Just nu i M3-nätverket
Gå till innehåll

Skum process.


Dzemo

Rekommendera Poster

Hejsan

Jag har undra dagarna märkt att processen iexplorer är igång hela tiden på min dator, självklart skulle det inte vara något konstigt med det om jag använde Internet explorer, vilket jag inte gör. Jag stänger av processen men den kommer tillbaka igen efter en stund, så nu börjar jag undra om det är något spyware/virus eller vad det nu kan vara.

 

Bifogar även en hijackthis logg om någon känner för att gå igenom den:

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:07:31, on 2008-11-24

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Windows\RtHDVCpl.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Internet Explorer\IEXPLORE.EXE

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program Files\Last.fm\LastFM.exe

C:\Windows\system32\conime.exe

D:\wamp\wampmanager.exe

C:\Program Files\DAEMON Tools Lite\daemon.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Länkhjälp till Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Gears Helper - {E0FEFE40-FBF9-42AE-BA58-794CA7E3FB53} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.0\gears.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKLM\..\Policies\Explorer\Run: [ati2sgav] "C:\Windows\system32\ati2sgav.exe"

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NÄTVERKSTJÄNST')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll

O9 - Extra button: (no name) - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.0\gears.dll

O9 - Extra 'Tools' menuitem: &Inställningar i Gears - {09C04DA7-5B76-4EBC-BBEE-B25EAC5965F5} - C:\Program Files\Google\Google Gears\Internet Explorer\0.5.4.0\gears.dll

O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

O13 - Gopher Prefix:

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/OnlineScanner.cab

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: wampapache - Apache Software Foundation - d:\wamp\bin\apache\apache2.2.8\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - d:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe

 

--

End of file - 5516 bytes

[/log]

 

Tackar så mycket för snabbt svar :)

 

[inlägget ändrat 2008-11-24 15:08:23 av Dzemo]

Länk till kommentar
Dela på andra webbplatser

Surfa till http://www.virustotal.com klistra in följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här.

C:\Windows\system32\ati2sgav.exe

 

Högerklicka på HijackThis och välj Kör som administratör. Skanna igen och klistra in den nya loggen.

 

Länk till kommentar
Dela på andra webbplatser

Virustotal varnade för "Suspicious File" på "eSafe" och för "Worm.AutoIt.s" på PCTools, men mitt kaspersky säger ingenting och inte heller kaspersky på virustotalt. vilket ska man lita på egentligen?

 

Virustotalt information:

[log]

Antivirus Version Senaste Uppdatering Resultat

AhnLab-V3 2008.11.24.3 2008.11.24 -

AntiVir 7.9.0.35 2008.11.24 -

Authentium 5.1.0.4 2008.11.24 -

Avast 4.8.1281.0 2008.11.23 -

AVG 8.0.0.199 2008.11.24 -

BitDefender 7.2 2008.11.24 -

CAT-QuickHeal 10.00 2008.11.24 -

ClamAV 0.94.1 2008.11.24 -

DrWeb 4.44.0.09170 2008.11.24 -

eSafe 7.0.17.0 2008.11.24 Suspicious File

eTrust-Vet 31.6.6225 2008.11.24 -

Ewido 4.0 2008.11.24 -

F-Prot 4.4.4.56 2008.11.24 -

F-Secure 8.0.14332.0 2008.11.24 -

Fortinet 3.117.0.0 2008.11.24 -

GData 19 2008.11.24 -

Ikarus T3.1.1.45.0 2008.11.24 -

K7AntiVirus 7.10.532 2008.11.24 -

Kaspersky 7.0.0.125 2008.11.24 -

McAfee 5443 2008.11.23 -

McAfee+Artemis 5443 2008.11.23 -

Microsoft 1.4104 2008.11.24 -

NOD32 3636 2008.11.24 -

Norman 5.80.02 2008.11.22 -

Panda 9.0.0.4 2008.11.24 -

PCTools 4.4.2.0 2008.11.24 Worm.AutoIt.s

Prevx1 V2 2008.11.24 -

Rising 21.05.02.00 2008.11.24 -

SecureWeb-Gateway 6.7.6 2008.11.24 -

Sophos 4.35.0 2008.11.24 -

Sunbelt 3.1.1823.2 2008.11.22 -

Symantec 10 2008.11.24 -

TheHacker 6.3.1.1.161 2008.11.24 -

TrendMicro 8.700.0.1004 2008.11.24 -

VBA32 3.12.8.9 2008.11.23 -

ViRobot 2008.11.24.1483 2008.11.24 -

VirusBuster 4.5.11.0 2008.11.24 -

[/log]

 

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:38:22, on 2008-11-24

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

C:\Windows\RtHDVCpl.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\ehome\ehmsas.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Länkhjälp till Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [AVP] "C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe"

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKLM\..\Policies\Explorer\Run: [ati2sgav] "C:\Windows\system32\ati2sgav.exe"

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NÄTVERKSTJÄNST')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\PROGRA~1\Java\JRE16~2.0_0\bin\ssv.dll

O9 - Extra button: Web Anti-Virus statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\SCIEPlgn.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

O10 - Unknown file in Winsock LSP: c:\windows\system32\wpclsp.dll

O13 - Gopher Prefix:

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/OnlineScanner.cab

O20 - AppInit_DLLs: C:\PROGRA~1\KASPER~1\KASPER~1.0\r3hook.dll,C:\PROGRA~1\KASPER~1\KASPER~1.0\adialhk.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Kaspersky Internet Security 7.0 (AVP) - Kaspersky Lab - C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 7.0\avp.exe

O23 - Service: wampapache - Apache Software Foundation - d:\wamp\bin\apache\apache2.2.8\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - d:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe

 

--

End of file - 4654 bytes

[/log]

 

Tack för hjälpen Cecilia.

[inlägget ändrat 2008-11-24 17:39:54 av Dzemo]

Länk till kommentar
Dela på andra webbplatser

Det är i alla fall ingen vanlig fil. Ladda upp filen på http://www.skickafilen.se/ fyll i min e-postadress som du ser när du trycker på Anv.info nedan så kan jag ladda ner filen för ytterligare kontroll och skicka den vidare till antivirusföretagen.

 

Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Du bör installera Windows Återställningskonsol eftersom det gör det möjligt att starta datorn i ett särskild återställningsläge vilket kan vara bra om något händer med datorn under de kommande rensningarna.

 

[log]Alternativ 1: Du har en CD med Windows XP

Stoppa in CDn

Start - Kör

Skriv in

x:\i386\winnt32.exe /cmdcons

där du byter ut x mot den bokstav som CDn har.

Tryck på OK

Svara Ja på frågan om du vill installera återställningskonsolen.

Programmet kommer att kontakta Microsoft för att få de senaste filerna.

Tryck på OK när det är klart.

 

För att inte Återställningskonsolen ska fråga efter ett lösenord så gör på följande sätt:

Start - Kör

regedit

Leta upp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Setup\RecoveryConsole i vänsterkolumnen.

Ändra värdet på SecurityLevel till 1

Stäng regedit

Starta om datorn.[/log]

 

[log]Alternativ 2: Du har inte en CD med Windows XP

Surfa till http://support.microsoft.com/kb/310994

se till att språket på sidan matchar språket i Windows (språk väljs i högerkolumnen) om du inte har XP Media Center Edition för då ska du ha engelska.

 

Skrolla ner till rubriken Hämta programfilen för installationsdisketterna

Välj rätt nedladdning utifrån vilken Service Pack du har installerat till XP. Om du har SP3 så välj SP2.

Om du har XP Media Center Edition så välj XP Professional.

Spara den nedladdade filen på Skrivbordet.

 

När nedladdningen är klar så drar du den nedladdade filen med musen över Skrivbordet och släpper den på ComboFix-ikonen.

ComboFix kommer då att installera Återställningskonsolen.

När det är klart så kommer ComboFix att fråga om du vill fortsätta med att skanna, där väljer du No/Nej.[/log]

 

[log]Dra ur internetanslutningen och stäng av alla program du ser inklusive antivirusprogram, antispionprogram och brandvägg, alternativt starta om datorn i felsäkert läge.

Kör ComboFix och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram och brandvägg är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.[/log]

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

 

Länk till kommentar
Dela på andra webbplatser

Har försökt skicka filen till dig 3 gånger nu men varje gång så kommer det ogiltig adress, så jag skickar en länk istället till din mail, från min mail alltså.

 

Jag glömde visst nämna att jag kör Vista, trodde att du såg detta i Hijackthis loggen, my bad. hur ska jag göra med återställningskonsolen om jag kör vista?

 

Ska starta Combofix nu direkt.

 

Länk till kommentar
Dela på andra webbplatser

Tack för filen.

 

Visst ser jag det i HijackThis-loggen, jag bara glömde bort det just då. Kan du kolla om du har åtkomst till en återställningskonsol i menyn som kommer upp när du trycker F8 upprepade gånger under uppstarten?

 

Länk till kommentar
Dela på andra webbplatser

Inga problem, tack själv för hjälpen.

 

ComboFix log:

[log]

ComboFix 08-11-23.02 - Dzemo 2008-11-24 18:37:36.1 - NTFSx86 MINIMAL

Microsoft® Windows Vista™ Home Premium 6.0.6001.1.1252.1.1053.18.2638 [GMT 1:00]

Running from: c:\users\Dzemo.Dzemo-dator\Desktop\ComboFix.exe

.

 

((((((((((((((((((((((((( Files Created from 2008-10-24 to 2008-11-24 )))))))))))))))))))))))))))))))

.

 

2008-11-24 15:12 . 2008-11-24 15:12 <KAT> d-------- c:\users\All Users\Google

2008-11-24 15:07 . 2008-11-24 15:07 <KAT> d-------- c:\program files\Trend Micro

2008-11-22 00:22 . 2008-11-22 00:22 <KAT> d-------- c:\program files\Malwarebytes' Anti-Malware

2008-11-22 00:22 . 2008-10-22 16:10 38,496 --a------ c:\windows\System32\drivers\mbamswissarmy.sys

2008-11-22 00:22 . 2008-10-22 16:10 15,504 --a------ c:\windows\System32\drivers\mbam.sys

2008-11-21 13:41 . 2008-11-21 13:41 <KAT> d-------- c:\users\All Users\Last.fm

2008-11-21 13:41 . 2008-11-21 13:41 <KAT> d-------- c:\programdata\Last.fm

2008-11-21 13:41 . 2008-11-21 13:41 <KAT> d-------- c:\program files\Last.fm

2008-11-20 22:45 . 2008-10-16 22:13 1,809,944 --a------ c:\windows\System32\wuaueng.dll

2008-11-20 22:45 . 2008-10-16 21:56 1,524,736 --a------ c:\windows\System32\wucltux.dll

2008-11-20 22:45 . 2008-10-16 22:12 561,688 --a------ c:\windows\System32\wuapi.dll

2008-11-20 22:45 . 2008-10-16 14:08 162,064 --a------ c:\windows\System32\wuwebv.dll

2008-11-20 22:45 . 2008-10-16 21:55 83,456 --a------ c:\windows\System32\wudriver.dll

2008-11-20 22:45 . 2008-10-16 22:09 51,224 --a------ c:\windows\System32\wuauclt.exe

2008-11-20 22:45 . 2008-10-16 22:09 43,544 --a------ c:\windows\System32\wups2.dll

2008-11-20 22:45 . 2008-10-16 22:08 34,328 --a------ c:\windows\System32\wups.dll

2008-11-20 22:45 . 2008-10-16 13:56 31,232 --a------ c:\windows\System32\wuapp.exe

2008-11-19 17:28 . 2006-11-02 11:23 <KAT> dr------- c:\users\Mcx1\Videos

2008-11-19 17:28 . 2006-11-02 11:23 <KAT> d-------- c:\users\Mcx1\Saved Games

2008-11-19 17:28 . 2006-11-02 11:23 <KAT> dr------- c:\users\Mcx1\Pictures

2008-11-19 17:28 . 2006-11-02 11:23 <KAT> dr------- c:\users\Mcx1\Music

2008-11-19 17:28 . 2006-11-02 11:23 <KAT> dr------- c:\users\Mcx1\Links

2008-11-19 17:28 . 2006-11-02 11:23 <KAT> dr------- c:\users\Mcx1\Downloads

2008-11-19 17:28 . 2008-11-19 17:28 <KAT> dr------- c:\users\Mcx1\Documents

2008-11-19 17:28 . 2008-11-19 17:28 <KAT> d--h----- c:\users\Mcx1\AppData

2008-11-19 17:28 . 2008-11-19 17:28 <KAT> d-------- c:\users\Mcx1

2008-11-18 11:41 . 2008-11-24 18:02 69 --a------ c:\windows\NeroDigital.ini

2008-11-18 10:24 . 2008-11-18 10:24 <KAT> d-------- c:\program files\Nero

2008-11-18 10:24 . 2008-11-18 10:25 <KAT> d-------- c:\program files\Common Files\Nero

2008-11-16 17:54 . 2008-11-16 17:54 <KAT> d-------- c:\users\Dzemo.Dzemo-dator\AppData\Roaming\Locktime

2008-11-16 17:54 . 2008-11-16 17:54 <KAT> d-------- c:\users\All Users\Locktime

2008-11-16 17:54 . 2008-11-16 17:54 <KAT> d-------- c:\programdata\Locktime

2008-11-16 16:39 . 2008-11-16 16:39 <KAT> d-------- c:\users\Dzemo.Dzemo-dator\AppData\Roaming\Ventrilo

2008-11-16 16:38 . 2008-11-16 16:40 <KAT> d-------- c:\program files\VentSrv

2008-11-16 16:38 . 2008-11-16 16:38 <KAT> d-------- c:\program files\Ventrilo

2008-11-16 16:38 . 2008-11-16 16:38 262 --a------ c:\windows\{789289CA-F73A-4A16-A331-54D498CE069F}_WiseFW.ini

2008-11-13 14:33 . 2008-11-13 18:04 <KAT> d-------- c:\users\Dzemo.Dzemo-dator\Contacts

2008-11-13 14:29 . 2008-11-17 17:35 <KAT> d-------- c:\program files\Steam

2008-11-13 14:29 . 2008-11-17 17:35 <KAT> d-------- c:\program files\Common Files\Steam

2008-11-13 14:23 . 2008-09-10 04:40 1,334,272 --a------ c:\windows\System32\msxml6.dll

2008-11-13 14:23 . 2008-09-05 06:14 1,191,936 --a------ c:\windows\System32\msxml3.dll

2008-11-13 14:23 . 2008-08-27 02:05 212,480 --a------ c:\windows\System32\drivers\mrxsmb10.sys

2008-11-13 14:22 . 2008-11-24 18:11 <KAT> d-------- c:\users\Dzemo.Dzemo-dator\AppData\Roaming\uTorrent

2008-11-13 14:22 . 2008-11-22 00:40 <KAT> d-------- c:\program files\uTorrent

2008-11-06 13:55 . 2008-10-23 22:39 96,016 --a------ c:\windows\System32\drivers\VBoxDrv.sys

2008-11-06 13:55 . 2008-10-23 22:39 41,744 --a------ c:\windows\System32\drivers\VBoxUSBMon.sys

2008-11-02 12:28 . 2008-10-27 20:10 239,863 --a------ c:\windows\System32\ati2sgav.exe

2008-10-31 05:12 . 2008-08-05 10:49 428,544 --a------ c:\windows\System32\EncDec.dll

2008-10-31 05:12 . 2008-08-05 10:49 293,376 --a------ c:\windows\System32\psisdecd.dll

2008-10-31 05:12 . 2008-08-05 10:48 217,088 --a------ c:\windows\System32\psisrndr.ax

2008-10-31 05:12 . 2008-08-05 10:48 177,664 --a------ c:\windows\System32\mpg2splt.ax

2008-10-31 05:12 . 2008-08-05 10:48 80,896 --a------ c:\windows\System32\MSNP.ax

2008-10-31 02:50 . 2008-10-31 02:50 <KAT> d-------- c:\program files\Common Files\Adobe AIR

2008-10-29 11:36 . 2008-08-12 04:39 443,392 --a------ c:\windows\System32\win32spl.dll

2008-10-29 11:36 . 2008-09-18 05:56 147,456 --a------ c:\windows\System32\Faultrep.dll

2008-10-29 11:36 . 2008-09-18 05:56 125,952 --a------ c:\windows\System32\wersvc.dll

2008-10-28 21:54 . 2008-11-06 14:29 <KAT> d-------- c:\program files\Common Files\DVDVideoSoft

2008-10-28 21:54 . 2002-01-05 15:37 344,064 --a------ c:\windows\System32\msvcr70.dll

2008-10-27 23:24 . 2008-10-27 23:24 <KAT> d-------- c:\users\All Users\Office Genuine Advantage

2008-10-27 23:24 . 2008-10-27 23:24 <KAT> d-------- c:\programdata\Office Genuine Advantage

2008-10-27 16:52 . 2008-10-27 16:52 <KAT> d-------- c:\users\All Users\Nokia

2008-10-27 16:52 . 2008-10-27 16:52 <KAT> d-------- c:\programdata\Nokia

2008-10-27 16:51 . 2008-10-27 16:51 0 --ah----- c:\windows\System32\drivers\Msft_User_PCCSWpdDriver_01_05_00.Wdf

2008-10-27 16:51 . 2008-10-27 16:51 0 --ah----- c:\windows\System32\drivers\Msft_Kernel_ccdcmb_01005.Wdf

2008-10-27 16:50 . 2008-10-27 16:52 <KAT> d-------- c:\users\Dzemo.Dzemo-dator\AppData\Roaming\PC Suite

2008-10-27 16:50 . 2008-11-02 11:02 <KAT> d-------- c:\users\Dzemo.Dzemo-dator\AppData\Roaming\Nokia

2008-10-27 16:50 . 2008-10-27 16:51 <KAT> d-------- c:\users\All Users\PC Suite

2008-10-27 16:50 . 2008-10-27 16:51 <KAT> d-------- c:\programdata\PC Suite

2008-10-27 16:49 . 2008-10-27 16:49 <KAT> d-------- c:\program files\DIFX

2008-10-27 16:49 . 2008-10-27 16:49 <KAT> d-------- c:\program files\Common Files\PCSuite

2008-10-27 16:49 . 2007-09-17 15:53 21,632 --a------ c:\windows\System32\drivers\pccsmcfd.sys

2008-10-27 16:48 . 2008-11-06 14:28 <KAT> d----c--- c:\windows\System32\DRVSTORE

2008-10-27 16:48 . 2008-10-27 16:48 <KAT> d-------- c:\program files\PC Connectivity Solution

2008-10-27 16:41 . 2008-10-27 16:49 <KAT> d-------- c:\program files\Nokia

2008-10-27 16:41 . 2008-10-27 16:49 <KAT> d-------- c:\program files\Common Files\Nokia

2008-10-27 16:41 . 2008-05-07 07:38 90,624 --a------ c:\windows\System32\nmwcdcls.dll

2008-10-27 16:40 . 2008-10-27 16:47 <KAT> d-------- c:\users\All Users\Installations

2008-10-27 16:40 . 2008-10-27 16:47 <KAT> d-------- c:\programdata\Installations

2008-10-26 22:06 . 2008-10-26 22:34 <KAT> d-------- c:\users\Dzemo.Dzemo-dator\AppData\Roaming\mIRC

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-24 17:24 39,691,040 --sha-w c:\windows\system32\drivers\fidbox.dat

2008-11-24 14:41 --------- d-----w c:\programdata\Kaspersky Lab

2008-11-24 14:24 541,472 --sha-w c:\windows\system32\drivers\fidbox.idx

2008-11-24 14:12 --------- d-----w c:\program files\Google

2008-11-24 14:11 --------- d-----w c:\program files\Java

2008-11-24 12:54 --------- d-----w c:\users\Dzemo.Dzemo-dator\AppData\Roaming\dvdcss

2008-11-22 01:15 --------- d-----w c:\program files\RevConnect

2008-11-22 00:09 --------- d-----w c:\program files\Common Files\Adobe

2008-11-18 09:24 --------- d-----w c:\programdata\Nero

2008-11-16 15:38 --------- d-----w c:\program files\Common Files\Wise Installation Wizard

2008-11-13 15:57 --------- d-----w c:\programdata\Microsoft Help

2008-11-13 14:14 --------- d-----w c:\program files\coolpro2

2008-10-22 20:52 --------- d-----w c:\program files\EsetOnlineScanner

2008-10-21 22:28 --------- d--h--w c:\program files\InstallShield Installation Information

2008-10-21 22:19 --------- d-----w c:\users\Dzemo.Dzemo-dator\AppData\Roaming\Radmin

2008-10-21 21:34 --------- d-----w c:\users\Dzemo.Dzemo-dator\AppData\Roaming\SUPERAntiSpyware.com

2008-10-16 18:07 --------- d-----w c:\program files\Common Files\Blizzard Entertainment

2008-10-16 17:49 --------- d-----w c:\programdata\Blizzard

2008-10-16 08:39 --------- d-----w c:\program files\Windows Mail

2008-10-14 11:53 --------- d-----w c:\users\Dzemo.Dzemo-dator\AppData\Roaming\Malwarebytes

2008-10-14 11:53 --------- d-----w c:\programdata\Malwarebytes

2008-10-13 22:45 --------- d-----w c:\users\Dzemo.Dzemo-dator\AppData\Roaming\OpenOffice.org

2008-10-13 22:45 --------- d-----w c:\users\Dzemo.Dzemo-dator\AppData\Roaming\Nero

2008-10-08 16:57 --------- d-----w c:\program files\Trafikskolan TEO 2008

2008-10-05 15:53 --------- d-----w c:\programdata\Electronic Arts

2008-10-05 15:53 --------- d-----w c:\program files\Common Files\InstallShield

2008-10-04 11:06 --------- d-----w c:\users\Dzemo.Dzemo-dator\AppData\Roaming\Ashampoo

2008-10-04 11:06 --------- d-----w c:\programdata\ashampoo

2008-10-02 03:49 827,392 ----a-w c:\windows\System32\wininet.dll

2008-10-01 12:57 --------- d-----w c:\users\Dzemo.Dzemo-dator\AppData\Roaming\Leadertech

2008-10-01 09:13 0 ---ha-w c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_00_00.Wdf

2008-09-30 15:43 1,286,152 ----a-w c:\windows\System32\msxml4.dll

2008-09-30 14:12 --------- d-----w c:\program files\MSN Messenger

2008-09-29 22:10 107,888 ----a-w c:\windows\System32\CmdLineExt.dll

2008-09-29 22:10 --------- d--h--r c:\users\Dzemo.Dzemo-dator\AppData\Roaming\SecuROM

2008-09-29 22:01 --------- d-----w c:\users\Dzemo.Dzemo-dator\AppData\Roaming\gnupg

2008-09-29 20:41 --------- d-----w c:\users\Dzemo.Dzemo-dator\AppData\Roaming\Syntrillium

2008-09-29 15:22 --------- d-----w c:\users\Dzemo.Dzemo-dator\AppData\Roaming\DAEMON Tools

2008-09-29 14:00 --------- d-----w c:\users\Dzemo.Dzemo-dator\AppData\Roaming\vlc

2008-09-29 12:43 --------- d-----w c:\program files\Microsoft

2008-09-29 12:33 --------- d-----w c:\program files\Common Files\Windows Live

2008-09-29 12:27 0 ---ha-w c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf

2008-09-29 12:07 96,976 ----a-w c:\windows\system32\drivers\klin.dat

2008-09-29 12:07 87,855 ----a-w c:\windows\system32\drivers\klick.dat

2008-09-29 12:07 112,144 ----a-w c:\windows\system32\drivers\kl1.sys

2008-09-18 05:09 3,601,464 ----a-w c:\windows\System32\ntkrnlpa.exe

2008-09-18 05:09 3,549,240 ----a-w c:\windows\System32\ntoskrnl.exe

2008-09-18 02:16 2,032,640 ----a-w c:\windows\System32\win32k.sys

2008-04-15 21:24 174 --sha-w c:\program files\desktop.ini

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-18 125952]

"WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-18 202240]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RtHDVCpl"="RtHDVCpl.exe" [2008-03-26 c:\windows\RtHDVCpl.exe]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce]

"GrpConv"="grpconv -o" [X]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]

"ati2sgav"="c:\windows\system32\ati2sgav.exe" [2008-10-27 239863]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableLUA"= 0 (0x0)

"EnableUIADesktopToggle"= 0 (0x0)

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2006-12-20 77824]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2007-04-19 11:41 294912 c:\program files\SUPERAntiSpyware\SASWINLO.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\progra~1\KASPER~1\KASPER~1.0\r3hook.dll,c:\progra~1\KASPER~1\KASPER~1.0\adialhk.dll

 

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^EA_RESTART_001.lnk]

path=c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\EA_RESTART_001.lnk

backup=c:\windows\pss\EA_RESTART_001.lnk.CommonStartup

backupExtension=.CommonStartup

 

[HKLM\~\startupfolder\C:^Users^Dzemo^AppData^Roaming^Microsoft^Windows^Start Menu^Programs^Startup^Last.fm Helper.lnk]

path=c:\users\Dzemo\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Last.fm Helper.lnk

backup=c:\windows\pss\Last.fm Helper.lnk.Startup

backupExtension=.Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-01-11 21:16 39792 c:\program files\Adobe\Reader 8.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeCS4ServiceManager]

--a------ 2008-08-14 07:58 611712 c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2007-03-01 15:57 153136 c:\program files\Common Files\Nero\Lib\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Nokia.PCSync]

--a------ 2008-06-17 16:00 1249280 c:\program files\Nokia\Nokia PC Suite 7\PcSync2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PC Suite Tray]

--a------ 2008-08-11 08:31 1124352 c:\program files\Nokia\Nokia PC Suite 7\PCSuite.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\StartCCC]

--a------ 2006-11-10 11:35 90112 c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

--a------ 2008-11-13 14:32 1410296 c:\program files\Steam\Steam.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2008-06-10 03:27 144784 c:\program files\Java\jre1.6.0_07\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skytel]

--a------ 2007-11-20 17:15 1826816 c:\windows\SkyTel.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\KasperskyAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3352297023-2005932388-1196360599-1000]

"EnableNotificationsRef"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3352297023-2005932388-1196360599-1002]

"EnableNotificationsRef"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc\S-1-5-21-3352297023-2005932388-1196360599-1004]

"EnableNotificationsRef"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\DomainProfile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]

"{F125E5B5-B58A-431C-9310-4F9975A4B9A1}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent

"{E9181148-CBAE-47C7-A99B-E26B73A46513}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent

"{A7F1870C-1EF3-4943-BDDC-4ECC0432AC6C}"= UDP:d:\program\THQ\Frontlines-Fuel of War\Binaries\FFOW.exe:Frontlines Game

"{8EBA00FE-CC76-4DC4-8DA1-2D5226B7F239}"= TCP:d:\program\THQ\Frontlines-Fuel of War\Binaries\FFOW.exe:Frontlines Game

"{1A9C14AA-DC55-41D1-A890-A20A619F35AA}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent

"{023CD270-7CD4-466B-BEBB-B70BD1026A04}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent

"{6D75302F-337E-4260-B938-D7EB98D4C926}"= UDP:c:\program files\Orb Networks\Orb\bin\Orb.exe:Orb

"{81FEFDF2-4F22-4DD6-8D21-6FBBAEA85330}"= TCP:c:\program files\Orb Networks\Orb\bin\Orb.exe:Orb

"{FC8D5627-93AE-43B5-8526-8B8A0B4A8DE2}"= UDP:c:\program files\Orb Networks\Orb\bin\OrbTray.exe:OrbTray

"{4A647B02-4040-44F0-96CF-A8F2DB26DF80}"= TCP:c:\program files\Orb Networks\Orb\bin\OrbTray.exe:OrbTray

"{43195E6A-0215-44F7-9A41-9BCE4F7FAE7C}"= UDP:c:\program files\Orb Networks\Orb\bin\OrbIR.exe:OrbIR

"{93A56338-41CA-4E54-8D2E-3C4420F72B75}"= TCP:c:\program files\Orb Networks\Orb\bin\OrbIR.exe:OrbIR

"{A04378FD-A8DC-44E4-A040-8A8F014C28D6}"= UDP:c:\program files\Orb Networks\Orb\bin\OrbStreamerClient.exe:Orb Stream Client

"{9BE941E7-DF3C-40F2-9547-5C7D264951AF}"= TCP:c:\program files\Orb Networks\Orb\bin\OrbStreamerClient.exe:Orb Stream Client

"{9041BADB-746A-4F6B-89DC-E6398BADCBA2}"= UDP:c:\program files\Orb Networks\Orb\bin\OrbChannelScan.exe:OrbChannelScan

"{C53C052D-9BB9-4581-8907-D6DE5070C504}"= TCP:c:\program files\Orb Networks\Orb\bin\OrbChannelScan.exe:OrbChannelScan

"{098205E3-4C37-4062-889E-7924CC332199}"= c:\program files\MSN Messenger\livecall.exe:Windows Live Messenger 8.1 (Phone)

"{395C3E0B-4ABB-4A00-A5C4-406903D7EC3D}"= UDP:5353:Adobe CSI CS4

"{619BCA1B-16EC-4D5F-978B-D5A9EA9B40F2}"= UDP:c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe:Adobe CSI CS4

"{007D92FC-0C8B-43D9-8299-CD00A70DDF66}"= TCP:c:\program files\Common Files\Adobe\CS4ServiceManager\CS4ServiceManager.exe:Adobe CSI CS4

"{D8DED762-53D6-44B8-A386-7CBE8F9EDB5E}"= UDP:c:\program files\uTorrent\uTorrent.exe:µTorrent (TCP-In)

"{901C5926-19C8-44A3-B6BC-8F4CBC386418}"= TCP:c:\program files\uTorrent\uTorrent.exe:µTorrent (UDP-In)

"{DC3F876D-9AB8-4EE1-93FD-349F7091F192}"= UDP:c:\program files\Ventrilo\Ventrilo.exe:Ventrilo.exe

"{0481DE9A-767C-4ACB-8B27-ACA865BBBC0D}"= TCP:c:\program files\Ventrilo\Ventrilo.exe:Ventrilo.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\PublicProfile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]

"EnableFirewall"= 0 (0x0)

 

R0 AtiPcie;ATI PCI Express (3GIO) Filter;c:\windows\system32\DRIVERS\AtiPcie.sys [2006-10-30 7680]

S1 KLIM6;Kaspersky Anti-Virus NDIS 6 Filter;c:\windows\system32\DRIVERS\klim6.sys [2007-04-04 20760]

S3 atikmdag;atikmdag;c:\windows\system32\DRIVERS\atikmdag.sys [2008-01-22 3482112]

S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2008-02-01 138112]

S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2008-02-01 8320]

S3 UMPass;Microsoft UMPass-drivrutin;c:\windows\system32\DRIVERS\umpass.sys [2008-04-15 7680]

S3 wampapache;wampapache;"d:\wamp\bin\apache\apache2.2.8\bin\httpd.exe" -k runservice [2008-10-04 24635]

S3 wampmysqld;wampmysqld;d:\wamp\bin\mysql\mysql5.0.51b\bin\mysqld-nt.exe wampmysqld []

S3 XG762_VS;ZyXEL 802.11g XG762 1211 Vista Driver;c:\windows\system32\DRIVERS\WlanGZG.sys [2008-10-04 873472]

S4 Steam Client Service;Steam Client Service;c:\program files\Common Files\Steam\SteamService.exe /RunAsService [2008-11-13 99576]

 

*Newly Created Service* - CATCHME

*Newly Created Service* - ECACHE

.

- - - - ORPHANS REMOVED - - - -

 

HKLM-RunOnce-<NO NAME> - (no file)

MSConfigStartUp-BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA} - c:\program files\Common Files\Nero\Lib\NMBgMonitor.exe

MSConfigStartUp-msnmsgr - c:\program files\Windows Live\Messenger\msnmsgr.exe

 

 

.

------- Supplementary Scan -------

.

FireFox -: Profile - c:\users\Dzemo.Dzemo-dator\AppData\Roaming\Mozilla\Firefox\Profiles\8zxfhdbf.defaultFireFox -: prefs.js - STARTUP.HOMEPAGE - www.google.se

FF -: plugin - c:\program files\Mozilla Firefox\plugins\npOGAPlugin.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-24 18:39:49

Windows 6.0.6001 Service Pack 1 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-11-24 18:40:29

ComboFix-quarantined-files.txt 2008-11-24 17:40:27

 

Pre-Run: 53,027,966,976 byte ledigt

Post-Run: 52,726,939,648 byte ledigt

 

265 --- E O F --- 2008-11-21 01:14:18

[/log]

 

Länk till kommentar
Dela på andra webbplatser

Det jag har fått fram med filen är att den startar Internet Explorer för att visa sidan http://tvchart.ath.cx/

Har du installerat något som kan tänkas ha samband med det?

2008-11-02 12:28 . 2008-10-27 20:10 239,863 --a------ c:\windows\System32\ati2sgav.exe

Ganska länge sedan med andra ord.

 

Vet du något om Locktime?

2008-11-16 17:54 . 2008-11-16 17:54 <KAT> d-------- c:\users\Dzemo.Dzemo-dator\AppData\Roaming\Locktime

2008-11-16 17:54 . 2008-11-16 17:54 <KAT> d-------- c:\users\All Users\Locktime

2008-11-16 17:54 . 2008-11-16 17:54 <KAT> d-------- c:\programdata\Locktime

 

Kolla om det finns någon fil som heter c.exe i mappen C:\Program\Internet Explorer?

 

Länk till kommentar
Dela på andra webbplatser

Inte som jag kan komma på direkt, jag tycker att filen ati2sgav låter som en fil till mitt grafikkort, ATI Radeon 2400 Pro. Jag har faktiskt ändrat namnet på den filen till _ati2sgav.exe och datorn har inte varit konstig mer men jag e lite orolig över att ta bort den. Men eftersom jag har bytt namn och inget har sagt ifrån ännu (spelade spel nyss) så antar jag att det är fritt fram att radera den, eller?

 

Nepp, locktime känner jag inte igen. Och nej i internet explorer mappen så finns det inget som heter c.exe. Följande filer/mappar finns i C:\Program\Internet Explorer\:

[log]en-US

SIGNUP

sv-SE

hmmapi.dll

iedw.exe

ieinstal.exe (verkar lite skum, install ska det väl vara?)

iessetup.ceb

iessetup.dll

ieuser.exe

iexplorer.exe

sqmapi.dll[/log]

 

Tackar återigen för hjälpen, uppskattas verkligen!

 

Länk till kommentar
Dela på andra webbplatser

Visst låter det som något till grafikkortet men det är det inte. Jag har sett loggar från många datorer med ATI-grafikkort utan att de har haft denna rad, det är dessutom en mycket onormalt ställe att lägga in en automatisk start på, ungefär som att man försöker dölja det.

 

Det är precis samma filer som jag har i mappen för Internet Explorer. Av historiska skäl (DOS) så vill man gärna hålla nere antalet tecken i filnamn till 8 stycken före punkten (apropå ieinstal.exe).

 

Vad finns det för filer i Locktime-mapparna?

De är från förra söndagen om du kommer ihåg vad du gjorde då. En timme efter Ventrilo-installation.

 

För att få bort uppstarten av ati2sgav.exe från registret så gör så här:

Skanna med HijackThis och bocka för:

O4 - HKLM\..\Policies\Explorer\Run: [ati2sgav] "C:\Windows\system32\ati2sgav.exe"

Tryck Fix checked.

 

Jag hittade en annan tråd ute på internet och där ser det ut som att ati2sgav kom in samtidigt med BlackBeanGames, i en annan verkar det ha samband med någon DirectX som inte kommer från Microsoft.

 

Länk till kommentar
Dela på andra webbplatser

Okej.

Nu har jag kommit fram till vart problemet kommer ifrån, nämligen Netlimiter. Förra söndagen så installerade jag Wow, och då skulle jag testa att använda Netlimiter för att försöka få upp hastigheten på nerladdningen, då jag kör ADSL så var uppladdningen hög och nerladdningen åkte ner, ville ju börja spela så snabbt som möjligt så Locktime hör till Netlimiter, raderade dessa filer och ska även radera ati2sgav.exe.

 

Ska även göra fixen i hijackthis. Förresten så har inte iexplorer.exe gått igång mer så det är bra.

Tack för hjälpen Cecilia! Poäng självklart.

 

Länk till kommentar
Dela på andra webbplatser

Nu när du skriver NetLimiter så kan man på http://en.wikipedia.org/wiki/NetLimiter se att företaget bakom NetLimiter heter Locktime, och då kan du behålla Locktime-mapparna för då är det ju inget skadligt.

 

Förresten så har inte iexplorer.exe gått igång mer så det är bra.
Det är väl sedan du bytte namn på ati2sgav så att den inte startar automatiskt längre.

 

Här kan du läsa mina vanliga råd för en säkrare dator, men det är så klart viktigt att man använder sitt förnuft också.

http://ceblstockholm.googlepages.com/home

 

 

Länk till kommentar
Dela på andra webbplatser

Jo jag såg det med, men använde aldrig netlimiter. Tog bort det nästan direkt.

Japp, har även tagit bort den filen och hittade en skum fil i system32 vid namn " ' " ingen filändelse eller något, tog bort den med. (inte upptäckt något problem än).

 

Ja, din hemsida känner jag till, har varit där några gånger och så har jag länkat många dit med som har behövt hjälp med datorn eller helt enkelt bara tipsat om den.

 

Länk till kommentar
Dela på andra webbplatser

Japp, har även tagit bort den filen och hittade en skum fil i system32 vid namn " ' " ingen filändelse eller något, tog bort den med.
Ja, det var en skum fil ;)

 

Kul att webbsidan är till nytta för många!

 

Tack för poängen! :)

 

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...