Trojaner och downloader

[Smaragd]

Det slutar tydligen aldrig!

 

Norton internet security startade en sökning och upptäckte en Downloader, en Trojan Horse, en Trojan.Fakeavalert och ytterligare en Trojan.Fakeavalert. Borttagning misslyckades och jag skickades ut till Symantecs hemsida där det står hur man skall ta bort dessa. Stänga av "spara inställningar", ändra i MSCONFIG BOOT.INI så att man startar datorn i felsäkert läge (varför inte bar F8 vid uppstart?) OK, okunnig som man är följer man slaviskt Removal instructions. Vad händer? Datorn dör hela tiden när jag startar i felsäkert läge. Inte alltid på samma ställe, men dör gör den.

 

Går ut på HP's hemsida (dator: Pavillion fv9000ae) och ser på deras support att jag har en för gammal BIOS och att detta skall kunna göra att datorn dör oväntat. Hur det hänger ihop med Nortorn och/eller att starta i felsäkert läge vet jag inte men jag följer instruktionen och uppdaterar min BIOS.

 

Ställer om den där BOOT.INI så maskinen startar i normalläge gjorde jag innan jag uppdaterade BIOS. Rätt eller fel, ingen aning men det kändes säkrare.

 

Kör en ny fullständig genomsökning och får samma varningar igen.

 

Downloader upptäcktes av virussökare

-behöver åtgärdas, kunde inte ta bort

Trojan Horse upptäcktes av virussökare

-behöver åtgärdas, kunde inte ta bort

Trojan.Fakeavalert upptäcktes av virussökare

-behöver åtgärdas, kunde inte ta bort

Trojan.Fakeavalert upptäcktes av virussökare

-behöver åtgärdas, kunde inte ta bort

 

Skickas åter ut på Symantecs hemsida och läser om Removal.

Blir mest mörkrädd av allt man tydligen måste göra med register och annat i datorn och känner att jag snart håller på att ge upp.

En snabbsökning visar inte på någonting. Datorn verkar fungera och jag märker inget speciellt.

 

Har jag ett problem i datorn eller inte ?????

 

Bifogar givetvis en log och är som vanligt mycket tacksam för hjälp.

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 22:32:02, on 2008-08-26

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Delade filer\Symantec Shared\ccSvcHst.exe

C:\Program\Delade filer\Symantec Shared\ccProxy.exe

C:\Program\Delade filer\Symantec Shared\CCPD-LC\symlcsvc.exe

C:\Program\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\Program\SystemOK\BackOnTrack\WinXP\bcbs_xp.exe

C:\Program\WIDCOMM\Bluetooth-programvara\bin\btwdins.exe

C:\Program\HP\TVPlay\Kernel\CLML_NTService\CLMLServer.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Delade filer\LightScribe\LSSrvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program\SiteAdvisor\6261\SAService.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\HP\TVPlay\Kernel\TV\TVPCapSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Hewlett-Packard\Shared\hpqwmiex.exe

C:\Program\HP\TVPlay\Kernel\TV\TVPSched.exe

C:\Program\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program\Synaptics\SynTP\SynTPEnh.exe

C:\Program\HP\QuickPlay\QPService.exe

C:\Program\Hp\HP Software Update\HPWuSchd2.exe

C:\Program\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe

C:\Program\SystemOK\BackOnTrack\1053\BOTTray.exe

C:\Program\Adobe\Photoshop Elements 4.0\apdproxy.exe

C:\Program\Winamp3\winampa.exe

C:\Program\HP\TVPlay\TVPService.exe

C:\Program\Delade filer\Symantec Shared\ccSvcHst.exe

C:\Program\SiteAdvisor\6261\SiteAdv.exe

C:\Program\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Delade filer\InstallShield\UpdateService\isuspm.exe

C:\Program\Windows Media Player\WMPNSCFG.exe

C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program\HP\Digital Imaging\bin\hpqimzone.exe

C:\Program\Norton Internet Security\Norton AntiVirus\navw32.exe

C:\Program\Delade filer\Symantec Shared\SecurityHistory\mcui32.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program Files\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=SV_SE&c=64&bd=pavilion&pf=laptop

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program\SiteAdvisor\6261\SiteAdv.dll

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program\Delade filer\Symantec Shared\coShared\Browser\2.0\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program\DELADE~1\SYMANT~1\IDS\IPSBHO.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O3 - Toolbar: Visa Norton-verktygsfältet - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program\Delade filer\Symantec Shared\coShared\Browser\2.0\CoIEPlg.dll

O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program\SiteAdvisor\6261\SiteAdv.dll

O4 - HKLM\..\Run: [hpWirelessAssistant] C:\Program\hpq\HP Wireless Assistant\HP Wireless Assistant.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /nodetect

O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] CHDAudPropShortcut.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [QPService] "C:\Program\HP\QuickPlay\QPService.exe"

O4 - HKLM\..\Run: [HP Software Update] C:\Program\Hp\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

O4 - HKLM\..\Run: [Cpqset] C:\Program\Hewlett-Packard\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [RecGuard] C:\Windows\SMINST\RecGuard.exe

O4 - HKLM\..\Run: [keepitreminder] C:\Program\SystemOK\KeepIt\keepitreminder.exe

O4 - HKLM\..\Run: [bOTTray] "C:\Program\SystemOK\BackOnTrack\1053\BOTTray.exe"

O4 - HKLM\..\Run: [bOTSplash] C:\Program\SystemOK\BackOnTrack\SplashScreen.exe

O4 - HKLM\..\Run: [iSUSPM Startup] C:\Program\DELADE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup

O4 - HKLM\..\Run: [iSUSScheduler] "C:\Program\Delade filer\InstallShield\UpdateService\issch.exe" -start

O4 - HKLM\..\Run: [Adobe Photo Downloader] "C:\Program\Adobe\Photoshop Elements 4.0\apdproxy.exe"

O4 - HKLM\..\Run: [WinampAgent] "C:\Program\Winamp3\winampa.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [TVPService] "C:\Program\HP\TVPlay\TVPService.exe"

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program\Norton Internet Security\osCheck.exe"

O4 - HKLM\..\Run: [siteAdvisor] "C:\Program\SiteAdvisor\6261\SiteAdv.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKCU\..\Run: [updateMgr] "C:\Program\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_7 -reboot 1

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [iSUSPM] "C:\Program\Delade filer\InstallShield\UpdateService\isuspm.exe" -scheduler

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: HP Photosmart Premier Snabbstart.lnk = C:\Program\HP\Digital Imaging\bin\hpqthb08.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Skicka till &Bluetooth - C:\Program\WIDCOMM\Bluetooth-programvara\btsendto_ie_ctx.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\program\bonjour\mdnsnsp.dll

O11 - Options group: [iNTERNATIONAL] International*

O14 - IERESET.INF: START_PAGE_URL=http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=SV_SE&c=64&bd=pavilion&pf=laptop

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {34F12AFD-E9B5-492A-85D2-40FA4535BE83} (AxProdInfoCtl Class) - http://www.symantec.com/techsupp/activedata/nprdtinf.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) - https://webdl.symantec.com/activex/symdlmgr.cab

O18 - Protocol: siteadvisor - {3A5DC592-7723-4EAA-9EE6-AF4222BCF879} - C:\Program\SiteAdvisor\6261\SiteAdv.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Program\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O20 - Winlogon Notify: {75DC891D-D4CB-48f7-BDD1-C1E56C64250E} - C:\Program\SystemOK\BACKON~1\botwlnp.dll

O21 - SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - C:\WINDOWS\system32\WPDShServiceObj.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: AddFiltr - Hewlett-Packard Development Company, L.P. - C:\Program\Hewlett-Packard\HP Quick Launch Buttons\AddFiltr.exe

O23 - Service: Adobe Active File Monitor V4 (AdobeActiveFileMonitor4.0) - Unknown owner - C:\Program\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program\Symantec\LiveUpdate\AluSchedulerSvc.exe

O23 - Service: Automatisk LiveUpdate-schemaläggare - Symantec Corporation - C:\Program\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: BackOnTrack Callback Service (BOTCbs) - SystemOK AB - C:\Program\SystemOK\BackOnTrack\WinXP\bcbs_xp.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program\WIDCOMM\Bluetooth-programvara\bin\btwdins.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Unknown owner - C:\Program\Delade filer\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Unknown owner - C:\Program\Delade filer\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Unknown owner - C:\Program\Delade filer\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\VAScanner\comHost.exe

O23 - Service: CyberLink Media Library Service(HP TVPlay) - Cyberlink - C:\Program\HP\TVPlay\Kernel\CLML_NTService\CLMLServer.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program\Delade filer\LightScribe\LSSrvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Program\Symantec\LiveUpdate\LuComServer_3_4.EXE

O23 - Service: LiveUpdate Notice - Unknown owner - C:\Program\Delade filer\Symantec Shared\ccSvcHst.exe" /h ccCommon (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SiteAdvisor-tjänst (SiteAdvisor Service) - Unknown owner - C:\Program\SiteAdvisor\6261\SAService.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program\Delade filer\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: CyberLink Background Capture Service (CBCS HP TVPlay) (TVPCapSvc) - Unknown owner - C:\Program\HP\TVPlay\Kernel\TV\TVPCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS HP TVPlay) (TVPSched) - Unknown owner - C:\Program\HP\TVPlay\Kernel\TV\TVPSched.exe

[/log]

 

[Brynäsarn]

Den version av HijackThis du har är gammal,här kan du ladda hem

ny,uppdaterad Hijack-version

 

http://www.snapfiles.com/get/hijackthis.html

 

[Smaragd]

Inget svar direkt men datorn dog och startade om av sig själv precis efter jag startat tråden så nå måste nog vara galet.

 

 

[Smaragd]

Spelar det någon roll vilken version av HiJack jag kör?

 

[Cecilia]

Jag såg inget skadligt i loggen vid en snabb titt men det är inte allt som syns i en HijackThis-logg och Norton har ju upptäckt skadliga filer. Det finns lite mer i den nyare HijackThis-versionen men det spelar inte så stor roll i en XP-dator.

 

Det vore bra att veta i vilka filer och mappar som Norton upptäcker skadligheterna.

 

Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

[log]

Dra ur internetanslutningen och stäng av alla program du ser inklusive antivirusprogram, antispionprogram och brandvägg, alternativt starta om datorn i felsäkert läge.

Kör ComboFix och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram och brandvägg är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.[/log]

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

 

[Smaragd]

Laddade ner ComboFix till skrivbordet. Gick bra

Startade om datorn i felsäkert läge. Tvärdog under uppstart.

Startade om i normalläge. OK

SUPERAntiSpyware ville uppdatera så jag tillät det.

Startar om i felsäkert läge igen. Verkar fungera

 

Vågar jag köra ComboFix nu?

Vad händer om datron dör mitt i körningen?

 

Sitter på en stationär maskin och skriver detta.

 

/Lennart

 

 

Dum fråga, nu dog den igen. Måste väl vara något fel på datorn?

/L

[inlägget ändrat 2008-08-26 23:20:22 av Smaragd]

[Cecilia]

Vad händer om datron dör mitt i körningen?

Troligen inget, och det är bara att starta ComboFix en gång till.

 

En del skadliga program är så illa skrivna att de innehåller felaktigheter som får datorer att krascha, men visst kan det vara något annat också.

 

Har du kunnat få fram ur Norton var någonstans den hittade de skadliga filerna?

 

[Smaragd]

Efter lite letande i Norton fick jag fram följande:

 

Downloader

[7.exe] inuti [c:\documents and settings\johan\lokala inställningar\temp\sfsrv.exe]

 

Trojan Horse

[0.exe] inuti [c:\documents and settings\johan\lokala inställningar\temp\sfsrv.exe]

 

Trojan.Fakeavalert

[1.exe] inuti [c:\documents and settings\johan\lokala inställningar\temp\sfsrv.exe]

 

Trojan.Fakeavalert

[2.exe] inuti [c:\documents and settings\johan\lokala inställningar\temp\sfsrv.exe]

 

Säger det något?

Nu har datorn gått ett tag i normalläge.

Skulle kunna köra ComboFix nu kanske men hur stänger jag av Norton Internet Security?

 

Skriver fortfarande från annan dator

 

 

[Cecilia]

Om du inte vet hur du stänger av Norton så kör det i normalt läge i stället.

 

[Smaragd]

Kört ComboFix

 

Här kommer loggen:

[log]

ComboFix 08-08-26.01 - Lennart 2008-08-26 23:48:57.3 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1053.18.1542 [GMT 2:00]

Running from: C:\Documents and Settings\Lennart\Skrivbord\ComboFix.exe

* Created a new restore point

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

 

----- BITS: Possible infected sites -----

 

http://www.systemok.com

.

((((((((((((((((((((((((( Files Created from 2008-07-26 to 2008-08-26 )))))))))))))))))))))))))))))))

.

 

2008-08-13 21:23 . 2008-08-13 21:23 <KAT> d-------- C:\WINDOWS\system32\config\systemprofile\Lokala instõllningar

2008-08-13 21:23 . 2008-08-13 21:23 <KAT> d-------- C:\Documents and Settings\NetworkService\Lokala instõllningar

2008-08-13 21:23 . 2008-08-13 21:23 <KAT> d-------- C:\Documents and Settings\LocalService\Lokala instõllningar

2008-08-12 20:48 . 2008-05-01 16:33 331,776 --------- C:\WINDOWS\system32\dllcache\msadce.dll

2008-08-09 22:31 . 2008-08-09 22:31 <KAT> d-------- C:\INTRPLAY

2008-08-09 22:29 . 2008-08-09 22:29 <KAT> d-------- C:\D

2008-08-02 16:48 . 2008-08-02 16:48 43,520 --a------ C:\WINDOWS\system32\CmdLineExt03.dll

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-26 21:30 --------- d-----w C:\Program\SUPERAntiSpyware

2008-08-26 17:43 --------- d-----w C:\Program\Delade filer\Symantec Shared

2008-08-26 17:41 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec

2008-08-13 21:46 --------- d-----w C:\Program\Java

2008-08-08 12:54 --------- d-----w C:\Documents and Settings\Johan\Application Data\SiteAdvisor

2008-08-08 05:06 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll

2008-07-30 15:42 23,888 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.sys

2008-07-30 15:28 706 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.inf

2008-07-30 15:28 10,537 ----a-w C:\WINDOWS\system32\drivers\COH_Mon.cat

2008-07-14 11:27 --------- d-----w C:\Program\Lavasoft

2008-07-14 11:26 --------- d-----w C:\Program\Delade filer\Wise Installation Wizard

2008-07-14 11:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-07-10 18:37 21,840 ----atw C:\WINDOWS\system32\SIntfNT.dll

2008-07-10 18:37 17,212 ----atw C:\WINDOWS\system32\SIntf32.dll

2008-07-10 18:37 12,067 ----atw C:\WINDOWS\system32\SIntf16.dll

2008-07-09 18:44 --------- d--h--w C:\Program\InstallShield Installation Information

2008-07-07 20:32 253,952 ----a-w C:\WINDOWS\system32\es.dll

2008-07-07 20:32 253,952 ------w C:\WINDOWS\system32\dllcache\es.dll

2008-07-05 18:49 2,829 ----a-w C:\WINDOWS\War3Unin.pif

2008-07-05 18:49 139,264 ----a-w C:\WINDOWS\War3Unin.exe

2008-07-02 18:56 94,208 ----a-w C:\WINDOWS\DIIUnin.exe

2008-07-02 18:56 2,829 ----a-w C:\WINDOWS\DIIUnin.pif

2008-06-24 16:25 74,240 ----a-w C:\WINDOWS\system32\mscms.dll

2008-06-24 16:25 74,240 ------w C:\WINDOWS\system32\dllcache\mscms.dll

2008-06-24 08:42 3,592,192 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll

2008-06-23 09:24 70,656 ----a-w C:\WINDOWS\system32\dllcache\ie4uinit.exe

2008-06-23 09:24 625,664 ----a-w C:\WINDOWS\system32\dllcache\iexplore.exe

2008-06-23 09:20 13,824 ------w C:\WINDOWS\system32\dllcache\ieudinit.exe

2008-06-21 05:23 161,792 ----a-w C:\WINDOWS\system32\dllcache\ieakui.dll

2008-06-20 17:42 247,296 ----a-w C:\WINDOWS\system32\mswsock.dll

2008-06-20 17:42 247,296 ------w C:\WINDOWS\system32\dllcache\mswsock.dll

2008-06-20 17:42 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll

2008-06-20 10:45 360,320 ----a-w C:\WINDOWS\system32\dllcache\tcpip.sys

2008-06-20 10:44 138,368 ------w C:\WINDOWS\system32\dllcache\afd.sys

2008-06-20 09:52 225,920 ----a-w C:\WINDOWS\system32\dllcache\tcpip6.sys

2008-06-14 18:01 272,128 ------w C:\WINDOWS\system32\dllcache\bthport.sys

2008-06-13 12:45 579,464 ----a-w C:\WINDOWS\system32\SymNeti.dll

2008-06-13 12:45 207,240 ----a-w C:\WINDOWS\system32\SymRedir.dll

2008-06-05 15:20 60,800 ----a-w C:\WINDOWS\system32\S32EVNT1.DLL

2007-10-30 20:39 20,645,839 ----a-w C:\Documents and Settings\Downloads\GrimmsHatchery.exe

2006-10-23 19:02 811 ----a-w C:\Program\INSTALL.LOG

2006-10-23 17:10 0 ----a-w C:\Documents and Settings\Lennart\Application Data\wklnhst.dat

2006-10-22 12:49 22 --sha-w C:\WINDOWS\SMINST\HPCD.sys

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"updateMgr"="C:\Program\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2005-10-24 15:53 307200]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 23:00 15360]

"ISUSPM"="C:\Program\Delade filer\InstallShield\UpdateService\isuspm.exe" [2006-09-10 23:56 218032]

"WMPNSCFG"="C:\Program\Windows Media Player\WMPNSCFG.exe" [2006-11-15 11:49 204288]

"SUPERAntiSpyware"="C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-08-26 23:30 1576176]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"hpWirelessAssistant"="C:\Program\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 22:58 458752]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2006-04-26 21:48 7561216]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2006-04-26 21:48 86016]

"SynTPEnh"="C:\Program\Synaptics\SynTP\SynTPEnh.exe" [2006-04-01 07:01 761946]

"QPService"="C:\Program\HP\QuickPlay\QPService.exe" [2006-06-21 21:54 102400]

"HP Software Update"="C:\Program\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 23:11 49152]

"Cpqset"="C:\Program\Hewlett-Packard\Default Settings\cpqset.exe" [2006-05-30 16:02 40960]

"RecGuard"="C:\Windows\SMINST\RecGuard.exe" [2005-10-11 10:23 1187840]

"keepitreminder"="C:\Program\SystemOK\KeepIt\keepitreminder.exe" [2006-07-06 09:53 221184]

"BOTTray"="C:\Program\SystemOK\BackOnTrack\1053\BOTTray.exe" [2005-08-17 17:02 266240]

"BOTSplash"="C:\Program\SystemOK\BackOnTrack\SplashScreen.exe" [2005-08-17 16:40 622592]

"ISUSPM Startup"="C:\Program\DELADE~1\INSTAL~1\UPDATE~1\isuspm.exe" [2006-09-10 23:56 218032]

"ISUSScheduler"="C:\Program\Delade filer\InstallShield\UpdateService\issch.exe" [2006-09-10 23:56 86960]

"Adobe Photo Downloader"="C:\Program\Adobe\Photoshop Elements 4.0\apdproxy.exe" [2005-09-16 01:37 57344]

"WinampAgent"="C:\Program\Winamp3\winampa.exe" [2002-07-23 18:58 12288]

"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]

"TVPService"="C:\Program\HP\TVPlay\TVPService.exe" [2006-04-03 14:34 135168]

"ccApp"="C:\Program\Delade filer\Symantec Shared\ccApp.exe" [2008-01-31 14:15 51048]

"osCheck"="C:\Program\Norton Internet Security\osCheck.exe" [2007-08-24 22:53 714608]

"SiteAdvisor"="C:\Program\SiteAdvisor\6261\SiteAdv.exe" [2007-03-30 17:42 36904]

"QuickTime Task"="C:\Program\QuickTime\qttask.exe" [2008-01-10 16:27 385024]

"SunJavaUpdateSched"="C:\Program\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]

"nwiz"="nwiz.exe" [2006-04-26 21:48 1519616 C:\WINDOWS\system32\nwiz.exe]

"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-04-17 22:29 61952 C:\WINDOWS\system32\CHDAudPropShortcut.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 23:00 15360]

 

C:\Documents and Settings\All Users\Start-meny\Program\AutostartAdobe Reader Speed Launch.lnk - C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]

HP Photosmart Premier Snabbstart.lnk - C:\Program\HP\Digital Imaging\bin\hpqthb08.exe [2005-09-24 09:39:30 73728]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Program\SUPERAntiSpyware\SASSEH.DLL" [2008-06-29 15:55 77824]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2008-08-26 23:30 352256 C:\Program\SUPERAntiSpyware\SASWINLO.DLL

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\{75DC891D-D4CB-48f7-BDD1-C1E56C64250E}]

2005-12-21 17:07 229376 C:\Program\SystemOK\BACKON~1\botwlnp.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program\\HP\\TVPlay\\TVPlay.exe"=

"C:\\Program\\HP\\TVPlay\\TVPService.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program\\Messenger\\msmsgs.exe"=

"C:\\Program\\Bonjour\\mDNSResponder.exe"=

 

R0 BCatDriver;BCatDriver;C:\WINDOWS\system32\drivers\BCatDriver.sys [2005-12-21 17:04]

R2 CyberLink Media Library Service(HP TVPlay);CyberLink Media Library Service(HP TVPlay);C:\Program\HP\TVPlay\Kernel\CLML_NTService\CLMLServer.exe [2006-04-03 14:34]

R2 LiveUpdate Notice;LiveUpdate Notice;C:\Program\Delade filer\Symantec Shared\ccSvcHst.exe [2008-01-31 14:15]

R2 TVPCapSvc;CyberLink Background Capture Service (CBCS HP TVPlay);C:\Program\HP\TVPlay\Kernel\TV\TVPCapSvc.exe [2006-04-03 14:35]

R2 TVPSched;CyberLink Task Scheduler (CTS HP TVPlay);C:\Program\HP\TVPlay\Kernel\TV\TVPSched.exe [2006-04-03 14:35]

R3 5U870CAP_VID_1262&PID_25FD;HP Pavilion Webcam ;C:\WINDOWS\system32\Drivers\5U870CAP.sys [2006-06-06 22:39]

S2 Automatisk LiveUpdate-schemaläggare;Automatisk LiveUpdate-schemaläggare;C:\Program\Symantec\LiveUpdate\ALUSchedulerSvc.exe [2007-08-31 11:49]

S3 COH_Mon;COH_Mon;C:\WINDOWS\system32\Drivers\COH_Mon.sys [2008-07-30 17:42]

S3 MODBDA2;DiBcom MOD3000 TV receiver;C:\WINDOWS\system32\Drivers\modbda2.sys [2006-05-13 09:52]

 

*Newly Created Service* - CATCHME

*Newly Created Service* - COMHOST

*Newly Created Service* - SASDIFSV

.

Contents of the 'Scheduled Tasks' folder

 

2008-08-25 C:\WINDOWS\Tasks\Norton Internet Security - Kör fullständig systemsökning - Lennart.job

- C:\Program\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-08-26 19:19]

.

.

------- Supplementary Scan -------

.

FireFox -: Profile - C:\Documents and Settings\Lennart\Application Data\Mozilla\Firefox\Profiles\fovrtgso.defaultFireFox -: prefs.js - STARTUP.HOMEPAGE - hxxp://www.google.se/

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-26 23:51:45

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Cpqset = C:\Program\Hewlett-Packard\Default Settings\cpqset.exe????@????????? ???<?@??????[??????Y?@?????<?@

 

scanning hidden files ...

 

 

C:\##

 

scan completed successfully

hidden files: 2

 

**************************************************************************

.

Completion time: 2008-08-26 23:53:30

ComboFix-quarantined-files.txt 2008-08-26 21:53:27

ComboFix2.txt 2008-08-13 19:23:38

 

Pre-Run: 65,831,362,560 byte ledigt

Post-Run: 66,227,347,456 byte ledigt

 

176 --- E O F --- 2008-08-12 21:10:53

[/log]

 

Söker man på sfsrv.exe kan man hitta sidor som säger att SuperAntiSpyware tar bort det. Är det läge att köra en sådan scanning?

 

 

[Cecilia]

Eftersom du nu i alla fall har ComboFix så kan vi låta det programmet ta bort filen.

Fast nu såg jag att du redan har SUPERAntiSpyware, ja det spelar ju ingen roll vilket program som tar bort filen. Du kanske kan ta bort den själv med Utforskaren eller Den här datorn. Försök tömma

c:\documents and settings\johan\lokala inställningar\temp på så många filer som möjligt.

 

Vet du vad det här är för något?

2008-08-09 22:31 . 2008-08-09 22:31 <KAT> d-------- C:\INTRPLAY

 

 

[Smaragd]

Det gick bra att tömma hela temp-mappen. Den innehöll massor av kataloger och filer.

 

SuperAntiSpyware gör just nu en fullständig genomsökning.

 

C:\INTRPLAY är till ett spel som heter FALLOUT.

Detta har du och jag diskuterat en gång tidigare för någon vecka sen.

Ett gammalt spel installerat från en egen köpt orginal-cd

Det skall nog inte vara problemet.

 

Efter SuperAntiSpyware tänker jag köra en ny fullständig genomsökning i Norton för att se hur det går.

 

Men det gör jag nog imorgon kväll. Ganska trött nu och skall upp och jobba 0700.

 

Löser det sig så stänger vi tråden imorgon. Annars ...... ?

 

Tack så länge Cecilia.

 

MVH / Lennart

 

 

 

 

 

 

[Cecilia]

C:\INTRPLAY är till ett spel som heter FALLOUT.

Detta har du och jag diskuterat en gång tidigare för någon vecka sen.

Förlåt, nu när du säger det så kommer jag ihåg det.

 

Berätta hur det går med genomsökningarna.

 

[Smaragd]

Hej igen,

 

SuperAntiSpyware hittade 14 st tracking cockies som togs bort.

En ny fullständig genomsökning med Norton visade att skräpet bara flyttat sig från, inuti [c:\documents and settings\johan\lokala inställningar\temp\sfsrv.exe], till

 

Downloader

[7.exe] inuti [c:\recycler\s-1-5-21-1713243180-2255023224-41514943-1006\dc849.exe]

 

Trojan.Fakealavert

[2.exe] inuti [c:\recycler\s-1-5-21-1713243180-2255023224-41514943-1006\dc849.exe]

 

Trojan.Fakeavalert

[1.exe] inuti [c:\recycler\s-1-5-21-1713243180-2255023224-41514943-1006\dc849.exe]

 

Trojan Horse

[0.exe] inuti [c:\recycler\s-1-5-21-1713243180-2255023224-41514943-1006\dc849.exe]

 

Vad göra nu ?

 

 

När jag kollar i utforskaren ser jag att

c:\recycler\s-1-5-21-1713243180-2255023224-41514943-1006

är en backup på papperskorgen av

c:\documents and settings\johan\lokala inställningar\temp

 

Det verkar alltså som om filerna kopierats från papperskorgen innan denna tömts.

 

[inlägget ändrat 2008-08-27 20:40:05 av Smaragd]

[inlägget ändrat 2008-08-27 20:41:00 av Smaragd]

[Cecilia]

c:\recycler\s-1-5-21-1713243180-2255023224-41514943-1006

är din papperskorg så om du tömmer papperskorgen så ska filerna försvinna. En del Norton/Symantec-program har en extra säker papperskorg så att man måste högerklicka på papperskorgsikonen och välja något med tömning eller Norton.

 

[Smaragd]

Efter att ha kört en fullständig genomsökning med Norton under natten blir resultatet mycket trevligare. Inga risker hittades.

Tack för hjälpen än en gång Cecilia.

 

mvh / Lennart

 

 

 

[Cecilia]

Bra, men nu får ni allt ta och vara försiktigare med vad ni gör.

http://ceblstockholm.googlepages.com/home

Använder du IE-SpyAD, SpywareBlaster, SiteAdvisor och Hosts-fil för att minska risken att drabbas?

 

[Smaragd]

Hej,

 

Bra, men nu får ni allt ta och vara försiktigare med vad ni gör.

 

Du har helt rätt Cecilia. Om det bara var jag som använde datorn var det nog inga problem. Tyvärr finns det andra användare som använder familjens laptop och då handlar det mycket om spel och spelfusk och annat. Misstänker att det mesta kommer därifrån.

Bordsdatorn använder bara jag och min fru. Där händer aldrig något sådant här.

 

Förutom Norton kör vi med SuperAntiVirus. SiteAdvisor finns också med och varnar för oseriösa sidor. Med finns också AdAware

 

På bordsdatorn kör jag också AVG Anti-Spyware (med licens) men tycker sällan eller aldrig den hittar något. Speciellt inte efter att SuperAntiVirus eller AdAware körts. Därför har jag funderat på att ta bort den när licenstiden går ut. Tidigare körde jag också Spybot S&D med imunisering och allt enligt instruktionerna. Minns inte varför jag tog bort det men har för mig att det var någon krock med Norton?

 

Jag har läst dina råd om säkrare dator flera gånger men tycker det är svårt att välja. Man kan ju inte fylla datorn enbart med säkerhetsprogram. Kan du ge några råd om vilka jag skall välja. Framför allt då för problemdatorn (laptopen) med flera användare?

 

Till sist en Combofix fråga. Kan jag ta bort det nu på samma sätt som sist?

Start - Kör - Tillbehör - Kommandotolken

klistra in följande rad:

"C:\Documents and Settings\Lennart\Skrivbord\ComboFix.exe" /u

och tryck Enter så är det meningen att ComboFix ska avinstalleras.

Jag tror att det blev någon katalog kvar även efter avinstallationen sist, men jag kan ha fel. Kan jag ta bort det också i så fall?

 

Jag vill också passa på att än en gång tacka dig för all den tid du lägger ner på att hjälpa oss noviser att bli av med tråkiga saker på våra datorer.

 

MVH

Lennart

 

 

 

 

[Cecilia]

Till sist en Combofix fråga. Kan jag ta bort det nu på samma sätt som sist?

Ja

 

Jag tror att det blev någon katalog kvar även efter avinstallationen sist, men jag kan ha fel. Kan jag ta bort det också i så fall?

Ja

 

Jag hoppas att det är datorförbud när datorn är infekterad, för det brukar höja intresset för att vara försiktig (egen erfarenhet).

 

IE-SpyAd, SpywareBlaster och Hosts-fil är inget som belastar datorn utan det är något som körs en gång och då ändrar i registret resp. hosts-filen och därmed så blir Internet Explorer och andra webbläsare säkrare. Sedan får man i och för sig uppdatera programmen (kanske en gång i månaden) och köra om dem för att få in det som hänt sedan sist.

 

[Smaragd]

Tackar,

 

Skall fixa det.

 

Stänger tråden och hoppas att datorförbjudet hjälper.

 

/L

 

[Cecilia]

Tack för alla poäng! :)

Hoppas det dröjer lite längre nu till nästa gång datorn blir infekterad.