Trojaner på datorn

[blitzgordon]

Hej alla! Jag har fått trojaner på datorn, fyra entries för att vara exakt. Allt enligt Spybot S&D.

Jag fick en varning för ett tag sedan, och använde spybot för att ta bort dem, men de har kommit tillbaka. Två av dem verkar jobba i internet explorer, som jag nästan aldrig använder, men det vore ändå skönt att ha en helt trojanfri dator. någon som vill hjälpa mig?

Bifogar en HJT-logg.

 

Trojanerna heter enligt Spybot:

 

Nebuler-BHO: 2entries

Zlob.Downloader.Miu: 2 entries (det står "trojansC" vid dem)

 

Jag har teatimer och den har inte gått igång vad jag sett, men de är registervärden resp. registernycklar.

Jag har även scannat datorn med AVG free 8, som inte säger sig hitta något.

Tack på förhand!

Hälsingar Kristoffer

 

 

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:31:52, on 2009-02-19

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\AVG\AVG8\avgwdsvc.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\WINDOWS\Explorer.EXE

C:\Program\AVG\AVG8\avgemc.exe

C:\Program\AVG\AVG8\avgrsx.exe

C:\Program\AVG\AVG8\avgnsx.exe

C:\Program\AVG\AVG8\avgcsrvx.exe

C:\Program\AVG\AVG8\avgcsrvx.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program\Google\Gmail Notifier\gnotify.exe

C:\Program\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\DAEMON Tools Lite\daemon.exe

C:\Program\Windows Live\Messenger\MsnMsgr.Exe

C:\Program\Spybot - Search & Destroy\TeaTimer.exe

C:\Program\MSI\DualCoreCenter\DualCoreCenter.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\Windows Live\Messenger\usnsvc.exe

C:\Program\uTorrent\uTorrent.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\iTunes\iTunes.exe

C:\Program\Last.fm\LastFM.exe

C:\Program\Spybot - Search & Destroy\SpybotSD.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program\AVG\AVG8\avgssie.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Program\AVG\AVG8\avgtoolbar.dll

O2 - BHO: D - {C553F7A7-DFBA-329A-AEB9-158E32152B60} - C:\WINDOWS\system32\xwr56633.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Program\AVG\AVG8\avgtoolbar.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [DelReg] C:\Program\MSI\DualCoreCenter\DelReg.exe

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AVG8_TRAY] C:\Program\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: DualCoreCenter.lnk = C:\Program\MSI\DualCoreCenter\StartUpDualCoreCenter.exe

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program\PokerStars\PokerStarsUpdate.exe (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgemc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgwdsvc.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

 

--

End of file - 6386 bytes

[/log]

 

[inlägget ändrat 2009-02-19 21:41:38 av blitzgordon]

[Laston]

Hej! Klart vi ska hjälpa dig att bli av med dina trojaner:)[log]Ladda ner Malwarebytes Anti-Malware (MBAM) från en av dessa länkar:

http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

http://projects.securitywonks.net/projects/details.php?file=158

Dubbelklicka på mbam-setup för att installera programmet.

 

Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj "Utför snabb skanning" och tryck på Skanna.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan "Visa resultat".

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.

Kopiera loggen och klistra in den i ditt svar tillsammans med en ny HijackThis-logg[/log]

 

[blitzgordon]

Wow, snabbt svar, tack!

 

Här kommer loggarna:

[log]Malwarebytes' Anti-Malware 1.34

Databasversion: 1779

Windows 5.1.2600 Service Pack 3

 

2009-02-19 22:06:04

mbam-log-2009-02-19 (22-06-04).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 58105

Förfluten tid: 2 minute(s), 28 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 5

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 2

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c553f7a7-dfba-329a-aeb9-158e32152b60} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{c553f7a7-dfba-329a-aeb9-158e32152b60} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\TypeLib\{bd4ca5f2-5e6a-3667-9ac3-6f7926b8170e} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{df46a818-57ba-3feb-8aec-c6fbe0f17d02} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{c553f7a7-dfba-329a-aeb9-158e32152b60} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\WINDOWS\system32\xwr56633.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\wr56633.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.

[/log]

 

 

och så HJT:

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:07:10, on 2009-02-19

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\AVG\AVG8\avgwdsvc.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\WINDOWS\Explorer.EXE

C:\Program\AVG\AVG8\avgemc.exe

C:\Program\AVG\AVG8\avgrsx.exe

C:\Program\AVG\AVG8\avgnsx.exe

C:\Program\AVG\AVG8\avgcsrvx.exe

C:\Program\AVG\AVG8\avgcsrvx.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program\Google\Gmail Notifier\gnotify.exe

C:\Program\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\DAEMON Tools Lite\daemon.exe

C:\Program\Windows Live\Messenger\MsnMsgr.Exe

C:\Program\Spybot - Search & Destroy\TeaTimer.exe

C:\Program\MSI\DualCoreCenter\DualCoreCenter.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\Windows Live\Messenger\usnsvc.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\iTunes\iTunes.exe

C:\Program\Last.fm\LastFM.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program\AVG\AVG8\avgssie.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Program\AVG\AVG8\avgtoolbar.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Program\AVG\AVG8\avgtoolbar.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [DelReg] C:\Program\MSI\DualCoreCenter\DelReg.exe

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AVG8_TRAY] C:\Program\AVG\AVG8\avgtray.exe

O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: DualCoreCenter.lnk = C:\Program\MSI\DualCoreCenter\StartUpDualCoreCenter.exe

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program\PokerStars\PokerStarsUpdate.exe (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgemc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgwdsvc.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

 

--

End of file - 6364 bytes

[/log]

 

[Laston]

Trojaner vill man inte ha längre än nödvändigt så vi kör med snabba puckar här:)

 

Skanna med HijackThis och bocka för:

O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program\PokerStars\PokerStarsUpdate.exe (file missing)

 

Avsluta alla andra program.

Tryck Fix checked.

 

Starta sen om datorn och gör en ny scan med Malwarebytes och klistra in den loggan här så får vi se hur det ser ut!

Mvh Laston

 

[blitzgordon]

Fixy fixy!

 

Här kommer en Malwarelogg:

 

[log]Malwarebytes' Anti-Malware 1.34

Databasversion: 1779

Windows 5.1.2600 Service Pack 3

 

2009-02-19 22:27:43

mbam-log-2009-02-19 (22-27-43).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 57851

Förfluten tid: 3 minute(s), 11 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

[/log]

 

och en HJT-logg:

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:28:48, on 2009-02-19

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\AVG\AVG8\avgwdsvc.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\Program\AVG\AVG8\avgemc.exe

C:\Program\AVG\AVG8\avgrsx.exe

C:\Program\AVG\AVG8\avgnsx.exe

C:\Program\AVG\AVG8\avgcsrvx.exe

C:\WINDOWS\Explorer.EXE

C:\Program\AVG\AVG8\avgcsrvx.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program\Google\Gmail Notifier\gnotify.exe

C:\Program\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\DAEMON Tools Lite\daemon.exe

C:\Program\Windows Live\Messenger\MsnMsgr.Exe

C:\Program\Spybot - Search & Destroy\TeaTimer.exe

C:\Program\MSI\DualCoreCenter\DualCoreCenter.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\Windows Live\Messenger\usnsvc.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Malwarebytes' Anti-Malware\mbam.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program\AVG\AVG8\avgssie.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Program\AVG\AVG8\avgtoolbar.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Program\AVG\AVG8\avgtoolbar.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [DelReg] C:\Program\MSI\DualCoreCenter\DelReg.exe

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AVG8_TRAY] C:\Program\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: DualCoreCenter.lnk = C:\Program\MSI\DualCoreCenter\StartUpDualCoreCenter.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgemc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgwdsvc.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

 

--

End of file - 6067 bytes

[/log]

 

Pokerstars hade inte så mycket med trojanerna antar göra antar jag? Jag flyttade pokerstars till en annan hårddisk för ett tag sen, det kan nog ha varit det.

Malwarebytes gjorde en registerändring enligt Teatimer, vilket jag antar är ok?

 

Körde dock även en Spybot-scan, och den visar att jag fortfarande har NEbuler.BHO. De andra trojanerna är borta dock!

 

[Laston]

Hej! Nej pokerstars var bara lite skräp som vi städade bort! Stäng av TeaTimer så att den inte stör kommande process![log]Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

I ditt svar bifogar du ComboFix-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

[/log]

 

[blitzgordon]

Ok, sagt och gjort!

 

[log]ComboFix 09-02-18.01 - Kristoffer Carlsson 2009-02-19 23:02:01.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1053.18.2047.1573 [GMT 1:00]

Körs från: c:\documents and settings\Kristoffer Carlsson\Skrivbord\ComboFix.exe

AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated)

* Skapade en ny återställningspunkt

.

 

(((((((((((((((((((((((( Filer Skapade från 2009-01-19 till 2009-02-19 ))))))))))))))))))))))))))))))

.

 

2009-02-19 22:02 . 2009-02-19 22:02 <KAT> d-------- c:\program\Malwarebytes' Anti-Malware

2009-02-19 22:02 . 2009-02-19 22:02 <KAT> d-------- c:\documents and settings\Kristoffer Carlsson\Application Data\Malwarebytes

2009-02-19 22:02 . 2009-02-19 22:02 <KAT> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-02-19 22:02 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-19 22:02 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-02-18 17:44 . 2009-02-18 17:44 5,488,640 --a------ c:\windows\system32\xa9920890.exe

2009-02-18 17:44 . 2009-02-18 17:44 5,488,640 --a------ c:\windows\system32\xa9920640.exe

2009-02-17 16:11 . 2009-02-19 22:38 <KAT> d-------- c:\windows\system32\drivers\Avg

2009-02-17 16:11 . 2009-02-17 16:11 <KAT> d-------- c:\program\AVG

2009-02-17 16:11 . 2009-02-17 16:17 <KAT> d-------- c:\documents and settings\Kristoffer Carlsson\Application Data\AVGTOOLBAR

2009-02-17 16:11 . 2009-02-17 16:11 325,128 --a------ c:\windows\system32\drivers\avgldx86.sys

2009-02-17 16:11 . 2009-02-17 16:11 107,272 --a------ c:\windows\system32\drivers\avgtdix.sys

2009-02-17 16:11 . 2009-02-17 16:11 10,520 --a------ c:\windows\system32\avgrsstx.dll

2009-02-15 13:57 . 2009-02-15 13:57 5,488,640 --a------ c:\windows\system32\xa1908125.exe

2009-02-15 13:57 . 2009-02-15 13:57 5,488,640 --a------ c:\windows\system32\xa1907750.exe

2009-02-12 03:35 . 2009-02-12 03:35 <KAT> d--h----- c:\windows\PIF

2009-02-08 12:10 . 2009-02-08 12:10 5,488,640 --a------ c:\windows\system32\xa2251156.exe

2009-02-08 12:10 . 2009-02-08 12:10 5,488,640 --a------ c:\windows\system32\xa2250937.exe

2009-02-05 22:28 . 2009-02-05 22:28 <KAT> d-------- c:\documents and settings\Kristoffer Carlsson\Application Data\Uniblue

2009-02-05 12:15 . 2009-02-05 12:15 5,488,640 --a------ c:\windows\system32\xa1017078.exe

2009-02-05 12:15 . 2009-02-05 12:15 5,488,640 --a------ c:\windows\system32\xa1016703.exe

2009-01-19 17:26 . 2009-01-19 17:26 <KAT> d-------- c:\program\Trend Micro

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-19 21:00 --------- d-----w c:\documents and settings\Kristoffer Carlsson\Application Data\uTorrent

2009-02-18 17:55 --------- d-----w c:\documents and settings\Kristoffer Carlsson\Application Data\Spotify

2009-02-17 15:11 --------- d-----w c:\documents and settings\All Users\Application Data\avg8

2009-02-12 12:06 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-02-09 16:05 --------- d-----w c:\documents and settings\Kristoffer Carlsson\Application Data\dvdcss

2009-01-26 11:10 --------- d-----w c:\documents and settings\Kristoffer Carlsson\Application Data\vlc

2009-01-04 15:18 --------- d-----w c:\program\mediaplayerclassic

2008-12-31 18:38 --------- d-----w c:\program\Spotify

2008-12-31 15:56 5,488,640 ----a-w c:\windows\system32\xa13884390.exe

2008-12-31 15:56 5,488,640 ----a-w c:\windows\system32\xa13884156.exe

2008-12-31 12:36 22,328 ----a-w c:\windows\system32\drivers\PnkBstrK.sys

2008-12-31 12:36 22,328 ----a-w c:\documents and settings\Kristoffer Carlsson\Application Data\PnkBstrK.sys

2008-12-31 12:35 66,872 ----a-w c:\windows\system32\PnkBstrA.exe

2008-12-31 12:35 2,250,024 ----a-w c:\windows\system32\pbsvc.exe

2008-12-31 12:35 107,832 ----a-w c:\windows\system32\PnkBstrB.exe

2008-12-31 12:31 --------- d--h--w c:\program\InstallShield Installation Information

2008-12-31 12:13 107,888 ----a-w c:\windows\system32\CmdLineExt.dll

2008-12-30 16:58 5,488,640 ----a-w c:\windows\system32\xa81066140.exe

2008-12-30 16:58 5,488,640 ----a-w c:\windows\system32\xa81065750.exe

2008-12-21 14:04 5,488,640 ----a-w c:\windows\system32\xa4077343.exe

2008-12-21 14:04 5,488,640 ----a-w c:\windows\system32\xa4077125.exe

2008-12-20 23:03 826,368 ----a-w c:\windows\system32\wininet.dll

2008-12-20 12:49 5,488,640 ----a-w c:\windows\system32\xa156937.exe

2008-12-20 12:49 5,488,640 ----a-w c:\windows\system32\xa156718.exe

2008-12-19 15:58 5,488,640 ----a-w c:\windows\system32\xa447890.exe

2008-12-19 15:58 5,488,640 ----a-w c:\windows\system32\xa447437.exe

2008-12-16 08:12 499,712 ----a-w c:\windows\system32\msvcp71.dll

2008-12-16 08:12 348,160 ----a-w c:\windows\system32\msvcr71.dll

2008-12-13 17:01 5,488,640 ----a-w c:\windows\system32\xa12811671.exe

2008-12-13 17:01 5,488,640 ----a-w c:\windows\system32\xa12811421.exe

2008-12-13 16:15 5,488,640 ----a-w c:\windows\system32\xa10011765.exe

2008-12-13 16:15 5,488,640 ----a-w c:\windows\system32\xa10011406.exe

2008-12-12 22:04 5,488,640 ----a-w c:\windows\system32\xa75140.exe

2008-12-12 22:04 5,488,640 ----a-w c:\windows\system32\xa74843.exe

2008-12-12 16:49 5,488,640 ----a-w c:\windows\system32\xa6261828.exe

2008-12-12 16:49 5,488,640 ----a-w c:\windows\system32\xa6261531.exe

2008-12-10 16:46 5,488,640 ----a-w c:\windows\system32\xa11299593.exe

2008-12-10 16:46 5,488,640 ----a-w c:\windows\system32\xa11299375.exe

2008-12-07 15:52 5,488,640 ----a-w c:\windows\system32\xa170921.exe

2008-12-07 15:52 5,488,640 ----a-w c:\windows\system32\xa170562.exe

2008-12-02 09:13 453,152 ----a-w c:\windows\system32\NVUNINST.EXE

2008-12-01 21:44 5,488,640 ----a-w c:\windows\system32\xa13584890.exe

2008-12-01 21:44 5,488,640 ----a-w c:\windows\system32\xa13584671.exe

2008-11-30 17:50 5,488,640 ----a-w c:\windows\system32\xa19301937.exe

2008-11-30 17:50 5,488,640 ----a-w c:\windows\system32\xa19301718.exe

2008-11-30 17:49 5,488,640 ----a-w c:\windows\system32\xa19202968.exe

2008-11-30 17:49 5,488,640 ----a-w c:\windows\system32\xa19202734.exe

2008-11-30 15:37 5,488,640 ----a-w c:\windows\system32\xa11299281.exe

2008-11-30 15:37 5,488,640 ----a-w c:\windows\system32\xa11298828.exe

2008-11-30 15:36 5,488,640 ----a-w c:\windows\system32\xa11253640.exe

2008-11-30 15:36 5,488,640 ----a-w c:\windows\system32\xa11253406.exe

2008-11-30 15:15 5,488,640 ----a-w c:\windows\system32\xa9955656.exe

2008-11-30 15:15 5,488,640 ----a-w c:\windows\system32\xa9955421.exe

2008-11-30 13:33 5,488,640 ----a-w c:\windows\system32\xa3849187.exe

2008-11-30 13:33 5,488,640 ----a-w c:\windows\system32\xa3848968.exe

2008-11-30 13:29 5,488,640 ----a-w c:\windows\system32\xa3597953.exe

2008-11-30 13:29 5,488,640 ----a-w c:\windows\system32\xa3597734.exe

2008-11-30 13:08 5,488,640 ----a-w c:\windows\system32\xa2365703.exe

2008-11-30 13:08 5,488,640 ----a-w c:\windows\system32\xa2365468.exe

2008-11-30 12:58 5,488,640 ----a-w c:\windows\system32\xa1741234.exe

2008-11-30 12:58 5,488,640 ----a-w c:\windows\system32\xa1741015.exe

2008-11-30 12:54 5,488,640 ----a-w c:\windows\system32\xa1504062.exe

2008-11-30 12:54 5,488,640 ----a-w c:\windows\system32\xa1503843.exe

2008-11-30 12:25 5,488,640 ----a-w c:\windows\system32\xa803531.exe

2008-11-30 12:25 5,488,640 ----a-w c:\windows\system32\xa803281.exe

2008-11-30 12:24 5,488,640 ----a-w c:\windows\system32\xa720640.exe

2008-11-30 12:24 5,488,640 ----a-w c:\windows\system32\xa720406.exe

2008-11-30 12:23 5,488,640 ----a-w c:\windows\system32\xa652296.exe

2008-11-30 12:23 5,488,640 ----a-w c:\windows\system32\xa652078.exe

2008-11-30 12:16 5,488,640 ----a-w c:\windows\system32\xa264812.exe

2008-11-30 12:16 5,488,640 ----a-w c:\windows\system32\xa264453.exe

.

 

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"DAEMON Tools Lite"="c:\program\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]

"MsnMsgr"="c:\program\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"SpybotSD TeaTimer"="c:\program\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DelReg"="c:\program\MSI\DualCoreCenter\DelReg.exe" [2008-05-13 196608]

"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="c:\program\Google\Gmail Notifier\gnotify.exe" [2005-07-15 479232]

"Adobe Reader Speed Launcher"="c:\program\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"iTunesHelper"="c:\program\iTunes\iTunesHelper.exe" [2008-11-20 290088]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-02 86016]

"QuickTime Task"="c:\program\QuickTime\QTTask.exe" [2008-09-06 413696]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-02 13680640]

"AVG8_TRAY"="c:\program\AVG\AVG8\avgtray.exe" [2009-02-17 1601304]

"RTHDCPL"="RTHDCPL.EXE" [2008-07-03 c:\windows\RTHDCPL.exe]

"nwiz"="nwiz.exe" [2008-12-02 c:\windows\system32\nwiz.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Start-meny\Program\AutostartDualCoreCenter.lnk - c:\program\MSI\DualCoreCenter\StartUpDualCoreCenter.exe [2008-11-14 192512]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-02-17 16:11 10520 c:\windows\system32\avgrsstx.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program\\uTorrent\\uTorrent.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"d:\\installerade spel\\Call of Duty - World at War\\CoDWaWmp.exe"=

"d:\\installerade spel\\Call of Duty - World at War\\CoDWaW.exe"=

"c:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program\\Bonjour\\mDNSResponder.exe"=

"c:\\Program\\iTunes\\iTunes.exe"=

"c:\\WINDOWS\\system32\\xa264453.exe"=

"c:\\WINDOWS\\system32\\xa652078.exe"=

"c:\\WINDOWS\\system32\\xa720406.exe"=

"c:\\WINDOWS\\system32\\xa803281.exe"=

"c:\\WINDOWS\\system32\\xa1503843.exe"=

"c:\\WINDOWS\\system32\\xa1741015.exe"=

"c:\\WINDOWS\\system32\\xa2365468.exe"=

"c:\\WINDOWS\\system32\\xa3597734.exe"=

"c:\\WINDOWS\\system32\\xa3848968.exe"=

"c:\\WINDOWS\\system32\\xa9955421.exe"=

"c:\\WINDOWS\\system32\\xa11298828.exe"=

"d:\\installerade spel\\Left4dead\\left4dead.exe"=

"c:\\WINDOWS\\system32\\xa19202734.exe"=

"c:\\WINDOWS\\system32\\xa19301718.exe"=

"c:\\WINDOWS\\system32\\xa170562.exe"=

"c:\\WINDOWS\\system32\\xa11299375.exe"=

"c:\\WINDOWS\\system32\\xa6261531.exe"=

"c:\\WINDOWS\\system32\\xa74843.exe"=

"d:\\installerade spel\\DoD4 - Modern Warfare\\iw3mp.exe"=

"d:\\installerade spel\\CS Source\\Counter-Strike Source\\hl2.exe"=

"c:\\WINDOWS\\system32\\xa10011406.exe"=

"c:\\WINDOWS\\system32\\xa12811421.exe"=

"d:\\installerade spel\\tf2\\hl2.exe"=

"d:\\installerade spel\\Call of Duty 2\\CoD2MP_s.exe"=

"c:\\Program\\Mozilla Firefox\\firefox.exe"=

"c:\\WINDOWS\\system32\\xa447437.exe"=

"c:\\WINDOWS\\system32\\xa156718.exe"=

"c:\\WINDOWS\\system32\\xa4077125.exe"=

"c:\\WINDOWS\\system32\\xa81065750.exe"=

"d:\\installerade spel\\Far Cry2\\Far Cry 2\\bin\\FarCry2.exe"=

"d:\\installerade spel\\Far Cry2\\Far Cry 2\\bin\\FC2Launcher.exe"=

"d:\\installerade spel\\Far Cry2\\Far Cry 2\\bin\\FC2Editor.exe"=

"c:\\WINDOWS\\system32\\xa13884156.exe"=

"c:\\Program\\Spotify\\spotify.exe"=

"c:\\WINDOWS\\system32\\xa1016703.exe"=

"c:\\WINDOWS\\system32\\xa2250937.exe"=

"c:\\Program\\AVG\\AVG8\\avgemc.exe"=

"c:\\Program\\AVG\\AVG8\\avgupd.exe"=

"c:\\Program\\AVG\\AVG8\\avgnsx.exe"=

"c:\\WINDOWS\\system32\\xa9920640.exe"=

 

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-02-17 325128]

R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-02-17 107272]

R2 avg8emc;AVG Free8 E-mail Scanner;c:\program\AVG\AVG8\avgemc.exe [2009-02-17 903960]

R2 avg8wd;AVG Free8 WatchDog;c:\program\AVG\AVG8\avgwdsvc.exe [2009-02-17 298264]

R3 DualCoreCenter;DualCoreCenter;c:\program\MSI\DualCoreCenter\NTGLM7X.sys [2008-11-14 28160]

R3 RushTopDevice2;RushTopDevice2;c:\program\MSI\DualCoreCenter\RushTop.sys [2008-11-14 54784]

.

Innehållet i mappen 'Schemalagda aktiviteter':

 

2009-02-16 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

.

.

------- Extra genomsökning -------

.

uStart Page = hxxp://www.google.com/

uInternet Settings,ProxyOverride = *.local

FF - ProfilePath - c:\documents and settings\Kristoffer Carlsson\Application Data\Mozilla\Firefox\Profiles\d0ow3znv.defaultFF - prefs.js: browser.startup.homepage - hxxp://www.google.com

FF - component: c:\program\AVG\AVG8\Firefox\components\avgssff.dll

FF - component: c:\program\AVG\AVG8\ToolbarFF\components\vmAVGConnector.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

 

---- FIREFOX POLICY ----

c:\program\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-19 23:02:52

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

 

[HKEY_USERS\S-1-5-21-2025429265-308236825-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:c3,6d,e1,e9,01,1c,2f,38,32,f8,87,fd,b9,28,fa,2c,ea,b1,08,fc,fb,3c,1b,

f9,7a,48,59,60,f5,d8,7f,e5,9c,9c,21,f6,a6,74,40,5f,7d,9b,03,ea,2f,d3,e2,c4,"??"=hex:d7,07,89,ff,1c,fa,ac,df,df,c8,42,63,be,27,74,23

 

[HKEY_USERS\S-1-5-21-2025429265-308236825-839522115-1003\Software\SecuROM\License information*]

"datasecu"=hex:38,4b,b3,1d,85,a9,ec,62,f3,3c,bf,c6,5e,56,2d,c6,08,21,f5,28,83,

74,15,ad,6d,f1,f2,35,d3,29,e4,df,e6,78,bb,e1,e9,72,3b,ae,b8,a9,d9,3b,77,64,"rkeysecu"=hex:fe,72,fc,9c,34,74,4b,ec,cb,5b,d1,e8,6a,04,89,f2

.

Sluttid: 2009-02-19 23:03:44

ComboFix-quarantined-files.txt 2009-02-19 22:03:42

 

Före genomsökningen: 26 526 392 320 byte ledigt

Efter genomsökningen: 26,760,982,528 byte ledigt

 

WindowsXP-KB310994-SP2-Pro-BootDisk-SVE.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 

242 --- E O F --- 2009-02-13 17:31:10

[/log]

 

[Laston]

Hmm hur länge har du haft problem med denna dator egentligen?

 

Surfa till http://www.virustotal.com (fungerar bäst med Internet Explorer) klistra in ett av följande filnamn i rutan,

c:\windows\system32\xa264453.exe

c:\windows\system32\xa264812.exe

tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här. Upprepa med nästa filnamn.

 

[blitzgordon]

Det låter som ett stort problem, vad har du hittat?

 

Vad är virustotal för nåt, massa felstavade ord och sånt på sidan?

EDIT: jag googlade sidan, och det verkar vara en bra sida, felstavningar till trots.

 

Jag har inte haft några driftproblem med datorn, och trojanerna har jag haft i kanske två veckor tror jag.

[inlägget ändrat 2009-02-19 23:27:48 av blitzgordon]

[Laston]

Ja du har ju en jäkla massa misstänkta filer som är sen slutet av november i datorn! virustotal är en sida där man kan låta alla olika antivirusprogram skanna misstänkta filer,kopiera sökvägen som jag skrivit och klistra in det i rutan och sen klicka på send file

 

[blitzgordon]

Ok, första filen: Fil CoDWaW_LANFixed.exe

Man kanske inte ska bli så förvånad att en exefil som laddades ner på ett Lanparty inte är så bra. My bad, antar jag.

 

Slutet av november, det stämmer överens med när vi hade Lanparty och spelade CoD5 ja...

 

Filen:c:\windows\system32\xa264812.exe

 

[log]Antivirus Version Senaste Uppdatering Resultat

a-squared 4.0.0.93 2009.02.09 -

AhnLab-V3 5.0.0.2 2009.02.09 -

AntiVir 7.9.0.76 2009.02.09 -

Authentium 5.1.0.4 2009.02.08 -

Avast 4.8.1335.0 2009.02.09 -

AVG 8.0.0.229 2009.02.09 -

BitDefender 7.2 2009.02.09 -

CAT-QuickHeal 10.00 2009.02.09 -

ClamAV 0.94.1 2009.02.09 -

Comodo 972 2009.02.09 -

DrWeb 4.44.0.09170 2009.02.09 -

eSafe 7.0.17.0 2009.02.09 -

eTrust-Vet 31.6.6347 2009.02.09 -

F-Prot 4.4.4.56 2009.02.09 -

F-Secure 8.0.14470.0 2009.02.09 -

Fortinet 3.117.0.0 2009.02.09 -

GData 19 2009.02.09 -

Ikarus T3.1.1.45.0 2009.02.09 -

K7AntiVirus 7.10.624 2009.02.09 -

Kaspersky 7.0.0.125 2009.02.09 -

McAfee 5520 2009.02.08 -

McAfee+Artemis 5521 2009.02.09 -

Microsoft 1.4306 2009.02.09 -

NOD32 3839 2009.02.09 -

Norman 6.00.02 2009.02.09 -

nProtect 2009.1.8.0 2009.02.09 -

Panda 9.5.1.2 2009.02.09 -

PCTools 4.4.2.0 2009.02.09 -

Prevx1 V2 2009.02.09 -

Rising 21.15.50.00 2009.02.07 -

SecureWeb-Gateway 6.7.6 2009.02.09 -

Sophos 4.38.0 2009.02.09 -

Sunbelt 3.2.1847.2 2009.02.07 VIPRE.Suspicious

Symantec 10 2009.02.09 -

TheHacker 6.3.1.5.250 2009.02.09 -

TrendMicro 8.700.0.1004 2009.02.09 -

VBA32 3.12.8.12 2009.02.08 -

ViRobot 2009.2.9.1596 2009.02.09 -

VirusBuster 4.5.11.0 2009.02.09 -

 

[/log]

 

nästa fil: c:\windows\system32\xa264453.exe

 

 

[log]Antivirus Version Senaste Uppdatering Resultat

a-squared 4.0.0.93 2009.02.09 -

AhnLab-V3 5.0.0.2 2009.02.09 -

AntiVir 7.9.0.76 2009.02.09 -

Authentium 5.1.0.4 2009.02.08 -

Avast 4.8.1335.0 2009.02.09 -

AVG 8.0.0.229 2009.02.09 -

BitDefender 7.2 2009.02.09 -

CAT-QuickHeal 10.00 2009.02.09 -

ClamAV 0.94.1 2009.02.09 -

Comodo 972 2009.02.09 -

DrWeb 4.44.0.09170 2009.02.09 -

eSafe 7.0.17.0 2009.02.09 -

eTrust-Vet 31.6.6347 2009.02.09 -

F-Prot 4.4.4.56 2009.02.09 -

F-Secure 8.0.14470.0 2009.02.09 -

Fortinet 3.117.0.0 2009.02.09 -

GData 19 2009.02.09 -

Ikarus T3.1.1.45.0 2009.02.09 -

K7AntiVirus 7.10.624 2009.02.09 -

Kaspersky 7.0.0.125 2009.02.09 -

McAfee 5520 2009.02.08 -

McAfee+Artemis 5521 2009.02.09 -

Microsoft 1.4306 2009.02.09 -

NOD32 3839 2009.02.09 -

Norman 6.00.02 2009.02.09 -

nProtect 2009.1.8.0 2009.02.09 -

Panda 9.5.1.2 2009.02.09 -

PCTools 4.4.2.0 2009.02.09 -

Prevx1 V2 2009.02.09 -

Rising 21.15.50.00 2009.02.07 -

SecureWeb-Gateway 6.7.6 2009.02.09 -

Sophos 4.38.0 2009.02.09 -

Sunbelt 3.2.1847.2 2009.02.07 VIPRE.Suspicious

Symantec 10 2009.02.09 -

TheHacker 6.3.1.5.250 2009.02.09 -

TrendMicro 8.700.0.1004 2009.02.09 -

VBA32 3.12.8.12 2009.02.08 -

ViRobot 2009.2.9.1596 2009.02.09 -

VirusBuster 4.5.11.0 2009.02.09 -

[/log]

 

[blitzgordon]

Båda två är alltså en LAN-crack till Call of Duty 5, kanske läge att ta bort det programmet eller?

 

[Laston]

ja det skulle jag vilja påstå! Återkommer strax med en procedur när jag är färdig med din combologga

 

[Laston]

Jo tjena inga problem va,kolla detta skript så kanske du har en annan uppfattning sen[log]Kopiera alla rader i rutan (använd markera kod)

File::
c:\windows\system32\xa9920890.exe
c:\windows\system32\xa9920640.exe
c:\windows\system32\xa1908125.exe
c:\windows\system32\xa1907750.exe
c:\windows\system32\xa2251156.exe
c:\windows\system32\xa2250937.exe
c:\windows\system32\xa1017078.exe
c:\windows\system32\xa1016703.exe
c:\windows\system32\xa13884390.exe
c:\windows\system32\xa13884156.exe
c:\windows\system32\xa81066140.exe
c:\windows\system32\xa81065750.exe
c:\windows\system32\xa4077343.exe
c:\windows\system32\xa4077125.exe
c:\windows\system32\xa156937.exe
c:\windows\system32\xa156718.exe
c:\windows\system32\xa447890.exe
c:\windows\system32\xa447437.exe
c:\windows\system32\xa12811671.exe
c:\windows\system32\xa12811421.exe
c:\windows\system32\xa10011765.exe
c:\windows\system32\xa10011406.exe
c:\windows\system32\xa75140.exe
c:\windows\system32\xa74843.exe
c:\windows\system32\xa6261828.exe
c:\windows\system32\xa6261531.exe
c:\windows\system32\xa11299593.exe
c:\windows\system32\xa11299375.exe
c:\windows\system32\xa170921.exe
c:\windows\system32\xa170562.exe
c:\windows\system32\xa13584890.exe
c:\windows\system32\xa13584671.exe
c:\windows\system32\xa19301937.exe
c:\windows\system32\xa19301718.exe
c:\windows\system32\xa19202968.exe
c:\windows\system32\xa19202734.exe
c:\windows\system32\xa11299281.exe
c:\windows\system32\xa11298828.exe
c:\windows\system32\xa11253640.exe
c:\windows\system32\xa11253406.exe
c:\windows\system32\xa9955656.exe
c:\windows\system32\xa9955421.exe
c:\windows\system32\xa3849187.exe
c:\windows\system32\xa3848968.exe
c:\windows\system32\xa3597953.exe
c:\windows\system32\xa3597734.exe
c:\windows\system32\xa2365703.exe
c:\windows\system32\xa2365468.exe
c:\windows\system32\xa1741234.exe
c:\windows\system32\xa1741015.exe
c:\windows\system32\xa1504062.exe
c:\windows\system32\xa1503843.exe
c:\windows\system32\xa803531.exe
c:\windows\system32\xa803281.exe
c:\windows\system32\xa720640.exe
c:\windows\system32\xa720406.exe
c:\windows\system32\xa652296.exe
c:\windows\system32\xa652078.exe
c:\windows\system32\xa264812.exe
c:\windows\system32\xa264453.exe

och klistra in i Anteckningar.

Spara filen på Skrivbordet med namnet CFScript.

 

Förbered datorn på samma sätt som tidigare för ComboFix.

Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.

Klistra in loggen som kommer ut och en ny HijackThis-logg.

[/log]

 

[blitzgordon]

Ok, här kommer grejerna. Vill återigen tacka för all hjälp, mycket uppskattat!

 

CFlogg:

[log]ComboFix 09-02-18.01 - Kristoffer Carlsson 2009-02-20 0:05:13.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1053.18.2047.1560 [GMT 1:00]

Körs från: c:\documents and settings\Kristoffer Carlsson\Skrivbord\ComboFix.exe

Använda kommandoväxlar :: c:\documents and settings\Kristoffer Carlsson\Skrivbord\CFScript.txt

AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated)

* Skapade en ny återställningspunkt

 

FILE ::

c:\windows\system32\xa10011406.exe

c:\windows\system32\xa10011765.exe

c:\windows\system32\xa1016703.exe

c:\windows\system32\xa1017078.exe

c:\windows\system32\xa11253406.exe

c:\windows\system32\xa11253640.exe

c:\windows\system32\xa11298828.exe

c:\windows\system32\xa11299281.exe

c:\windows\system32\xa11299375.exe

c:\windows\system32\xa11299593.exe

c:\windows\system32\xa12811421.exe

c:\windows\system32\xa12811671.exe

c:\windows\system32\xa13584671.exe

c:\windows\system32\xa13584890.exe

c:\windows\system32\xa13884156.exe

c:\windows\system32\xa13884390.exe

c:\windows\system32\xa1503843.exe

c:\windows\system32\xa1504062.exe

c:\windows\system32\xa156718.exe

c:\windows\system32\xa156937.exe

c:\windows\system32\xa170562.exe

c:\windows\system32\xa170921.exe

c:\windows\system32\xa1741015.exe

c:\windows\system32\xa1741234.exe

c:\windows\system32\xa1907750.exe

c:\windows\system32\xa1908125.exe

c:\windows\system32\xa19202734.exe

c:\windows\system32\xa19202968.exe

c:\windows\system32\xa19301718.exe

c:\windows\system32\xa19301937.exe

c:\windows\system32\xa2250937.exe

c:\windows\system32\xa2251156.exe

c:\windows\system32\xa2365468.exe

c:\windows\system32\xa2365703.exe

c:\windows\system32\xa264453.exe

c:\windows\system32\xa264812.exe

c:\windows\system32\xa3597734.exe

c:\windows\system32\xa3597953.exe

c:\windows\system32\xa3848968.exe

c:\windows\system32\xa3849187.exe

c:\windows\system32\xa4077125.exe

c:\windows\system32\xa4077343.exe

c:\windows\system32\xa447437.exe

c:\windows\system32\xa447890.exe

c:\windows\system32\xa6261531.exe

c:\windows\system32\xa6261828.exe

c:\windows\system32\xa652078.exe

c:\windows\system32\xa652296.exe

c:\windows\system32\xa720406.exe

c:\windows\system32\xa720640.exe

c:\windows\system32\xa74843.exe

c:\windows\system32\xa75140.exe

c:\windows\system32\xa803281.exe

c:\windows\system32\xa803531.exe

c:\windows\system32\xa81065750.exe

c:\windows\system32\xa81066140.exe

c:\windows\system32\xa9920640.exe

c:\windows\system32\xa9920890.exe

c:\windows\system32\xa9955421.exe

c:\windows\system32\xa9955656.exe

.

 

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\xa10011406.exe

c:\windows\system32\xa10011765.exe

c:\windows\system32\xa1016703.exe

c:\windows\system32\xa1017078.exe

c:\windows\system32\xa11253406.exe

c:\windows\system32\xa11253640.exe

c:\windows\system32\xa11298828.exe

c:\windows\system32\xa11299281.exe

c:\windows\system32\xa11299375.exe

c:\windows\system32\xa11299593.exe

c:\windows\system32\xa12811421.exe

c:\windows\system32\xa12811671.exe

c:\windows\system32\xa13584671.exe

c:\windows\system32\xa13584890.exe

c:\windows\system32\xa13884156.exe

c:\windows\system32\xa13884390.exe

c:\windows\system32\xa1503843.exe

c:\windows\system32\xa1504062.exe

c:\windows\system32\xa156718.exe

c:\windows\system32\xa156937.exe

c:\windows\system32\xa170562.exe

c:\windows\system32\xa170921.exe

c:\windows\system32\xa1741015.exe

c:\windows\system32\xa1741234.exe

c:\windows\system32\xa1907750.exe

c:\windows\system32\xa1908125.exe

c:\windows\system32\xa19202734.exe

c:\windows\system32\xa19202968.exe

c:\windows\system32\xa19301718.exe

c:\windows\system32\xa19301937.exe

c:\windows\system32\xa2250937.exe

c:\windows\system32\xa2251156.exe

c:\windows\system32\xa2365468.exe

c:\windows\system32\xa2365703.exe

c:\windows\system32\xa264453.exe

c:\windows\system32\xa264812.exe

c:\windows\system32\xa3597734.exe

c:\windows\system32\xa3597953.exe

c:\windows\system32\xa3848968.exe

c:\windows\system32\xa3849187.exe

c:\windows\system32\xa4077125.exe

c:\windows\system32\xa4077343.exe

c:\windows\system32\xa447437.exe

c:\windows\system32\xa447890.exe

c:\windows\system32\xa6261531.exe

c:\windows\system32\xa6261828.exe

c:\windows\system32\xa652078.exe

c:\windows\system32\xa652296.exe

c:\windows\system32\xa720406.exe

c:\windows\system32\xa720640.exe

c:\windows\system32\xa74843.exe

c:\windows\system32\xa75140.exe

c:\windows\system32\xa803281.exe

c:\windows\system32\xa803531.exe

c:\windows\system32\xa81065750.exe

c:\windows\system32\xa81066140.exe

c:\windows\system32\xa9920640.exe

c:\windows\system32\xa9920890.exe

c:\windows\system32\xa9955421.exe

c:\windows\system32\xa9955656.exe

 

.

(((((((((((((((((((((((( Filer Skapade från 2009-01-19 till 2009-02-19 ))))))))))))))))))))))))))))))

.

 

2009-02-19 22:02 . 2009-02-19 22:02 <KAT> d-------- c:\program\Malwarebytes' Anti-Malware

2009-02-19 22:02 . 2009-02-19 22:02 <KAT> d-------- c:\documents and settings\Kristoffer Carlsson\Application Data\Malwarebytes

2009-02-19 22:02 . 2009-02-19 22:02 <KAT> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-02-19 22:02 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-19 22:02 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-02-17 16:11 . 2009-02-19 22:38 <KAT> d-------- c:\windows\system32\drivers\Avg

2009-02-17 16:11 . 2009-02-17 16:11 <KAT> d-------- c:\program\AVG

2009-02-17 16:11 . 2009-02-17 16:17 <KAT> d-------- c:\documents and settings\Kristoffer Carlsson\Application Data\AVGTOOLBAR

2009-02-17 16:11 . 2009-02-17 16:11 325,128 --a------ c:\windows\system32\drivers\avgldx86.sys

2009-02-17 16:11 . 2009-02-17 16:11 107,272 --a------ c:\windows\system32\drivers\avgtdix.sys

2009-02-17 16:11 . 2009-02-17 16:11 10,520 --a------ c:\windows\system32\avgrsstx.dll

2009-02-12 03:35 . 2009-02-12 03:35 <KAT> d--h----- c:\windows\PIF

2009-02-05 22:28 . 2009-02-05 22:28 <KAT> d-------- c:\documents and settings\Kristoffer Carlsson\Application Data\Uniblue

2009-01-19 17:26 . 2009-01-19 17:26 <KAT> d-------- c:\program\Trend Micro

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-19 21:00 --------- d-----w c:\documents and settings\Kristoffer Carlsson\Application Data\uTorrent

2009-02-18 17:55 --------- d-----w c:\documents and settings\Kristoffer Carlsson\Application Data\Spotify

2009-02-17 15:11 --------- d-----w c:\documents and settings\All Users\Application Data\avg8

2009-02-12 12:06 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-02-09 16:05 --------- d-----w c:\documents and settings\Kristoffer Carlsson\Application Data\dvdcss

2009-01-26 11:10 --------- d-----w c:\documents and settings\Kristoffer Carlsson\Application Data\vlc

2009-01-04 15:18 --------- d-----w c:\program\mediaplayerclassic

2008-12-31 18:38 --------- d-----w c:\program\Spotify

2008-12-31 12:36 22,328 ----a-w c:\windows\system32\drivers\PnkBstrK.sys

2008-12-31 12:36 22,328 ----a-w c:\documents and settings\Kristoffer Carlsson\Application Data\PnkBstrK.sys

2008-12-31 12:35 66,872 ----a-w c:\windows\system32\PnkBstrA.exe

2008-12-31 12:35 2,250,024 ----a-w c:\windows\system32\pbsvc.exe

2008-12-31 12:35 107,832 ----a-w c:\windows\system32\PnkBstrB.exe

2008-12-31 12:31 --------- d--h--w c:\program\InstallShield Installation Information

2008-12-31 12:13 107,888 ----a-w c:\windows\system32\CmdLineExt.dll

2008-12-20 23:03 826,368 ----a-w c:\windows\system32\wininet.dll

2008-12-16 08:12 499,712 ----a-w c:\windows\system32\msvcp71.dll

2008-12-16 08:12 348,160 ----a-w c:\windows\system32\msvcr71.dll

2008-12-02 09:13 453,152 ----a-w c:\windows\system32\NVUNINST.EXE

.

 

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"DAEMON Tools Lite"="c:\program\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]

"MsnMsgr"="c:\program\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"SpybotSD TeaTimer"="c:\program\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DelReg"="c:\program\MSI\DualCoreCenter\DelReg.exe" [2008-05-13 196608]

"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="c:\program\Google\Gmail Notifier\gnotify.exe" [2005-07-15 479232]

"Adobe Reader Speed Launcher"="c:\program\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"iTunesHelper"="c:\program\iTunes\iTunesHelper.exe" [2008-11-20 290088]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-02 86016]

"QuickTime Task"="c:\program\QuickTime\QTTask.exe" [2008-09-06 413696]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-02 13680640]

"AVG8_TRAY"="c:\program\AVG\AVG8\avgtray.exe" [2009-02-17 1601304]

"RTHDCPL"="RTHDCPL.EXE" [2008-07-03 c:\windows\RTHDCPL.exe]

"nwiz"="nwiz.exe" [2008-12-02 c:\windows\system32\nwiz.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Start-meny\Program\AutostartDualCoreCenter.lnk - c:\program\MSI\DualCoreCenter\StartUpDualCoreCenter.exe [2008-11-14 192512]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-02-17 16:11 10520 c:\windows\system32\avgrsstx.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program\\uTorrent\\uTorrent.exe"=

"c:\\WINDOWS\\system32\\PnkBstrA.exe"=

"c:\\WINDOWS\\system32\\PnkBstrB.exe"=

"d:\\installerade spel\\Call of Duty - World at War\\CoDWaWmp.exe"=

"d:\\installerade spel\\Call of Duty - World at War\\CoDWaW.exe"=

"c:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program\\Bonjour\\mDNSResponder.exe"=

"c:\\Program\\iTunes\\iTunes.exe"=

"d:\\installerade spel\\Left4dead\\left4dead.exe"=

"d:\\installerade spel\\DoD4 - Modern Warfare\\iw3mp.exe"=

"d:\\installerade spel\\CS Source\\Counter-Strike Source\\hl2.exe"=

"d:\\installerade spel\\tf2\\hl2.exe"=

"d:\\installerade spel\\Call of Duty 2\\CoD2MP_s.exe"=

"c:\\Program\\Mozilla Firefox\\firefox.exe"=

"d:\\installerade spel\\Far Cry2\\Far Cry 2\\bin\\FarCry2.exe"=

"d:\\installerade spel\\Far Cry2\\Far Cry 2\\bin\\FC2Launcher.exe"=

"d:\\installerade spel\\Far Cry2\\Far Cry 2\\bin\\FC2Editor.exe"=

"c:\\Program\\Spotify\\spotify.exe"=

"c:\\Program\\AVG\\AVG8\\avgemc.exe"=

"c:\\Program\\AVG\\AVG8\\avgupd.exe"=

"c:\\Program\\AVG\\AVG8\\avgnsx.exe"=

 

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-02-17 325128]

R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-02-17 107272]

R2 avg8emc;AVG Free8 E-mail Scanner;c:\program\AVG\AVG8\avgemc.exe [2009-02-17 903960]

R2 avg8wd;AVG Free8 WatchDog;c:\program\AVG\AVG8\avgwdsvc.exe [2009-02-17 298264]

R3 DualCoreCenter;DualCoreCenter;c:\program\MSI\DualCoreCenter\NTGLM7X.sys [2008-11-14 28160]

R3 RushTopDevice2;RushTopDevice2;c:\program\MSI\DualCoreCenter\RushTop.sys [2008-11-14 54784]

.

Innehållet i mappen 'Schemalagda aktiviteter':

 

2009-02-16 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

.

.

------- Extra genomsökning -------

.

uStart Page = hxxp://www.google.com/

uInternet Settings,ProxyOverride = *.local

FF - ProfilePath - c:\documents and settings\Kristoffer Carlsson\Application Data\Mozilla\Firefox\Profiles\d0ow3znv.defaultFF - prefs.js: browser.startup.homepage - hxxp://www.google.com

FF - component: c:\program\AVG\AVG8\Firefox\components\avgssff.dll

FF - component: c:\program\AVG\AVG8\ToolbarFF\components\vmAVGConnector.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

 

---- FIREFOX POLICY ----

c:\program\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-20 00:06:10

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

 

[HKEY_USERS\S-1-5-21-2025429265-308236825-839522115-1003\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:c3,6d,e1,e9,01,1c,2f,38,32,f8,87,fd,b9,28,fa,2c,ea,b1,08,fc,fb,3c,1b,

f9,7a,48,59,60,f5,d8,7f,e5,9c,9c,21,f6,a6,74,40,5f,7d,9b,03,ea,2f,d3,e2,c4,"??"=hex:d7,07,89,ff,1c,fa,ac,df,df,c8,42,63,be,27,74,23

 

[HKEY_USERS\S-1-5-21-2025429265-308236825-839522115-1003\Software\SecuROM\License information*]

"datasecu"=hex:38,4b,b3,1d,85,a9,ec,62,f3,3c,bf,c6,5e,56,2d,c6,08,21,f5,28,83,

74,15,ad,6d,f1,f2,35,d3,29,e4,df,e6,78,bb,e1,e9,72,3b,ae,b8,a9,d9,3b,77,64,"rkeysecu"=hex:fe,72,fc,9c,34,74,4b,ec,cb,5b,d1,e8,6a,04,89,f2

.

Sluttid: 2009-02-20 0:07:00

ComboFix-quarantined-files.txt 2009-02-19 23:06:58

ComboFix2.txt 2009-02-19 22:03:45

 

Före genomsökningen: 26 761 437 184 byte ledigt

Efter genomsökningen: 26,422,714,368 byte ledigt

 

274 --- E O F --- 2009-02-13 17:31:10

[/log]

 

 

HJT-logg:

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:08:52, on 2009-02-20

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\AVG\AVG8\avgwdsvc.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\Program\AVG\AVG8\avgemc.exe

C:\Program\AVG\AVG8\avgrsx.exe

C:\Program\AVG\AVG8\avgcsrvx.exe

C:\Program\AVG\AVG8\avgcsrvx.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\Windows Live\Messenger\usnsvc.exe

C:\Program\AVG\AVG8\avgnsx.exe

C:\Program\Spybot - Search & Destroy\TeaTimer.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\explorer.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program\AVG\AVG8\avgssie.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Program\AVG\AVG8\avgtoolbar.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Program\AVG\AVG8\avgtoolbar.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [DelReg] C:\Program\MSI\DualCoreCenter\DelReg.exe

O4 - HKLM\..\Run: [{0228e555-4f9c-4e35-a3ec-b109a192b4c2}] C:\Program\Google\Gmail Notifier\gnotify.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [AVG8_TRAY] C:\Program\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: DualCoreCenter.lnk = C:\Program\MSI\DualCoreCenter\StartUpDualCoreCenter.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program\AVG\AVG8\avgpp.dll

O20 - Winlogon Notify: avgrsstarter - C:\WINDOWS\SYSTEM32\avgrsstx.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgemc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgwdsvc.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe

 

--

End of file - 5538 bytes

[/log]

 

[blitzgordon]

Utan att kunna så mycket om det här, så är det kanske inte så bra att den infekterade filen har fri tillgång genom brandväggen eller???

 

 

[Laston]

Nu ser det bättre ut:thumbsup: Nej jag skulle komma till det att alla dessa filer är godkända i brandväggen vilket då inte är så bra!!

[log]Ladda ner avinstallationsprogrammet OTCleanIt till Skrivbordet.

http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe

Dubbelklicka på filen för att starta programmet.

Tryck på knappen CleanUp! och de olika fix-program som du har laddat ner kommer att avinstalleras, inkl. detta program, efter en omstart av datorn.

 

C:\System Volume Information\_restore är stället där systemåterställningsfunktionen lagrar olika systemåterställningspunkter. Det betyder att medan din dator var infekterad så skapade Windows en systemåterställningspunkt. Så länge som de skadliga filerna ligger i den mappen så är de ofarliga. Däremot så om du återställer till en tidpunkt då datorn var infekterad så blir även de skadliga filerna återställda.

 

Du kan ta bort samtliga systemåterställningspunkter genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt.

Systemåterställningsfunktionen slår man av och på här:

Högerklick på Den här datorn - Egenskaper - Systemåterställning

[/log]

 

[blitzgordon]

Ok, så vad jag ska göra är alltså att jag ska ladda ner och köra programmet, starta om datorn, slå av system restore, starta om datorn igen, och sedan så är det lugnt?

 

Det är även så att jag handlade några julklappar med kort över nätet, efter att jag fått skiten på datorn. Jag använde Firefox. Är det läge att be banken om nytt kort eller är det överdrivet?

 

Tack för all hjälp, du ska få ett poäng alldeles strax!

 

[Laston]

Ja precis gör så så försvinner combo och alla återställningspunkter som otyget kan ligga i! Ja jag skulle iallafall göra det men det bestämmer du själv! Tack för att jag fick hjälpa och för poäng då

Mvh Laston

 

[blitzgordon]

Skulle jag få all hjälp utan att ge poäng? Gud bevare mig!

Nä, jag blev rätt orolig där ett ögonblick men nu ska jag ta bort skitspelet och fixa resten, sedan är det sängdags.

 

Återigen, många tacksägelser!