Just nu i M3-nätverket
Jump to content

BN2.tmp och annat elände


tompasolna

Recommended Posts

Har fått virusattack. Skulle installera något som jag trodde var en key-gen men blev nerlusad som straff. En del har jag fått bort själv medelst googling och forumläsning men inte allt. Grundsymptomen var en falsk windowsvarning om infekterad dator och tryck här för att fixa och sådär. Nu kvarstår en vit ruta på skrivbordet som jag inte får bort, se skärmdump. En fil som jag tror bör tas bort (som jag ej kan ta bort) heter BN2.tmp och ligger i C:\WINDOWS\Temp\.

Bifogar en HJT-log. Kan någon hjälpa?

 

 

[log]

Logfile of HijackThis v1.99.1

Scan saved at 21:09:15, on 2008-10-12

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Cisco Systems\VPN Client\cvpnd.exe

C:\Program\HP SA3000 VPN\VPN Client\icsrv.exe

C:\Program\Intel\Wireless\Bin\OProtSvc.exe

C:\Program\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Synaptics\SynTP\SynTPLpr.exe

C:\Program\Synaptics\SynTP\SynTPEnh.exe

C:\Program\LG Software\Battery Miser 2005\batterymiser.exe

C:\Program\LG Software\On Screen Display\Hotkey.exe

C:\Program\LG Software\RMan\RMan.exe

C:\Program\Intel\Wireless\Bin\ifrmewrk.exe

C:\Program\Intel\Wireless\Bin\EOUWiz.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\CCleaner\CCleaner.exe

C:\Program\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schema.telge.kth.se/

O4 - HKLM\..\Run: [synTPLpr] C:\Program\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [batterymiser] "C:\Program\LG Software\Battery Miser 2005\batterymiser.exe"

O4 - HKLM\..\Run: [KeybdUtility] "C:\Program\LG Software\On Screen Display\Hotkey.exe"

O4 - HKLM\..\Run: [RMan] C:\Program\LG Software\RMan\RMan.exe

O4 - HKLM\..\Run: [intelZeroConfig] C:\Program\Intel\Wireless\bin\ZCfgSvc.exe

O4 - HKLM\..\Run: [intelWireless] C:\Program\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [EOUApp] C:\Program\Intel\Wireless\Bin\EOUWiz.exe

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O20 - Winlogon Notify: IntelWireless - C:\Program\Intel\Wireless\Bin\LgNotify.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: HP SA3000 VPN Client (ICService) - Unknown owner - C:\Program\HP SA3000 VPN\VPN Client\icsrv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program\OpenVPN\bin\openvpnserv.exe

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program\Intel\Wireless\Bin\S24EvMon.exe

[/log]

 

[bild bifogad 2008-10-12 21:12:07 av tompasolna]

1089332_thumb.jpg

Link to comment
Share on other sites

BN2.tmp är mkt riktigt ingenting du vill ha kvar :) Hur har du testat att rensa? Jag är osäker på om Malwarebytes’ Anti-Malware tar bort den men det är värt ett försök

 

Link to comment
Share on other sites

Om du inte har använt Malwarebytes Anti-Malware (MBAM) så rekommenderar jag det, laddas ner från en av dessa länkar:

http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

http://projects.securitywonks.net/projects/details.php?file=158

Dubbelklicka på mbam-setup.exe för att installera programmet.

[log]

Bocka för:

Update Malwarebytes' Anti-Malware

Launch Malwarebytes' Anti-Malware

Tryck på Finish

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj Perform Quick Scan och tryck på Scan.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan Show Results.

Bocka för allt och tryck sedan Remove Selected.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på Logs-fliken i MBAM.

Kopiera loggen och klistra in den i ditt svar.[/log]

 

Link to comment
Share on other sites

MBAM har jag kört några gånger tidigare utan att stor framgång. Ny körning som rekommenderat:

 

[log]

Malwarebytes' Anti-Malware 1.28

Databasversion: 1266

Windows 5.1.2600 Service Pack 2

 

2008-10-13 21:01:14

mbam-log-2008-10-13 (21-01-14).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 48608

Förfluten tid: 4 minute(s), 21 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 11

Infekterade registervärden: 1

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 19

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

HKEY_CLASSES_ROOT\CLSID\{a6a7b92c-4c46-4274-b509-68e9d468001c} (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ati8vdxx (Rootkit.Agent) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ati8vdxx (Rootkit.Agent) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ati8vdxx (Rootkit.Agent) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\restore (Rootkit.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\TypeLib\{17dee492-9e68-4203-aa3c-9bfd982a6fe9} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{c0957bdd-7f46-4b6b-8729-5aa4041286f7} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{25f4e094-86ff-44fd-b832-8aadf8c63528} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\olnmraew.bamo (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\olnmraew.toolbar.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

Infekterade registervärden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\rhcl3pj0ega9 (Rogue.AntivirusXP2008) -> Quarantined and deleted successfully.

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\WINDOWS\karna.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\rqRlJAQI.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\mlwwvxtk.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\ssqPGAtt.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\karna.dat (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\ljJaaaYQ.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\ljJDVnNf.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\yfcrfw.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\7c618160.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\ati8vdxx.sys (Rootkit.Agent) -> Delete on reboot.

C:\WINDOWS\Temp\BN2.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\BN3.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\BN4.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\brastk.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\olnmraew.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\qkeftmxn.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\qmafxprs.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\wini104552664.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\TDSSerrors.log (Trojan.TDSS) -> Quarantined and deleted successfully.

[/log]

 

Vidare kan jag berätta att ytterligare fulfiler har lagt sig i WINDOWS\Temp, samma typ med andra slutnummer, BN3 och sådär. För tillfället är de inte där men jag vet att de är tillbaka vid nästa inloggning.

 

För att öka på krånglet bifogar jag en dump på en varning jag alltid får när jag loggar på förutom direkt efter en reboot efter MBAM-körning. Nån process stoppad av Windows.

 

 

 

[bild bifogad 2008-10-13 21:18:52 av tompasolna]

1089624_thumb.jpg

Link to comment
Share on other sites

Det är ett rootkit vilket är en typ av skadliga filer som kan dölja sig för andra, det gör det svårt för MBAM att få bort det. Men ofta så kan flera körningar av MBAM direkt efter varandra få bort mer. Kör MBAM igen och ytterligare en gång efter omstarten om något hittades.

 

Därefter så ladda ner Gmer till Skrivbordet från en av dessa sidor:

http://www.gmer.net/

http://www.majorgeeks.com/GMER_d5198.html

Packa upp filen till Skrivbordet.

 

Dubbelklicka på programmet gmer.exe för att starta det.

Välj fliken rootkit, kontrollera att allt är förbockat till höger utom Show All. Tryck på Scan.

Tryck på Copy och klistra sedan in resultatet i ditt svar.

Klistra även in den senaste MBAM-loggen där något hittades.

 

Link to comment
Share on other sites

MBAM hittade inget så jag bifogar ingen log...

Det första som hände när jag körde Gmer var att jag blev varnad för rootkit. Jag klickade ja för att köra full scan och nedan är loggen. När Gmer scannat klart varnades jag igen för rootkit activity.

 

[log]

GMER 1.0.14.14536 - http://www.gmer.net

Rootkit scan 2008-10-14 19:27:12

Windows 5.1.2600 Service Pack 2

 

 

---- System - GMER 1.0.14 ----

 

SSDT sptd.sys ZwCreateKey [0xF83BD0D0] <-- ROOTKIT !!!

SSDT sptd.sys ZwEnumerateKey [0xF83C2FB2] <-- ROOTKIT !!!

SSDT sptd.sys ZwEnumerateValueKey [0xF83C3340] <-- ROOTKIT !!!

SSDT sptd.sys ZwOpenKey [0xF83BD0B0] <-- ROOTKIT !!!

SSDT sptd.sys ZwQueryKey [0xF83C3418] <-- ROOTKIT !!!

SSDT sptd.sys ZwQueryValueKey [0xF83C3298] <-- ROOTKIT !!!

SSDT sptd.sys ZwSetValueKey [0xF83C34AA] <-- ROOTKIT !!!

 

---- Kernel code sections - GMER 1.0.14 ----

 

? C:\WINDOWS\system32\drivers\sptd.sys Det går inte att komma åt filen eftersom den

används av en annan process.

.text USBPORT.SYS!DllUnload F728662C 5 Bytes JMP 82C2B770

? System32\Drivers\a37vujwv.SYS Det går inte att hitta filen. !

 

---- User code sections - GMER 1.0.14 ----

 

.text C:\Program\MSN Messenger\msnmsgr.exe[1544] kernel32.dll!SetUnhandledExceptionFilter 7C84467D 5 Bytes JMP 004DE392 C:\Program\MSN Messenger\msnmsgr.exe (Messenger/Microsoft Corporation)

.text C:\Program\Internet Explorer\iexplore.exe[2512] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 4483F301 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program\Internet Explorer\iexplore.exe[2512] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 449D1667 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program\Internet Explorer\iexplore.exe[2512] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 449D15E8 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program\Internet Explorer\iexplore.exe[2512] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 449D162C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program\Internet Explorer\iexplore.exe[2512] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 449D1574 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program\Internet Explorer\iexplore.exe[2512] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 449D15AE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program\Internet Explorer\iexplore.exe[2512] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 449D16A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program\Internet Explorer\iexplore.exe[2512] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 448616B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

 

---- Kernel IAT/EAT - GMER 1.0.14 ----

 

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F83BDAD4] sptd.sys

IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F83BDC1A] sptd.sys

IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F83BDB9C] sptd.sys

IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F83BE748] sptd.sys

IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F83BE61E] sptd.sys

IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F83D329A] sptd.sys

 

---- Devices - GMER 1.0.14 ----

 

Device \FileSystem\Ntfs \Ntfs 82F651E8

Device \FileSystem\Fastfat \FatCdrom FFB3D1E8

 

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

 

Device \Driver\NetBT \Device\NetBT_Tcpip_{B69E85C3-F273-4963-9864-18E1B8C2F8D8} 81F5C1E8

Device \Driver\usbuhci \Device\USBPDO-0 82C76790

Device \Driver\usbuhci \Device\USBPDO-1 82C76790

Device \Driver\usbuhci \Device\USBPDO-2 82C76790

Device \Driver\usbuhci \Device\USBPDO-3 82C76790

Device \Driver\usbehci \Device\USBPDO-4 82C05790

Device \Driver\Ftdisk \Device\HarddiskVolume1 82FD21E8

Device \Driver\NetBT \Device\NetBT_Tcpip_{82B7F30E-E2F8-4BBE-BF90-BDF273B9D52D} 81F5C1E8

Device \Driver\Cdrom \Device\CdRom0 82CD8790

Device \Driver\Ftdisk \Device\HarddiskVolume2 82FD21E8

Device \Driver\Cdrom \Device\CdRom1 82CD8790

Device \Driver\atapi \Device\Ide\IdePort0 82F661E8

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 82F661E8

Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 82F661E8

Device \Driver\NetBT \Device\NetBt_Wins_Export 81F5C1E8

Device \Driver\PCI_NTPNP4474 \Device\00000077 sptd.sys

Device \Driver\NetBT \Device\NetbiosSmb 81F5C1E8

Device \Driver\NetBT \Device\NetBT_Tcpip_{AB9D8C80-F057-483A-830F-C22F34307252} 81F5C1E8

Device \Driver\usbuhci \Device\USBFDO-0 82C76790

Device \Driver\usbuhci \Device\USBFDO-1 82C76790

Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 81F561E8

Device \Driver\usbuhci \Device\USBFDO-2 82C76790

Device \FileSystem\MRxSmb \Device\LanmanRedirector 81F561E8

Device \Driver\usbuhci \Device\USBFDO-3 82C76790

Device \Driver\usbehci \Device\USBFDO-4 82C05790

Device \Driver\Ftdisk \Device\FtControl 82FD21E8

Device \Driver\a37vujwv \Device\Scsi\a37vujwv1Port1Path0Target0Lun0 82D1B790

Device \Driver\a37vujwv \Device\Scsi\a37vujwv1 82D1B790

Device \FileSystem\Fastfat \Fat FFB3D1E8

Device \FileSystem\Cdfs \Cdfs FFB261E8

 

---- Services - GMER 1.0.14 ----

 

Service system32\drivers\TDSSserv.sys (*** hidden *** ) [sYSTEM] tdssserv <-- ROOTKIT !!!

 

---- Registry - GMER 1.0.14 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program\DAEMON ToolsReg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB2 0x3F 0x4B 0x96 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x57 0xB2 0x3A 0xAC ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x65 0x72 0x91 0x86 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\tdssserv@start 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\tdssserv@type 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\tdssserv@imagepath \systemroot\system32\drivers\TDSSserv.sys

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program\DAEMON ToolsReg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB2 0x3F 0x4B 0x96 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x57 0xB2 0x3A 0xAC ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x65 0x72 0x91 0x86 ...

Reg HKLM\SYSTEM\ControlSet002\Services\tdssserv@start 1

Reg HKLM\SYSTEM\ControlSet002\Services\tdssserv@type 1

Reg HKLM\SYSTEM\ControlSet002\Services\tdssserv@imagepath \systemroot\system32\drivers\TDSSserv.sys

 

---- EOF - GMER 1.0.14 ----

[/log]

 

Vad gör man nu?

 

 

 

Link to comment
Share on other sites

Tydligen en ny variant av TDSSserv.sys.

Jag har lagt in en fråga till en på Malwarebytes för att fråga om de vill ha några filer från dig eller liknande för att kunna förbättra MBAM.

 

Jag måste gå och äta middag nu, men jag ska fundera under tiden på bästa åtgärden och så återkommer jag senare.

 

Link to comment
Share on other sites

Det verkar bli knepigt det här. Tack för engagemanget och hoppas middagen smakar utmärkt...

Väntar med spänning på nästa tips, själv är jag rådlös.

 

Link to comment
Share on other sites

Jo tack, det var gott.

 

Jo, jag får beskedet att själva filen är borta men att det finns rester i registret som pekar på filen och eftersom också det som har döljt filen finns kvar så tror Gmer att det är något lurt fortfarande.

 

Start - Program - Tillbehör - Kommandotolken

Skriv:

set DEVMGR_SHOW_DETAILS=1

set DEVMGR_SHOW_NONPRESENT_DEVICES=1

start devmgmt.msc

 

Då kommer Enhetshanteraren upp och i den väljer du att den även skall visa dolda enheter. Leta efter tdssserv, eventuellt syns den extra bra för att den har ett utrops- eller frågetecken på sig. Högerklicka på den och välj att inaktivera. Starta om datorn och då ska du igen ta fram Enhetshanteraren men denna gång ska du avinstallera tdssserv. Starta om igen och så en ny Gmer-logg.

 

Link to comment
Share on other sites

I enhetshanteraren ser jag även en grej kallad Blip med utropstecken. Ska jag göra samma sak med den. Annars allt utfört som du sa men Gmer varnar fortfarande för Rootkit. Log följer:

 

[log]

GMER 1.0.14.14536 - http://www.gmer.net

Rootkit scan 2008-10-15 10:02:09

Windows 5.1.2600 Service Pack 2

 

 

---- System - GMER 1.0.14 ----

 

SSDT sptd.sys ZwCreateKey [0xBA6BE0D0]

SSDT sptd.sys ZwEnumerateKey [0xBA6C3FB2]

SSDT sptd.sys ZwEnumerateValueKey [0xBA6C4340]

SSDT sptd.sys ZwOpenKey [0xBA6BE0B0]

SSDT sptd.sys ZwQueryKey [0xBA6C4418]

SSDT sptd.sys ZwQueryValueKey [0xBA6C4298]

SSDT sptd.sys ZwSetValueKey [0xBA6C44AA]

 

---- Kernel code sections - GMER 1.0.14 ----

 

? C:\WINDOWS\system32\drivers\sptd.sys Det går inte att komma åt filen eftersom den

används av en annan process.

.text USBPORT.SYS!DllUnload B938662C 5 Bytes JMP 8A211770

? System32\Drivers\abci26ha.SYS Det går inte att hitta filen. !

 

---- User code sections - GMER 1.0.14 ----

 

.text C:\Program\MSN Messenger\msnmsgr.exe[984] kernel32.dll!SetUnhandledExceptionFilter 7C84467D 5 Bytes JMP 004DE392 C:\Program\MSN Messenger\msnmsgr.exe (Messenger/Microsoft Corporation)

.text C:\Program\Internet Explorer\iexplore.exe[3724] USER32.dll!DialogBoxParamW 7E37555F 5 Bytes JMP 4483F301 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program\Internet Explorer\iexplore.exe[3724] USER32.dll!DialogBoxIndirectParamW 7E382032 5 Bytes JMP 449D1667 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program\Internet Explorer\iexplore.exe[3724] USER32.dll!MessageBoxIndirectA 7E38A04A 5 Bytes JMP 449D15E8 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program\Internet Explorer\iexplore.exe[3724] USER32.dll!DialogBoxParamA 7E38B10C 5 Bytes JMP 449D162C C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program\Internet Explorer\iexplore.exe[3724] USER32.dll!MessageBoxExW 7E3A05D8 5 Bytes JMP 449D1574 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program\Internet Explorer\iexplore.exe[3724] USER32.dll!MessageBoxExA 7E3A05FC 5 Bytes JMP 449D15AE C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program\Internet Explorer\iexplore.exe[3724] USER32.dll!DialogBoxIndirectParamA 7E3A6B50 5 Bytes JMP 449D16A2 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

.text C:\Program\Internet Explorer\iexplore.exe[3724] USER32.dll!MessageBoxIndirectW 7E3B62AB 5 Bytes JMP 448616B6 C:\WINDOWS\system32\IEFRAME.dll (Internet Explorer/Microsoft Corporation)

 

---- Kernel IAT/EAT - GMER 1.0.14 ----

 

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [bA6BEAD4] sptd.sys

IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [bA6BEC1A] sptd.sys

IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [bA6BEB9C] sptd.sys

IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [bA6BF748] sptd.sys

IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [bA6BF61E] sptd.sys

IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [bA6D429A] sptd.sys

 

---- Devices - GMER 1.0.14 ----

 

Device \FileSystem\Ntfs \Ntfs 8A51F1E8

Device \FileSystem\Fastfat \FatCdrom 893F31E8

 

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

 

Device \Driver\NetBT \Device\NetBT_Tcpip_{B69E85C3-F273-4963-9864-18E1B8C2F8D8} 89C751E8

Device \Driver\usbuhci \Device\USBPDO-0 8A214790

Device \Driver\usbuhci \Device\USBPDO-1 8A214790

Device \Driver\usbuhci \Device\USBPDO-2 8A214790

Device \Driver\usbuhci \Device\USBPDO-3 8A214790

Device \Driver\usbehci \Device\USBPDO-4 8A27D790

Device \Driver\Ftdisk \Device\HarddiskVolume1 8A58C1E8

Device \Driver\NetBT \Device\NetBT_Tcpip_{82B7F30E-E2F8-4BBE-BF90-BDF273B9D52D} 89C751E8

Device \Driver\Cdrom \Device\CdRom0 8A2AF1E8

Device \Driver\Ftdisk \Device\HarddiskVolume2 8A58C1E8

Device \Driver\Cdrom \Device\CdRom1 8A2AF1E8

Device \Driver\atapi \Device\Ide\IdePort0 8A5201E8

Device \Driver\atapi \Device\Ide\IdeDeviceP0T0L0-4 8A5201E8

Device \Driver\atapi \Device\Ide\IdeDeviceP0T1L0-c 8A5201E8

Device \Driver\NetBT \Device\NetBt_Wins_Export 89C751E8

Device \Driver\PCI_NTPNP3316 \Device\00000077 sptd.sys

Device \Driver\NetBT \Device\NetbiosSmb 89C751E8

Device \Driver\NetBT \Device\NetBT_Tcpip_{AB9D8C80-F057-483A-830F-C22F34307252} 89C751E8

Device \Driver\usbuhci \Device\USBFDO-0 8A214790

Device \Driver\usbuhci \Device\USBFDO-1 8A214790

Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 895011E8

Device \Driver\usbuhci \Device\USBFDO-2 8A214790

Device \FileSystem\MRxSmb \Device\LanmanRedirector 895011E8

Device \Driver\usbuhci \Device\USBFDO-3 8A214790

Device \Driver\usbehci \Device\USBFDO-4 8A27D790

Device \Driver\Ftdisk \Device\FtControl 8A58C1E8

Device \Driver\abci26ha \Device\Scsi\abci26ha1 8A2A7460

Device \Driver\abci26ha \Device\Scsi\abci26ha1Port1Path0Target0Lun0 8A2A7460

Device \FileSystem\Fastfat \Fat 893F31E8

Device \FileSystem\Cdfs \Cdfs 893A91E8

 

---- Services - GMER 1.0.14 ----

 

Service system32\drivers\TDSSserv.sys (*** hidden *** ) [sYSTEM] tdssserv <-- ROOTKIT !!!

 

---- Registry - GMER 1.0.14 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program\DAEMON ToolsReg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB2 0x3F 0x4B 0x96 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x57 0xB2 0x3A 0xAC ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x65 0x72 0x91 0x86 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\tdssserv@start 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\tdssserv@type 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\tdssserv@imagepath \systemroot\system32\drivers\TDSSserv.sys

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program\DAEMON ToolsReg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xB2 0x3F 0x4B 0x96 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x57 0xB2 0x3A 0xAC ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x65 0x72 0x91 0x86 ...

Reg HKLM\SYSTEM\ControlSet002\Services\tdssserv@start 1

Reg HKLM\SYSTEM\ControlSet002\Services\tdssserv@type 1

Reg HKLM\SYSTEM\ControlSet002\Services\tdssserv@imagepath \systemroot\system32\drivers\TDSSserv.sys

 

---- EOF - GMER 1.0.14 ----

[/log]

 

Link to comment
Share on other sites

Nej, det är inte lämpligt att ta bort Blip utan att veta vad det är.

 

Har du använt registereditorn regedit förut?

 

Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

[log]Du bör installera Windows Återställningskonsol eftersom det gör det möjligt att starta datorn i ett särskild återställningsläge vilket kan vara bra om något händer med datorn under de kommande rensningarna.

 

Alternativ 1: Du har en CD med Windows XP

Stoppa in CDn

Start - Kör

Skriv in

x:\i386\winnt32.exe /cmdcons

där du byter ut x mot den bokstav som CDn har.

Tryck på OK

Svara Ja på frågan om du vill installera återställningskonsolen.

Programmet kommer att kontakta Microsoft för att få de senaste filerna.

Tryck på OK när det är klart.

 

För att inte Återställningskonsolen ska fråga efter ett lösenord så gör på följande sätt:

Start - Kör

regedit

Leta upp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Setup\RecoveryConsole i vänsterkolumnen.

Ändra värdet på SecurityLevel till 1

Stäng regedit

Starta om datorn.

 

Alternativ 2: Du har inte en CD med Windows XP

Surfa till http://support.microsoft.com/kb/310994

se till att språket på sidan matchar språket i Windows (språk väljs i högerkolumnen) om du inte har XP Media Center Edition för då ska du ha engelska.

 

Skrolla ner till rubriken Hämta programfilen för installationsdisketterna

Välj rätt nedladdning utifrån vilken Service Pack du har installerat till XP. Om du har SP3 så välj SP2.

Om du har XP Media Center Edition så välj XP Professional.

Spara den nedladdade filen på Skrivbordet.

 

När nedladdningen är klar så drar du den nedladdade filen med musen över Skrivbordet och släpper den på ComboFix-ikonen.

ComboFix kommer då att installera Återställningskonsolen.

När det är klart så kommer ComboFix att fråga om du vill fortsätta med att skanna, där väljer du No/Nej.[/log]

 

[log]Dra ur internetanslutningen och stäng av alla program du ser inklusive antivirusprogram, antispionprogram och brandvägg, alternativt starta om datorn i felsäkert läge.

Kör ComboFix och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram och brandvägg är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.[/log]

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

 

Link to comment
Share on other sites

Combofix tog sin lilla tid. Log nedan. Regedit har jag startat någon gång via kör, och kan väl så att säga orientera mig där om så behövs. Körde Combofix i felsäkert läge. Hur ser loggen ut?

 

[log]

ComboFix 08-10-14.07 - tomas 2008-10-15 14:54:22.1 - NTFSx86 MINIMAL

Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1053.18.1258 [GMT 2:00]

Running from: C:\Documents and Settings\Tompa\Skrivbord\combofix.exe

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

C:\Documents and Settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

C:\Documents and Settings\Tompa\Application Data\Adobe\Player.exe

C:\xcrashdump.dat

 

----- BITS: Possible infected sites -----

 

hxxp://91.203.93.6

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_tdssserv

 

 

((((((((((((((((((((((((( Files Created from 2008-09-15 to 2008-10-15 )))))))))))))))))))))))))))))))

.

 

2008-10-14 19:03 . 2008-10-15 09:32 250 --a------ C:\WINDOWS\gmer.ini

2008-10-12 19:31 . 2008-10-12 19:54 <KAT> d-------- C:\SDFix

2008-10-12 11:49 . 2008-10-12 11:49 <KAT> d-------- C:\Documents and Settings\All Users\Application Data\dsxqtkje

2008-10-12 11:49 . 2008-10-12 11:49 81,920 --a------ C:\WINDOWS\system32\ubcrwdix.exe

2008-10-12 10:45 . 2008-10-12 10:47 2 --a------ C:\-794234839

2008-10-06 20:33 . 2001-11-13 10:47 41,324 --a------ C:\WINDOWS\system32\winio.sys

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-12 12:20 --------- d-----w C:\Documents and Settings\Tompa\Application Data\Skype

2008-10-12 09:49 --------- d-----w C:\Program\Malwarebytes' Anti-Malware

2008-09-09 22:04 38,528 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-09-09 22:03 17,200 ----a-w C:\WINDOWS\system32\drivers\mbam.sys

2008-08-17 12:26 --------- d-----w C:\Documents and Settings\Tompa\Application Data\Malwarebytes

2008-08-17 12:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

"msnmsgr"="C:\Program\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPLpr"="C:\Program\Synaptics\SynTP\SynTPLpr.exe" [2005-02-14 98396]

"SynTPEnh"="C:\Program\Synaptics\SynTP\SynTPEnh.exe" [2005-02-14 667740]

"batterymiser"="C:\Program\LG Software\Battery Miser 2005\batterymiser.exe" [2005-06-28 335872]

"KeybdUtility"="C:\Program\LG Software\On Screen Display\Hotkey.exe" [2006-01-02 81920]

"RMan"="C:\Program\LG Software\RMan\RMan.exe" [2005-05-19 45056]

"IntelZeroConfig"="C:\Program\Intel\Wireless\bin\ZCfgSvc.exe" [2005-10-03 401408]

"IntelWireless"="C:\Program\Intel\Wireless\Bin\ifrmewrk.exe" [2005-10-03 385024]

"EOUApp"="C:\Program\Intel\Wireless\Bin\EOUWiz.exe" [2005-10-03 356352]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"AllowLegacyWebView"= 1 (0x1)

"AllowUnhashedWebView"= 1 (0x1)

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{26F5978F-6493-4ee3-B114-C0C3ACCF9D4D}"= "C:\WINDOWS\system32\bmpsap.dll" [2005-06-28 114688]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]

2005-10-03 22:59 110592 C:\Program\Intel\Wireless\Bin\LgNotify.dll

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8vdxx.sys]

@="Driver"

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Microsoft Office.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\Microsoft Office.lnk

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Personal.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\Personal.lnk

backup=C:\WINDOWS\pss\Personal.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^VPN Client.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\VPN Client.lnk

backup=C:\WINDOWS\pss\VPN Client.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]

--a------ 2005-09-14 21:05 344064 C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

--a------ 2006-11-16 20:04 139264 C:\Program\Delade filer\Ahead\Lib\NMBgMonitor.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

--a------ 2007-08-16 13:24 167368 C:\Program\DAEMON Tools\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2006-01-12 16:40 155648 C:\Program\Delade filer\Ahead\Lib\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Net iD]

--a------ 2007-03-15 11:11 67112 C:\WINDOWS\system32\iid.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pdfFactory Pro Dispatcher v2]

--a------ 2005-11-24 11:12 491520 C:\WINDOWS\system32\spool\drivers\w32x86\3\fppdis2a.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2008-02-22 04:25 144784 C:\Program\Java\jre1.6.0_05\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program\\Messenger\\msmsgs.exe"=

"C:\\Program\\BitComet\\BitComet.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program\\HP SA3000 VPN\\VPN Client\\ICDESK.EXE"=

"C:\\Program\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program\\MSN Messenger\\livecall.exe"=

"C:\\Program\\Robotics Academy\\ROBOTC for Mindstorms\\RobotC.exe"=

"C:\\Program\\Skype\\Phone\\Skype.exe"=

"C:\\WINDOWS\\system32\\winver.exe"=

 

R1 ICsrvr;VPN Client Protocol;C:\WINDOWS\system32\DRIVERS\ICsrvr.sys [2003-02-21 160627]

R1 ICtdi;VPN Client TDI Driver;C:\WINDOWS\system32\DRIVERS\ictdi.sys [2003-02-21 20705]

R2 ICService;HP SA3000 VPN Client;C:\Program\HP SA3000 VPN\VPN Client\icsrv.exe [2003-02-21 15360]

R3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2005-05-12 1287296]

R3 tap0901;TAP-Win32 Adapter V9;C:\WINDOWS\system32\DRIVERS\tap0901.sys [2007-04-26 25088]

S1 7c618160;7c618160;C:\WINDOWS\system32\drivers\7c618160.sys [ ]

S3 FANTOM;LEGO MINDSTORMS NXT Driver;C:\WINDOWS\system32\DRIVERS\fantom.sys [2007-05-30 39424]

S3 ICvnic;VPN Client Virtual Adapter;C:\WINDOWS\system32\DRIVERS\ICvnic.sys [2003-02-21 6595]

S3 oneuport;MosChip 7703-USB2Serial Port;C:\WINDOWS\system32\DRIVERS\oneuport.sys [2005-02-11 851840]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d3e74be-d3b8-11dc-8234-0013ce5b6222}]

\Shell\AutoRun\command - G:\LaunchU3.exe -a

.

Contents of the 'Scheduled Tasks' folder

 

2008-10-10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

- C:\Program\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]

 

2008-07-25 C:\WINDOWS\Tasks\RegClean Scheduled Scan.job

- C:\Program\RegClean\RegClean.exe []

 

2008-07-25 C:\WINDOWS\Tasks\RegClean Scheduled Scan.job

- C:\Program\RegClean []

.

.

------- Supplementary Scan -------

.

R0 -: HKCU-Main,Start Page = hxxp://www.schema.telge.kth.se/

R0 -: HKLM-Main,Start Page = hxxp://www.google.com

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-15 15:05:25

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\WINDOWS\system32\ati2evxx.exe

C:\Program\Cisco Systems\VPN Client\cvpnd.exe

C:\Program\Intel\Wireless\Bin\OProtSvc.exe

C:\Program\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\wdfmgr.exe

C:\WINDOWS\system32\ati2evxx.exe

C:\WINDOWS\system32\wscntfy.exe

.

**************************************************************************

.

Completion time: 2008-10-15 15:12:44 - machine was rebooted [tomas]

ComboFix-quarantined-files.txt 2008-10-15 13:12:41

ComboFix2.txt 2008-10-12 10:21:01

 

Pre-Run: 18 982 694 912 byte ledigt

Post-Run: 17,317,564,416 byte ledigt

 

155 --- E O F --- 2008-06-23 19:07:22

[/log]

 

Link to comment
Share on other sites

Aha, du har kört SDFix förut, det förklarar en del.

 

Vad finns i mappen

C:\Documents and Settings\All Users\Application Data\dsxqtkje

 

Surfa till http://www.virustotal.com klistra in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här. Upprepa med nästa filnamn.

C:\WINDOWS\system32\ubcrwdix.exe

C:\WINDOWS\system32\winio.sys

C:\WINDOWS\system32\bmpsap.dll

 

Det är en gammal Java-version med säkerhetshål i datorn. Jag rekommenderar dig att installera en ny från http://www.java.com/sv/ och därefter avinstallera alla Java/J2SE/JRE utom den senaste i Kontrollpanelen - Lägg till eller ta bort program (inga webbläsare igång).

 

Kontrollpanelen - Schemalagda aktiviteter

Ta bort de två aktiviteter som har med RegClean att göra.

 

Link to comment
Share on other sites

Installerar nytt javapaket senare om det inte är kritiskt... Hittade bara en schemalagd aktivitet för regclean och den shift-deletade jag. (Varför har jag aktivitet för apple soft update?).

Låg ett program i efterfrågad mapp och den lät jag analysera på Virus Total oxå, se log (rcruzija.exe). Verkar vara nåt nasty.

[log]

ubcrwdix.exe

 

Antivirus Version Senaste Uppdatering Resultat

AhnLab-V3 2008.10.16.0 2008.10.15 -

AntiVir 7.9.0.4 2008.10.15 TR/Obfuscated.GX.2599

Authentium 5.1.0.4 2008.10.15 -

Avast 4.8.1248.0 2008.10.15 Win32:PureMorph

AVG 8.0.0.161 2008.10.15 Generic11.BBFP

BitDefender 7.2 2008.10.15 -

CAT-QuickHeal 9.50 2008.10.14 Win32.Trojan.Obfuscated.gx.3

ClamAV 0.93.1 2008.10.15 -

DrWeb 4.44.0.09170 2008.10.15 -

eSafe 7.0.17.0 2008.10.15 -

eTrust-Vet 31.6.6149 2008.10.15 -

Ewido 4.0 2008.10.15 -

F-Prot 4.4.4.56 2008.10.14 -

F-Secure 8.0.14332.0 2008.10.15 Trojan.Win32.Obfuscated.gx

Fortinet 3.113.0.0 2008.10.15 W32/PolySmall.BP!tr

GData 19 2008.10.15 Win32:PureMorph

Ikarus T3.1.1.34.0 2008.10.15 Trojan.Win32.Obfuscated.gx

K7AntiVirus 7.10.496 2008.10.15 -

Kaspersky 7.0.0.125 2008.10.15 Trojan.Win32.Obfuscated.gx

McAfee 5405 2008.10.14 Generic.dx

Microsoft 1.4005 2008.10.15 Trojan:Win32/Busky.EI

NOD32 3524 2008.10.15 a variant of Win32/TrojanDownloader.FakeAlert.IQ

Norman 5.80.02 2008.10.15 W32/Busky.DWDU

Panda 9.0.0.4 2008.10.15 -

PCTools 4.4.2.0 2008.10.15 -

Prevx1 V2 2008.10.15 Cloaked Malware

Rising 20.66.22.00 2008.10.15 -

SecureWeb-Gateway 6.7.6 2008.10.15 Trojan.Obfuscated.GX.2599

Sophos 4.34.0 2008.10.15 Mal/EncPk-DG

Sunbelt 3.1.1725.1 2008.10.15 -

Symantec 10 2008.10.15 Packed.Generic.182

TheHacker 6.3.1.0.112 2008.10.15 -

TrendMicro 8.700.0.1004 2008.10.15 -

VBA32 3.12.8.6 2008.10.14 -

ViRobot 2008.10.15.1421 2008.10.15 -

VirusBuster 4.5.11.0 2008.10.15 -

 

winio.sys

 

Antivirus Version Senaste Uppdatering Resultat

AhnLab-V3 2008.10.16.0 2008.10.15 -

AntiVir 7.9.0.4 2008.10.15 -

Authentium 5.1.0.4 2008.10.15 -

Avast 4.8.1248.0 2008.10.15 -

AVG 8.0.0.161 2008.10.15 -

BitDefender 7.2 2008.10.15 -

CAT-QuickHeal 9.50 2008.10.14 -

ClamAV 0.93.1 2008.10.15 -

DrWeb 4.44.0.09170 2008.10.15 -

eSafe 7.0.17.0 2008.10.15 -

eTrust-Vet 31.6.6149 2008.10.15 -

Ewido 4.0 2008.10.15 -

F-Prot 4.4.4.56 2008.10.14 -

F-Secure 8.0.14332.0 2008.10.15 -

Fortinet 3.113.0.0 2008.10.15 -

GData 19 2008.10.15 -

Ikarus T3.1.1.34.0 2008.10.15 -

K7AntiVirus 7.10.496 2008.10.15 -

Kaspersky 7.0.0.125 2008.10.15 -

McAfee 5405 2008.10.14 -

Microsoft 1.4005 2008.10.15 -

NOD32 3524 2008.10.15 -

Norman 5.80.02 2008.10.15 -

Panda 9.0.0.4 2008.10.15 -

PCTools 4.4.2.0 2008.10.15 -

Prevx1 V2 2008.10.15 -

Rising 20.66.22.00 2008.10.15 -

SecureWeb-Gateway 6.7.6 2008.10.15 -

Sophos 4.34.0 2008.10.15 -

Sunbelt 3.1.1725.1 2008.10.15 -

Symantec 10 2008.10.15 -

TheHacker 6.3.1.0.112 2008.10.15 -

TrendMicro 8.700.0.1004 2008.10.15 -

VBA32 3.12.8.6 2008.10.14 -

ViRobot 2008.10.15.1421 2008.10.15 -

VirusBuster 4.5.11.0 2008.10.15 -

 

bmpsap.dll

 

Antivirus Version Senaste Uppdatering Resultat

AhnLab-V3 2008.10.16.0 2008.10.15 -

AntiVir 7.9.0.4 2008.10.15 -

Authentium 5.1.0.4 2008.10.15 -

Avast 4.8.1248.0 2008.10.15 -

AVG 8.0.0.161 2008.10.15 -

BitDefender 7.2 2008.10.15 -

CAT-QuickHeal 9.50 2008.10.14 -

ClamAV 0.93.1 2008.10.15 -

DrWeb 4.44.0.09170 2008.10.15 -

eSafe 7.0.17.0 2008.10.15 -

eTrust-Vet 31.6.6149 2008.10.15 -

Ewido 4.0 2008.10.15 -

F-Prot 4.4.4.56 2008.10.14 -

F-Secure 8.0.14332.0 2008.10.15 -

Fortinet 3.113.0.0 2008.10.15 -

GData 19 2008.10.15 -

Ikarus T3.1.1.34.0 2008.10.15 -

K7AntiVirus 7.10.496 2008.10.15 -

Kaspersky 7.0.0.125 2008.10.15 -

McAfee 5405 2008.10.14 -

Microsoft 1.4005 2008.10.15 -

NOD32 3524 2008.10.15 -

Norman 5.80.02 2008.10.15 -

Panda 9.0.0.4 2008.10.15 -

PCTools 4.4.2.0 2008.10.15 -

Prevx1 V2 2008.10.15 -

Rising 20.66.22.00 2008.10.15 -

SecureWeb-Gateway 6.7.6 2008.10.15 -

Sophos 4.34.0 2008.10.15 -

Sunbelt 3.1.1725.1 2008.10.15 -

Symantec 10 2008.10.15 -

TheHacker 6.3.1.0.112 2008.10.15 -

TrendMicro 8.700.0.1004 2008.10.15 -

VBA32 3.12.8.6 2008.10.14 -

ViRobot 2008.10.15.1421 2008.10.15 -

VirusBuster 4.5.11.0 2008.10.15 -

 

rcruzija.exe

 

Antivirus Version Senaste Uppdatering Resultat

AhnLab-V3 2008.10.16.0 2008.10.15 -

AntiVir 7.9.0.4 2008.10.15 -

Authentium 5.1.0.4 2008.10.15 -

Avast 4.8.1248.0 2008.10.15 Win32:PureMorph

AVG 8.0.0.161 2008.10.15 -

BitDefender 7.2 2008.10.15 -

CAT-QuickHeal 9.50 2008.10.14 Win32.Trojan.Obfuscated.gx.3

ClamAV 0.93.1 2008.10.15 -

DrWeb 4.44.0.09170 2008.10.15 -

eSafe 7.0.17.0 2008.10.15 -

eTrust-Vet 31.6.6149 2008.10.15 -

Ewido 4.0 2008.10.15 -

F-Prot 4.4.4.56 2008.10.14 -

F-Secure 8.0.14332.0 2008.10.15 Trojan-Downloader.Win32.Obfuscated.dub

Fortinet 3.113.0.0 2008.10.15 W32/PolySmall.BP!tr

GData 19 2008.10.15 Win32:PureMorph

Ikarus T3.1.1.34.0 2008.10.15 Virus.Win32.PureMorph

K7AntiVirus 7.10.496 2008.10.15 -

Kaspersky 7.0.0.125 2008.10.15 Trojan-Downloader.Win32.Obfuscated.dub

McAfee 5405 2008.10.14 Generic.dx

Microsoft 1.4005 2008.10.15 Trojan:Win32/Busky.EH

NOD32 3524 2008.10.15 -

Norman 5.80.02 2008.10.15 -

Panda 9.0.0.4 2008.10.15 Generic Trojan

PCTools 4.4.2.0 2008.10.15 -

Prevx1 V2 2008.10.15 Fraudulent Security Program

Rising 20.66.22.00 2008.10.15 -

SecureWeb-Gateway 6.7.6 2008.10.15 -

Sophos 4.34.0 2008.10.15 -

Sunbelt 3.1.1725.1 2008.10.15 -

Symantec 10 2008.10.15 Packed.Generic.182

TheHacker 6.3.1.0.112 2008.10.15 -

TrendMicro 8.700.0.1004 2008.10.15 -

VBA32 3.12.8.6 2008.10.14 -

ViRobot 2008.10.15.1421 2008.10.15 -

VirusBuster 4.5.11.0 2008.10.15 -

[/log]

 

Link to comment
Share on other sites

Java är förstås inget brådskande.

 

Visar virustotal-sidan något för de tre andra filerna jag listade?

 

Link to comment
Share on other sites

Hej hallå. Ja, det är totalt fyra filer med data i "loggen" som jag klistrade in. Verkar som att ubcrwdix.exe är något skumt, de andra två verkar inte flagga upp några varningar.

 

Link to comment
Share on other sites

Förlåt, jag missade där.

 

Kopiera alla rader i rutan (använd markera kod)

File::
C:\WINDOWS\system32\ubcrwdix.exe
Folder::
C:\Documents and Settings\All Users\Application Data\dsxqtkje

och klistra in i Anteckningar.

Spara filen på Skrivbordet med namnet CFScript.

 

Förbered datorn på samma sätt som tidigare för ComboFix.

Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.

Klistra in loggen som kommer ut och en ny HijackThis-logg.

 

Link to comment
Share on other sites

Förbered datorn på samma sätt som tidigare för ComboFix.

Menar du typ droppa scriptfilen på combofix i felsäkert läge, eller borde jag dessutom installera Windows Återställningskonsol igen?

 

 

Link to comment
Share on other sites

Nä, du behöver inte installera återställningskonsolen igen utan antingen stänga av antivirusprogram etc eller köra i felsäkert.

 

Link to comment
Share on other sites

Sagt och gjort,

[log]

ComboFix 08-10-14.07 - tomas 2008-10-16 18:21:19.2 - NTFSx86 MINIMAL

Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1053.18.1257 [GMT 2:00]

Running from: C:\Documents and Settings\Tompa\Skrivbord\combofix.exe

Command switches used :: C:\Documents and Settings\Tompa\Skrivbord\CFScript

 

FILE ::

C:\WINDOWS\system32\ubcrwdix.exe

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\All Users\Application Data\dsxqtkje

C:\Documents and Settings\All Users\Application Data\dsxqtkje\rcruzija.exe

C:\WINDOWS\system32\ubcrwdix.exe

 

.

((((((((((((((((((((((((( Files Created from 2008-09-16 to 2008-10-16 )))))))))))))))))))))))))))))))

.

 

2008-10-14 19:03 . 2008-10-15 09:32 250 --a------ C:\WINDOWS\gmer.ini

2008-10-12 19:31 . 2008-10-12 19:54 <KAT> d-------- C:\SDFix

2008-10-12 10:45 . 2008-10-12 10:47 2 --a------ C:\-794234839

2008-10-06 20:33 . 2001-11-13 10:47 41,324 --a------ C:\WINDOWS\system32\winio.sys

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-10-12 12:20 --------- d-----w C:\Documents and Settings\Tompa\Application Data\Skype

2008-10-12 09:49 --------- d-----w C:\Program\Malwarebytes' Anti-Malware

2008-09-09 22:04 38,528 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2008-09-09 22:03 17,200 ----a-w C:\WINDOWS\system32\drivers\mbam.sys

2008-08-17 12:26 --------- d-----w C:\Documents and Settings\Tompa\Application Data\Malwarebytes

2008-08-17 12:25 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-07-18 20:10 94,920 ----a-w C:\WINDOWS\system32\cdm.dll

2008-07-18 20:10 53,448 ----a-w C:\WINDOWS\system32\wuauclt.exe

2008-07-18 20:10 45,768 ----a-w C:\WINDOWS\system32\wups2.dll

2008-07-18 20:10 36,552 ----a-w C:\WINDOWS\system32\wups.dll

2008-07-18 20:09 563,912 ----a-w C:\WINDOWS\system32\wuapi.dll

2008-07-18 20:09 325,832 ----a-w C:\WINDOWS\system32\wucltui.dll

2008-07-18 20:09 205,000 ----a-w C:\WINDOWS\system32\wuweb.dll

2008-07-18 20:09 1,811,656 ----a-w C:\WINDOWS\system32\wuaueng.dll

.

 

((((((((((((((((((((((((((((( snapshot@2008-10-15_15.12.21.57 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-10-15 13:07:18 67,894 ----a-w C:\WINDOWS\system32\perfc009.dat

+ 2008-10-16 16:20:09 67,560 ----a-w C:\WINDOWS\system32\perfc009.dat

- 2008-10-15 13:07:18 79,376 ----a-w C:\WINDOWS\system32\perfc01D.dat

+ 2008-10-16 16:20:09 78,970 ----a-w C:\WINDOWS\system32\perfc01D.dat

- 2008-10-15 13:07:18 433,190 ----a-w C:\WINDOWS\system32\perfh009.dat

+ 2008-10-16 16:20:09 432,856 ----a-w C:\WINDOWS\system32\perfh009.dat

- 2008-10-15 13:07:18 435,550 ----a-w C:\WINDOWS\system32\perfh01D.dat

+ 2008-10-16 16:20:09 434,980 ----a-w C:\WINDOWS\system32\perfh01D.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 15360]

"msnmsgr"="C:\Program\MSN Messenger\msnmsgr.exe" [2007-01-19 5674352]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPLpr"="C:\Program\Synaptics\SynTP\SynTPLpr.exe" [2005-02-14 98396]

"SynTPEnh"="C:\Program\Synaptics\SynTP\SynTPEnh.exe" [2005-02-14 667740]

"batterymiser"="C:\Program\LG Software\Battery Miser 2005\batterymiser.exe" [2005-06-28 335872]

"KeybdUtility"="C:\Program\LG Software\On Screen Display\Hotkey.exe" [2006-01-02 81920]

"RMan"="C:\Program\LG Software\RMan\RMan.exe" [2005-05-19 45056]

"IntelZeroConfig"="C:\Program\Intel\Wireless\bin\ZCfgSvc.exe" [2005-10-03 401408]

"IntelWireless"="C:\Program\Intel\Wireless\Bin\ifrmewrk.exe" [2005-10-03 385024]

"EOUApp"="C:\Program\Intel\Wireless\Bin\EOUWiz.exe" [2005-10-03 356352]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"AllowLegacyWebView"= 1 (0x1)

"AllowUnhashedWebView"= 1 (0x1)

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{26F5978F-6493-4ee3-B114-C0C3ACCF9D4D}"= "C:\WINDOWS\system32\bmpsap.dll" [2005-06-28 114688]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]

2005-10-03 22:59 110592 C:\Program\Intel\Wireless\Bin\LgNotify.dll

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8vdxx.sys]

@="Driver"

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Microsoft Office.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\Microsoft Office.lnk

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Personal.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\Personal.lnk

backup=C:\WINDOWS\pss\Personal.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^VPN Client.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\VPN Client.lnk

backup=C:\WINDOWS\pss\VPN Client.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA]

--a------ 2005-09-14 21:05 344064 C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

--a------ 2006-11-16 20:04 139264 C:\Program\Delade filer\Ahead\Lib\NMBgMonitor.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

--a------ 2007-08-16 13:24 167368 C:\Program\DAEMON Tools\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2006-01-12 16:40 155648 C:\Program\Delade filer\Ahead\Lib\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Net iD]

--a------ 2007-03-15 11:11 67112 C:\WINDOWS\system32\iid.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\pdfFactory Pro Dispatcher v2]

--a------ 2005-11-24 11:12 491520 C:\WINDOWS\system32\spool\drivers\w32x86\3\fppdis2a.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2008-02-22 04:25 144784 C:\Program\Java\jre1.6.0_05\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program\\Messenger\\msmsgs.exe"=

"C:\\Program\\BitComet\\BitComet.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Program\\HP SA3000 VPN\\VPN Client\\ICDESK.EXE"=

"C:\\Program\\MSN Messenger\\msnmsgr.exe"=

"C:\\Program\\MSN Messenger\\livecall.exe"=

"C:\\Program\\Robotics Academy\\ROBOTC for Mindstorms\\RobotC.exe"=

"C:\\Program\\Skype\\Phone\\Skype.exe"=

"C:\\WINDOWS\\system32\\winver.exe"=

 

S1 7c618160;7c618160;C:\WINDOWS\system32\drivers\7c618160.sys [ ]

S1 ICsrvr;VPN Client Protocol;C:\WINDOWS\system32\DRIVERS\ICsrvr.sys [2003-02-21 160627]

S1 ICtdi;VPN Client TDI Driver;C:\WINDOWS\system32\DRIVERS\ictdi.sys [2003-02-21 20705]

S2 ICService;HP SA3000 VPN Client;C:\Program\HP SA3000 VPN\VPN Client\icsrv.exe [2003-02-21 15360]

S3 cmudax;C-Media High Definition Audio Interface;C:\WINDOWS\system32\drivers\cmudax.sys [2005-05-12 1287296]

S3 FANTOM;LEGO MINDSTORMS NXT Driver;C:\WINDOWS\system32\DRIVERS\fantom.sys [2007-05-30 39424]

S3 ICvnic;VPN Client Virtual Adapter;C:\WINDOWS\system32\DRIVERS\ICvnic.sys [2003-02-21 6595]

S3 oneuport;MosChip 7703-USB2Serial Port;C:\WINDOWS\system32\DRIVERS\oneuport.sys [2005-02-11 851840]

S3 tap0901;TAP-Win32 Adapter V9;C:\WINDOWS\system32\DRIVERS\tap0901.sys [2007-04-26 25088]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d3e74be-d3b8-11dc-8234-0013ce5b6222}]

\Shell\AutoRun\command - G:\LaunchU3.exe -a

.

Contents of the 'Scheduled Tasks' folder

 

2008-10-10 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

- C:\Program\Apple Software Update\SoftwareUpdate.exe [2007-08-29 15:57]

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-16 18:27:25

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-10-16 18:33:33

ComboFix-quarantined-files.txt 2008-10-16 16:33:29

ComboFix2.txt 2008-10-15 13:12:46

ComboFix3.txt 2008-10-12 10:21:01

 

Pre-Run: 18 873 937 920 byte ledigt

Post-Run: 18,896,322,560 byte ledigt

 

148 --- E O F --- 2008-06-23 19:07:22

[/log]

[log]

Logfile of HijackThis v1.99.1

Scan saved at 18:56:34, on 2008-10-16

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16674)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Cisco Systems\VPN Client\cvpnd.exe

C:\Program\HP SA3000 VPN\VPN Client\icsrv.exe

C:\Program\Intel\Wireless\Bin\OProtSvc.exe

C:\Program\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\wscntfy.exe

C:\Program\Synaptics\SynTP\SynTPLpr.exe

C:\Program\Synaptics\SynTP\SynTPEnh.exe

C:\Program\LG Software\Battery Miser 2005\batterymiser.exe

C:\Program\LG Software\On Screen Display\Hotkey.exe

C:\Program\LG Software\RMan\RMan.exe

C:\Program\Intel\Wireless\Bin\ifrmewrk.exe

C:\Program\Intel\Wireless\Bin\EOUWiz.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Hijackthis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.schema.telge.kth.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

O4 - HKLM\..\Run: [synTPLpr] C:\Program\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [batterymiser] "C:\Program\LG Software\Battery Miser 2005\batterymiser.exe"

O4 - HKLM\..\Run: [KeybdUtility] "C:\Program\LG Software\On Screen Display\Hotkey.exe"

O4 - HKLM\..\Run: [RMan] C:\Program\LG Software\RMan\RMan.exe

O4 - HKLM\..\Run: [intelZeroConfig] C:\Program\Intel\Wireless\bin\ZCfgSvc.exe

O4 - HKLM\..\Run: [intelWireless] C:\Program\Intel\Wireless\Bin\ifrmewrk.exe /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [EOUApp] C:\Program\Intel\Wireless\Bin\EOUWiz.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program\MSN Messenger\msnmsgr.exe" /background

O20 - Winlogon Notify: IntelWireless - C:\Program\Intel\Wireless\Bin\LgNotify.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Cisco Systems, Inc. VPN Service (CVPND) - Cisco Systems, Inc. - C:\Program\Cisco Systems\VPN Client\cvpnd.exe

O23 - Service: HP SA3000 VPN Client (ICService) - Unknown owner - C:\Program\HP SA3000 VPN\VPN Client\icsrv.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: OpenVPN Service (OpenVPNService) - Unknown owner - C:\Program\OpenVPN\bin\openvpnserv.exe

O23 - Service: OwnershipProtocol - Intel Corporation - C:\Program\Intel\Wireless\Bin\OProtSvc.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program\Intel\Wireless\Bin\S24EvMon.exe

[/log]

Hur ser det ut nu?

 

 

Link to comment
Share on other sites

Jag ser inget skadligt i loggarna längre.

 

Det är en gammal Java-version med säkerhetshål i datorn. Jag rekommenderar dig att installera en ny från http://www.java.com/sv/ och därefter avinstallera alla Java/J2SE/JRE utom den senaste i Kontrollpanelen - Lägg till eller ta bort program (inga webbläsare igång).

 

Installera ett antivirusprogram och skanna igenom datorn med det, finns ju gratis från t ex Avast om du inte vill betala för något, utifall att det är några filer som är kvar någonstans.

 

(Varför har jag aktivitet för apple soft update?).
Kanske installerat Quicktime eller något annat från Apple?

 

Hur fungerar datorn?

 

Link to comment
Share on other sites

Datorn funkar bra. Hoppas bara inget annat skumt ligger dolt någonstans. Ska fixa grejerna som du påpekar. Kan du rekommendera något särskilt antivirus som inte kostar en massa stålar? Har inget installerat för jag tycker de bara ligger och slösar resurser. Å andra sidan borde jag veta bättre efter detta. Vilket har bäst "upptäckarfrekvens"?

Den skumma vita rektangeln i bakgrunden på skrivbordet som jag talade om i början - det verkade något slags öppen mapp med nåra obekanta filer. Mycket störande. Det visade sig möjlig att stänga denna mapp - det gjorde jag. Frågan är om man borde ta bort den, men i så fall kan jag inte hitta den nu. Vad tror du?

 

Link to comment
Share on other sites

Gratisversionerna av antivirusprogrammen är lite sämre än betalversionerna och jag vet inte vilket av Avast, AVG och Antivir som upptäcker mest i praktiken.

 

Kan du få fram i vilken mapp den "öppna mappen" ligger, dess sökväg? Vad är det för filer i den?

 

Link to comment
Share on other sites

  • 1 year later...

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...