Just nu i M3-nätverket
Gå till innehåll

virus, dator smittad?


windowsman

Rekommendera Poster

Jag har märkt att datorn är otroligt trög så fort man trycker på en ikon eller begär något så hackar/fryser datorn. Blir otroligt frustrerar när Malware inte hittar något, bifogar även med hijackthiis

 

[log]Malwarebytes' Anti-Malware 1.33

Databasversion: 1712

Windows 5.1.2600 Service Pack 2

 

2009-01-31 17:32:00

mbam-log-2009-01-31 (17-32-00).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 80228

Förfluten tid: 36 minute(s), 48 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

[/log]

 

HijackThis

[log]Logfile of HijackThis v1.99.1

Scan saved at 17:35:32, on 2009-01-31

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Grisoft\AVGFRE~1\avgamsvr.exe

C:\Program\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program\Grisoft\AVGFRE~1\avgemc.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\sistray.EXE

C:\WINDOWS\system32\khooker.exe

C:\Program\QuickTime\qttask.exe

C:\Program\iTunes\iTunesHelper.exe

C:\Program\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\Paltalk Messenger\paltalk.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program\Hijackthis\rensning.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.quranexplorer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program\google\googletoolbar1.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\system32\sistray.EXE

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\system32\khooker.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\sisUSBrg.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [AVG7_CC] C:\Program\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: PalTalk.lnk = C:\Program\Paltalk Messenger\paltalk.exe

O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program\Paltalk Messenger\Paltalk.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {358DFA15-D48C-4296-8D16-7405F918333B} (Fronter OES2 release 21) - https://fronter.com/stockholm/links/fronter_oes2.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=26688

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: WgaLogon - C:\WINDOWSO23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Unknown owner - C:\Program\Java\jre6\bin\jqs.exe" -service -config "C:\Program\Java\jre6\lib\deploy\jqs\jqs.conf (file missing)

 

[/log]

 

Länk till kommentar
Dela på andra webbplatser

Så bifogar nu med behöver någon experts hjälp har uppdaterat nu uppdaterat både avg och hiijackthiis. Bifogar även med en bild på vad Norton Internet Security scan lyckades hitta.

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:57:48, on 2009-02-01

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\AVG\AVG8\avgwdsvc.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\AVG\AVG8\avgrsx.exe

C:\Program\AVG\AVG8\avgnsx.exe

C:\Program\AVG\AVG8\avgemc.exe

C:\Program\AVG\AVG8\avgcsrvx.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\sistray.EXE

C:\WINDOWS\system32\khooker.exe

C:\Program\iTunes\iTunesHelper.exe

C:\Program\Java\jre6\bin\jusched.exe

C:\Program\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\Paltalk Messenger\paltalk.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\Program\MSN Messenger\usnsvc.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.quranexplorer.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program\AVG\AVG8\avgssie.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\system32\sistray.EXE

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\system32\khooker.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\sisUSBrg.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [AVG8_TRAY] C:\Program\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: PalTalk.lnk = C:\Program\Paltalk Messenger\paltalk.exe

O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program\Paltalk Messenger\Paltalk.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {358DFA15-D48C-4296-8D16-7405F918333B} (Fronter OES2 release 21) - https://fronter.com/stockholm/links/fronter_oes2.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=26688

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgemc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgwdsvc.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

 

--

End of file - 5703 bytes

[/log]

 

[log]Malwarebytes' Anti-Malware 1.33

Databasversion: 1714

Windows 5.1.2600 Service Pack 2

 

2009-02-01 23:23:07

mbam-log-2009-02-01 (23-23-07).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 34372

Förfluten tid: 20 minute(s), 3 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

[/log]

 

Konstigt att Malware inte lyckas hitta det Internet security scan lyckas hitta fastän jag scanna samma dag. (Malware var uppdaterat) vilken gåta?

 

Ps. Håller just på att scanna med avg 8.0 den hittar något då och då frågan är vad ska man göra för åtgärd då, ska man överföra den till virus vault?

[inlägget ändrat 2009-02-01 23:34:33 av windowsman]

[inlägget ändrat 2009-02-01 23:35:35 av windowsman]

1119848_thumb.jpg

Länk till kommentar
Dela på andra webbplatser

Filerna som ligger i ..Sun\Java\... är inte skadliga för datorn längre, de talar däremot om att du har besökt en webbsida som innehöll en Java-applet som försökte infektera datorn. Det går inte att uttala sig om filerna i de två olika temp-mapparna är några som är aktiva. MBAM inriktar sig på att hitta filer som är aktiva, särskilt vid snabbskanning, men dessutom så har antivirusprogram och antispionprogram, som MBAM, olika inriktning och MBAM har aldrig varit avsett att ersätta ett antivirusprogram.

 

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

 

Ta bort filerna som Norton hittade.

 

Virus vault är för det mesta det bästa alternativet när ett antivirusprogram hittar något.

 

Länk till kommentar
Dela på andra webbplatser

I bilden du bifogade med Nortons resultat så står det ju exakt vilka mappar och filer det gäller så det är ju bara att följa de sökvägar som står där.

 

Länk till kommentar
Dela på andra webbplatser

Jag kan låta lite amatörsmässig, men har försökt skriva in sökvägarna i sök funktionen vid start menyn i xp hitta dock utan resultat. Bockade av så som du sa men utforskaren innehåll oändlig många mappar och olika Temp mappar och där hitta jag inget. Finns det inget annat sätt man kan göra för att ta bort virusen?

 

Länk till kommentar
Dela på andra webbplatser

Starta Utforskaren

I vänsterkolumnen leta upp Den här datorn, tryck på + för att öppna mappen.

Tryck på + framför C:

Tryck på + framför Windows

Tryck på + framför Temp

Till höger ska du då kunna hitta NT10032.exe och NT1B132.exe och då tar du bort de filerna

 

Då har du klarat av de två första filerna i Nortons logg och så gör du på samma sätt med de andra.

 

Länk till kommentar
Dela på andra webbplatser

Hej Cecilia!

Hitta inte kollade noga. Det finns två Temp och Windows mappar, den första windows mappen länkar till en undermapp som heter system som är tom. Den andra windows mappen innehåller betydlig fler undermappar och där finns en Temp mapp med diverse under mappar troligast är det den du är ute efter men nix hela den mappen innehöll ej något av filerna NT10032.exe och NT1B132.exe.

 

Den andra Temp mappen var mestadels tom med undantag för några antivirus avg ikoner och såg ut att tillhöra mitt avg antivirus.

För i övrigt har jag också försökt söka filnamnen i sökfunktionen i start men utan resultat.

 

Använder du eller har du tillgång till msn så att du kan styra min dator och ta bort dessa filer från datorn?

 

Länk till kommentar
Dela på andra webbplatser

Nej, jag har inte MSN. Det kan ju tänkas att filerna redan är borta men för säkerhets skull så kan vi låta ett program kolla.

 

Ladda ner Killbox:

http://www.downloads.subratam.org/KillBox.zip

Packa upp programmet.

 

Starta Killbox och bocka i Delete on Reboot.

Klicka på All files

 

Kopiera följande rader (använd Markera kod):

C:\windows\temp\NT10032.ex
C:\windows\temp\NT1B132.ex
C:\Documents and settings\Fadumo\Application Data\Java\Deployment\cache\javapi\vi1.0\file\java.class
C:\Documents and settings\Abdullah\Application Data\Java\Deployment\cache\javapi\vi1.0\jar\crtdchgcn.jar
C:\Documents and settings\Fadumo\Application Data\Java\Deployment\cache\6.0\37\
C:\Documents and settings\Abdullah\Application Data\Java\Deployment\cache\6.0\16\
C:\Documents and settings\Barn\Lokala inställnngar\Tem\_c00604D2.exe
C:\Documents and settings\Barn\Lokala inställnngar\Tem\__c00604D2.exe

Sedan i Killbox: File - Paste from Clipboard

Tryck på ikonen med vitt kryss på röd botten (Delete).

Svara Ja på frågorna som kommer.

Om datorn inte startar om av sig själv så startar du om datorn.

Klistra in den logg som finns i mappen C:\!killbox.

 

Uppdatera MBAM och sök igenom datorn med det.

 

Länk till kommentar
Dela på andra webbplatser

Hej Cecilia!

Det kan låta lite amatörsmässigt av mig, men jag visste inte hur man packar upp zip filen så googlade istället efter programet gick in i hemsidan http://killbox.net/ och laddade ner programet därifrån (hoppas det blev rätt p) Ang det du skrev om att markera hela koden och paste from clipbord gick inte möttes av diagonal ruta: Emptay away!

 

Så gjorde istället så att jag klistade in raderna var för sig i Full path of file to delete samt följde instruktionerna i övrigt. Efter den röda delete knappen ---> ja, möttes jag av rutan PendingFileRenameOperations Registry Data has been Removed by External Process! Vilket ska vara helt i sin ordning om greppat rätt.

 

Efter omstart möttes jag dock direkt efter att jag loggat in i användarkontot av ett röd (!) (som tidigare ej sett/funnits) framför mitt avg antivirus (se bild) undrar vad det kan bero på? Här nedan bifogar jag i alla fall med killbox loggen.

 

[log]Pocket Killbox version

Running on Windows XP as Abdullahi(Administrator)

was started @ lördag, februari 14, 2009, 5:44 PM

 

Killbox Closed(Exit) @ 5:45:45 PM

__________________________________________________

 

Pocket Killbox version 2.0.0.881

Running on Windows XP as Abdullahi(Administrator)

was started @ lördag, februari 14, 2009, 5:46 PM

 

Killbox Closed(Exit) @ 5:49:49 PM

__________________________________________________

 

Pocket Killbox version 2.0.0.881

Running on Windows XP as Abdullahi(Administrator)

was started @ lördag, februari 14, 2009, 5:49 PM

 

Killbox Closed(Exit) @ 5:52:39 PM

__________________________________________________

 

Pocket Killbox version 2.0.0.881

Running on Windows XP as Abdullahi(Administrator)

was started @ lördag, februari 14, 2009, 5:52 PM

 

Killbox Closed(Exit) @ 5:54:00 PM

__________________________________________________

 

Pocket Killbox version 2.0.0.881

Running on Windows XP as Abdullahi(Administrator)

was started @ lördag, februari 14, 2009, 5:54 PM

 

# 1 [Delete on Reboot]

Path = C:\windows\temp\NT10032.ex

 

 

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 5:57:45 PM

# 2 [Delete on Reboot]

Path = C:\windows\temp\NT1B132.ex

 

 

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 5:59:32 PM

# 3 [Delete on Reboot]

Path = C:\Documents and settings\Fadumo\Application Data\Java\Deployment\cache\javapi\vi1.0\file\java.class

 

 

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 6:01:42 PM

# 4 [Delete on Reboot]

Path = C:\Documents and settings\Abdullah\Application Data\Java\Deployment\cache\javapi\vi1.0\jar\crtdchgcn.jar

 

 

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 6:05:37 PM

# 5 [Delete on Reboot]

Path = C:\Documents and settings\Fadumo\Application Data\Java\Deployment\cache\6.0\37

 

 

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 6:09:27 PM

# 6 [Delete on Reboot]

Path = C:\Documents and settings\Abdullah\Application Data\Java\Deployment\cache\6.0\16

 

 

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 6:13:24 PM

# 7 [Delete on Reboot]

Path = C:\Documents and settings\Barn\Lokala inställnngar\Tem\_c00604D2.exe

 

 

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 6:16:22 PM

# 8 [Delete on Reboot]

Path = C:\Documents and settings\Barn\Lokala inställnngar\Tem\__c00604D2.exe

 

 

PendingFileRenameOperations Registry Data has been Removed by External Process! @ 6:18:11 PM

Killbox Closed(Exit) @ 6:25:34 PM

__________________________________________________

 

Pocket Killbox version 2.0.0.881

Running on Windows XP as Abdullahi(Administrator)

was started @ lördag, februari 14, 2009, 8:33 PM

 

[/log]

 

[bild bifogad 2009-02-14 20:56:40 av windowsman]

1122924_thumb.jpg

Länk till kommentar
Dela på andra webbplatser

Det är en annan version är den jag länkade till så det är nog därför som min beskrivning inte stämmer.

 

Surfa till http://www.virustotal.com (fungerar bäst med Internet Explorer) klistra in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här. Upprepa med nästa filnamn.

C:\Windows\Temp\NT10032.exe

C:\Windows\Temp\NT1B132.exe

 

 

Länk till kommentar
Dela på andra webbplatser

Hej Cecilia!

Gjort exakt som du skrev, besökt hemsidan http://www.virustotal.com och skickat fil, dock mötts jag av den här felmedelandet. (se bild)?

 

För i övrigt har jag Malware scanningen blivit klar, och resultatet blev att den fann en trojan som den tog bort. Skickar logg på både Malware och HijackThiis. Undrar föresten om den killbox versionen jag laddade ner är en gammal vers vad tog den då bort?

 

 

[log]Malwarebytes' Anti-Malware 1.34

Database version: 1761

Windows 5.1.2600 Service Pack 2

 

2009-02-15 12:04:03

mbam-log-2009-02-15 (12-04-03).txt

 

Scan type: Full Scan (C:\|)

Objects scanned: 107709

Time elapsed: 1 hour(s), 53 minute(s), 8 second(s)

 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 1

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 0

 

Memory Processes Infected:

(No malicious items detected)

 

Memory Modules Infected:

(No malicious items detected)

 

Registry Keys Infected:

(No malicious items detected)

 

Registry Values Infected:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\svchost.exe (Trojan.Agent) -> Quarantined and deleted successfully.

 

Registry Data Items Infected:

(No malicious items detected)

 

Folders Infected:

(No malicious items detected)

 

Files Infected:

(No malicious items detected)

[/log]

 

 

 

[bild bifogad 2009-02-15 12:17:38 av windowsman]

1123007_thumb.jpg

Länk till kommentar
Dela på andra webbplatser

Bilden verkar lite klippt till vänster, vet du vad det ska stå där?

Blev det samma meddelande för båda filerna?

 

Starta om datorn och sök med MBAM igen (men det räcker bra med en snabbskanning, det behövs inte en full skanning). Klistra in loggen från den om något hittas och så en HijackThis-logg.

 

Skanna med Norton Internet Security scan så får vi se vad den hittar nu.

 

Länk till kommentar
Dela på andra webbplatser

[log]Malwarebytes' Anti-Malware 1.34

Databasversion: 1765

Windows 5.1.2600 Service Pack 2

 

2009-02-16 18:08:02

mbam-log-2009-02-16 (18-08-01).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 99305

Förfluten tid: 1 hour(s), 14 minute(s), 46 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

[/log]

 

 

[log]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:46:00, on 2009-02-15

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\AVG\AVG8\avgwdsvc.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\AVG\AVG8\avgrsx.exe

C:\Program\AVG\AVG8\avgemc.exe

C:\Program\AVG\AVG8\avgnsx.exe

C:\Program\AVG\AVG8\avgcsrvx.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\sistray.EXE

C:\WINDOWS\system32\khooker.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program\iTunes\iTunesHelper.exe

C:\Program\Java\jre6\bin\jusched.exe

C:\Program\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.svt.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program\AVG\AVG8\avgssie.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [siS Tray] C:\WINDOWS\system32\sistray.EXE

O4 - HKLM\..\Run: [siS KHooker] C:\WINDOWS\system32\khooker.exe

O4 - HKLM\..\Run: [siSUSBRG] C:\WINDOWS\sisUSBrg.exe

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [AVG8_TRAY] C:\Program\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-21-1645522239-790525478-725345543-1005\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Fadumo')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O4 - Global Startup: PalTalk.lnk = C:\Program\Paltalk Messenger\paltalk.exe

O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program\Paltalk Messenger\Paltalk.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab

O16 - DPF: {358DFA15-D48C-4296-8D16-7405F918333B} (Fronter OES2 release 21) - https://fronter.com/stockholm/links/fronter_oes2.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://javadl.sun.com/webapps/download/AutoDL?BundleId=26688

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgemc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgwdsvc.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

 

--

End of file - 5807 bytes

[/log]

 

[bild bifogad 2009-02-19 00:01:25 av windowsman]

1123936_thumb.jpg

Länk till kommentar
Dela på andra webbplatser

Bifogat både Malware och HijackThiis logg (se frg inlägg)

Och så här såg bilden du frågade om http://www.virustotal.com ut!

Hoppas det kan vara något till hjälp.

 

 

[bild bifogad 2009-02-19 00:03:20 av windowsman]

[inlägget ändrat 2009-02-19 00:05:29 av windowsman]

1123937_thumb.jpg

Länk till kommentar
Dela på andra webbplatser

Ladda ner ATF-Cleaner på Skrivbordet:

 

http://www.atribune.org/ccount/click.php?id=1

 

Stäng av alla andra program, särskilt viktigt att Internet Explorer är avstängd.

Dubbelklicka på ATF-Cleaner.exe för att starta programmet.

Bocka i allt utom det som gäller cookies. Tryck på Empty Selected.

 

Tryck på Exit i Main-menyn för att stänga programmet.

 

Starta om datorn och skanna med Norton Internet Security scan så får vi se vad den hittar nu.

 

Länk till kommentar
Dela på andra webbplatser

Stäng av alla program dubbelklickat på ATF - cleaner från skrivbordet bockat i allt utom det som gäller cookies efter en stund dröjesmål fick jag bekräftelse rutan följt exakt dom angivna instruktioner tryckt Exit i Main och startat om.

 

Det enda märkbara resultatet jag har märkt är att den totala storleken lokal disk ökat. Jag vet inte om kan vara något till hjälp men ATF - cleaner har endast nedladdats och körts från adminstratörs kontor. (Tagit för givet att atf även rensar dom andra kontorna) Dom andra kontorna är begränsade.

 

[bild bifogad 2009-02-22 21:51:25 av windowsman]

 

[inlägget ändrat 2009-02-22 22:10:18 av windowsman]

1124840_thumb.jpg

Länk till kommentar
Dela på andra webbplatser

Bra då var filerna i temp-mapparna borta. Du kan ta bort ATF-Cleaner nu.

 

Starta HijackThis

Tryck på Config - Misc Tools - Delete a file on reboot

Klistra in detta filnamn:

C:\Documents and settings\Fadumo\Application Data\Java\Deployment\cache\javapi\vi1.0\file\java.class

Open

Svara Yes/Ja på frågan om datorn ska startas om.

 

Upprepa på samma sätt med dessa två filer:

C:\Documents and settings\Fadumo\Application Data\Java\Deployment\cache\6.0\37\

C:\Documents and settings\Abdullah\Application Data\Java\Deployment\cache\6.0\16\

 

 

Länk till kommentar
Dela på andra webbplatser

Hej Cecilia!

 

Tack för inlägget. Följt instruktionerna (se bild) Dock hittar jag inte med Hijackthiis den aktuella sök vägen hur ska jag göra?

 

Gjorde även ett litet fel klick efter, när jag track på delete on reboot och klistrade in sökvägen C:\Documents and settings\Fadumo\Application Data\Java\Deployment\cache\6.0\37 hittades inte sökvägen! väl efter förkortades automatisk sökvägen till ''java.class'' jag råkade trycka på ok och då dök rutan Ja/nej ska datorn startas om. Så jag ställer frågan till dig, är rädd för att ha tagit bort något fel med hijackthiis, kan man veta om jag bort något vid det tillfället? Och kan det vara så att råkade ta bort något fel när jag beskriver här.

 

[bild bifogad 2009-02-25 20:39:36 av windowsman]

1125553_thumb.jpg

Länk till kommentar
Dela på andra webbplatser

Det är inte någon risk att ta bort en fil som heter java.class.

 

Det är också totalt ofarligt att ha de tre filer som Norton hittade i datorn, de körs inte utan ligger bara där, så om det är svårt att hitta dem så strunta i dem.

 

Länk till kommentar
Dela på andra webbplatser

Hej Cecilia!

 

Tack för att du stod ut och hjälpte mig så långt det gick. Undrar hur tar jag bort killbox och ATF - cleaner från skrivbordet? Dom finns inte med i lägg till/ ta bort program.

 

Ps. Jag har inte Norton, utan använder nätbaserade versionen för att dubbelkolla datorn. Finns det ingen möjlighet att ta bort dessa filer med avg?

 

[bild bifogad 2009-02-26 13:44:13 av windowsman]

1125688_thumb.jpg

Länk till kommentar
Dela på andra webbplatser

Undrar hur tar jag bort killbox och ATF - cleaner från skrivbordet?
Högerklicka på dem och välj att ta bort.

 

Finns det ingen möjlighet att ta bort dessa filer med avg?
Om inte AVG reagerar på filerna vid en genomsökning av datorn med AVG så kan inte du inte använda AVG för att ta bort filerna.

 

Du kan se om någon av filerna försvinner om du gör så här (som jag skrev i höstas när du frågade om samma filer):

Kontrollpanelen - Java

fliken Allmänt - Inställningar - Ta bort filer

Se till att båda rutorna är ibockade och tryck på OK

 

Länk till kommentar
Dela på andra webbplatser

  • 2 veckor senare...
windowsman

Hej Cecilia!

Tack för rådet och förresten för all hjälp. Gjort exakt som du skrev, (rensat bort java filerna) men det finns fotfarande ändå en som biter sig fast. Symantec virus scan visar det här, hur tar jag bort den sista?

 

[bild bifogad 2009-03-09 00:01:30 av windowsman]

1127975_thumb.jpg

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...