trojan winregistrycleaner?!

[soem]

Till andra som fått liknande problem råds att sända en loggfil från hijackthis. Har fått popup fönster med oriktiga felmeddelande genom besök på winregistrycleaner.com och nedladdning. Efter radering, överskrivning, av hårddisken med DBAN dyker pop up fönstret upp igen!

 

Spybot, Semantec och SmitFraud hittar inget.

Sänder logfil från Hijackthis om någon kan hjälpa!!!?

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:50:09, on 2008-08-29

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\wscntfy.exe

D:\WINDOWS\system32\CTFMON.EXE

D:\WINDOWS\system32\wpabaln.exe

D:\Documents and Settings\Nomen N\Application Data\U3\0000184AA47267E7\LaunchPad.exe

D:\WINDOWS\system32\wuauclt.exe

D:\Program\Spybot - Search & Destroy\TeaTimer.exe

D:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - D:\Program\SPYBOT~1\SDHelper.dll

O4 - HKCU\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] D:\Program\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] D:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Program\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - D:\Program\SPYBOT~1\SDHelper.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program\Messenger\msmsgs.exe

 

--

End of file - 2020 bytes[/log]

 

 

Mvh

 

[Zipp.]

[log]Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

 

Dra ur internetanslutningen och stäng av alla program du ser inklusive antivirusprogram, antispionprogram och brandvägg, alternativt starta om datorn i felsäkert läge.

Kör ComboFix och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram och brandvägg är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.[/log]

[inlägget ändrat 2008-08-29 15:59:18 av Zipp.]

[soem]

Varsågod, tack för snabbt svar!

 

Mvh

 

[log]ComboFix 08-08-28.06 - Nomen N 2008-08-29 16:20:49.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.0.1252.1.1053.18.757 [GMT 2:00]

Running from: C:\Documents and Settings\Nomen N\Skrivbord\ComboFix.exe

* Created a new restore point

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((( Files Created from 2008-07-28 to 2008-08-29 )))))))))))))))))))))))))))))))

.

 

2008-08-29 16:07 . 2008-08-29 12:27 <KAT> dr- C:\Documents and Settings\Administratör.HEMDATOR.000\Start-meny

2008-08-29 16:07 . 2008-08-29 12:27 <KAT> dr- C:\Documents and Settings\Administratör.HEMDATOR.000\Start-meny

2008-08-29 16:07 . 2008-08-29 12:27 <KAT> d C:\Documents and Settings\Administratör.HEMDATOR.000\Skrivbord

2008-08-29 16:07 . 2008-08-29 12:27 <KAT> d C:\Documents and Settings\Administratör.HEMDATOR.000\Skrivbord

2008-08-29 16:07 . 2008-08-29 12:27 <KAT> dh- C:\Documents and Settings\Administratör.HEMDATOR.000\Skrivare

2008-08-29 16:07 . 2008-08-29 12:27 <KAT> dh- C:\Documents and Settings\Administratör.HEMDATOR.000\Skrivare

2008-08-29 16:07 . 2008-08-29 12:27 <KAT> dh- C:\Documents and Settings\Administratör.HEMDATOR.000\Nätverket

2008-08-29 16:07 . 2008-08-29 12:27 <KAT> dh- C:\Documents and Settings\Administratör.HEMDATOR.000\Nätverket

2008-08-29 16:07 . 2008-08-29 12:27 <KAT> d C:\Documents and Settings\Administratör.HEMDATOR.000\Mina dokument

2008-08-29 16:07 . 2008-08-29 12:27 <KAT> d C:\Documents and Settings\Administratör.HEMDATOR.000\Mina dokument

2008-08-29 16:07 . 2008-08-29 11:35 <KAT> dh- C:\Documents and Settings\Administratör.HEMDATOR.000\Mallar

2008-08-29 16:07 . 2008-08-29 11:35 <KAT> dh- C:\Documents and Settings\Administratör.HEMDATOR.000\Mallar

2008-08-29 16:07 . 2008-08-29 16:21 <KAT> dh- C:\Documents and Settings\Administratör.HEMDATOR.000\Lokala inställningar

2008-08-29 16:07 . 2008-08-29 16:21 <KAT> dh- C:\Documents and Settings\Administratör.HEMDATOR.000\Lokala inställningar

2008-08-29 16:07 . 2008-08-29 12:27 <KAT> d C:\Documents and Settings\Administratör.HEMDATOR.000\Favoriter

2008-08-29 16:07 . 2008-08-29 12:27 <KAT> d C:\Documents and Settings\Administratör.HEMDATOR.000\Favoriter

2008-08-29 16:07 . 2008-08-29 16:07 <KAT> d C:\Documents and Settings\Administratör.HEMDATOR.000

2008-08-29 16:05 . 2008-08-29 16:05 262,144 a C:\WINDOWS\system32\wrap_oal.dll

2008-08-29 16:05 . 2008-08-29 16:05 86,016 a C:\WINDOWS\system32\OpenAL32.dll

2008-08-29 15:57 . 2008-08-29 15:57 <KAT> d C:\WINDOWS\system32\Futuremark

2008-08-29 15:57 . 2007-09-07 14:55 27,672 a C:\WINDOWS\system32\drivers\Entech.sys

2008-08-29 15:57 . 2007-09-07 14:55 12,744 a C:\WINDOWS\system32\drivers\Entech64.sys

2008-08-29 15:57 . 2007-09-07 14:55 6,173 a C:\WINDOWS\system32\drivers\Entech.vxd

2008-08-29 15:57 . 2001-11-19 20:05 3,972 a C:\WINDOWS\system32\drivers\PciBus.sys

2008-08-29 15:46 . 2008-08-29 15:46 <KAT> d C:\Program\Futuremark

2008-08-29 13:17 . 2008-08-29 13:17 <KAT> d C:\$WIN_NT$.~BT

2008-08-29 13:17 . 2006-03-02 14:00 451,706 -ra C:\txtsetup.sif

2008-08-29 13:17 . 2006-03-02 14:00 260,784 -ra C:\$LDR$

2008-08-29 10:56 . 2008-08-29 10:56 <KAT> d C:\WINDOWS\_ISTMP1.DIR

2008-08-29 10:56 . 2008-08-29 10:56 <KAT> d C:\Program\VIA Technologies, INC

2008-08-29 10:56 . 2004-10-05 16:54 306,688 a C:\WINDOWS\IsUninst.exe

2008-08-29 10:55 . 2008-08-29 10:58 <KAT> d C:\WINDOWS\nview

2008-08-29 10:55 . 2007-04-19 14:14 208,896 a C:\WINDOWS\system32\NVUNINST.EXE

2008-08-29 10:55 . 2007-04-19 13:26 208,896 a C:\WINDOWS\system32\nvudisp.exe

2008-08-29 10:55 . 2008-08-29 16:15 88,723 a C:\WINDOWS\system32\nvapps.xml

2008-08-29 10:55 . 2007-04-19 13:26 17,056 a C:\WINDOWS\system32\nvdisp.nvu

2008-08-29 10:54 . 2008-08-29 10:54 <KAT> d C:\NVIDIA

2008-08-29 10:54 . 2008-08-29 10:54 <KAT> d C:\Documents and Settings\Nomen N\Application Data\U3

2008-08-29 10:54 . 2001-08-17 22:03 21,760 ac- C:\WINDOWS\system32\dllcache\usbstor.sys

2008-08-29 10:51 . 2003-11-11 12:41 41,984 -ra C:\WINDOWS\system32\drivers\fetnd5b.sys

2008-08-29 10:51 . 2003-07-17 10:10 7,040 -ra C:\WINDOWS\system32\ntsim.sys

2008-08-29 10:50 . 2005-06-20 12:53 60,928 -ra C:\WINDOWS\system32\drivers\viamraid.sys

2008-08-29 10:49 . 2008-08-29 10:50 <KAT> d C:\Program\VIA

2008-08-29 10:49 . 2008-08-29 10:49 <KAT> d C:\Program\Realtek Sound Manager

2008-08-29 10:48 . 2008-08-29 15:46 <KAT> dh- C:\Program\InstallShield Installation Information

2008-08-29 10:48 . 2008-08-29 10:55 <KAT> d C:\Program\Delade filer\InstallShield

2008-08-29 10:48 . 2008-08-29 10:49 <KAT> d C:\Program\AvRack

2008-08-29 10:48 . 2004-11-17 10:08 16,162,816 a C:\WINDOWS\system32\ALSNDMGR.CPL

2008-08-29 10:45 . 2008-08-29 16:05 <KAT> dhs C:\WINDOWS\Installer

2008-08-08 14:21 . 2002-01-31 09:39 40,704 a C:\WINDOWS\system32\drivers\ousb2hub.sys

2008-08-08 14:21 . 2002-01-31 09:39 26,752 a C:\WINDOWS\system32\drivers\ousbehci.sys

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-29 14:19 - d-w C:\Program\Symantec AntiVirus

2008-08-29 10:39 - d-w C:\Program\OpenOffice.org 2.4

2008-08-29 10:39 - d-w C:\Program\Java

2008-08-29 10:39 - d-w C:\Program\Delade filer\Java

2008-08-29 10:11 - d-w C:\Documents and Settings\Administratör\Application Data\U3

2008-08-29 09:39 - d-w C:\Program\microsoft frontpage

2008-08-29 09:37 - d-w C:\Program\Onlinetjänster

2008-08-29 09:27 - d-w C:\Program\Delade filer\Symantec Shared

2008-08-29 09:26 805 a-w C:\WINDOWS\system32\drivers\SYMEVENT.INF

2008-08-29 09:26 8,014 a-w C:\WINDOWS\system32\drivers\SYMEVENT.CAT

2008-08-29 09:26 48,768 a-w C:\WINDOWS\system32\S32EVNT1.DLL

2008-08-29 09:26 110,952 a-w C:\WINDOWS\system32\drivers\SYMEVENT.SYS

2008-08-29 09:26 - d-w C:\Program\Symantec

2008-08-29 09:26 - d-w C:\Documents and Settings\All Users\Application Data\Symantec

2008-08-28 20:36 82,432 a-w C:\WINDOWS\system32\IEDFix.C.exe

2008-08-27 13:17 87,040 a-w C:\WINDOWS\system32\VACFix.exe

2008-08-26 18:19 88,576 a-w C:\WINDOWS\system32\AntiXPVSTFix.exe

2008-08-18 10:19 82,432 a-w C:\WINDOWS\system32\404Fix.exe

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2001-09-28 14:00 13312]

"MSMSGS"="C:\Program\Messenger\msmsgs.exe" [2001-08-02 07:14 1077277]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RaidTool"="C:\Program\VIA\RAID\raid_tool.exe" [2005-06-20 12:53 1056768]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2007-04-19 13:26 7700480]

"NvMediaCenter"="C:\WINDOWS\System32\NvMcTray.dll" [2007-04-19 13:26 86016]

"ccApp"="C:\Program\Delade filer\Symantec Shared\ccApp.exe" [2006-11-21 17:38 52840]

"SunJavaUpdateSched"="C:\Program\Java\jre1.6.0_04\bin\jusched.exe" [2007-12-14 03:42 144784]

"SoundMan"="SOUNDMAN.EXE" [2004-11-15 12:20 77824 C:\WINDOWS\SOUNDMAN.EXE]

"nwiz"="nwiz.exe" [2007-04-19 13:26 1626112 C:\WINDOWS\system32\nwiz.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2001-09-28 14:00 13312]

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

R2 ousbehci;%OWC_USBEHCD.DeviceDesc%;C:\WINDOWS\System32\Drivers\ousbehci.sys [2002-01-31 09:39]

 

*Newly Created Service* - CATCHME

*Newly Created Service* - PROCEXP90

.

.

- Supplementary Scan -

.

O9 -: {c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-29 16:21:37

Windows 5.1.2600 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

RaidTool = C:\Program\VIA\RAID\raid_tool.exe??????

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-08-29 16:22:05

ComboFix-quarantined-files.txt 2008-08-29 14:22:03

 

Pre-Run: 132,224,565,248 byte ledigt

Post-Run: 132,267,937,792 byte ledigt

 

127

 

[/log]

 

[inlägget ändrat 2008-08-29 16:38:06 av Anders N]

[Zipp.]

 

[log]Kopiera raden nedan och klistra in i Kör fältet och klicka Ok

 

sc config Messenger start= disabled

 

starta om datorn och se om pop up är borta[/log]

 

[soem]

Hej,

 

Tack. På följande länk, som kanske är oseriös meddelas att liknande

trojaner kan orsaka mer än bara pop up.

 

http://se.pcthreat.com/parasitebyid-6520se.html

 

Om man stänger av pop up funktionen, som jag antar att blir följden av Kör-kommandot du gav, finns kanske orsaken till problemet kvar, fast symtomet inte längre syns, dvs något värre kanske dyker upp senare? Som det påstås på hemsidan nämnd ovan. Skulle kännas bättre att hitta filen eller filerna som orsakar problemet och ta dem bort helt.

 

Mvh

 

[Zipp.]

 

Om det är Messenger service som spökar så finns det inga filer att ta bort bara att stänga av servicen.

 

[Znoupy]

info: http://www.registrysimple.com/www-winregistrycleaner-com.php