dll

- 2008-04-23 04:22:15 133,120 -c--a-w C:\WINDOWS\system32\dllcache\extmgr.dll

+ 2008-06-23 16:42:32 133,120 -c--a-w C:\WINDOWS\system32\dllcache\extmgr.dll

- 2008-04-23 04:22:15 63,488 -c----w C:\WINDOWS\system32\dllcache\icardie.dll

+ 2008-06-23 16:42:32 63,488 -c----w C:\WINDOWS\system32\dllcache\icardie.dll

- 2008-04-22 07:44:39 70,656 -c--a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe

+ 2008-06-23 09:24:13 70,656 -c--a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe

- 2008-04-23 04:22:15 153,088 -c--a-w C:\WINDOWS\system32\dllcache\ieakeng.dll

+ 2008-06-23 16:42:33 153,088 -c--a-w C:\WINDOWS\system32\dllcache\ieakeng.dll

- 2008-04-23 04:22:15 230,400 -c--a-w C:\WINDOWS\system32\dllcache\ieaksie.dll

+ 2008-06-23 16:42:33 230,400 -c--a-w C:\WINDOWS\system32\dllcache\ieaksie.dll

- 2008-04-20 05:07:51 161,792 -c--a-w C:\WINDOWS\system32\dllcache\ieakui.dll

+ 2008-06-21 05:23:54 161,792 -c--a-w C:\WINDOWS\system32\dllcache\ieakui.dll

- 2008-04-23 04:22:15 383,488 -c----w C:\WINDOWS\system32\dllcache\ieapfltr.dll

+ 2008-06-23 16:42:33 383,488 -c----w C:\WINDOWS\system32\dllcache\ieapfltr.dll

- 2008-04-23 04:22:15 384,512 -c--a-w C:\WINDOWS\system32\dllcache\iedkcs32.dll

+ 2008-06-23 16:42:33 384,512 -c--a-w C:\WINDOWS\system32\dllcache\iedkcs32.dll

- 2008-04-23 04:22:15 6,066,176 -c----w C:\WINDOWS\system32\dllcache\ieframe.dll

+ 2008-06-23 16:42:36 6,066,176 -c----w C:\WINDOWS\system32\dllcache\ieframe.dll

- 2008-04-23 04:22:15 44,544 -c--a-w C:\WINDOWS\system32\dllcache\iernonce.dll

+ 2008-06-23 16:42:36 44,544 -c--a-w C:\WINDOWS\system32\dllcache\iernonce.dll

- 2008-04-23 04:22:15 267,776 -c----w C:\WINDOWS\system32\dllcache\iertutil.dll

+ 2008-06-23 16:42:36 267,776 -c----w C:\WINDOWS\system32\dllcache\iertutil.dll

- 2008-04-22 07:39:58 13,824 -c----w C:\WINDOWS\system32\dllcache\ieudinit.exe

+ 2008-06-23 09:20:26 13,824 -c----w C:\WINDOWS\system32\dllcache\ieudinit.exe

- 2008-04-22 07:44:55 625,664 -c--a-w C:\WINDOWS\system32\dllcache\iexplore.exe

+ 2008-06-23 09:24:29 625,664 -c--a-w C:\WINDOWS\system32\dllcache\iexplore.exe

- 2007-08-21 06:18:09 683,520 -c--a-w C:\WINDOWS\system32\dllcache\inetcomm.dll

+ 2008-04-11 18:51:59 683,520 -c--a-w C:\WINDOWS\system32\dllcache\inetcomm.dll

- 2008-04-23 04:22:15 27,648 -c--a-w C:\WINDOWS\system32\dllcache\jsproxy.dll

+ 2008-06-23 16:42:37 27,648 -c--a-w C:\WINDOWS\system32\dllcache\jsproxy.dll

- 2004-08-03 23:33:44 331,776 -c--a-w C:\WINDOWS\system32\dllcache\msadce.dll

+ 2008-05-01 14:33:36 331,776 -c--a-w C:\WINDOWS\system32\dllcache\msadce.dll

- 2005-06-29 01:53:07 74,240 -c--a-w C:\WINDOWS\system32\dllcache\mscms.dll

+ 2008-06-24 16:25:18 74,240 -c--a-w C:\WINDOWS\system32\dllcache\mscms.dll

- 2008-04-23 04:22:15 459,264 -c----w C:\WINDOWS\system32\dllcache\msfeeds.dll

+ 2008-06-23 16:42:37 459,264 -c----w C:\WINDOWS\system32\dllcache\msfeeds.dll

- 2008-04-23 04:22:15 52,224 -c----w C:\WINDOWS\system32\dllcache\msfeedsbs.dll

+ 2008-06-23 16:42:37 52,224 -c----w C:\WINDOWS\system32\dllcache\msfeedsbs.dll

- 2008-04-23 20:22:18 3,591,680 -c--a-w C:\WINDOWS\system32\dllcache\mshtml.dll

+ 2008-06-24 08:42:42 3,592,192 -c--a-w C:\WINDOWS\system32\dllcache\mshtml.dll

- 2008-04-23 04:22:16 478,208 -c--a-w C:\WINDOWS\system32\dllcache\mshtmled.dll

+ 2008-06-23 16:42:40 477,696 -c--a-w C:\WINDOWS\system32\dllcache\mshtmled.dll

- 2008-04-23 04:22:16 193,024 -c--a-w C:\WINDOWS\system32\dllcache\msrating.dll

+ 2008-06-23 16:42:40 193,024 -c--a-w C:\WINDOWS\system32\dllcache\msrating.dll

- 2008-04-23 04:22:16 671,232 -c--a-w C:\WINDOWS\system32\dllcache\mstime.dll

+ 2008-06-23 16:42:41 671,232 -c--a-w C:\WINDOWS\system32\dllcache\mstime.dll

- 2008-04-23 04:22:16 102,912 -c--a-w C:\WINDOWS\system32\dllcache\occache.dll

+ 2008-06-23 16:42:41 102,912 -c--a-w C:\WINDOWS\system32\dllcache\occache.dll

- 2008-04-23 04:22:16 44,544 -c--a-w C:\WINDOWS\system32\dllcache\pngfilt.dll

+ 2008-06-23 16:42:41 44,544 -c--a-w C:\WINDOWS\system32\dllcache\pngfilt.dll

- 2008-04-23 04:22:16 105,984 -c--a-w C:\WINDOWS\system32\dllcache\url.dll

+ 2008-06-23 16:42:41 105,984 -c--a-w C:\WINDOWS\system32\dllcache\url.dll

- 2008-04-23 04:22:16 1,159,680 -c--a-w C:\WINDOWS\system32\dllcache\urlmon.dll

+ 2008-06-23 16:42:41 1,159,680 -c--a-w C:\WINDOWS\system32\dllcache\urlmon.dll

- 2008-04-23 04:22:16 233,472 -c--a-w C:\WINDOWS\system32\dllcache\webcheck.dll

+ 2008-06-23 16:42:41 233,472 -c--a-w C:\WINDOWS\system32\dllcache\webcheck.dll

- 2008-04-23 04:22:16 826,368 -c--a-w C:\WINDOWS\system32\dllcache\wininet.dll

+ 2008-06-23 16:42:42 826,368 -c--a-w C:\WINDOWS\system32\dllcache\wininet.dll

- 2007-07-30 17:19:36 549,720 -c--a-w C:\WINDOWS\system32\dllcache\wuapi.dll

+ 2008-07-18 20:09:44 563,912 -c--a-w C:\WINDOWS\system32\dllcache\wuapi.dll

- 2007-07-30 17:19:16 53,080 -c--a-w C:\WINDOWS\system32\dllcache\wuauclt.exe

+ 2008-07-18 20:10:42 53,448 -c--a-w C:\WINDOWS\system32\dllcache\wuauclt.exe

- 2007-07-30 17:19:42 1,712,984 -c--a-w C:\WINDOWS\system32\dllcache\wuaueng.dll

+ 2008-07-18 20:09:42 1,811,656 -c--a-w C:\WINDOWS\system32\dllcache\wuaueng.dll

- 2007-07-30 17:19:32 325,976 -c--a-w C:\WINDOWS\system32\dllcache\wucltui.dll

+ 2008-07-18 20:09:46 325,832 -c--a-w C:\WINDOWS\system32\dllcache\wucltui.dll

- 2007-07-30 17:18:40 33,624 -c--a-w C:\WINDOWS\system32\dllcache\wups.dll

+ 2008-07-18 20:10:20 36,552 -c--a-w C:\WINDOWS\system32\dllcache\wups.dll

- 2007-07-30 17:19:28 203,096 -c--a-w C:\WINDOWS\system32\dllcache\wuweb.dll

+ 2008-07-18 20:09:44 205,000 -c--a-w C:\WINDOWS\system32\dllcache\wuweb.dll

- 2008-04-23 04:22:15 347,136 ----a-w C:\WINDOWS\system32\dxtmsft.dll

+ 2008-06-23 16:42:32 347,136 ----a-w C:\WINDOWS\system32\dxtmsft.dll

- 2008-04-23 04:22:15 214,528 ----a-w C:\WINDOWS\system32\dxtrans.dll

+ 2008-06-23 16:42:32 214,528 ----a-w C:\WINDOWS\system32\dxtrans.dll

- 2008-04-23 04:22:15 133,120 ----a-w C:\WINDOWS\system32\extmgr.dll

+ 2008-06-23 16:42:32 133,120 ----a-w C:\WINDOWS\system32\extmgr.dll

- 2008-04-23 04:22:15 63,488 ----a-w C:\WINDOWS\system32\icardie.dll

+ 2008-06-23 16:42:32 63,488 ----a-w C:\WINDOWS\system32\icardie.dll

- 2008-04-22 07:44:39 70,656 ----a-w C:\WINDOWS\system32\ie4uinit.exe

+ 2008-06-23 09:24:13 70,656 ----a-w C:\WINDOWS\system32\ie4uinit.exe

- 2008-04-23 04:22:15 153,088 ----a-w C:\WINDOWS\system32\ieakeng.dll

+ 2008-06-23 16:42:33 153,088 ----a-w C:\WINDOWS\system32\ieakeng.dll

- 2008-04-23 04:22:15 230,400 ----a-w C:\WINDOWS\system32\ieaksie.dll

+ 2008-06-23 16:42:33 230,400 ----a-w C:\WINDOWS\system32\ieaksie.dll

- 2008-04-20 05:07:51 161,792 ----a-w C:\WINDOWS\system32\ieakui.dll

+ 2008-06-21 05:23:54 161,792 ----a-w C:\WINDOWS\system32\ieakui.dll

- 2008-04-23 04:22:15 383,488 ----a-w C:\WINDOWS\system32\ieapfltr.dll

+ 2008-06-23 16:42:33 383,488 ----a-w C:\WINDOWS\system32\ieapfltr.dll

- 2008-04-23 04:22:15 384,512 ----a-w C:\WINDOWS\system32\iedkcs32.dll

+ 2008-06-23 16:42:33 384,512 ----a-w C:\WINDOWS\system32\iedkcs32.dll

- 2008-04-23 04:22:15 6,066,176 ----a-w C:\WINDOWS\system32\ieframe.dll

+ 2008-06-23 16:42:36 6,066,176 ----a-w C:\WINDOWS\system32\ieframe.dll

- 2008-04-23 04:22:15 44,544 ----a-w C:\WINDOWS\system32\iernonce.dll

+ 2008-06-23 16:42:36 44,544 ----a-w C:\WINDOWS\system32\iernonce.dll

- 2008-04-23 04:22:15 267,776 ----a-w C:\WINDOWS\system32\iertutil.dll

+ 2008-06-23 16:42:36 267,776 ----a-w C:\WINDOWS\system32\iertutil.dll

- 2008-04-22 07:39:58 13,824 ----a-w C:\WINDOWS\system32\ieudinit.exe

+ 2008-06-23 09:20:26 13,824 ----a-w C:\WINDOWS\system32\ieudinit.exe

- 2007-08-21 06:18:09 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll

+ 2008-04-11 18:51:59 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll

- 2008-04-23 04:22:15 27,648 ----a-w C:\WINDOWS\system32\jsproxy.dll

+ 2008-06-23 16:42:37 27,648 ----a-w C:\WINDOWS\system32\jsproxy.dll

- 2008-06-25 16:15:46 17,972,344 ----a-w C:\WINDOWS\system32\MRT.exe

+ 2008-08-26 20:28:12 16,208,504 ----a-w C:\WINDOWS\system32\MRT.exe

- 2008-04-23 04:22:15 459,264 ----a-w C:\WINDOWS\system32\msfeeds.dll

+ 2008-06-23 16:42:37 459,264 ----a-w C:\WINDOWS\system32\msfeeds.dll

- 2008-04-23 04:22:15 52,224 ----a-w C:\WINDOWS\system32\msfeedsbs.dll

+ 2008-06-23 16:42:37 52,224 ----a-w C:\WINDOWS\system32\msfeedsbs.dll

- 2008-04-23 20:22:18 3,591,680 ----a-w C:\WINDOWS\system32\mshtml.dll

+ 2008-06-24 08:42:42 3,592,192 ----a-w C:\WINDOWS\system32\mshtml.dll

- 2008-04-23 04:22:16 478,208 ----a-w C:\WINDOWS\system32\mshtmled.dll

+ 2008-06-23 16:42:40 477,696 ----a-w C:\WINDOWS\system32\mshtmled.dll

- 2008-04-23 04:22:16 193,024 ----a-w C:\WINDOWS\system32\msrating.dll

+ 2008-06-23 16:42:40 193,024 ----a-w C:\WINDOWS\system32\msrating.dll

- 2008-04-23 04:22:16 671,232 ----a-w C:\WINDOWS\system32\mstime.dll

+ 2008-06-23 16:42:41 671,232 ----a-w C:\WINDOWS\system32\mstime.dll

- 2008-04-23 04:22:16 102,912 ----a-w C:\WINDOWS\system32\occache.dll

+ 2008-06-23 16:42:41 102,912 ----a-w C:\WINDOWS\system32\occache.dll

- 2008-06-19 14:18:37 64,372 ----a-w C:\WINDOWS\system32\perfc009.dat

+ 2008-08-25 11:33:42 64,372 ----a-w C:\WINDOWS\system32\perfc009.dat

- 2008-06-19 14:18:37 76,430 ----a-w C:\WINDOWS\system32\perfc01D.dat

+ 2008-08-25 11:33:42 76,430 ----a-w C:\WINDOWS\system32\perfc01D.dat

- 2008-06-19 14:18:37 409,232 ----a-w C:\WINDOWS\system32\perfh009.dat

+ 2008-08-25 11:33:42 409,232 ----a-w C:\WINDOWS\system32\perfh009.dat

- 2008-06-19 14:18:37 411,768 ----a-w C:\WINDOWS\system32\perfh01D.dat

+ 2008-08-25 11:33:43 411,768 ----a-w C:\WINDOWS\system32\perfh01D.dat

- 2008-04-23 04:22:16 44,544 ----a-w C:\WINDOWS\system32\pngfilt.dll

+ 2008-06-23 16:42:41 44,544 ----a-w C:\WINDOWS\system32\pngfilt.dll

+ 2008-07-18 20:10:20 36,552 ----a-w C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.2.6001.784\wups.dll

+ 2008-07-18 20:10:40 45,768 ----a-w C:\WINDOWS\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.2.6001.784\wups2.dll

- 2007-11-13 11:31:11 60,416 ------w C:\WINDOWS\system32\tzchange.exe

+ 2008-07-14 11:09:18 62,976 ------w C:\WINDOWS\system32\tzchange.exe

- 2008-04-23 04:22:16 105,984 ----a-w C:\WINDOWS\system32\url.dll

+ 2008-06-23 16:42:41 105,984 ----a-w C:\WINDOWS\system32\url.dll

- 2008-04-23 04:22:16 1,159,680 ----a-w C:\WINDOWS\system32\urlmon.dll

+ 2008-06-23 16:42:41 1,159,680 ----a-w C:\WINDOWS\system32\urlmon.dll

- 2008-04-23 04:22:16 233,472 ----a-w C:\WINDOWS\system32\webcheck.dll

+ 2008-06-23 16:42:41 233,472 ----a-w C:\WINDOWS\system32\webcheck.dll

+ 2008-08-12 13:02:18 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_698.dat

+ 2008-04-15 18:01:46 1,724,416 ----a-w C:\WINDOWS\WinSxS\x86_Microsoft.Windows.GdiPlus_6595b64144ccf1df_1.0.2600.3352_x-ww_81af8e88\GdiPlus.dll

.

-- Snapshot reset to current date --

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="C:\Program\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"swg"="C:\Program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-21 68856]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2005-12-10 7311360]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2005-12-10 86016]

"PrinTray"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\printray.exe" [2002-09-19 36864]

"nod32kui"="C:\Program\Nod32\nod32kui.exe" [2008-08-11 949376]

"QuickTime Task"="C:\Program\QuickTime\qttask.exe" [2007-06-29 286720]

"nwiz"="nwiz.exe" [2005-12-10 C:\WINDOWS\system32\nwiz.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Adobe Reader Speed Launch.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\Adobe Reader Speed Launch.lnk

backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Microsoft Office.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\Microsoft Office.lnk

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DiskeeperSystray]

--a------ 2005-11-22 18:38 221184 C:\Program\Diskeeper Corporation\Diskeeper\DkIcon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X84-X85 Button Manager]

--a------ 2002-09-04 11:43 53248 C:\Program\LEXMAR~1\AcBtnMgr_X84-X85.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Lexmark X84-X85 Button Monitor]

--a------ 2002-08-23 16:50 40960 C:\Program\LEXMAR~1\ACMonitor_X84-X85.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechGalleryRepair]

--a------ 2002-12-10 19:32 155648 C:\Program\Logitech\ImageStudio\ISStart.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechImageStudioTray]

--a------ 2002-12-10 19:31 61440 C:\Program\Logitech\ImageStudio\LogiTray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LVCOMS]

--a------ 2002-12-10 18:54 127022 C:\Program\Delade filer\Logitech\QCDriver3\LVComS.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 12:50 155648 C:\WINDOWS\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-06-29 06:24 286720 C:\Program\QuickTime\QTTask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl]

--a------ 2004-11-02 21:24 32768 C:\Program\CyberLink\PowerDVD\PDVDServ.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2005-11-10 14:03 36975 C:\Program\Java\jre1.5.0_06\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

--a------ 2007-04-15 19:01 185896 C:\Program\Delade filer\Real\Update_OB\realsched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]

--a------ 2005-10-24 15:53 307200 C:\Program\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"C:\\WINDOWS\\system32\\sessmgr.exe"=

"C:\\Program\\B2BPOKER\\Unibet Poker\\jre\\bin\\javaw.exe"=

"C:\\Program\\Java\\jre1.5.0_06\\bin\\javaw.exe"=

"C:\\Program\\Messenger\\msmsgs.exe"=

"C:\\Program\\PPStream\\PPStream.exe"=

"C:\\Program\\SopCast\\SopCast.exe"=

"C:\\Program\\tvants\\Tvants.exe"=

"C:\\Program\\uTorrent\\utorrent.exe"=

"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=

"C:\\Program\\PPLive\\PPlive.exe"=

"C:\\Documents and Settings\\E\\Application Data\\SopCast\\adv\\SopAdver.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program\\VideoLAN\\VLC\\vlc.exe"=

"C:\\Program\\DC++\\DCPlusPlus.exe"=

"C:\\WINDOWS\\system32\\dpvsetup.exe"=

"C:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=

"C:\\Program\\Windows Live\\Messenger\\livecall.exe"=

"C:\\Program\\SopCast\\adv\\SopAdver.exe"=

"C:\\Program\\Mozilla Firefox\\firefox.exe"=

"C:\\Program\\Skype\\Phone\\Skype.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings]

"AllowInboundEchoRequest"= 1 (0x1)

 

S3 se44bus;Sony Ericsson Device 068 driver (WDM);C:\WINDOWS\system32\DRIVERS\se44bus.sys [2006-11-30 61536]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{85d20092-6d5e-11dd-94a2-0010dcaadb6e}]

\Shell\AutoRun\command - I:\LaunchU3.exe -a

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9B281E4-329E-821B-EA45-D987CDE36747}]

C:\WINDOWS\system32\syswin.exe

.

Contents of the 'Scheduled Tasks' folder

.

.

------- Supplementary Scan -------

.

FireFox -: Profile - C:\Documents and Settings\E\Application Data\Mozilla\Firefox\Profiles\qabsrc44.defaultFireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://slirsredirect.search.aol.com/slirs_http/sredir?sredir=2685&invocationType=tb50ffwinampie7&query=

FF -: plugin - C:\Program\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF -: plugin - C:\Program\Java\jre1.5.0_06\bin\NPJava11.dll

FF -: plugin - C:\Program\Java\jre1.5.0_06\bin\NPJava12.dll

FF -: plugin - C:\Program\Java\jre1.5.0_06\bin\NPJava13.dll

FF -: plugin - C:\Program\Java\jre1.5.0_06\bin\NPJava14.dll

FF -: plugin - C:\Program\Java\jre1.5.0_06\bin\NPJava32.dll

FF -: plugin - C:\Program\Java\jre1.5.0_06\bin\NPJPI150_06.dll

FF -: plugin - C:\Program\Java\jre1.5.0_06\bin\NPOJI610.dll

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-11 15:33:51

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-09-11 15:36:23

ComboFix-quarantined-files.txt 2008-09-11 13:35:40

 

Pre-Run: 11,428,560,896 byte ledigt

Post-Run: 11,935,084,544 byte ledigt

 

418 --- E O F --- 2008-09-10 22:47:18

[/log]

 

[Cecilia]

Surfa till http://www.virustotal.com klistra in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här. Upprepa med nästa filnamn.

C:\WINDOWS\system\ptvenck.exe

C:\WINDOWS\system32\youtube0,84283837263[1].scr

C:\WINDOWS\system32\syswin.exe

 

[orange80]

C:\WINDOWS\system\ptvenck.exe

File has already been analysed:

MD5: 2a095ed82009433621ff43c8b5c77a76

First received: 09.09.2008 11:36:56 (CET)

Date: 09.10.2008 22:32:43 (CET) [<1D]

Results: 7/36

Permalink: analisis/87ec5ab5c5e4022fe45411231d1c7c3c

 

 

C:\WINDOWS\system32\youtube0,84283837263[1].scr

File has already been analysed:

MD5: c6913a2cb3887026c5c7a9fc9b06ffec

First received: 09.07.2008 04:44:13 (CET)

Date: 09.07.2008 04:43:45 (CET) [>4D]

Results: 6/36

Permalink: analisis/3890082574ea49f76804541af3ad481e

 

C:\WINDOWS\system32\syswin.exe (står att filen inte går att hitta)

 

 

[Cecilia]

Kopiera alla rader i rutan (använd markera kod)

File::
C:\WINDOWS\system\ptvenck.exe
C:\WINDOWS\system32\youtube0,84283837263[1].scr
C:\WINDOWS\system32\syswin.exe
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{C9B281E4-329E-821B-EA45-D987CDE36747}]

och klistra in i Anteckningar.

 

Se till att det bara är en rad efter raden Registry::

Spara filen på Skrivbordet med namnet CFScript.

 

Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.

Klistra in loggen som kommer ut.

 

[orange80]

jag måste fråga känner mig förvirrad, ska jag klistra in det kod du skrev direkt eller ska jag göra hopp och ta bort registry::