Just nu i M3-nätverket
Jump to content

Datorn är infekterad av win32.trojanproxy.horst - hur blir jag av med det?


GusGus

Recommended Posts

Min dator han blivit infekterad av en trojan vid namn "win32.trojanproxy.horst".

Trojanen öppnar upp en bakdörr och sedan försöker en väldig massa klienter koppla upp sig mot min tcp-port 9999. Min brandvägg (ZoneAlarm) stoppar dock dessa men jag ser på varningarna att det är en väldig massa så fort jag kopplar upp mig mot internet (sammanlagt har zone-alarm blockat över 2000 anslutningsförsök).

 

När jag körde mitt antivirus-program (Avast) genom hela datorn hittades ingenting men Ad-aware 2008 hittade en trojan vid namn "win32.trojanproxy.horst" med TAC 10. Tror den låg i någpn "system-restore"-mapp, dock inte säker. Tänkte att problemet var löst när jag tog bort det med Ad-aware men direkt efter när jag kopplade upp mig mot internet fick jag massa försök att koppla upp sig mot min tcp-port 9999 (alla från olika ip-adresser). Så jag gissar att jag har blivit en zombie :(

 

Jag håller på att köra Ad-aware en vända till nu för att se om den hittar något nytt men ingenting än så länge. Vad ska jag göra för att bli av med trojanen?

 

Jag kör Win XP SP2.

 

Tacksam för svar! Vill ju helst slippa att tömma datorn helt o hållet.

 

[inlägget ändrat 2008-11-28 00:15:34 av GusGus]

Link to comment
Share on other sites

Logg till Hijack This:

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:51:23, on 2008-11-27

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\Program\Lavasoft\Ad-Aware\aawservice.exe

C:\Program\Alwil Software\Avast4\aswUpdSv.exe

C:\Program\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Acer\eManager\anbmServ.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\Program\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Canon\CAL\CALMAIN.exe

C:\Program\Alwil Software\Avast4\ashMaiSv.exe

C:\Program\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\ALCWZRD.EXE

C:\Program\ATI Technologies\ATI.ACE\cli.exe

C:\Program\Unlocker\UnlockerAssistant.exe

C:\Program\Synaptics\SynTP\SynTPLpr.exe

C:\Program\Synaptics\SynTP\SynTPEnh.exe

C:\acer\epm\epm-dm.exe

C:\Acer\Launch Manager\QtZgAcer.EXE

C:\Program\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program\Java\jre6\bin\jusched.exe

C:\Program\iTunes\iTunesHelper.exe

C:\Program\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program\Messenger\msmsgs.exe

C:\Program\Logitech\SetPoint\SetPoint.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\Delade filer\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program\ATI Technologies\ATI.ACE\cli.exe

C:\Program\ATI Technologies\ATI.ACE\cli.exe

C:\Program\Lavasoft\Ad-Aware\Ad-Aware.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.google.se/ie

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O1 - Hosts: 66.98.148.65 auto.search.msn.com

O1 - Hosts: 66.98.148.65 auto.search.msn.es

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre6\bin\ssv.dll

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: FlashFXP Helper for Internet Explorer - {E5A1691B-D188-4419-AD02-90002030B8EE} - C:\Program\FlashFXP\IEFlash.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [AlcWzrd] ALCWZRD.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [ATICCC] "C:\Program\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program\Diskeeper Corporation\Diskeeper\DkIcon.exe"

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [synTPLpr] C:\Program\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe

O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot

O4 - HKLM\..\Run: [LManager] C:\Acer\Launch Manager\QtZgAcer.EXE

O4 - HKLM\..\Run: [avast!] C:\Program\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Lokala inställningar\Temp" (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlpo_03] rundll32 advpack.dll,LaunchINFSection nlite.inf,S (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlpo_01] cmd.exe /c md "%USERPROFILE%\Lokala inställningar\Temp" (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Ladbrokes Poker - {C2A80015-C447-4dc4-82DD-AED83D6ED57E} - C:\Microgaming\Poker\ladbrokesMPP\MPPoker.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program\DELADE~1\Skype\SKYPE4~1.DLL

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program\Canon\CAL\CALMAIN.exe

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program\Delade filer\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program\Delade filer\Logishrd\Bluetooth\LBTServ.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program\WinPcap\rpcapd.exe

O23 - Service: Apache Tomcat (Tomcat5) - Apache Software Foundation - C:\Program\Apache Software Foundation\Tomcat 5.5\bin\tomcat5.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 8304 bytes

[/log]

 

Link to comment
Share on other sites

Skicka hit en Hijack-logg så kan någon av experterna här ta sig en

titt på den.

http://www.spychecker.com/program/hijackthis.html

Installera,starta,välj Do a system scan and save a logfile

kopiera loggen som kommer upp

 

Du postar loggen på detta sätt:

 

Tryck på LOG-knappen i besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

Link to comment
Share on other sites

Jag såg det....Ladda ner MBAM (Malwarebytes antiwalware)

http://www.malwarebytes.org/mbam.php Klicka på mbam-setup

för att installera programmet,Se till att Uppdatera Malwarebytes

antimalware ibockat.Uppdatera,Starta Malwarebytes Antimalware,klicka på

Slutför.Välj Utför snabb scanning

 

 

 

[inlägget ändrat 2008-11-28 01:07:01 av Brynäsarn]

Link to comment
Share on other sites

Jag har kört MBAM men utan att hitta någonting. Det kommer dock fortfarande in anslutningsförsök på port 9999 men inte lika många som tidigare ikväll.

 

Vad mer kan jag göra?

 

Link to comment
Share on other sites

Blir resultatet detsamma om du väljer Utför fullständig skanning med MBAM ?

 

[inlägget ändrat 2008-11-28 10:06:14 av Brynäsarn]

Link to comment
Share on other sites

Lägg gärna ut loggen för din MBAM här också, kan underlätta för vidare rensning av din dator, om den fortfarande har någon infektion, som kanske inte syns än så länge :thumbsup:

 

 

 

//gästen

 

Link to comment
Share on other sites

Vi får väl se hur det går, för den nya Horst-varianten lär vara rejält dold.

 

Ad-aware 2008 hittade en trojan vid namn "win32.trojanproxy.horst" med TAC 10. Tror den låg i någpn "system-restore"-mapp, dock inte säker.
Kan du kolla i Ad-aware? För jag har för mig att det ska framgå i någon logg eller från karantänen. I så fall återställ filen, för när man tar bort en fil ur systemåterställningsmappen så brukar systemåterställningsfunktionen sluta att fungera. Det kan visa sig värdefullt att ha en fungerande systemåterställning. Gör inte nedanstående förrän återställning av filen är gjord.

 

Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Du bör installera Windows Återställningskonsol eftersom det gör det möjligt att starta datorn i ett särskild återställningsläge vilket kan vara bra om något händer med datorn under de kommande rensningarna.

 

[log]Alternativ 1: Du har en CD med Windows XP

Stoppa in CDn

Start - Kör

Skriv in

x:\i386\winnt32.exe /cmdcons

där du byter ut x mot den bokstav som CDn har.

Tryck på OK

Svara Ja på frågan om du vill installera återställningskonsolen.

Programmet kommer att kontakta Microsoft för att få de senaste filerna.

Tryck på OK när det är klart.

 

För att inte Återställningskonsolen ska fråga efter ett lösenord så gör på följande sätt:

Start - Kör

regedit

Leta upp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Setup\RecoveryConsole i vänsterkolumnen.

Ändra värdet på SecurityLevel till 1

Stäng regedit

Starta om datorn.[/log]

 

[log]Alternativ 2: Du har inte en CD med Windows XP

Surfa till http://support.microsoft.com/kb/310994

se till att språket på sidan matchar språket i Windows (språk väljs i högerkolumnen) om du inte har XP Media Center Edition för då ska du ha engelska.

 

Skrolla ner till rubriken Hämta programfilen för installationsdisketterna

Välj rätt nedladdning utifrån vilken Service Pack du har installerat till XP. Om du har SP3 så välj SP2.

Om du har XP Media Center Edition så välj XP Professional.

Spara den nedladdade filen på Skrivbordet.

 

När nedladdningen är klar så drar du den nedladdade filen med musen över Skrivbordet och släpper den på ComboFix-ikonen.

ComboFix kommer då att installera Återställningskonsolen.

När det är klart så kommer ComboFix att fråga om du vill fortsätta med att skanna, där väljer du No/Nej.[/log]

 

[log]Dra ur internetanslutningen och stäng av alla program du ser inklusive antivirusprogram, antispionprogram och brandvägg, alternativt starta om datorn i felsäkert läge.

Kör ComboFix och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram och brandvägg är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.[/log]

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

 

Link to comment
Share on other sites

Nu har jag kört ComboFix.

 

Hoppas du kan utläsa något ur loggen, så jag kan bli av med mitt virus.

 

Direkt när jag kopplade upp mig nu för att posta detta så fix jag ett anslutningsförsök på port 9999, så nånstans ligger det.

 

[log]ComboFix 08-11-27.07 - Administratör 2008-11-28 12:39:45.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1053.18.595 [GMT 1:00]

Running from: c:\documents and settings\Administratör\Skrivbord\ComboFix.exe

.

 

((((((((((((((((((((((((( Files Created from 2008-10-28 to 2008-11-28 )))))))))))))))))))))))))))))))

.

 

2008-11-28 01:02 . 2008-11-28 01:02 <KAT> d-------- c:\program\Malwarebytes' Anti-Malware

2008-11-28 01:02 . 2008-11-28 01:02 <KAT> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2008-11-28 01:02 . 2008-11-28 01:02 <KAT> d-------- c:\documents and settings\Administratör\Application Data\Malwarebytes

2008-11-28 01:02 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2008-11-28 01:02 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2008-11-27 16:42 . 2008-11-27 16:42 <KAT> d-------- c:\documents and settings\Administratör\Application Data\Download Manager

2008-11-26 16:27 . 2007-11-08 23:23 32,829 --a------ c:\windows\system32\php5servlet.dll

2008-11-26 12:12 . 2007-11-08 23:23 4,796,472 --a------ c:\windows\system32\php5ts.dll

2008-11-26 12:12 . 2008-11-26 12:09 32,834 --a------ c:\windows\system32\php5srvlt.dll

2008-11-24 23:49 . 2008-11-24 23:49 <KAT> d-------- c:\documents and settings\All Users\Application Data\2DBoy

2008-11-23 13:24 . 2008-11-23 13:24 410,976 --a------ c:\windows\system32\deploytk.dll

2008-11-23 01:23 . 2008-11-23 01:23 <KAT> d-------- c:\program\Network Stumbler

2008-11-21 18:10 . 2008-10-27 18:37 192,307 --a------ C:\wubildr

2008-11-21 18:10 . 2008-10-27 18:37 8,192 --a------ C:\wubildr.mbr

2008-11-19 20:46 . 2008-11-19 20:46 <KAT> d-------- c:\documents and settings\Administratör\Application Data\Leadertech

2008-11-18 16:10 . 2008-11-18 16:10 <KAT> d-------- c:\windows\Favorites

2008-11-18 15:27 . 2007-03-12 16:42 3,495,784 --a------ c:\windows\system32\d3dx9_33.dll

2008-11-18 15:27 . 2007-03-12 16:42 1,123,696 --a------ c:\windows\system32\D3DCompiler_33.dll

2008-11-18 15:27 . 2007-03-15 16:57 443,752 --a------ c:\windows\system32\d3dx10_33.dll

2008-11-18 15:27 . 2007-04-04 18:55 261,480 --a------ c:\windows\system32\xactengine2_7.dll

2008-11-18 15:26 . 2008-11-18 15:26 <KAT> d-------- c:\windows\Logs

2008-11-18 14:52 . 2008-11-18 14:52 <KAT> d--hs---- c:\windows\ftpcache

2008-11-17 22:07 . 2008-11-17 22:07 <KAT> d-------- c:\program\iPod

2008-11-17 22:07 . 2008-11-17 22:08 <KAT> d-------- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2008-11-17 22:00 . 2008-11-17 22:01 <KAT> d-------- c:\program\QuickTime

2008-11-17 12:22 . 2008-11-17 12:22 <KAT> d-------- c:\documents and settings\Administratör

2008-11-17 12:22 . 2008-11-17 12:22 <KAT> d-------- c:\documents and settings\Administratör\Application Data\XBMC

2008-11-17 12:18 . 2008-11-17 12:19 <KAT> d-------- c:\program\XBMC

2008-11-16 23:09 . 2008-11-16 23:38 <KAT> d-------- c:\documents and settings\Administratör\Application Data\vlc

2008-11-12 11:41 . 2008-11-17 13:04 <KAT> d-------- c:\program\Goal Win

2008-11-12 10:43 . 2008-10-24 12:21 455,296 -----c--- c:\windows\system32\dllcache\mrxsmb.sys

2008-11-12 10:42 . 2008-09-04 18:17 1,106,944 -----c--- c:\windows\system32\dllcache\msxml3.dll

2008-11-11 14:36 . 2008-11-11 14:37 <KAT> d-------- c:\windows\system32\LastFM Motorokr Screensaver dir

2008-11-11 14:35 . 2008-11-11 14:36 520,192 --a------ c:\windows\system32\LastFM Motorokr Screensaver.scr

2008-11-11 13:33 . 2008-11-11 13:33 <KAT> d-------- c:\documents and settings\All Users\Application Data\LogiShrd

2008-11-11 13:32 . 2008-11-11 13:32 <KAT> d-------- c:\documents and settings\Administratör\Application Data\Logitech

2008-11-11 13:32 . 2008-11-11 13:32 0 --ah----- c:\windows\system32\drivers\Msft_Kernel_LMouFilt_01005.Wdf

2008-11-11 13:31 . 2008-11-11 13:31 0 --ah----- c:\windows\system32\drivers\MsftWdf_Kernel_01005_Coinstaller_Critical.Wdf

2008-11-11 13:30 . 2008-05-02 02:38 301,656 --a------ c:\windows\system32\BtCoreIf.dll

2008-11-11 13:30 . 2008-05-02 02:39 170,512 --a------ c:\windows\system32\kemutb.dll

2008-11-11 13:30 . 2008-05-02 02:39 145,936 --a------ c:\windows\system32\KemUtil.dll

2008-11-11 13:30 . 2008-05-02 02:40 117,264 --a------ c:\windows\system32\KemWnd.dll

2008-11-11 13:30 . 2008-05-02 02:40 84,496 --a------ c:\windows\system32\KemXML.dll

2008-11-11 13:29 . 2008-11-11 13:29 <KAT> d-------- c:\program\Logitech

2008-11-11 13:29 . 2008-11-11 13:30 <KAT> d-------- c:\program\Delade filer\Logishrd

2008-11-11 13:29 . 2008-11-11 13:32 <KAT> d-------- c:\documents and settings\All Users\Application Data\Logitech

2008-11-11 13:29 . 2008-11-11 13:29 <KAT> d-------- c:\documents and settings\Administratör\Application Data\InstallShield

2008-11-02 16:41 . 2008-11-02 16:42 <KAT> d-------- c:\program\WinHugs

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-27 20:58 6,406,176 --sha-w c:\windows\system32\drivers\fidbox.dat

2008-11-27 20:58 41,204 --sha-w c:\windows\system32\drivers\fidbox.idx

2008-11-27 18:58 --------- d-----w c:\program\SmartDraw 2007

2008-11-27 17:49 --------- d-----w c:\program\Spybot - Search & Destroy

2008-11-27 16:36 --------- d-----w c:\documents and settings\Administratör\Application Data\Skype

2008-11-27 15:31 --------- d-----w c:\program\PeerGuardian2

2008-11-27 15:09 --------- d-----w c:\documents and settings\Administratör\Application Data\uTorrent

2008-11-27 15:09 --------- d-----w c:\documents and settings\Administratör\Application Data\skypePM

2008-11-27 14:43 --------- d-----w c:\program\FlashFXP

2008-11-27 14:16 --------- d-----w c:\program\DC++

2008-11-27 14:08 1,444,352 ----a-w c:\windows\Internet Logs\xDB3.tmp

2008-11-23 12:24 --------- d-----w c:\program\Java

2008-11-23 11:16 --------- d-----w c:\program\phase5

2008-11-21 16:35 20 ----a-w C:\sccfg.sys

2008-11-20 15:28 --------- d-----w c:\documents and settings\Administratör\Application Data\dvdcss

2008-11-19 17:53 1,395,200 ----a-w c:\windows\Internet Logs\xDB2.tmp

2008-11-18 14:35 264,704 ----a-w c:\windows\Internet Logs\xDB1.tmp

2008-11-18 14:24 --------- d--h--w c:\program\InstallShield Installation Information

2008-11-18 13:50 --------- d-----w c:\documents and settings\All Users\Application Data\Rosetta Stone

2008-11-17 21:08 --------- d-----w c:\program\iTunes

2008-11-17 21:04 --------- d-----w c:\program\Bonjour

2008-11-17 21:01 --------- d-----w c:\program\Delade filer\Apple

2008-11-16 22:38 --------- d-----w c:\documents and settings\Administratör\Application Data\vlc

2008-11-12 14:39 --------- d-----w c:\documents and settings\All Users\Application Data\ZoomBrowser

2008-11-12 14:39 --------- d-----w c:\documents and settings\Administratör\Application Data\ZoomBrowser EX

2008-11-12 10:03 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2008-11-11 11:53 --------- d-----w c:\documents and settings\Administratör\Application Data\Microgaming

2008-11-10 17:11 --------- d-----w c:\program\PartyGaming

2008-10-28 08:43 --------- d-----w c:\program\Rosetta Stone

2008-10-27 19:22 --------- d-----w c:\program\The Rosetta Stone

2008-10-27 12:50 --------- d-----w c:\program\Wireshark

2008-10-27 12:49 --------- d-----w c:\program\WinPcap

2008-10-27 12:29 --------- d-----w c:\documents and settings\All Users\Application Data\MailFrontier

2008-10-27 12:28 --------- d-----w c:\program\Zone Labs

2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys

2008-10-23 17:59 134,090 ----a-w c:\windows\ColorPic Uninstaller.exe

2008-10-23 17:59 --------- d-----w c:\program\ColorPic 4.1

2008-10-22 16:38 --------- d-----w c:\program\Delade filer\NSV

2008-10-22 16:34 --------- d-----w c:\program\Winamp

2008-10-22 16:33 --------- d-----w c:\documents and settings\Administratör\Application Data\Winamp

2008-10-20 19:07 --------- d-----w c:\program\MagicISO

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 13:09 43,544 ----a-w c:\windows\system32\wups2.dll

2008-10-16 13:08 34,328 ----a-w c:\windows\system32\wups.dll

2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll

2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll

2008-10-14 11:18 --------- d-----w c:\documents and settings\Administratör\Application Data\PADGen

2008-10-13 13:40 --------- d-----w c:\program\MSECache

2008-10-05 10:41 --------- d-----w c:\program\bwin

2008-10-05 10:38 --------- d-----w c:\program\Redbet Poker

2008-10-05 10:20 --------- d-----w c:\program\BookSmart

2008-09-15 15:27 1,846,400 ----a-w c:\windows\system32\win32k.sys

2008-09-10 01:16 1,307,648 ------w c:\windows\system32\msxml6.dll

2008-09-04 17:17 1,106,944 ----a-w c:\windows\system32\msxml3.dll

2008-08-29 09:18 87,336 ----a-w c:\windows\system32\dns-sd.exe

2008-08-29 08:53 61,440 ----a-w c:\windows\system32\dnssd.dll

2007-03-26 14:03 85,537 ----a-w c:\documents and settings\jezaja\Applib.zip

2007-03-26 13:41 3,479,540 ----a-w c:\documents and settings\jezaja\part1 - hibernate tutorial.zip

2007-02-03 15:47 6,644,079 ----a-w c:\documents and settings\Administratör\pPokerSetup.exe

2007-02-03 15:47 6,644,079 ----a-w c:\documents and settings\Administratör\pPokerSetup.exe

2006-01-26 15:13 28,672 ----a-w c:\documents and settings\Administratör\LicenceWM.exe

2006-01-26 15:13 28,672 ----a-w c:\documents and settings\Administratör\LicenceWM.exe

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSMSGS"="c:\program\Messenger\msmsgs.exe" [2008-04-14 1695232]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ATICCC"="c:\program\ATI Technologies\ATI.ACE\cli.exe" [2006-01-02 45056]

"DiskeeperSystray"="c:\program\Diskeeper Corporation\Diskeeper\DkIcon.exe" [2006-04-19 319488]

"UnlockerAssistant"="c:\program\Unlocker\UnlockerAssistant.exe" [2006-05-06 6656]

"SynTPLpr"="c:\program\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 98394]

"SynTPEnh"="c:\program\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 688218]

"EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-01-25 180224]

"ePowerManagement"="c:\acer\ePM\ePM.exe" [2005-01-21 2889216]

"LManager"="c:\acer\Launch Manager\QtZgAcer.EXE" [2004-12-09 311296]

"avast!"="c:\program\ALWILS~1\Avast4\ashDisp.exe" [2008-11-18 81000]

"SunJavaUpdateSched"="c:\program\Java\jre6\bin\jusched.exe" [2008-11-23 136600]

"QuickTime Task"="c:\program\QuickTime\QTTask.exe" [2008-09-06 413696]

"AppleSyncNotifier"="c:\program\Delade filer\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-10-01 111936]

"iTunesHelper"="c:\program\iTunes\iTunesHelper.exe" [2008-10-01 289576]

"ZoneAlarm Client"="c:\program\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 919016]

"SoundMan"="SOUNDMAN.EXE" [2006-02-20 c:\windows\SOUNDMAN.EXE]

"AlcWzrd"="ALCWZRD.EXE" [2006-02-20 c:\windows\ALCWZRD.EXE]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Start-meny\Program\AutostartAdobe Reader Speed Launch.lnk - c:\program\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

Logitech SetPoint.lnk - c:\program\Logitech\SetPoint\SetPoint.exe [2008-11-11 805392]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\system]

"NoSecCpl"= 0 (0x0)

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMHelp"= 01000000

"NoStartMenuSubFolders"= 0 (0x0)

"NoCommonGroups"= 0 (0x0)

"NoPrinterTabs"= 0 (0x0)

"NoDeletePrinter"= 0 (0x0)

"NoAddPrinter"= 0 (0x0)

"NoPrinters"= 0 (0x0)

"NoFavoritesMenu"= 0 (0x0)

"NoRecentDocsNetHood"= 0 (0x0)

"NoChangeAnimation"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2008-05-02 02:42 72208 c:\program\Delade filer\Logishrd\Bluetooth\LBTWLgn.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.ffds"= c:\program\COMBIN~1\Filters\FFDShow\ff_vfw.dll

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"Skype"="c:\program\Skype\Phone\Skype.exe" /nosplash /minimized

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"NeroFilterCheck"=c:\windows\system32\NeroCheck.exe

"DAEMON Tools"="c:\program\DAEMON Tools\daemon.exe" -lang 1033

"QuickTime Task"="c:\program\QuickTime\QTTask.exe" -atboottime

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"FirewallOverride"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program\\Last.fm\\LastFM.exe"=

"c:\\Program\\DC++\\DCPlusPlus.exe"=

"c:\\Program\\Utorrent\\utorrent.exe"=

"c:\\WINDOWS\\system32\\javaw.exe"=

"c:\\Program\\Java\\jre1.5.0_04\\bin\\javaw.exe"=

"c:\\Program\\Mozilla Firefox\\firefox.exe"=

"c:\\Program\\Java\\jre1.6.0\\bin\\javaw.exe"=

"c:\\Program\\Joost\\xulrunner\\tvprunner.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program\\FlashFXP\\FlashFXP.exe"=

"c:\\Program\\Rosetta Stone\\Rosetta Stone V3\\support\\bin\\win\\RosettaStoneLtdServices.exe"=

"c:\\Program\\Rosetta Stone\\Rosetta Stone V3\\RosettaStoneVersion3.exe"=

"c:\\Program\\Bonjour\\mDNSResponder.exe"=

"c:\\Program\\iTunes\\iTunes.exe"=

"c:\\Program\\Skype\\Phone\\Skype.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"<NO NAME>"=

 

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-07-10 110160]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2008-07-10 20560]

R2 EpmPsd;Acer EPM Power Scheme Driver;\??\c:\windows\system32\drivers\epm-psd.sys [2007-03-05 4096]

R2 EpmShd;Acer EPM System Hardware Driver;\??\c:\windows\system32\drivers\epm-shd.sys [2007-03-05 78208]

R2 osanbm;osanbm;c:\windows\system32\drivers\osanbm.sys [2004-06-01 4054]

S3 NPF;NetGroup Packet Filter Driver;c:\windows\system32\drivers\npf.sys [2007-11-06 34064]

S3 NSNDIS5;NSNDIS5 NDIS Protocol Driver;\??\c:\windows\system32\NSNDIS5.SYS [2004-03-24 17280]

S3 Tomcat5;Apache Tomcat;"c:\program\Apache Software Foundation\Tomcat 5.5\bin\tomcat5.exe" //RS//Tomcat5 [2007-03-05 53248]

S4 Rdbssvvvmppc;Rdbssvvvmppc; []

 

*Newly Created Service* - PROCEXP90

.

Contents of the 'Scheduled Tasks' folder

 

2008-11-17 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

.

------- Supplementary Scan -------

.

FireFox -: Profile - c:\documents and settings\Administratör\Application Data\Mozilla\Firefox\Profiles\jn1a679x.defaultFireFox -: prefs.js - STARTUP.HOMEPAGE - chrome://speeddial/content/speeddial.xul

FF -: plugin - c:\program\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll

FF -: plugin - c:\program\iTunes\Mozilla Plugins\npitunes.dll

FF -: plugin - c:\program\Java\jre6\bin\new_plugin\npdeploytk.dll

FF -: plugin - c:\program\Java\jre6\bin\new_plugin\npjp2.dll

FF -: plugin - c:\program\Mozilla Firefox\plugins\npdeploytk.dll

FF -: plugin - c:\program\Mozilla Firefox\plugins\npJoostPlugin.dll

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-11-28 12:42:28

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'winlogon.exe'(1080)

c:\windows\system32\Ati2evxx.dll

c:\program\delade filer\logishrd\bluetooth\LBTWlgn.dll

c:\program\delade filer\logishrd\bluetooth\LBTServ.dll

.

Completion time: 2008-11-28 12:43:58

ComboFix-quarantined-files.txt 2008-11-28 11:43:43

 

Pre-Run: 4 699 828 224 byte ledigt

Post-Run: 4,914,233,344 byte ledigt

 

257 --- E O F --- 2008-11-12 10:03:52

[/log]

 

Link to comment
Share on other sites

Var det i system restore som Ad-aware hittade något?

 

2008-11-27 16:42 . 2008-11-27 16:42 <KAT> d-------- c:\documents and settings\Administratör\Application Data\Download Manager

Vad är det för Download Manager?

Stämmer tidpunkten med när datorn kan ha blivit infekterad eller när blev datorn infekterad?

 

Har du Ubuntu via Wubi?

 

Har du FolderLock installerat?

 

Starta Enhetshanteraren (högerklick på Den här datorn - Hantera) och välj att visa Dolda enheter i Visa-menyn. Under rubriken där det står något med Plug and Play så leta efter Rdbssvvvmppc.

Högerklicka på den och välj Inaktivera

Starta om datorn.

 

Ladda ner Gmer till Skrivbordet från en av dessa sidor:

http://www.gmer.net/

http://www.majorgeeks.com/GMER_d5198.html

Packa upp filen till Skrivbordet.

 

Dubbelklicka på programmet gmer.exe för att starta det.

Välj fliken rootkit, kontrollera att allt är förbockat till höger utom Show All. Tryck på Scan.

Tryck på Copy och klistra sedan in resultatet i ditt svar.

 

Link to comment
Share on other sites

Tack för all hjälp!

Download Manager kommer från Adobe och används för att ladda ner deras produkter.

Jag har även Ubuntu via Wubi och likaså har jag haft Folder Lock installerat.

 

Jag kunde dock inte hitta "Rdbssvvvmppc" i enhetshanteraren. (Jag hittade inte ens någon mapp som hette plug-and-play", men jag kollade igenom alla).

 

Här är loggen från Gmer.

 

[log]

GMER 1.0.14.14536 - http://www.gmer.net

Rootkit scan 2008-11-28 15:55:44

Windows 5.1.2600 Service Pack 3

 

 

---- System - GMER 1.0.14 ----

 

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwClose [0xEDDEB604]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwConnectPort [0xEDFE1040]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateFile [0xEDFDD930]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwCreateKey [0xEDDEB4C0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreatePort [0xEDFE1510]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcess [0xEDFE7870]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateProcessEx [0xEDFE7AA0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateSection [0xEDFEAFD0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwCreateWaitablePort [0xEDFE1600]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteFile [0xEDFDDF20]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDeleteKey [0xEDFE96E0]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwDeleteValueKey [0xEDDEB99E]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwDuplicateObject [0xEDFE7580]

SSDT sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.) ZwEnumerateKey [0xF7386C7E]

SSDT sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.) ZwEnumerateValueKey [0xF7386FF6]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwLoadKey [0xEDFE98B0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenFile [0xEDFDDD70]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwOpenKey [0xEDDEB59A]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenProcess [0xEDFE7350]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwOpenThread [0xEDFE7150]

SSDT sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.) ZwQueryKey [0xF73870C0]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwQueryValueKey [0xEDDEB6BA]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRenameKey [0xEDFEA250]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwReplaceKey [0xEDFE9CB0]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwRequestWaitReplyPort [0xEDFE0C00]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwRestoreKey [0xEDDEB67A]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSecureConnectPort [0xEDFE1220]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwSetInformationFile [0xEDFDE120]

SSDT \SystemRoot\System32\Drivers\aswSP.SYS (avast! self protection module/ALWIL Software) ZwSetValueKey [0xEDDEB7FA]

SSDT \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC) ZwTerminateProcess [0xEDFE7CD0]

 

---- Kernel code sections - GMER 1.0.14 ----

 

.text ntkrnlpa.exe!ZwCallbackReturn + 241C 80501C54 12 Bytes [ 10, 15, FE, ED, 70, 78, FE, ... ]

? srescan.sys Det går inte att hitta filen. !

? System32\Drivers\hiber_WMILIB.SYS Det går inte att hitta filen. !

? C:\WINDOWS\system32\Drivers\PROCEXP90.SYS Det går inte att hitta filen. !

? C:\ComboFix\catchme.sys Det går inte att hitta sökvägen. !

 

---- Kernel IAT/EAT - GMER 1.0.14 ----

 

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7382A32] sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.)

IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7382B6E] sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.)

IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7382AF6] sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.)

IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F73836CC] sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.)

IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F73835A2] sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.)

IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [F73A4C82] sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.)

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisRegisterProtocol] [EDFE5CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisOpenAdapter] [EDFE61C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisCloseAdapter] [EDFE6320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\raspppoe.sys[NDIS.SYS!NdisDeregisterProtocol] [EDFE5E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisDeregisterProtocol] [EDFE5E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisRegisterProtocol] [EDFE5CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisOpenAdapter] [EDFE61C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\psched.sys[NDIS.SYS!NdisCloseAdapter] [EDFE6320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisRegisterProtocol] [EDFE5CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisDeregisterProtocol] [EDFE5E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisCloseAdapter] [EDFE6320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\System32\Drivers\NDProxy.SYS[NDIS.SYS!NdisOpenAdapter] [EDFE61C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisCloseAdapter] [EDFE6320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisOpenAdapter] [EDFE61C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\tcpip.sys[NDIS.SYS!NdisRegisterProtocol] [EDFE5CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisDeregisterProtocol] [EDFE5E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisRegisterProtocol] [EDFE5CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisOpenAdapter] [EDFE61C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\wanarp.sys[NDIS.SYS!NdisCloseAdapter] [EDFE6320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisCloseAdapter] [EDFE6320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisOpenAdapter] [EDFE61C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisDeregisterProtocol] [EDFE5E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\arp1394.sys[NDIS.SYS!NdisRegisterProtocol] [EDFE5CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\irda.sys[NDIS.SYS!NdisOpenAdapter] [EDFE61C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\irda.sys[NDIS.SYS!NdisRegisterProtocol] [EDFE5CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\irda.sys[NDIS.SYS!NdisCloseAdapter] [EDFE6320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\irda.sys[NDIS.SYS!NdisDeregisterProtocol] [EDFE5E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisRegisterProtocol] [EDFE5CA0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisDeregisterProtocol] [EDFE5E10] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisCloseAdapter] [EDFE6320] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

IAT \SystemRoot\system32\DRIVERS\ndisuio.sys[NDIS.SYS!NdisOpenAdapter] [EDFE61C0] \SystemRoot\System32\vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

 

---- User IAT/EAT - GMER 1.0.14 ----

 

IAT C:\WINDOWS\system32\services.exe[1128] @ C:\WINDOWS\system32\services.exe [ADVAPI32.dll!CreateProcessAsUserW] 003D0002

IAT C:\WINDOWS\system32\services.exe[1128] @ C:\WINDOWS\system32\services.exe [KERNEL32.dll!CreateProcessW] 003D0000

 

---- Devices - GMER 1.0.14 ----

 

Device \FileSystem\Ntfs \Ntfs 86F880E8

 

AttachedDevice \FileSystem\Ntfs \Ntfs aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

 

Device \Driver\Tcpip \Device\Ip vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

 

AttachedDevice \Driver\Tcpip \Device\Ip aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass0 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

AttachedDevice \Driver\Kbdclass \Device\KeyboardClass1 SynTP.sys (Synaptics Touchpad Driver/Synaptics, Inc.)

 

Device \Driver\NetBT \Device\NetBT_Tcpip_{C4B3CC6E-6FA2-46FD-85DD-CBB1CEC839F9} 86A330E8

Device \Driver\Tcpip \Device\Tcp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

 

AttachedDevice \Driver\Tcpip \Device\Tcp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

 

Device \Driver\Ftdisk \Device\HarddiskVolume1 86FD4948

Device \Driver\Ftdisk \Device\HarddiskVolume2 86FD4948

Device \Driver\Cdrom \Device\CdRom0 86D37970

Device \FileSystem\Rdbss \Device\FsWrap 86C1BA40

Device \Driver\00000046 \Device\00000059 sptd.sys (SCSI Pass Through Direct Host/Duplex Secure Ltd.)

Device \Driver\Ftdisk \Device\HarddiskVolume3 86FD4948

Device \Driver\Cdrom \Device\CdRom1 86D37970

Device \Driver\NetBT \Device\NetBT_Tcpip_{8001F345-E98A-43F5-A656-84A9E298320F} 86A330E8

Device \Driver\NetBT \Device\NetBt_Wins_Export 86A330E8

Device \Driver\NetBT \Device\NetbiosSmb 86A330E8

Device \Driver\Tcpip \Device\Udp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

 

AttachedDevice \Driver\Tcpip \Device\Udp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

 

Device \Driver\Disk \Device\Harddisk0\DR0 86FD44D8

Device \Driver\Tcpip \Device\RawIp vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

 

AttachedDevice \Driver\Tcpip \Device\RawIp aswTdi.SYS (avast! TDI Filter Driver/ALWIL Software)

 

Device \FileSystem\MRxSmb \Device\LanmanDatagramReceiver 86C47568

Device \Driver\Tcpip \Device\IPMULTICAST vsdatant.sys (TrueVector Device Driver/Zone Labs, LLC)

Device \FileSystem\MRxSmb \Device\LanmanRedirector 86C47568

Device \FileSystem\Npfs \Device\NamedPipe 86D11CF8

Device \Driver\Ftdisk \Device\FtControl 86FD4948

Device \FileSystem\Msfs \Device\Mailslot 86D370E8

Device \Driver\dtscsi \Device\Scsi\dtscsi1Port2Path0Target0Lun0 86EF30E8

Device \Driver\dtscsi \Device\Scsi\dtscsi1 86EF30E8

Device \FileSystem\Fastfat \Fat 86E2B4C0

Device \FileSystem\Fastfat \Fat BA779297

 

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

AttachedDevice \FileSystem\Fastfat \Fat aswMon2.SYS (avast! File System Filter Driver for Windows XP/ALWIL Software)

 

Device \FileSystem\Cdfs \Cdfs 86B632E8

 

---- Registry - GMER 1.0.14 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\BTHPORT\Parameters\Keys\000b6b920167

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s0 1363594762

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 -1822730861

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 -1082348987

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program\DAEMON ToolsReg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xEC 0x72 0x8F 0x96 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x47 0x8D 0x7A 0xC8 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x80 0xAB 0x45 0x5E ...

Reg HKLM\SYSTEM\ControlSet002\Services\BTHPORT\Parameters\Keys\000b6b920167

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program\DAEMON ToolsReg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0x87 0x1B 0x5E 0x85 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x47 0x8D 0x7A 0xC8 ...

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Reg HKLM\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x78 0xE2 0xBE 0x3B ...

Reg HKLM\SYSTEM\ControlSet003\Services\BTHPORT\Parameters\Keys\000b6b920167

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@p0 C:\Program\DAEMON ToolsReg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@h0 0

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4@khjeh 0xEC 0x72 0x8F 0x96 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@a0 0x20 0x01 0x00 0x00 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001@khjeh 0x47 0x8D 0x7A 0xC8 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40@khjeh 0x80 0xAB 0x45 0x5E ...

 

---- EOF - GMER 1.0.14 ----

[/log]

 

Link to comment
Share on other sites

Kan inte se något skadligt där heller.

 

Trojanen öppnar upp en bakdörr
Fick du någon fråga från ZoneAlarm då?

Kolla igenom listan över tillåtna/stoppade program i ZoneAlarm om där är något okänt.

 

Var det i system restore som Ad-aware hittade något?

 

När blev datorn infekterad?

 

Link to comment
Share on other sites

Fick du någon fråga från ZoneAlarm då?

Kolla igenom listan över tillåtna/stoppade program i ZoneAlarm om där är något okänt.

Jag fick helt plötsligt massa varningar om att massa klienter ville ansluta till min port tcp 9999 (alla hade syn-flaggan satt så jag antar att de ville etablera en anslutning). Jag har kollat igenom listan över program i ZoneAlarm men där finns inget misstänkt. ZoneAlarm varnar heller aldrig för något program utan just för uppkoppling mot port 9999.

 

Var det i system restore som Ad-aware hittade något?

Jag tror det men är inte säker. Blev så glad att den hittade det att jag bara tog bort den med än gång. Inte så smart kanske.

 

Jag vet inte hur jag ska gå till väga för att hitta filen som viruset ligger i. Sen vet jag inte om jag kan lita på att inget annat program har blivit manipulerat så att även om jag hittar detta virus så kan det finnas fler filer eller program som börjar bete sig märkligt och allra värst vore det ju om jag dessutom inte märkte det.

 

Så det kanske inte finns någon annan lösning än att installera om hela operativsystemet. Men det är klart det hade varit skönt att slippa :)

 

Link to comment
Share on other sites

Jag fick helt plötsligt massa varningar om att massa klienter ville ansluta till min port tcp 9999
Att datorer ute på internet vill ansluta till datorn behöver ju inte betyda att datorn är infekterad. Är det fortfarande så?

 

Det finns väl någon logg eller karantän i Ad-aware där du kan kolla efter filnamn och mapp. För har förekommit flera falsklarm från Ad-aware med TrojanProxy.Horst nyligen:

http://www.lavasoftsupport.com/index.php?showtopic=21792

http://www.lavasoftsupport.com/index.php?showtopic=21945

 

När blev datorn infekterad?

 

Kör några online-skanningar:

http://www.eset.eu/online-scanner

http://usa.kaspersky.com/products_services/free-virus-scanner.php

 

 

Link to comment
Share on other sites

Tack för alla svar Cecilia,

Jag gjorde det enklaste, installerade om Win XP.

 

Men nu när jag kollar i ZoneAlarms logg så ser jag att det har blockat några anslutningsförsök till tcp-port 9999 (kan inte se vilket program). Så det kanske inte var något "virus" utan det kanske är operrativsystemet eller något av de program jag installerat som använder den porten för att kommunicera. Jag får iaf inte alls lika många anslutningsförsök nu.

 

I loggen ser jag dock också att många anslutningsförsök till port 2869 har blivit blockade. ag är 192.168.1.2 och är ansluten till min router (192.168.1.1).

 

Source ip Destination ip

192.168.1.1:1180 192.168.1.2:2869

192.168.1.1:1179 192.168.1.2:2869

192.168.1.1:1178 192.168.1.2:2869

192.168.1.1:1177 192.168.1.2:2869

192.168.1.1:1176 192.168.1.2:2869

192.168.1.1:1175 192.168.1.2:2869

192.168.1.1:1174 192.168.1.2:2869

 

Dessa sker med bara ett par sekunders mellanrum och är många fler än de jag skrev här. Var betyder detta?

 

Link to comment
Share on other sites

Som sagt, att datorer ute på internet försöker komma fram till din dator behöver inte ha något att göra med vilka program du har installerade i datorn.

 

Har du öppnat någon port i routern?

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...