virus? rundll32

[calthabis]

Hej jag är nästan säker på att jag fått virus från en nisse. Jag körde med anti-vir och den hittade något som jag tog bort men tror det ligger andra grejjer kvar.

Det är en rundll32 som körs när datorn startats upp.

 

Något tips?

 

[Cecilia]

Det är en rundll32 som körs när datorn startats upp.

Låter i och för sig helt normalt.

 

Kolla i Antivir i någon logg eller karantän vad för sorts skadligt program det var, vilken fil den tog bort och i vilken mapp den fanns.

 

[calthabis]

detta är från senaste loggen.

 

 

D:\WINDOWS\system32\ANDT.SYS.del

[DETECTION] Is the TR/Agent.274944.C Trojan

[NOTE] The file was deleted!

D:\WINDOWS\system32\drivers\sptd.sys

[WARNING] The file could not be opened!

 

Säger detta någonting?

 

Jag ska se om jag kan hitta äldre loggar också.

 

 

[Cecilia]

Vi kan se om HijackThis visar något till att börja med:

http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

Installera, starta och välj "Do a system scan and save a logfile", kopiera loggen som kommer upp (inget annat).

 

I ditt svar bifogar du HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

[calthabis]

[log]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:23:41, on 2008-09-14

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16705)

Boot mode: Normal

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\spoolsv.exe

D:\Program\Avira\AntiVir PersonalEdition Classic\avguard.exe

D:\WINDOWS\Explorer.EXE

D:\Program\Avira\AntiVir PersonalEdition Classic\avgnt.exe

D:\Program\Microsoft IntelliPoint\ipoint.exe

D:\Program\Microsoft IntelliType Pro\itype.exe

D:\WINDOWS\system32\RUNDLL32.EXE

D:\Program\Windows Live\Messenger\MsnMsgr.Exe

D:\Program\Microsoft IntelliType Pro\dpupdchk.exe

C:\Program\Rainlendar2\Rainlendar2.exe

D:\Program\DAEMON Tools Lite\daemon.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Program\Personal\bin\Personal.exe

D:\Program\Avira\AntiVir PersonalEdition Classic\sched.exe

D:\Program\NetLimiter 2 Pro\nlsvc.exe

D:\WINDOWS\system32\nvsvc32.exe

D:\WINDOWS\system32\svchost.exe

D:\Program\NetBeans 6.1 Beta\bin\netbeans.exe

D:\Program\NetBeans 6.1 Beta\platform8\lib\nbexec.exe

D:\Program\NetBeans 6.1 Beta\platform8\lib\nbexec.exe

D:\Program\Java\jdk1.6.0_06\jre\bin\java.exe

D:\Program\Windows Live\Messenger\usnsvc.exe

D:\WINDOWS\system32\wuauclt.exe

D:\Program\Trend Micro\HijackThis\HijackThis.exe

D:\Program\Avira\AntiVir PersonalEdition Classic\update.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Länkhjälp till Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Program\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - D:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [avgnt] "D:\Program\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [intelliPoint] "D:\Program\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [itype] "D:\Program\Microsoft IntelliType Pro\itype.exe"

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE D:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE D:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [MsnMsgr] "D:\Program\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [Rainlendar2] C:\Program\Rainlendar2\Rainlendar2.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "D:\Program\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Personal.lnk = D:\Program\Personal\bin\Personal.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Program\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - D:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program\Messenger\msmsgs.exe

O12 - Plugin for .spop: D:\Program\Internet Explorer\Plugins\NPDocBox.dll

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - D:\Program\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - D:\Program\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - D:\Program\Delade filer\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: NetLimiter (nlsvc) - Locktime Software - D:\Program\NetLimiter 2 Pro\nlsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - D:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - D:\Program\Spyware Doctor\pctsAuxs.exe

O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - D:\Program\Spyware Doctor\pctsSvc.exe

 

--

End of file - 5335 bytes

 

[/log]

 

[Cecilia]

Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

[log]Dra ur internetanslutningen och stäng av alla program du ser inklusive antivirusprogram, antispionprogram och brandvägg, alternativt starta om datorn i felsäkert läge.

Kör ComboFix och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram och brandvägg är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.[/log]

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.