Just nu i M3-nätverket
Gå till innehåll

MSISetup & illExe.exe


rassau

Rekommendera Poster

Varje gång jag startar datorn får jag upp en ruta vid klockan att den blockerar ett program som heter MSISetup, vad är det för? MSISetup ligger även i autostart och undrar om det ska göra det... Sen får jag även upp att Avast hittar en trojan i illExe.exe som jag inte heller hittar någon information om... Hjälp snälla, klistrar för säkerhetsskull in en logg från Hijackthis ifall det är nåt skumt här...

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:15:07, on 2008-12-22

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Apoint\Apoint.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\sony\VAIO Camera Utility\VCUServe.exe

C:\Program Files\sony\ISB Utility\ISBMgr.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

C:\Windows\System32\rundll32.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

C:\Program Files\Sony\Wireless Switch Setting Utility\Switcher.exe

C:\Program Files\Sony\VAIO Update 4\VAIOUpdt.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe

C:\Program Files\Apoint\ApMsgFwd.exe

C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtProc.exe

C:\Program Files\Apoint\Apntex.exe

C:\Program Files\Internet Explorer\ieuser.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Windows\system32\Macromed\Flash\FlashUtil10a.exe

C:\Users\Tompa\Desktop\Hjt.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com'>http://www.club-vaio.com

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aftonbladet.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0\bin\ssv.dll

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O2 - BHO: Browser Address Error Redirector - {CA6319C0-31B7-401E-A518-A07C3DB8F777} - C:\PROGRA~1\GOOGLE~1\BAE.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [Apoint] C:\Program Files\Apoint\Apoint.exe

O4 - HKLM\..\Run: [VAIOCameraUtility] "C:\Program Files\Sony\VAIO Camera Utility\VCUServe.exe"

O4 - HKLM\..\Run: [iSBMgr.exe] "C:\Program Files\Sony\ISB Utility\ISBMgr.exe"

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NÄTVERKSTJÄNST')

O4 - Startup: MSISetup.exe

O4 - Global Startup: Bluetooth Manager.lnk = ?

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0\bin\npjpi160.dll

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~3\Office12\ONBttnIE.dll

O9 - Extra button: Betway Casino - {3063c161-2f7e-4225-ba73-08bc8f64c67e} - C:\Betway\Casino\casinogame.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~3\Office12\REFIEBAR.DLL

O13 - Gopher Prefix:

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/VistaMSNPUpldsv-se.cab

O16 - DPF: {F7EDBBEA-1AD2-4EBF-AA07-D453CC29EE65} (Flash Casino Helper Control) - https://plugins.valueactive.eu/flashax/iefax.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: IviRegMgr - InterVideo - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AvLib\MSCSPTISRV.exe

O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AvLib\PACSPTISVR.exe

O23 - Service: SonicStage Back-End Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AvLib\SsBeSvc.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AvLib\SPTISRV.exe

O23 - Service: SonicStage SCSI Service (SSScsiSV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AvLib\SSScsiSV.exe

O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\stacsv.exe

O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe

O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\sony\VAIO Event Service\VESMgr.exe

O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\VMISrv.exe

O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe

O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe

O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\VmGateway.exe

O23 - Service: VAIO Media Content Collection (VAIOMediaPlatform-UCLS-AppServer) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\UCLS.exe

O23 - Service: VAIO Media Content Collection (HTTP) (VAIOMediaPlatform-UCLS-HTTP) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe

O23 - Service: VAIO Media Content Collection (UPnP) (VAIOMediaPlatform-UCLS-UPnP) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe

O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe

O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe

O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

 

--

End of file - 9491 bytes

[/log]

 

Länk till kommentar
Dela på andra webbplatser

Kan du hitta filen MSISetup i datorn? I så fall skriv i vilken mapp den finns.

 

I vilken mapp finns illExe.exe?

 

Länk till kommentar
Dela på andra webbplatser

MSISetup hittar jag bara i autostart. C:\Användare\Tompa\Appdata\Roaming\Microsoft\Windows\Start-meny\Program

 

illExe.exe hittar jag ingenstans i datorn, för jag tog bort det med avast när den dök upp, men vet inte om den kommer tillbaka?

 

 

 

Länk till kommentar
Dela på andra webbplatser

MSISetup hittar jag bara i autostart. C:\Användare\Tompa\Appdata\Roaming\Microsoft\Windows\Start-meny\Program
Normalt så ligger det bara genvägar i den mappen. Högerklicka på filen och välj Egenskaper. Om det finns en flik som heter Genväg så kopiera vad det står i Mål-rutan och klistra in här.

 

illExe.exe hittar jag ingenstans i datorn, för jag tog bort det med avast när den dök upp, men vet inte om den kommer tillbaka?
Starta om datorn och kolla om den kommer tillbaka. Avast bör ha en logg/resultatlista eller karantän där man kan se vad för sorts skadlig fil det är samt i vilken mapp den låg.

 

Länk till kommentar
Dela på andra webbplatser

Finns ingen flik som heter genväg tyvärr, men den ligger iaf här, C:\Users\Tompa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup

 

Sen har vi detta från loggen av illexe:

 

2008-12-22 15:09:35 SYSTEM 1808 Sign of "Win32:Trojan-gen {Other}" has been found in "C:\Windows\Temp\illExe.exe" file.

 

Datorn är omstartad och ingen illexe kom fram.

 

[inlägget ändrat 2008-12-22 19:23:18 av rassau]

Länk till kommentar
Dela på andra webbplatser

Du kan ju även ta en titt på denna bild, har med windows defender att göra.

 

 

 

[bild bifogad 2008-12-22 19:16:30 av rassau]

1109167_thumb.jpg

Länk till kommentar
Dela på andra webbplatser

Surfa till http://www.virustotal.com (fungerar bäst med Internet Explorer) klistra in följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här.

C:\Users\Tompa\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\MSISetup.exe

 

Töm mappen C:\Windows\Temp så gott det går. Skriv vilka filer som blir kvar i mappen.

 

 

Länk till kommentar
Dela på andra webbplatser

[log]Antivirus Version Senaste Uppdatering Resultat

AhnLab-V3 2008.12.22.0 2008.12.22 -

AntiVir 7.9.0.45 2008.12.22 -

Authentium 5.1.0.4 2008.12.22 -

Avast 4.8.1281.0 2008.12.21 -

AVG 8.0.0.199 2008.12.22 -

BitDefender 7.2 2008.12.22 -

CAT-QuickHeal 10.00 2008.12.22 -

ClamAV 0.94.1 2008.12.22 -

Comodo 800 2008.12.22 -

DrWeb 4.44.0.09170 2008.12.22 -

eSafe 7.0.17.0 2008.12.21 -

eTrust-Vet 31.6.6274 2008.12.22 -

Ewido 4.0 2008.12.22 -

F-Prot 4.4.4.56 2008.12.22 -

F-Secure 8.0.14332.0 2008.12.22 -

Fortinet 3.117.0.0 2008.12.22 -

GData 19 2008.12.22 -

Ikarus T3.1.1.45.0 2008.12.22 -

K7AntiVirus 7.10.562 2008.12.22 -

Kaspersky 7.0.0.125 2008.12.22 -

McAfee 5472 2008.12.22 -

McAfee+Artemis 5472 2008.12.22 -

Microsoft 1.4205 2008.12.22 -

NOD32 3712 2008.12.22 -

Norman 5.80.02 2008.12.22 -

Panda 9.0.0.4 2008.12.22 -

PCTools 4.4.2.0 2008.12.22 -

Prevx1 V2 2008.12.22 -

Rising 21.09.02.00 2008.12.22 -

SecureWeb-Gateway 6.7.6 2008.12.22 -

Sophos 4.37.0 2008.12.22 -

Sunbelt 3.2.1809.2 2008.12.22 -

TheHacker 6.3.1.4.195 2008.12.20 -

TrendMicro 8.700.0.1004 2008.12.22 -

VBA32 3.12.8.10 2008.12.22 -

ViRobot 2008.12.22.1530 2008.12.22 -

VirusBuster 4.5.11.0 2008.12.22 -

[/log]

 

TEMP-mappen tömd, det som finns kvar är en mapp som heter _avast4_ med en textfil i den, och en fil som heter JETE6B5.tmp - egenskaper på den så är det en DLL-fil för windows gränssnitt

 

Länk till kommentar
Dela på andra webbplatser

Skanna JETE6B5.tmp på virustotal-sidan

 

MSISetup.exe skapades i datorn den 21a klocka 13:42, kommer du ihåg vad du gjorde vid datorn då?

 

Länk till kommentar
Dela på andra webbplatser

Ja, jag installerade nog alcohol120% då, virus i den filen tro? Men har slängt det iaf för funkade inte så bra ändå. Aja hoppas det är borta nu iaf om det var nåt skadligt.

 

 

 

Går inte scanna JETE6B5.tmp - det står att det blir fel på sidan bara, skumt.

 

Länk till kommentar
Dela på andra webbplatser

Defender säger ju inte att filen är skadlig, bara att den är okänd för Defender. Var det en äkta version nedladdad från alcohol-soft.com? I så fall är det osannolikt att det skulle vara något skadligt.

 

Se om du kan göra en kopia av JETE6B5.tmp och lägga på skrivbordet och så skanna kopian. När är filen skapad?

 

[inlägget ändrat 2008-12-23 00:30:43 av Cecilia]

Länk till kommentar
Dela på andra webbplatser

Nej, det var ingen äkta version, det var en nedladdad version.

 

Sen var jag så jävla trött så jag skrev bara in filnamnet igår det är trofan det blir fel på sidan då, jag måste ju skriva vart den ligger också :)

 

"0 bytes size received / Se ha recibido un archivo vacio"

 

Så stod det... scannar man med avast så går det inte att komma åt den, den ä 0kb. Det går inte heller att bläddra fram den för då står det att filen används. Det gick inte att kopiera filen heller då den används.

 

Länk till kommentar
Dela på andra webbplatser

Lätt hänt att det blir tokigt mitt i natten. Det verkar ju lite skumt beteende. Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn) och se om det går att kopiera filen då.

 

Länk till kommentar
Dela på andra webbplatser

Väljer jag felsäkert läge(safe mode) och sen startar upp den så finns inte filen där, men nu finns den där igen när jag startat datorn normalt.

 

Varje gång jag startar datorn kommer detta meddelande upp, smått jobbigt.

 

 

 

[bild bifogad 2008-12-23 10:49:21 av rassau]

1109321_thumb.jpg

Länk till kommentar
Dela på andra webbplatser

Om du tror att MSISetup.exe har med Alcohol 120% att göra och du har tagit bort det programmet så ta bort MSISetup.exe också. Du kan ju låta den liggai Papperskorgen några dagar om du känner dig osäker på vad det är.

 

Väljer jag felsäkert läge(safe mode) och sen startar upp den så finns inte filen där, men nu finns den där igen när jag startat datorn normalt.
Då är det något program i datorn som skapar filen när det startar och då behövs inte filen skannas.

 

Länk till kommentar
Dela på andra webbplatser

Jag slängde MSISetup ifrån autostart och nu startas datorn utan den förbannade rutan, hoppas datorn är felfri nu då :) Tack för hjälpen åter igen.

 

Länk till kommentar
Dela på andra webbplatser

Tack för alla poäng! :) :)

 

Här kan du läsa mina vanliga råd för en säkrare dator, men det är så klart viktigt att man använder sitt förnuft också (vilket man inte gör om man försöker använda crackade program).

http://ceblstockholm.googlepages.com/home

 

Edit:stavfel

 

[inlägget ändrat 2008-12-23 18:11:01 av Cecilia]

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...