Just nu i M3-nätverket
Jump to content

Quicktime trojansk häst


TearDrop

Recommended Posts

Hej

 

Jag använder mig av musik programet "I-Tunes" när jag startade det idag sa mitt virusprogram (Norman) att "Quicktime" var drabbat av Trojansk häst.

 

Jag har gjort en virus scanning med Norman och allt pekar till Quicktime, blir många träffar.

 

Allt verkar lägga sig under nått som heter "W32/skintrim.YSK

Eller liknande.

 

Har endast drabbats av tjojansk häst en gång via msn, och då fick jag hjälp via detta forumet, då jag måste erkänna att jag vet inget om detta...

 

Detta visade Hijackthis (Vet ej om det är till hjälp, men kanske, hehe)

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:11:34, on 2009-02-19

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Norman\Npm\Bin\Elogsvc.exe

C:\Program\Norman\Npm\Bin\Zanda.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\Program\Delade filer\LogiShrd\LVCOMSER\LVComSer.exe

C:\Program\Delade filer\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\Program\Norman\Npf\BIN\NPFSVICE.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Canon\CAL\CALMAIN.exe

C:\Program\Norman\Npm\bin\NJEEVES.EXE

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\TBPanel.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program\Norman\Npm\bin\ZLH.EXE

C:\Program\Java\jre1.6.0_07\bin\jusched.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Delade filer\LogiShrd\LVCOMSER\LVComSer.exe

C:\Program\Norman\Npf\BIN\npfmsg2.exe

C:\Program\Norman\nse\bin\NSESVC.EXE

C:\Program\Norman\Nvc\BIN\NIP.EXE

C:\Program\Norman\Nvc\bin\nvcoas.exe

C:\Program\Norman\Nvc\BIN\NVCSCHED.EXE

C:\Program\Norman\Nvc\bin\cclaw.exe

C:\Program\Windows Live\Messenger\usnsvc.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

C:\WINDOWS\system32\wbem\wmiprvse.exe

 

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

F3 - REG:win.ini: run=

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [CmPCIaudio] RunDll32 CMICNFG3.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [Norman ZANDA] "C:\Program\Norman\Npm\bin\ZLH.EXE" /LOAD /SPLASH

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/pr01/resources/MSNPUpld.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1223299002015

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program\DELADE~1\Skype\SKYPE4~1.DLL

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: Canon Camera Access Library 8 (CCALib8) - Canon Inc. - C:\Program\Canon\CAL\CALMAIN.exe

O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\Program\Norman\Npm\Bin\Elogsvc.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: LVCOMSer - Logitech Inc. - C:\Program\Delade filer\LogiShrd\LVCOMSER\LVComSer.exe

O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program\Delade filer\LogiShrd\LVMVFM\LVPrcSrv.exe

O23 - Service: Norman NJeeves - Norman ASA - C:\Program\Norman\Npm\bin\NJEEVES.EXE

O23 - Service: Norman Type-R - Unknown owner - C:\Program\Norman\Npf\BIN\NPFSVICE.EXE

O23 - Service: Norman ZANDA - Norman ASA - C:\Program\Norman\Npm\Bin\Zanda.exe

O23 - Service: Norman Scanner Engine Service (nsesvc) - Norman ASA - C:\Program\Norman\nse\bin\NSESVC.EXE

O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Program\Norman\Nvc\bin\nvcoas.exe

O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\Program\Norman\Nvc\BIN\NVCSCHED.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

 

--

End of file - 6071 bytes[/log]

 

 

 

Link to comment
Share on other sites

Ladda ner programmet Malwarebytes Antimalware:

http://www.malwarebytes.org/mbam.php

Dubbelklicka på mbam-setup för att installera programmet,se till att

Uppdatera Malwarebytes Anti-malware är ibockat,Klicka på Slutför,

programmet uppdateras nu,,välj sedan Utför snabb skanning

 

När skanningen är klar,spara loggen som kommer upp i

Anteckningar och skicka sedan hit den.

[inlägget ändrat 2009-02-19 18:25:18 av Brynäsarn]

Link to comment
Share on other sites

Gjorde 2 scanningar, och båda var med resultatet att inget illasinnat var funnet

 

[log]Malwarebytes' Anti-Malware 1.34

Databasversion: 1778

Windows 5.1.2600 Service Pack 3

 

2009-02-19 18:20:35

mbam-log-2009-02-19 (18-20-35).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 58982

Förfluten tid: 1 minute(s), 53 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)[/log]

 

Det konstiga är att när jag klickar på "I-Tunes" får jag meddelandet att jag behöver reparera Quicktime... Jag har både ominstallerat och reparerat Quicktime, och då varnas jag av att det har en trojansk häst...

 

Vet inte hur jag ska bli av med den...

 

[bild bifogad 2009-02-19 18:27:21 av TearDrop]

1124110_thumb.jpg

Link to comment
Share on other sites

Kan du få fram hela sökvägen/platsen för filen? Det bör ju kunna framgå av någon logg eller av karantänen.

 

Link to comment
Share on other sites

En mängd adresser angående quicktime... Går inte att göra "fönstret" större så jag kan ta en bild av allt... Men alla "vägar" börjar och slutar på samma sätt så att säga...

 

 

 

[bild bifogad 2009-02-19 18:39:52 av TearDrop]

1124121_thumb.jpg

Link to comment
Share on other sites

Hmm, jag skulle gissa på falsklarm. Det verkar vara de mappar som innehåller de texter som visas i användargränssnittet, om jag jämför med min dator fast där heter de en.lproj (har engelsk version). Använd Normans formulär för att rapportera falsklarm:

http://www.norman.com/Support/fp/

 

Link to comment
Share on other sites

Tack för svaret :)

 

Då får jag hoppas att Norman kanske rättar till detta så det går att använda I-Tunes och Quicktimes igen :)

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...