Just nu i M3-nätverket
Jump to content

säkerhet problem


Macky

Recommended Posts

Ett program installerade sig på min dator som är mycket störande.

Det öppnas många fönster efter varandra. SE bifogade fil.

Jag inaktiverade Alert tjänsten på min dator.

inaktiverade två konstiga program i autostart.

KHALMNPR:EXE

 

men ändå för jag konstiga meddelande och öppnas internät explor sidor av sig själv.

adressen till sidan är följande.

först kommer http:// prinumeraniveruschek.com och sedan följande adress

http:// skfjkcdcsh.com............................

 

jag har Norton 360 antiverus på min dator. sökte datorn efter verus hittade ingenting.

 

Hur och var kan jag hitta det konstiga programmet för att tabort den parmanent från min dator.

 

Tack på förhand för tips och råd.

 

[bild bifogad 2009-02-24 11:37:21 av Macky]

 

Lagt in mellanrum så länkarna inte är klickbara.

Cecilia - Moderator för Virus, skadliga program & botemedel

 

[inlägget ändrat 2009-02-24 11:43:09 av Cecilia]

1125168_thumb.jpg

Link to comment
Share on other sites

Aktivera det som du inaktiverade i autostart så att jag kan se vad var för rader. Vi kan se vad HijackThis visar till att börja med. Ladda ner från en av länkarna:

http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

http://www.download.com/Trend-Micro-HijackThis/3000-8022_4-10227353.html

Installera, starta och välj "Do a system scan and save a logfile", kopiera loggen som kommer upp (inget annat).

 

I ditt svar bifogar du HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen nappen i Besvara-fönstret

 

Link to comment
Share on other sites

Jag aktiverade de 2 programmen och startade om min dator, här är log filen.

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:55:03, on 2009-02-24

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Intel\Wireless\Bin\S24EvMon.exe

C:\Program\Delade filer\Symantec Shared\ccSvcHst.exe

C:\Program\Delade filer\Symantec Shared\ccProxy.exe

C:\WINDOWS\System32\WLTRYSVC.EXE

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\Program\Intel\Wireless\Bin\EvtEng.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\Program\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Intel\Wireless\Bin\WLKeeper.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Program\SigmaTel\C-Major Audio\WDM\stsystra.exe

C:\WINDOWS\system32\WLTRAY.exe

C:\Program\Intel\Wireless\bin\ZCfgSvc.exe

C:\Program\Intel\Wireless\Bin\ifrmewrk.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program\Delade filer\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

C:\Program\Logitech\SetPoint\SetPoint.exe

C:\Program\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

C:\Program\Intel\Wireless\Bin\Dot1XCfg.exe

C:\Program\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

C:\Program\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

C:\Program\Delade filer\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe

C:\Program\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.idg.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL =

 

http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program\Delade

 

filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program\Delade filer\Symantec

 

Shared\coShared\Browser\2.6\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} -

 

C:\Program\DELADE~1\SYMANT~1\IDS\IPSBHO.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre6\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft

 

Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} -

 

C:\Program\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} -

 

C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} -

 

C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program\google\googletoolbar1.dll

O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program\Delade filer\Symantec

 

Shared\coShared\Browser\2.6\CoIEPlg.dll

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [sigmatelSysTrayApp] %ProgramFiles%\SigmaTel\C-Major Audio\WDM\stsystra.exe

O4 - HKLM\..\Run: [broadcom Wireless Manager UI] C:\WINDOWS\system32\WLTRAY.exe

O4 - HKLM\..\Run: [intelZeroConfig] "C:\Program\Intel\Wireless\bin\ZCfgSvc.exe"

O4 - HKLM\..\Run: [intelWireless] "C:\Program\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program\Norton 360\osCheck.exe"

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Bluetooth Manager.lnk = ?

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network

 

Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} -

 

C:\Program\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.film2home.se

O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) -

 

http://www.nvidia.com/content/DriverDownload/srl/3.0.0.0/srl_bin/sysreqlab3.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) -

 

http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab

O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} (Symantec Download Manager) -

 

https://webdl.symantec.com/activex/symdlmgr.cab

O18 - Protocol: x-owacid - {0215258F-F0A8-49DE-BF1B-0FF02EDA8807} - C:\Program\Microsoft\Outlook Web Access SMIME

 

Client\mimectl.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device

 

Support\bin\AppleMobileDeviceService.exe

O23 - Service: Automatisk LiveUpdate-schemaläggare (Automatic LiveUpdate Scheduler) - Symantec Corporation -

 

C:\Program\Symantec\LiveUpdate\AluSchedulerSvc.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec

 

Shared\ccSvcHst.exe

O23 - Service: Symantec Network Proxy (ccProxy) - Symantec Corporation - C:\Program\Delade filer\Symantec

 

Shared\ccProxy.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec

 

Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program\Delade

 

filer\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program\Delade filer\Symantec

 

Shared\VAScanner\comHost.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation -

 

C:\Program\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program\Google\Common\Google

 

Updater\GoogleUpdaterService.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. -

 

C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program\Delade

 

filer\Logitech\Bluetooth\LBTServ.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Program\Symantec\LiveUpdate\LuComServer_3_4.EXE

O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSvcHst.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program\Delade filer\Nero\Lib\NMIndexingService.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation -

 

C:\Program\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation -

 

C:\Program\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program\DELADE~1\SYMANT~1\CCPD-LC\symlcsvc.exe

O23 - Service: Intel® PROSet/Wireless SSO Service (WLANKEEPER) - Intel Corporation -

 

C:\Program\Intel\Wireless\Bin\WLKeeper.exe

O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\WLTRYSVC.EXE

 

--

End of file - 10303 bytes

[/log]

 

Link to comment
Share on other sites

Var det dessa två rader du avbockade?

O4 - HKLM\..\Run: [Logitech Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

så är de inget skadliga utan är för möss och liknande:

http://www.systemlookup.com/Startup/5560-Khalmnpr_exe.html

http://www.systemlookup.com/Startup/5137-KHALMNPR_EXE.html

 

Ladda ner Malwarebytes Anti-Malware (MBAM) från en av dessa länkar:

http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

http://projects.securitywonks.net/projects/details.php?file=158

Dubbelklicka på mbam-setup för att installera programmet.

 

[log]Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj "Utför snabb skanning" och tryck på Skanna.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan "Visa resultat".

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.

Kopiera loggen och klistra in den i ditt svar.[/log]

 

Link to comment
Share on other sites

Hej

Här är Malware logfil[log]Malwarebytes' Anti-Malware 1.34

Databasversion: 1799

Windows 5.1.2600 Service Pack 3

 

2009-02-24 22:41:05

mbam-log-2009-02-24 (22-41-05).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 64468

Förfluten tid: 36 minute(s), 4 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 2

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

[/log]

 

Link to comment
Share on other sites

Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

[log]Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.[/log]

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

 

Link to comment
Share on other sites

Hej

Här är näste logfil jag hoppas att jag har blivit av med ???

[log]

ComboFix 09-02-24.02 - Haroon 2009-02-24 23:25:38.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1053.18.1014.559 [GMT 1:00]

Körs från: c:\documents and settings\Haroon\Skrivbord\ComboFix.exe

AV: Norton 360 *On-access scanning disabled* (Updated)

FW: Norton 360 *disabled*

.

 

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\init32.exe

 

Infekterad kopia av c:\windows\system32\userinit.exe hittades och desinficerades.

Återställd kopia från - c:\windows\$NtServicePackUninstall$\userinit.exe

 

.

(((((((((((((((((((((((( Filer Skapade från 2009-01-24 till 2009-02-24 ))))))))))))))))))))))))))))))

.

 

2009-02-24 20:52 . 2009-02-24 20:52 <KAT> d-------- c:\program\Malwarebytes' Anti-Malware

2009-02-24 20:52 . 2009-02-24 20:52 <KAT> d-------- c:\documents and settings\Haroon\Application Data\Malwarebytes

2009-02-24 20:52 . 2009-02-24 20:52 <KAT> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-02-24 20:52 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-24 20:52 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-02-24 17:50 . 2009-02-24 17:50 <KAT> d-------- c:\program\Trend Micro

2009-02-23 16:34 . 2009-02-23 16:34 <KAT> d-------- c:\program\Bonjour

2009-02-22 17:19 . 2009-02-22 17:19 244 --ah----- C:\sqmnoopt19.sqm

2009-02-22 17:19 . 2009-02-22 17:19 232 --ah----- C:\sqmdata19.sqm

2009-02-19 12:03 . 2009-02-19 12:03 579,464 --a------ c:\windows\system32\SymNeti.dll

2009-02-19 12:03 . 2009-02-19 12:03 207,240 --a------ c:\windows\system32\SymRedir.dll

2009-02-19 11:31 . 2009-02-19 11:31 184,496 --a------ c:\windows\system32\drivers\symtdi.sys

2009-02-19 11:31 . 2009-02-19 11:31 96,560 --a------ c:\windows\system32\drivers\symfw.sys

2009-02-19 11:31 . 2009-02-19 11:31 41,008 --a------ c:\windows\system32\drivers\symndisv.sys

2009-02-19 11:31 . 2009-02-19 11:31 38,576 --a------ c:\windows\system32\drivers\symids.sys

2009-02-19 11:31 . 2009-02-19 11:31 37,424 --a------ c:\windows\system32\drivers\symndis.sys

2009-02-19 11:31 . 2009-02-19 11:31 31,280 --a------ c:\windows\system32\drivers\SymIM.sys

2009-02-19 11:31 . 2009-02-19 11:31 22,320 --a------ c:\windows\system32\drivers\symredrv.sys

2009-02-19 11:31 . 2009-02-19 11:31 13,616 --a------ c:\windows\system32\drivers\symdns.sys

2009-02-19 11:31 . 2009-02-19 11:31 9,844 --a------ c:\windows\system32\drivers\SymRedir.cat

2009-02-19 11:31 . 2009-02-19 11:31 1,611 --a------ c:\windows\system32\drivers\SymRedir.inf

2009-02-15 22:53 . 2009-02-15 22:53 <KAT> d-------- c:\documents and settings\All Users\Application Data\TomTom

2009-02-15 22:51 . 2009-02-15 22:51 <KAT> d-------- c:\documents and settings\Haroon\Application Data\TomTom

2009-02-15 22:50 . 2009-02-15 22:50 <KAT> d-------- c:\program\TomTom HOME 2

2009-02-15 22:47 . 2009-02-15 22:47 <KAT> d-------- c:\program\TomTom DesktopSuite

2009-02-08 21:28 . 2009-02-08 21:28 <KAT> d-------- c:\documents and settings\Haroon\Application Data\Personal

2009-02-08 21:09 . 2009-02-08 21:34 <KAT> d-------- c:\documents and settings\Haroon\cbt

2009-02-02 22:15 . 2008-04-14 17:04 221,184 --a------ c:\windows\system32\wmpns.dll

2009-02-02 22:15 . 1998-09-02 09:02 194,320 --a------ c:\windows\system32\qcut.dll

2009-02-02 22:15 . 1998-08-27 05:51 182,032 --a------ c:\windows\system32\dxtmsft3.dll

2009-02-02 22:15 . 1998-08-20 12:02 140,800 --a------ c:\windows\system32\tm20dec.ax

2009-02-02 22:15 . 1998-09-02 09:28 63,488 --a------ c:\windows\system32\unam4ie.exe

2009-02-02 22:15 . 1998-09-02 09:28 38,160 --a------ c:\windows\system32\LMRTREND.dll

2009-02-02 22:15 . 1998-08-17 10:21 11,776 --a------ c:\windows\system32\mciqtz.drv

2009-02-02 22:15 . 1998-08-17 10:21 10,240 --a------ c:\windows\system32\vidx16.dll

2009-02-02 22:15 . 1998-08-17 10:21 5,672 --a------ c:\windows\system32\quartz.vxd

2009-02-02 22:15 . 2009-02-02 22:15 4,608 --a------ c:\windows\system32\w95inf32.dll

2009-02-02 22:15 . 2009-02-02 22:15 2,272 --a------ c:\windows\system32\w95inf16.dll

2009-02-02 22:14 . 2009-02-02 22:16 <KAT> d-------- C:\TELL ME MORE NV

2009-01-29 06:11 . 2009-01-29 06:11 <KAT> d-------- c:\documents and settings\All Users\Application Data\Office Genuine Advantage

2009-01-28 23:35 . 2006-06-29 13:07 14,048 --------- c:\windows\system32\spmsg2.dll

2009-01-28 23:18 . 2009-01-28 23:34 <KAT> d-------- c:\windows\system32\XPSViewer

2009-01-28 23:18 . 2009-01-28 23:18 <KAT> d-------- c:\program\Reference Assemblies

2009-01-28 23:14 . 2009-01-28 23:17 <KAT> d-------- C:\a674ecc4fa997aa0a2a48a8bf0329c

2009-01-28 23:14 . 2008-07-06 13:06 1,676,288 --------- c:\windows\system32\xpssvcs.dll

2009-01-28 23:14 . 2008-07-06 13:06 1,676,288 -----c--- c:\windows\system32\dllcache\xpssvcs.dll

2009-01-28 23:14 . 2008-07-06 11:50 597,504 -----c--- c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2009-01-28 23:14 . 2008-07-06 13:06 575,488 --------- c:\windows\system32\xpsshhdr.dll

2009-01-28 23:14 . 2008-07-06 13:06 575,488 -----c--- c:\windows\system32\dllcache\xpsshhdr.dll

2009-01-28 23:14 . 2008-07-06 13:06 117,760 --------- c:\windows\system32\prntvpt.dll

2009-01-28 23:14 . 2008-07-06 13:06 89,088 -----c--- c:\windows\system32\dllcache\filterpipelineprintproc.dll

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-24 22:32 --------- d-----w c:\program\Delade filer\Symantec Shared

2009-02-21 08:27 --------- d-----w c:\documents and settings\Haroon\Application Data\Azureus

2009-02-20 20:21 --------- d-----w c:\program\Vuze

2009-02-11 15:51 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-01-28 22:18 --------- d-----w c:\program\MSBuild

2009-01-22 19:33 289 ----a-w C:\kgnkxc.exe

2009-01-22 19:33 289 ----a-w C:\fvan.exe

2009-01-22 19:33 289 ----a-w C:\eftwl.exe

2009-01-22 19:33 289 ----a-w C:\dvhyi.exe

2009-01-18 17:54 --------- d-----w c:\documents and settings\All Users\Application Data\Azureus

2009-01-16 17:20 806 ----a-w c:\windows\system32\drivers\SYMEVENT.INF

2009-01-16 17:20 124,464 ----a-w c:\windows\system32\drivers\SYMEVENT.SYS

2009-01-16 17:20 10,635 ----a-w c:\windows\system32\drivers\SYMEVENT.CAT

2009-01-16 17:20 --------- d-----w c:\program\Symantec

2008-12-31 13:52 --------- d-----w c:\program\PDFCreator

2008-12-31 13:51 --------- d-----w c:\documents and settings\Haroon\Application Data\PDFCreator

2008-12-24 16:07 --------- d-----w c:\program\Delade filer\Adobe

2008-12-24 09:06 --------- d-----w c:\documents and settings\Haroon\Application Data\Apple Computer

.

 

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayExcluded]

@="{4433A54A-1AC8-432F-90FC-85F045CF383C}"

[HKEY_CLASSES_ROOT\CLSID\{4433A54A-1AC8-432F-90FC-85F045CF383C}]

2008-10-31 12:24 576352 --a------ c:\program\Delade filer\Symantec Shared\Backup\buShell.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayPending]

@="{F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225}"

[HKEY_CLASSES_ROOT\CLSID\{F17C0B1E-EF8E-4AD4-8E1B-7D7E8CB23225}]

2008-10-31 12:24 576352 --a------ c:\program\Delade filer\Symantec Shared\Backup\buShell.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\OverlayProtected]

@="{476D0EA3-80F9-48B5-B70B-05E677C9C148}"

[HKEY_CLASSES_ROOT\CLSID\{476D0EA3-80F9-48B5-B70B-05E677C9C148}]

2008-10-31 12:24 576352 --a------ c:\program\Delade filer\Symantec Shared\Backup\buShell.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-03-30 138008]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-03-30 162584]

"Persistence"="c:\windows\system32\igfxpers.exe" [2007-03-30 138008]

"SigmatelSysTrayApp"="c:\program\SigmaTel\C-Major Audio\WDM\stsystra.exe" [2007-05-10 405504]

"Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY.exe" [2007-03-16 1392640]

"IntelZeroConfig"="c:\program\Intel\Wireless\bin\ZCfgSvc.exe" [2007-10-08 995328]

"IntelWireless"="c:\program\Intel\Wireless\Bin\ifrmewrk.exe" [2007-10-08 1101824]

"ccApp"="c:\program\Delade filer\Symantec Shared\ccApp.exe" [2008-10-17 51048]

"osCheck"="c:\program\Norton 360\osCheck.exe" [2008-02-26 988512]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl]

"Logitech Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]

"Kernel and Hardware Abstraction Layer"="KHALMNPR.EXE" [2008-02-29 c:\windows\KHALMNPR.Exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Start-meny\Program\AutostartBluetooth Manager.lnk - c:\program\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe [2005-11-18 1724416]

Logitech SetPoint.lnk - c:\program\Logitech\SetPoint\SetPoint.exe [2008-08-08 805392]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LBTWlgn]

2008-05-02 01:42 72208 c:\program\Delade filer\Logitech\Bluetooth\LBTWLgn.dll

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WdfLoadGroup]

@=""

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Adobe Gamma Loader.exe.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\Adobe Gamma Loader.exe.lnk

backup=c:\windows\pss\Adobe Gamma Loader.exe.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^HP Digital Imaging Monitor.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^Haroon^Start-meny^Program^Autostart^OpenOffice.org 2.4.lnk]

path=c:\documents and settings\Haroon\Start-meny\Program\Autostart\OpenOffice.org 2.4.lnk

backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-06-12 01:38 34672 c:\program\Adobe\Reader 9.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Component Manager]

--a------ 2004-05-12 15:18 241664 c:\program\HP\hpcoretech\hpcmpmgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2003-08-04 17:28 49152 c:\program\HP\HP Software Update\hpwuSchd.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

--a------ 2008-02-28 16:07 1828136 c:\program\Delade filer\Nero\Lib\NMIndexStoreSvr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

--a------ 2008-11-20 13:20 290088 c:\program\iTunes\iTunesHelper.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2008-04-14 17:05 1695232 c:\program\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NBKeyScan]

--a------ 2008-02-18 15:29 2221352 c:\program\Nero\Nero8\Nero BackItUp\NBKeyScan.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2008-02-28 08:59 570664 c:\program\Delade filer\Nero\Lib\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2008-11-04 10:30 413696 c:\program\QuickTime\QTTask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2008-12-19 09:19 136600 c:\program\Java\jre6\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg]

--a------ 2008-09-27 09:45 68856 c:\program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]

--a------ 2008-12-09 11:12 234856 c:\program\TomTom HOME 2\HOMERunner.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program\\InternetCalls.com\\InternetCalls\\InternetCalls.exe"=

"c:\\Program\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program\\MSN Messenger\\livecall.exe"=

"c:\\Program\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program\\Java\\jdk1.6.0_06\\jre\\bin\\java.exe"=

"c:\\WINDOWS\\system32\\mshta.exe"=

"c:\\Program\\Nero\\Nero8\\Nero ShowTime\\ShowTime.exe"=

"c:\\Program\\iTunes\\iTunes.exe"=

"c:\\Program\\Vuze\\Azureus.exe"=

"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=

"c:\\Program\\Bonjour\\mDNSResponder.exe"=

 

R2 LiveUpdate Notice;LiveUpdate Notice;c:\program\Delade filer\Symantec Shared\CCSVCHST.EXE [2008-02-18 149352]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program\Delade filer\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2008-09-03 99376]

S3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [2008-01-12 23888]

 

--- Övriga tjänster/drivrutiner i minnet ---

 

*NewlyCreated* - COMHOST

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{3d1486a4-8f88-11dd-82f0-00188bcd3035}]

\Shell\AutoRun\command - D:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6bdb18a4-6481-11dd-a285-00188bcd3035}]

\Shell\AutoRun\command - D:\AutoRun.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{6bdb18a5-6481-11dd-a285-00188bcd3035}]

\Shell\AutoRun\command - D:\AutoRun.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{da8d2372-6383-11dd-a27d-00188bcd3035}]

\Shell\AutoRun\command - D:\AutoRun.exe

.

Innehållet i mappen 'Schemalagda aktiviteter':

 

2009-02-23 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

 

2009-02-24 c:\windows\Tasks\OGADaily.job

- c:\windows\system32\OGAVerify.exe [2008-12-31 17:04]

 

2009-02-24 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAVerify.exe [2008-12-31 17:04]

.

- - - - FÖRÄLDRALÖSA POSTER SOM TAGITS BORT - - - -

 

MSConfigStartUp-Steam - c:\program\Valve\Steam\Steam.exe

 

 

.

------- Extra genomsökning -------

.

uStart Page = hxxp://www.idg.se/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xport to Microsoft Excel - c:\program\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\Office12\EXCEL.EXE/3000

Trusted Zone: film2home.se\www

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-24 23:31:22

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

 

[HKEY_USERS\S-1-5-21-854245398-1580436667-682003330-1003\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\{A0609268-3DD1-4BC1-04B1-0DF4EAEB8A2D}*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

"jabdofajpjleicbnnncb"=hex:62,61,6e,61,00,00

"jabdofajpjleicbnnnoc"=hex:62,61,62,62,00,00

"iabelbanocflhlbghn"=hex:6b,61,6f,61,62,70,6a,6b,6b,62,63,6f,66,6a,70,65,65,6d,

65,6e,6e,63,00,00

"haldegacecnacblp"=hex:6b,61,6f,61,62,70,6a,6b,6b,62,63,6f,65,6b,70,65,6c,6e,

65,70,6e,64,00,00

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

 

- - - - - - - > 'winlogon.exe'(1272)

c:\program\delade filer\logitech\bluetooth\LBTWlgn.dll

c:\program\delade filer\logitech\bluetooth\LBTServ.dll

c:\windows\System32\BCMLogon.dll

c:\windows\system32\netprovcredman.dll

.

------------------------ Andra processer som körs ------------------------

.

c:\program\Intel\Wireless\Bin\S24EvMon.exe

c:\program\Delade filer\Symantec Shared\ccProxy.exe

c:\windows\system32\WLTRYSVC.EXE

c:\windows\system32\BCMWLTRY.EXE

c:\windows\system32\scardsvr.exe

c:\program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program\Symantec\LiveUpdate\AluSchedulerSvc.exe

c:\program\Bonjour\mDNSResponder.exe

c:\program\Intel\Wireless\Bin\EvtEng.exe

c:\program\Java\jre6\bin\jqs.exe

c:\program\Nero\Nero8\Nero BackItUp\NBService.exe

c:\windows\system32\IoctlSvc.exe

c:\program\Intel\Wireless\Bin\RegSrvc.exe

c:\program\Intel\Wireless\Bin\WLKEEPER.exe

c:\windows\system32\rundll32.exe

c:\windows\system32\igfxsrvc.exe

c:\program\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

c:\program\Delade filer\Logishrd\KHAL2\KHALMNPR.exe

c:\program\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe

c:\program\Toshiba\Bluetooth Toshiba Stack\TosBtHSP.exe

c:\program\Intel\Wireless\Bin\Dot1XCfg.exe

.

**************************************************************************

.

Sluttid: 2009-02-24 23:39:14 - datorn startades om. [Haroon]

ComboFix-quarantined-files.txt 2009-02-24 22:39:08

 

Före genomsökningen: 17,968,369,664 byte ledigt

Efter genomsökningen: 18,090,921,984 byte ledigt

 

277 --- E O F --- 2009-02-11 15:55:59

[/log]

 

Link to comment
Share on other sites

En Windows-fil som var infekterad har bytts ut mot en äldre frisk version så du behöver så fort hela datorn är frisk besöka Windows Update.

 

2009-02-02 22:14 . 2009-02-02 22:16 <KAT> d-------- C:\TELL ME MORE NV

Vad finns i den mappen?

 

Surfa till http://www.virustotal.com (fungerar bäst med Internet Explorer) klistra in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här. Upprepa med nästa filnamn.

C:\kgnkxc.exe

C:\fvan.exe

C:\eftwl.exe

C:\dvhyi.exe

c:\windows\system32\netprovcredman.dll

 

 

Link to comment
Share on other sites

Jag förstödd inte riktig i vilken ruta ska jag skriva filnamnet??

det finns bläddra genom bläddra kan man infoga fil och sedan skicka fil.

i sista raden sökvägen är klar men andra filer vet man inte var de liggar.

 

Link to comment
Share on other sites

Markera och kopiera en av raderna med filnamn jag skrev, högerklicka i rutan bredvid bläddra-knappen och välj att klistra in.

 

Link to comment
Share on other sites

Jag har gjort pricis som du sa och fick följande resultat.

 

[log]

0 bytes size received / Se ha recibido un archivo vacio

0 bytes size received / Se ha recibido un archivo vacio

0 bytes size received / Se ha recibido un archivo vacio

0 bytes size received / Se ha recibido un archivo vacio

 

 

Fil netprovcredman.dll mottagen 2009.02.22 13:23:07 (CET)

Närvarande status: genomförd

 

Resultat: 0/39 (0.00%)

Compact Skriv ut resultat

Antivirus Version Senaste Uppdatering Resultat

a-squared 4.0.0.93 2009.02.22 -

AhnLab-V3 2009.2.21.0 2009.02.22 -

AntiVir 7.9.0.87 2009.02.21 -

Authentium 5.1.0.4 2009.02.21 -

Avast 4.8.1335.0 2009.02.22 -

AVG 8.0.0.237 2009.02.21 -

BitDefender 7.2 2009.02.22 -

CAT-QuickHeal 10.00 2009.02.22 -

ClamAV 0.94.1 2009.02.22 -

Comodo 983 2009.02.20 -

DrWeb 4.44.0.09170 2009.02.22 -

eSafe 7.0.17.0 2009.02.19 -

eTrust-Vet 31.6.6368 2009.02.20 -

F-Prot 4.4.4.56 2009.02.22 -

F-Secure 8.0.14470.0 2009.02.22 -

Fortinet 3.117.0.0 2009.02.22 -

GData 19 2009.02.22 -

Ikarus T3.1.1.45.0 2009.02.22 -

K7AntiVirus 7.10.639 2009.02.21 -

Kaspersky 7.0.0.125 2009.02.22 -

McAfee 5532 2009.02.21 -

McAfee+Artemis 5532 2009.02.21 -

Microsoft 1.4306 2009.02.22 -

NOD32 3877 2009.02.22 -

Norman 6.00.06 2009.02.20 -

nProtect 2009.1.8.0 2009.02.22 -

Panda 10.0.0.10 2009.02.21 -

PCTools 4.4.2.0 2009.02.22 -

Prevx1 V2 2009.02.22 -

Rising 21.17.62.00 2009.02.22 -

SecureWeb-Gateway 6.7.6 2009.02.22 -

Sophos 4.39.0 2009.02.22 -

Sunbelt 3.2.1855.2 2009.02.17 -

Symantec 10 2009.02.22 -

TheHacker 6.3.2.4.263 2009.02.21 -

TrendMicro 8.700.0.1004 2009.02.20 -

VBA32 3.12.10.0 2009.02.22 -

ViRobot 2009.2.20.1617 2009.02.20 -

VirusBuster 4.5.11.0 2009.02.21 -

Övrig information

File size: 208896 bytes

MD5...: 5e71babeba08543514c60c43df72b02b

SHA1..: 6a0babfd0a77fdfed0607f77e3cc3ce0e6c9834b

SHA256: a3d4bb718322eebf28e2dc2c6949b0aeb987a0dcdcdf5076f8fc385cbe2bc86b

SHA512: 20d798fe149093464214f79365caa8b7d9140cdf4adcb83a1d36b0cf091b1364

aa83cde5ca1ad7c9c73e06925c7b85a218374e64677fbbdf57ffdd7ae1790e93

ssdeep: 3072:acsY06L8qvyaXLNxDvn5F87TjQlrg4nPLqlLpy7LFtn0gTXW:TnL2aXL3Dv

787TMNg4nPSle0

 

PEiD..: -

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (53.1%)

Windows Screen Saver (18.4%)

Win32 Executable Generic (12.0%)

Win32 Dynamic Link Library (generic) (10.6%)

Generic Win/DOS Executable (2.8%)

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x1000f1c6

timedatestamp.....: 0x470a9d16 (Mon Oct 08 21:11:50 2007)

machinetype.......: 0x14c (I386)

 

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x1f025 0x20000 6.59 f11ac4604e3797d5e3278af7d2de6900

.rdata 0x21000 0x6f38 0x7000 5.12 2fe6749e8841910c9b4bb453f5b3dfd9

.data 0x28000 0x5b5c 0x2000 4.06 154c6ecb2156626b402f38f51cbb2b9f

.rsrc 0x2e000 0x3bcc 0x4000 3.88 dd851647da974a83efe403ff0457e064

.reloc 0x32000 0x4b8c 0x5000 3.54 2f8998da6b38675243e93509cabe43b4

 

( 7 imports )

> KERNEL32.dll: GetOEMCP, HeapAlloc, HeapFree, VirtualAlloc, HeapReAlloc, TerminateProcess, UnhandledExceptionFilter, SetUnhandledExceptionFilter, IsDebuggerPresent, GetCommandLineA, GetProcessHeap, RtlUnwind, RaiseException, ExitProcess, HeapSize, GetACP, IsValidCodePage, VirtualFree, GetCPInfo, HeapCreate, GetStdHandle, LCMapStringA, LCMapStringW, SetHandleCount, GetFileType, GetStartupInfoA, FreeEnvironmentStringsA, GetEnvironmentStrings, FreeEnvironmentStringsW, GetEnvironmentStringsW, QueryPerformanceCounter, GetTickCount, GetSystemTimeAsFileTime, GetStringTypeA, GetStringTypeW, GetConsoleCP, GetConsoleMode, SetStdHandle, WriteConsoleA, GetConsoleOutputCP, WriteConsoleW, GlobalFlags, WritePrivateProfileStringA, CreateFileA, GetCurrentProcess, FlushFileBuffers, SetFilePointer, WriteFile, ReadFile, GlobalFindAtomA, lstrcmpW, GetVersionExA, InterlockedIncrement, GetThreadLocale, GlobalGetAtomNameA, SetErrorMode, TlsFree, DeleteCriticalSection, LocalReAlloc, TlsSetValue, TlsAlloc, InitializeCriticalSection, GlobalHandle, GlobalReAlloc, EnterCriticalSection, TlsGetValue, LeaveCriticalSection, LocalAlloc, InterlockedDecrement, GetModuleFileNameW, GetCurrentProcessId, CloseHandle, GlobalDeleteAtom, GetCurrentThread, GetCurrentThreadId, ConvertDefaultLocale, GetModuleFileNameA, EnumResourceLanguagesA, GetLocaleInfoA, lstrcmpA, GetModuleHandleA, GlobalAddAtomA, SetLastError, GlobalFree, GlobalAlloc, GlobalLock, GlobalUnlock, FormatMessageA, LocalFree, Sleep, LoadLibraryA, GetProcAddress, GetComputerNameA, FreeLibrary, lstrlenW, lstrlenA, MultiByteToWideChar, GetVersion, LockResource, GetLastError, WideCharToMultiByte, SizeofResource, CompareStringA, LoadResource, InterlockedExchange, FindResourceA, HeapDestroy

> USER32.dll: ClientToScreen, GrayStringA, DrawTextExA, DrawTextA, TabbedTextOutA, RegisterWindowMessageA, LoadIconA, WinHelpA, GetCapture, GetClassLongA, GetClassNameA, SetPropA, GetPropA, RemovePropA, GetForegroundWindow, GetTopWindow, DestroyWindow, GetMessageTime, GetMessagePos, MapWindowPoints, SetForegroundWindow, GetClientRect, GetMenu, CreateWindowExA, GetClassInfoExA, GetClassInfoA, RegisterClassA, AdjustWindowRectEx, CopyRect, PtInRect, DefWindowProcA, CallWindowProcA, IsIconic, GetWindowPlacement, GetWindowRect, SetWindowPos, ShowWindow, SetWindowLongA, GetDlgCtrlID, IsWindow, SetWindowTextA, GetDlgItem, GetSubMenu, GetWindow, LoadCursorA, GetSystemMetrics, GetDC, ReleaseDC, GetSysColor, GetSysColorBrush, GetWindowTextA, UnregisterClassA, UnhookWindowsHookEx, GetWindowThreadProcessId, GetWindowLongA, GetLastActivePopup, IsWindowEnabled, EnableWindow, DestroyMenu, GetMenuItemCount, GetMenuItemID, GetMenuState, SetCursor, SendMessageA, PostQuitMessage, PostMessageA, CheckMenuItem, EnableMenuItem, ModifyMenuA, GetParent, GetFocus, LoadBitmapA, GetMenuCheckMarkDimensions, MessageBoxA, SetWindowsHookExA, CallNextHookEx, GetMessageA, TranslateMessage, DispatchMessageA, GetActiveWindow, IsWindowVisible, GetKeyState, PeekMessageA, GetCursorPos, ValidateRect, SetMenuItemBitmaps, SystemParametersInfoA

> GDI32.dll: DeleteDC, GetStockObject, ScaleWindowExtEx, SetWindowExtEx, ScaleViewportExtEx, SetViewportExtEx, OffsetViewportOrgEx, SetViewportOrgEx, SelectObject, Escape, ExtTextOutA, TextOutA, RectVisible, PtVisible, GetDeviceCaps, DeleteObject, SetMapMode, RestoreDC, SaveDC, SetBkColor, SetTextColor, GetClipBox, CreateBitmap

> WINSPOOL.DRV: ClosePrinter, DocumentPropertiesA, OpenPrinterA

> ADVAPI32.dll: RegQueryValueA, RegEnumKeyA, RegOpenKeyA, RegCreateKeyExA, RegSetValueExA, RegQueryValueExA, RegDeleteValueA, RegOpenKeyExA, RegCloseKey, RegDeleteKeyA

> SHLWAPI.dll: PathFindFileNameA, PathFindExtensionA

> OLEAUT32.dll: -, -, -

 

( 3 exports )

NPGetCaps, NPLogonNotify, NPPasswordChangeNotify

 

 

 

OBSERVERA: VirusTotal är en gratis tjänst av Hispasec Sistemas. Det är inga garantier på tillgängligheten eller uppföljandet av denna tjänst. Även fast upptäckandet av virus med användandet av flertal antivirus program är mer överlägsen användandet av endast ett, garanterar INTE dessa resultat om en fil är helt riskfri. För närvarande finns det ingen lösning som erbjuder 100% effektivitet för att uppäcka virus och malware.

[/log]

 

Link to comment
Share on other sites

Ladda ner Gmer till Skrivbordet från en av dessa sidor:

http://www.gmer.net/files.php välj Gmer application

http://www.majorgeeks.com/GMER_d5198.html

Packa upp filen till Skrivbordet.

Stäng alla program.

Starta programmet gmer.exe.

Välj fliken rootkit, kontrollera att allt är förbockat till höger utom Show All. Tryck på Scan. Låt datorn stå ifred medan Gmer håller på.

Tryck på Copy och klistra sedan in resultatet i ditt svar.

 

Link to comment
Share on other sites

Eller försök köra MBAM i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Link to comment
Share on other sites

 

Hej

Här är log filen. jag körde programmet i fälsäkert lägge.

 

 

[log]

Malwarebytes' Anti-Malware 1.34

Databasversion: 1799

Windows 5.1.2600 Service Pack 3

 

2009-02-27 19:44:34

mbam-log-2009-02-27 (19-44-34).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 62051

Förfluten tid: 10 minute(s), 10 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

[/log]

 

Link to comment
Share on other sites

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

 

Kan du se dessa filer?

C:\kgnkxc.exe

C:\fvan.exe

C:\eftwl.exe

C:\dvhyi.exe

I så fall gör kopior av dem på Skrivbordet och försök skanna kopiorna på virustotal-sidan.

 

Link to comment
Share on other sites

Kopiera alla rader i rutan (använd markera kod)

Suspect::
C:\kgnkxc.exe
C:\fvan.exe
C:\eftwl.exe
C:\dvhyi.exe

och klistra in i Anteckningar.

Spara filen på Skrivbordet med namnet CFScript.

 

Förbered datorn på samma sätt som tidigare för ComboFix.

Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.

På slutet kommer det en fråga om att skicka upp filer (submit files) gör inte det.

 

I mappen QooBox eller dess undermapp Quarantine så skapades en fil som heter något med Submit. Ladda upp filen på http://www.skickafilen.se/ och som e-postadress så anger du min som du ser när du trycker på Anv.info i underkanten av det här inlägget. Då kommer filen att skickas till mig och jag kan försöka ta reda på mer om filerna.

 

Link to comment
Share on other sites

Filerna som fanns i förra ComboFix-loggen finns inte längre kvar i datorn enligt den nya ComboFix-loggen (som var en del av zip-filen). Har du eller något program tagit bort filer sedan kvällen den 24 februari?

 

2009-02-02 22:14 . 2009-02-02 22:16 <KAT> d-------- C:\TELL ME MORE NV

Vad finns i den mappen?

 

 

Link to comment
Share on other sites

  • 2 weeks later...

Hej

Jag har köpt programet med 8 CD skivor från USA. Nu verker det som om jag inte har problem med datorn.

 

Link to comment
Share on other sites

Så bra!

 

Då återstår bara en sista städning.

 

[log]1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade. Du gör det genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt.

Systemåterställningsfunktionen slår man av och på här:

Högerklick på Den här datorn - Egenskaper - Systemåterställning

 

2. Om du har använt något fix-program, t ex ComboFix så ladda ner avinstallationsprogrammet OTCleanIt till Skrivbordet.

http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe

Dubbelklicka på filen för att starta programmet.

Tryck på knappen CleanUp! och de olika fix-program som du har laddat ner kommer att avinstalleras, inkl. detta program, efter en omstart av datorn. Om något fix-program är kvar efter det så fråga hur du ska ta bort det.

 

3. Ta bort alla tillfälliga filer genom att ladda ner ATF-Cleaner på Skrivbordet:

http://www.atribune.org/ccount/click.php?id=1

Stäng av alla andra program, särskilt webbläsare.

Dubbelklicka på ATF-Cleaner.exe för att starta programmet.

Bocka i Select All. Tryck på Empty Selected.

Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

Tryck på Exit i Main-menyn för att stänga programmet.

Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.

 

4. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.

http://mnin.blogspot.com/2009/02/why-i-enjoyed-tiggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.

 

5. Förbättra skyddet i datorn, se mina Råd för en säkrare dator. http://ceblstockholm.googlepages.com/home[/log]

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...