Just nu i M3-nätverket
Gå till innehåll
balsbyhills

Antivirus soft

Rekommendera Poster

balsbyhills

Scanna och skicka en Hijack log

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:00:43, on 2010-02-17

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Avira\AntiVir Desktop\sched.exe

C:\WINDOWS\system32\WgaTray.exe

C:\Program\Avira\AntiVir Desktop\avguard.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program\Spyware Doctor\pctsAuxs.exe

C:\Program\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\Program\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\LVCOMSX.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program\Logitech\Video\LogiTray.exe

C:\Program\Avira\AntiVir Desktop\avgnt.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program\Delade filer\Ahead\Lib\NMBgMonitor.exe

C:\Program\Windows Live\Messenger\MsnMsgr.Exe

C:\Program\Skype\Phone\Skype.exe

C:\Program\Delade filer\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\OpenOffice.org 3\program\soffice.exe

C:\Program\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

C:\Program\OpenOffice.org 3\program\soffice.bin

C:\Program\Logitech\Video\FxSvr2.exe

C:\Program\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

C:\Program\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

C:\Program\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe

C:\Program\Toshiba\Bluetooth Toshiba Stack\TosBtPSS.exe

C:\Program\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe

C:\Program\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program\Skype\Plugin Manager\skypePM.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ask.com?o=15183&l=dis

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - C:\Program\Google\Google Toolbar\GoogleToolbar_32.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program\Google\GoogleToolbarNotifier\5.5.4723.1820\swg.dll

O2 - BHO: Ask Toolbar BHO - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program\Ask.com\GenericAskToolbar.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: Kwyshell MidpX BHO - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Program\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll

O3 - Toolbar: Ask Toolbar - {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program\Ask.com\GenericAskToolbar.dll

O3 - Toolbar: Kwyshell MidpX - {EBE9E2B5-B526-48BC-AD46-687263EDCB0E} - C:\Program\Kwyshell\MidpX\JadInvoker\MidpInvoker.dll

O3 - Toolbar: Google Toolbar - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - C:\Program\Google\Google Toolbar\GoogleToolbar_32.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program\Delade filer\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [WinSys2] C:\WINDOWS\system32\winsys2.exe

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [CloneDVDElbyDelay] "C:\Program\Elaborate Bytes\CloneDVD\ElbyCheck.exe" /L ElbyDelay

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [avgnt] "C:\Program\Avira\AntiVir Desktop\avgnt.exe" /min

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program\Delade filer\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

O4 - HKCU\..\Run: [swg] "C:\Program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe"

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program\Delade filer\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Program\Logitech\Video\ManifestEngine.exe boot

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [skype] "C:\Program\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [TSClientMSIUninstaller] cmd.exe /C "cscript %systemroot%\Installer\TSClientMsiTrans\tscuinst.vbs" (User 'Default user')

O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program\OpenOffice.org 3\program\quickstart.exe

O4 - Global Startup: BankID säkerhetsprogram.lnk = C:\Program\Personal\bin\Personal.exe

O4 - Global Startup: Bluetooth Manager.lnk = ?

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Google Sidewiki... - res://C:\Program\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

O8 - Extra context menu item: Link to &MidpX - C:\Program\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm

O9 - Extra button: (no name) - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra 'Tools' menuitem: Skype add-on for Internet Explorer - {5067A26B-1337-4436-8AFE-EE169C2DA79F} - C:\Program\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\SPYBOT~1\SDHelper.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra button: (no name) - cmdmapping - (no file) (HKCU)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1220373235250

O16 - DPF: {7530bfb8-7293-4d34-9923-61a11451afc5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program\DELADE~1\Skype\SKYPE4~1.DLL

O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - C:\Program\Avira\AntiVir Desktop\sched.exe

O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - C:\Program\Avira\AntiVir Desktop\avguard.exe

O23 - Service: Tjänsten Google Update (gupdate) (gupdate) - Google Inc. - C:\Program\Google\Update\GoogleUpdate.exe

O23 - Service: Google Software Updater (gusvc) - Google - C:\Program\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: NBService - Nero AG - C:\Program\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program\Spyware Doctor\pctsAuxs.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

 

--

End of file - 10581 bytes

[/log]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Zipp.

Avinstallera via Kontrollpanelen om hittas = Ask Toolbar

Sen kan du ta bort eventuella rester med Malwarebytes Anti-Malware

 

Ladda ner Malwarebytes Anti-Malware:

http://www.besttechie.net/tools/mbam-setup.exe

Dubbelklicka på mbam-setup.exe för att installera programmet.

Bocka för:

Update Malwarebytes' Anti-Malware

Launch Malwarebytes' Anti-Malware

Tryck på Finish

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj Perform Quick Scan och tryck på Scan.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan Show Results.

Bocka för allt och tryck sedan Remove Selected.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte är öppen i Anteckningar så hittar du loggen på Logs-fliken i MBAM.

Kopiera loggen och klistra in den i ditt svar

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
balsbyhills

Avinstallera via Kontrollpanelen om hittas = Ask Toolbar

Sen kan du ta bort eventuella rester med Malwarebytes Anti-Malware

 

Ladda ner Malwarebytes Anti-Malware:

http://www.besttechie.net/tools/mbam-setup.exe

Dubbelklicka på mbam-setup.exe för att installera programmet.

Bocka för:

Update Malwarebytes' Anti-Malware

Launch Malwarebytes' Anti-Malware

Tryck på Finish

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj Perform Quick Scan och tryck på Scan.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan Show Results.

Bocka för allt och tryck sedan Remove Selected.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte är öppen i Anteckningar så hittar du loggen på Logs-fliken i MBAM.

Kopiera loggen och klistra in den i ditt svar

[log]Malwarebytes' Anti-Malware 1.44

Databasversion: 3751

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

2010-02-17 19:21:39

mbam-log-2010-02-17 (19-21-32).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 127878

Förfluten tid: 4 minute(s), 48 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 2

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\Documents and Settings\Vaio VGN-S4XP\Skrivbord\ipscan.exe (PUP.Malware.Tool) -> No action taken.

C:\WINDOWS\system32\WinSys.exe (Trojan.Agent) -> No action taken.

[/log]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
balsbyhills

[log]Malwarebytes' Anti-Malware 1.44

Databasversion: 3751

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

2010-02-17 19:21:39

mbam-log-2010-02-17 (19-21-32).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 127878

Förfluten tid: 4 minute(s), 48 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 2

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\Documents and Settings\Vaio VGN-S4XP\Skrivbord\ipscan.exe (PUP.Malware.Tool) -> No action taken.

C:\WINDOWS\system32\WinSys.exe (Trojan.Agent) -> No action taken.

[/log]

ska jag ta bort de 2 poster som är smittade enligt malwarebytes

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Zipp.

Detta är kanske fel flagg av mbam

Scanna filen i virustotal länken och skicka resultat

 

C:\WINDOWS\system32\WinSys.exe

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
balsbyhills

ska jag ta bort de 2 poster som är smittade enligt malwarebytes

[log][log] Fil WinSys.exe mottagen 2010.02.15 13:07:33 (UTC)

Närvarande status: genomförd

Resultat: 0/41 (0.00%)

Compact Compact

Skriv ut resultat Skriv ut resultat

Antivirus Version Senaste Uppdatering Resultat

a-squared 4.5.0.50 2010.02.15 -

AhnLab-V3 5.0.0.2 2010.02.15 -

AntiVir 7.9.1.170 2010.02.15 -

Antiy-AVL 2.0.3.7 2010.02.15 -

Authentium 5.2.0.5 2010.02.15 -

Avast 4.8.1351.0 2010.02.15 -

AVG 9.0.0.730 2010.02.15 -

BitDefender 7.2 2010.02.15 -

CAT-QuickHeal 10.00 2010.02.15 -

ClamAV 0.96.0.0-git 2010.02.15 -

Comodo 3944 2010.02.15 -

DrWeb 5.0.1.12222 2010.02.15 -

eSafe 7.0.17.0 2010.02.14 -

eTrust-Vet 35.2.7303 2010.02.15 -

F-Prot 4.5.1.85 2010.02.15 -

F-Secure 9.0.15370.0 2010.02.15 -

Fortinet 4.0.14.0 2010.02.15 -

GData 19 2010.02.15 -

Ikarus T3.1.1.80.0 2010.02.15 -

Jiangmin 13.0.900 2010.02.15 -

K7AntiVirus 7.10.972 2010.02.12 -

Kaspersky 7.0.0.125 2010.02.15 -

McAfee 5892 2010.02.14 -

McAfee+Artemis 5892 2010.02.14 -

McAfee-GW-Edition 6.8.5 2010.02.15 -

Microsoft 1.5406 2010.02.15 -

NOD32 4867 2010.02.15 -

Norman 6.04.08 2010.02.15 -

nProtect 2009.1.8.0 2010.02.15 -

Panda 10.0.2.2 2010.02.14 -

PCTools 7.0.3.5 2010.02.15 -

Prevx 3.0 2010.02.15 -

Rising 22.34.01.03 2010.02.11 -

Sophos 4.50.0 2010.02.15 -

Sunbelt 5678 2010.02.15 -

Symantec 20091.2.0.41 2010.02.15 -

TheHacker 6.5.1.4.194 2010.02.15 -

TrendMicro 9.120.0.1004 2010.02.15 -

VBA32 3.12.12.2 2010.02.15 -

ViRobot 2010.2.13.2186 2010.02.13 -

VirusBuster 5.0.21.0 2010.02.15 -

Övrig information

File size: 200704 bytes

MD5 : bb8bd0d7171d13b06dedce57997a4b09

SHA1 : 08216cbef5a5f17d72f97e8bd3670a3fd3158be8

SHA256: 3e2c1cf00787c8d67ae7a6a61e8a698d9ecaede9c8ee52f8ee9effca5e9bcec7

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0xFB66

timedatestamp.....: 0x45820F03 (Fri Dec 15 03:57:07 2006)

machinetype.......: 0x14C (Intel I386)

 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x20376 0x21000 6.59 c34927664ee7147fa770922f5fc48a82

.rdata 0x22000 0x7EEA 0x8000 4.96 0c5fec072792fe067dbdc05503db9d6b

.data 0x2A000 0x5D94 0x2000 3.82 64e552d0e79140f59b41b9244bf77008

.rsrc 0x30000 0x48A8 0x5000 4.41 1659f65f1060919c02b0099dd6a83a7a

 

( 0 imports )

 

 

( 0 exports )

TrID : File type identification

Win64 Executable Generic (59.6%)

Win32 Executable MS Visual C++ (generic) (26.2%)

Win32 Executable Generic (5.9%)

Win32 Dynamic Link Library (generic) (5.2%)

Generic Win/DOS Executable (1.3%)

ThreatExpert: http://www.threatexpert.com/report.aspx?md5=bb8bd0d7171d13b06dedce57997a4b09

ssdeep: 3072:1oHmk7KgiSiv2ml4MmO1BvJzxhPValA7R6xtMQIbkpTQ7:1km1Siv2y1mmhzxh9dFOIYm

sigcheck: publisher....:

copyright....: Copyright © 2003

product......: DOT Application

description..: DOT MFC Application

original name: DOT.EXE

internal name: DOT

file version.: 1, 0, 0, 2

comments.....:

signers......: -

signing date.: -

verified.....: Unsigned

PEiD : -

CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=bb8bd0d7171d13b06dedce57997a4b09

RDS : NSRL Reference Data Set[/log][/log]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
balsbyhills

Kan inte öppna scan resultat skicka igen

[log] Fil WinSys.exe mottagen 2010.02.15 13:07:33 (UTC)

Närvarande status: genomförd

Resultat: 0/41 (0.00%)

Compact Compact

Skriv ut resultat Skriv ut resultat

Antivirus Version Senaste Uppdatering Resultat

a-squared 4.5.0.50 2010.02.15 -

AhnLab-V3 5.0.0.2 2010.02.15 -

AntiVir 7.9.1.170 2010.02.15 -

Antiy-AVL 2.0.3.7 2010.02.15 -

Authentium 5.2.0.5 2010.02.15 -

Avast 4.8.1351.0 2010.02.15 -

AVG 9.0.0.730 2010.02.15 -

BitDefender 7.2 2010.02.15 -

CAT-QuickHeal 10.00 2010.02.15 -

ClamAV 0.96.0.0-git 2010.02.15 -

Comodo 3944 2010.02.15 -

DrWeb 5.0.1.12222 2010.02.15 -

eSafe 7.0.17.0 2010.02.14 -

eTrust-Vet 35.2.7303 2010.02.15 -

F-Prot 4.5.1.85 2010.02.15 -

F-Secure 9.0.15370.0 2010.02.15 -

Fortinet 4.0.14.0 2010.02.15 -

GData 19 2010.02.15 -

Ikarus T3.1.1.80.0 2010.02.15 -

Jiangmin 13.0.900 2010.02.15 -

K7AntiVirus 7.10.972 2010.02.12 -

Kaspersky 7.0.0.125 2010.02.15 -

McAfee 5892 2010.02.14 -

McAfee+Artemis 5892 2010.02.14 -

McAfee-GW-Edition 6.8.5 2010.02.15 -

Microsoft 1.5406 2010.02.15 -

NOD32 4867 2010.02.15 -

Norman 6.04.08 2010.02.15 -

nProtect 2009.1.8.0 2010.02.15 -

Panda 10.0.2.2 2010.02.14 -

PCTools 7.0.3.5 2010.02.15 -

Prevx 3.0 2010.02.15 -

Rising 22.34.01.03 2010.02.11 -

Sophos 4.50.0 2010.02.15 -

Sunbelt 5678 2010.02.15 -

Symantec 20091.2.0.41 2010.02.15 -

TheHacker 6.5.1.4.194 2010.02.15 -

TrendMicro 9.120.0.1004 2010.02.15 -

VBA32 3.12.12.2 2010.02.15 -

ViRobot 2010.2.13.2186 2010.02.13 -

VirusBuster 5.0.21.0 2010.02.15 -

Övrig information

File size: 200704 bytes

MD5 : bb8bd0d7171d13b06dedce57997a4b09

SHA1 : 08216cbef5a5f17d72f97e8bd3670a3fd3158be8

SHA256: 3e2c1cf00787c8d67ae7a6a61e8a698d9ecaede9c8ee52f8ee9effca5e9bcec7

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0xFB66

timedatestamp.....: 0x45820F03 (Fri Dec 15 03:57:07 2006)

machinetype.......: 0x14C (Intel I386)

 

( 4 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x20376 0x21000 6.59 c34927664ee7147fa770922f5fc48a82

.rdata 0x22000 0x7EEA 0x8000 4.96 0c5fec072792fe067dbdc05503db9d6b

.data 0x2A000 0x5D94 0x2000 3.82 64e552d0e79140f59b41b9244bf77008

.rsrc 0x30000 0x48A8 0x5000 4.41 1659f65f1060919c02b0099dd6a83a7a

 

( 0 imports )

 

 

( 0 exports )

TrID : File type identification

Win64 Executable Generic (59.6%)

Win32 Executable MS Visual C++ (generic) (26.2%)

Win32 Executable Generic (5.9%)

Win32 Dynamic Link Library (generic) (5.2%)

Generic Win/DOS Executable (1.3%)

ThreatExpert: http://www.threatexpert.com/report.aspx?md5=bb8bd0d7171d13b06dedce57997a4b09

ssdeep: 3072:1oHmk7KgiSiv2ml4MmO1BvJzxhPValA7R6xtMQIbkpTQ7:1km1Siv2y1mmhzxh9dFOIYm

sigcheck: publisher....:

copyright....: Copyright © 2003

product......: DOT Application

description..: DOT MFC Application

original name: DOT.EXE

internal name: DOT

file version.: 1, 0, 0, 2

comments.....:

signers......: -

signing date.: -

verified.....: Unsigned

PEiD : -

CWSandbox: http://research.sunbelt-software.com/partnerresource/MD5.aspx?md5=bb8bd0d7171d13b06dedce57997a4b09

RDS : NSRL Reference Data Set[/log]

Redigerad av balsbyhills

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Zipp.
ska jag ta bort de 2 poster som är smittade enligt malwarebytes

 

Dom kan vara kvar.

Är problemet borta så är det klart

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
balsbyhills

Dom kan vara kvar.

Är problemet borta så är det klart

ok då tackar jag så hemskt mycket för hjälpen, det har verkligen varit en stor hjälp TACK

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
frelle72

Hej cecilia

Jag fick hjälp av dig för ett tag sen nu är det dags igen trots alla försiktighetsåtgärder så har jag drabbats av virus igen:(. Skulle hjälpa min syster att skriva ett cv och laddade ner från svsonlinetest.com skriv_ett_cv.com det skulle vara mallar till cv,men jag blev lurad och nu surfar den genom ie explorer av sig själv säger att min dator är smittad kommer meddelande om att jag inte har något antivirus programm etc. Vad ska jag göra?? Den har även installerat antivirus soft som inte slutar förrän man registrerar det

Snälla du hjälp mig

MVH

Jörgen/balsbyhills

 

Jag har gjort exakt samma misstag, laddade ner personligt_brev.com från svsonlinetest.com. Har däremot inte haft några märkbara problem än, efter att jag laddade ner filen så försvann den direkt. Enligt historiken i norton så skickade den data till en viss ip-address innan filen försvann. Dock finns filen kvar i listan med program i brandväggsinställningar, har blockat den. Tror ni detta är något och oroa sig för?

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Cecilia

Jag har gjort exakt samma misstag, laddade ner personligt_brev.com från svsonlinetest.com. Har däremot inte haft några märkbara problem än, efter att jag laddade ner filen så försvann den direkt. Enligt historiken i norton så skickade den data till en viss ip-address innan filen försvann. Dock finns filen kvar i listan med program i brandväggsinställningar, har blockat den. Tror ni detta är något och oroa sig för?

Jag rekommenderar dig att köra MBAM på det sätt som Zipp skriver i inlägg #28.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
frelle72

Körde MBAM och fick följande resultat:

 

[log]Malwarebytes' Anti-Malware 1.44

Databasversion: 3768

Windows 6.0.6001 Service Pack 1

Internet Explorer 8.0.6001.18882

 

2010-02-21 00:25:24

mbam-log-2010-02-21 (00-25-24).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 122041

Förfluten tid: 6 minute(s), 18 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 1

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

[/log]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Cecilia

Den inställning som MBAM fixade har inget med Antivirus soft att göra i alla fall så det verkar som att datorn inte blev infekterad. Är datorn omstartad efter att du använde filen personligt_brev?

 

Vilket IP-adress var det som filen ville skicka något till?

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
frelle72

Nej jag har inte startat om datorn förutom efter MBAM sökt igenom.

 

IP-addressen var: 69.172.130.198

 

Hittade detta om den:

[log] OrgName: Pilosoft, Inc.

 

OrgID: PILOS

 

Address: 55 Broad St, 3rd Fl

 

City: New York

 

StateProv: NY

 

PostalCode: 10004

 

Country: US

 

 

 

NetRange: 69.172.128.0 - 69.172.143.255

 

CIDR: 69.172.128.0/20

 

OriginAS: AS26627

 

NetName: PILOS-BLK1

 

NetHandle: NET-69-172-128-0-1

 

Parent: NET-69-0-0-0-0

 

NetType: Direct Allocation

 

NameServer: NS5.PILOSOFT.COM

 

NameServer: NS6.PILOSOFT.COM

 

Comment:

 

RegDate: 2009-03-24

 

Updated: 2009-03-24

 

 

 

RAbuseHandle: ALEXP1-ARIN

 

RAbuseName: Pilosov, Alex

 

RAbusePhone: +1-877-745-6763

 

RAbuseEmail: alex@pilosoft.com

 

 

 

RNOCHandle: ALEXP1-ARIN

 

RNOCName: Pilosov, Alex

 

RNOCPhone: +1-877-745-6763

 

RNOCEmail: alex@pilosoft.com

 

 

 

RTechHandle: ALEXP1-ARIN

 

RTechName: Pilosov, Alex

 

RTechPhone: +1-877-745-6763

 

RTechEmail: alex@pilosoft.com

 

 

 

OrgTechHandle: ALEXP1-ARIN

 

OrgTechName: Pilosov, Alex

 

OrgTechPhone: +1-877-745-6763

 

OrgTechEmail: alex@pilosoft.com

 

 

 

# ARIN WHOIS database, last updated 2010-02-19 20:00

 

# Enter ? for additional hints on searching ARIN's WHOIS database.

 

#

 

# ARIN WHOIS data and services are subject to the Terms of Use

 

# available at https://www.arin.net/whois_tou.html

 

[/log]

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Cecilia

Med tanke på hur många IP-adresser de har så kan det vara ett webbhotell eller en internet-leverantör. http://www.manta.com/coms2/dnbcompany_g3pmd1

 

Man ska i alla fall hålla sig borta från det företaget: http://www.mywot.com/sv/scorecard/pilosoft.com

 

Här kan du läsa mina vanliga råd för en säkrare dator, men det är så klart viktigt att man använder sitt förnuft också.

http://sites.google.com/site/ceblstockholm/home

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
frelle72

Det skumma är att personligt_brev.com finns kvar i brandväggens programlista fast den inte finns kvar enligt utforskaren

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
frelle72

Med tanke på hur många IP-adresser de har så kan det vara ett webbhotell eller en internet-leverantör. http://www.manta.com...bcompany_g3pmd1

 

Man ska i alla fall hålla sig borta från det företaget: http://www.mywot.com...rd/pilosoft.com

 

Här kan du läsa mina vanliga råd för en säkrare dator, men det är så klart viktigt att man använder sitt förnuft också.

http://sites.google....lstockholm/home

 

Det underliga var att jag länkades till filen genom en google-länk som enligt google skulle leda till en helt annan plats. Efter att jag uppdaterat sökningen så kom jag in på en helt annan hemsida vilket var den hemsidan länken skulle leda till.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Cecilia

Det är inte skumt utan normalt. Om du t ex avinstallerar något program för att uppgradera det till en nyare version så vill du ju att brandväggsregeln för programmet ska finnas kvar så att du slipper ställa in brandväggen på nytt. Det är normalt att man får ta bort inaktuella regler själv.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Cecilia

Det underliga var att jag länkades till filen genom en google-länk som enligt google skulle leda till en helt annan plats. Efter att jag uppdaterat sökningen så kom jag in på en helt annan hemsida vilket var den hemsidan länken skulle leda till.

Okej, gör då som så att du söker efter:

avg free download

Får du då upp något med http://free.avg.com/ som någon av de första valen? Kommer du till den webbsidan också när du klickar på den länken?

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
frelle72

Okej, gör då som så att du söker efter:

avg free download

Får du då upp något med http://free.avg.com/ som någon av de första valen? Kommer du till den webbsidan också när du klickar på den länken?

 

Ja det gör jag, grejen var att länken från google inte stämde överens med den gröna url:en under sökningen som google säger att länken ska leda till. Uppdaterade sedan sökningen och länken stämde överens med url:en

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Cecilia

Det finns skadliga program som orsakar att google-sökningar leder till fel ställe på det sätt som du beskriver så det är i och för sig inte så underligt. Det viktiga är ju att det inte är något problem längre och inte heller är det efter att datorn har startats om.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
frelle72

Ok, men då får jag ta och tacka för hjälpen :)

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Skapa ett nytt konto på vårt forum. Det är lätt!

Registrera ett nytt konto

Logga in

Redan medlem? Logga in här.

Logga in nu



×
×
  • Skapa nytt...