Vad är detta?

[Mikael Larsson]

Jag gjorde idag en genomsökning av datorn efter virus med avg free och detta hittades. Vad är detta egentligen för något?

 

"C:\WINDOWS\DriverPacks\3rdPartyDriverPacks.TheSneaky.com\3\WC\C\10\VfwUpd.EXE";

"The file is signed with a broken digital signature, issued by: Microsoft Corporation."

"C:\WINDOWS\DriverPacks\3rdPartyDriverPacks.TheSneaky.com\3\WC\C\13\VfwUpd.EXE";

"The file is signed with a broken digital signature, issued by: Microsoft Corporation."

"C:\WINDOWS\DriverPacks\3rdPartyDriverPacks.TheSneaky.com\3\WC\C\14\VfwUpd.EXE";

"The file is signed with a broken digital signature, issued by: Microsoft Corporation."

"C:\WINDOWS\DriverPacks\3rdPartyDriverPacks.TheSneaky.com\3\WC\C\17\VfwUpd.EXE";

"The file is signed with a broken digital signature, issued by: Microsoft Corporation."

"C:\WINDOWS\DriverPacks\3rdPartyDriverPacks.TheSneaky.com\3\WC\C\18\VfwUpd.EXE";

"The file is signed with a broken digital signature, issued by: Microsoft Corporation."

"C:\WINDOWS\DriverPacks\3rdPartyDriverPacks.TheSneaky.com\3\WC\C\19\VfwUpd.EXE";

"The file is signed with a broken digital signature, issued by: Microsoft Corporation."

"C:\WINDOWS\DriverPacks\3rdPartyDriverPacks.TheSneaky.com\3\WC\C\25\VfwUpd.EXE";

"The file is signed with a broken digital signature, issued by: Microsoft Corporation."

"C:\WINDOWS\DriverPacks\3rdPartyDriverPacks.TheSneaky.com\3\WC\C\9\VfwUpd.EXE";

"The file is signed with a broken digital signature, issued by: Microsoft Corporation."

 

//Mikael

[Cecilia]

Det betyder att signaturen inte är korrekt, sedan om det beror på att det är hackade filer eller om signaturen är felaktigt ditlagd från början vet jag inte.

 

http://forums.avg.com/ww-en/avg-free-forum?sec=thread&act=show&id=41973

http://answers.yahoo.com/question/index?qid=20091017163929AAi7IiB

[Mikael Larsson]

Jag vet inte vilket eller vilka program som lägger dit de filerna eller om de är "hackade" av någon / några - de som jag däremot vet är att de dyker upp varje gång jag kör genomsökning av avg free - fast jag tar bort dem. Är det något virus?

[Mats H]

Hej,

hittade en länk i ett danskt forum som påminner om din fråga här.

http://www.spywarefri.dk/forum/viewthread/77879/

Keygens nämns där.

 

Där rekommenderas också en körning med Malwarebytes, så en god ide!

Malwarebytes' Anti-Malware : Malwarebytes

Följ programmets instruktioner, och återkom med resultatet.

Klistra in din logg efter körning Hittas under fliken Loggar.

Mvh

Mats H

[Cecilia]

Samt finns där något med Driver Pack i listan över program som kan avinstalleras?

[Mikael Larsson]

Hej,

hittade en länk i ett danskt forum som påminner om din fråga här.

http://www.spywarefr...ewthread/77879/

Keygens nämns där.

 

Där rekommenderas också en körning med Malwarebytes, så en god ide!

Malwarebytes' Anti-Malware : Malwarebytes

Följ programmets instruktioner, och återkom med resultatet.

Klistra in din logg efter körning Hittas under fliken Loggar.

Mvh

Mats H

 

Här kommer loggen:

- - - - - -

 

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Databasversion: 4335

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

2010-07-21 15:16:38

mbam-log-2010-07-21 (15-16-38).txt

 

Skanningstyp: Snabbskanning

Antal skannade objekt: 133346

Förfluten tid: 17 minut(er), 8 sekund(er)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 1

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 1

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> No action taken.

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\WINDOWS\system32\antiwpa.dll (Trojan.I.Stole.Windows) -> No action taken.

- - - - -

 

den hittade visst 1 infekterad fil. Jag klickade på att "ta bort valda" och då kom det upp en ruta där det stod:

"Vissa poster kunde inte tas bort. En loggfil sparades till loggmappen. Din dator behöver startas om för att slutföra borttagningsprocessen. Vill du starta om nu?"

Jag klickade på: Nej - eftersom jag ville se loggfilen som sparades i loggmappen.

Enligt den nya loggen (som förövrigt var samma som den jag klistrade in) har den infekterade filen inte tagits bort - hur och vad ska jag göra nu för att få bort detta?

 

Jag kikade runt lite i programmet malwarebytes och hittade fliken "karantän". Där fanns en fil vid namn: Trojan.I.Stole.Windows. Är datorn "säker" i skrivandes stund eftersom denna är i karantän?

 

- - - - - -

 

Samt finns där något med Driver Pack i listan över program som kan avinstalleras?

 

Nej, det finns det inte. Detta styrker väl att det finns en infekterad fil någon stans.

 

 

 

[Mats H]

Hej,

en DDS kan nog vara på sin plats här som nästa steg, så får vi se lite närmare.

Klistra in loggen/resultatet från programmet DDS. Spara DDS på Skrivbordet.

http://download.blee...om/sUBs/dds.scr

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Medan du bifogar Attach.txt som en fil.

 

DDS är ett program som listar processer som kör, program och tjänster som startas automatiskt samt filer i sådana mappar som är vanliga att skadliga program och som är nya eller ändrade under senaste 1-3 månader. DDS är ett mycket vanligt program bland oss som hjälper till att rensa datorer. Resultatet ger oss en grundläggande kunskap om vad som händer och har hänt nyligen i datorn, och från det kan vi dra slutsatser om vad som är nästa lämpliga steg i rensningen av datorn.

 

Obs! När du klistrar in en logg eller ett resultat i ditt inlägg använd inga knappar eller taggar utan kopiera det i programmet (oftast Anteckningar) och klistra in det direkt i rutan du skriver i.

Mvh

Mats H

[Mikael Larsson]

DDS logg:

 

 

 

 

DDS (Ver_10-03-17.01) - NTFSx86

Run by Dator at 15:32:48,82 on 2010-07-21

Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_07

Microsoft Windows XP Home Edition 5.1.2600.3.1252.46.1053.18.511.89 [GMT 2:00]

 

AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

 

============== Running Processes ===============

 

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

svchost.exe

svchost.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\Google\Update\GoogleUpdate.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\CTHELPER.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\Logi_MwX.Exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\ctfmon.exe

D:\Documents and Settings\Dator\Lokala inställningar\Application Data\Google\Update\GoogleUpdate.exe

D:\Documents and Settings\Dator\Lokala inställningar\Application Data\Google\Update\1.2.183.23\GoogleCrashHandler.exe

svchost.exe

C:\WINDOWS\system32\taskmgr.exe

D:\Documents and Settings\Dator\Lokala inställningar\Application Data\Google\Chrome\Application\chrome.exe

D:\Documents and Settings\Dator\Lokala inställningar\Application Data\Google\Chrome\Application\chrome.exe

D:\Documents and Settings\Dator\Lokala inställningar\Application Data\Google\Chrome\Application\chrome.exe

D:\Documents and Settings\Dator\Lokala inställningar\Application Data\Google\Chrome\Application\chrome.exe

C:\Program\notepad2\Notepad2.exe

C:\Program\Skype\Phone\Skype.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program\Skype\Plugin Manager\skypePM.exe

C:\Program\AVG\AVG9\avgchsvx.exe

C:\Program\AVG\AVG9\avgrsx.exe

C:\Program\AVG\AVG9\avgchsvx.exe

C:\Program\AVG\AVG9\avgcsrvx.exe

C:\Program\AVG\AVG9\avgwdsvc.exe

C:\Program\AVG\AVG9\avgnsx.exe

C:\Program\AVG\AVG9\avgtray.exe

D:\Documents and Settings\Dator\Lokala inställningar\Application Data\Google\Chrome\Application\chrome.exe

D:\Documents and Settings\Dator\Lokala inställningar\Application Data\Google\Chrome\Application\chrome.exe

D:\Documents and Settings\Dator\Lokala inställningar\Application Data\Google\Chrome\Application\chrome.exe

D:\Documents and Settings\Dator\Lokala inställningar\Application Data\Google\Chrome\Application\chrome.exe

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program\Malwarebytes' Anti-Malware\mbam.exe

C:\Program\notepad2\Notepad2.exe

C:\WINDOWS\Explorer.EXE

D:\Documents and Settings\Dator\Skrivbord\dds.scr

 

============== Pseudo HJT Report ===============

 

uSearch Page =

uStart Page = https://owa.utb.mark.se/

uSearch Bar =

mSearchAssistant =

BHO: Länkhjälp till Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program\delade filer\adobe\acrobat\activex\AcroIEHelper.dll

BHO: AVG Safe Search: {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program\avg\avg9\avgssie.dll

BHO: Windows Live inloggningshjälpen: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program\delade filer\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe

uRun: [Google Update] "d:\documents and settings\dator\lokala inställningar\application data\google\update\GoogleUpdate.exe" /c

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [nwiz] nwiz.exe /install

mRun: [CTHelper] CTHELPER.EXE

mRun: [CTxfiHlp] CTXFIHLP.EXE

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [AVG9_TRAY] c:\program\avg\avg9\avgtray.exe

mRun: [Logitech Utility] Logi_MwX.Exe

mRun: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

mRun: [Adobe Reader Speed Launcher] "c:\program\adobe\reader 8.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\program\delade filer\adobe\arm\1.0\AdobeARM.exe"

mRun: [sunJavaUpdateSched] "c:\program\delade filer\java\java update\jusched.exe"

mRun: [Malwarebytes Anti-Malware (reboot)] "c:\program\malwarebytes' anti-malware\mbam.exe" /runcleanupscript

mRunOnce: [Malwarebytes' Anti-Malware] c:\program\malwarebytes' anti-malware\mbamgui.exe /install /silent

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

dRunOnce: [setDefaultMIDI] MIDIDEF.EXE /s:'Creative SoundFont Synthesizer' /w:'SB Audigy'

StartupFolder: c:\documents and settings\dator\start-meny\program\autostart\Ska göras omgående.txt

IE: E&xportera till Microsoft Excel - c:\program\micros~2\office11\EXCEL.EXE/3000

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program\messenger\msmsgs.exe

IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - c:\program\windows live\writer\WriterBrowserExtension.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\program\micros~2\office11\REFIEBAR.DLL

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab

DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - c:\program\avg\avg9\avgpp.dll

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\program\delade~1\skype\SKYPE4~1.DLL

Notify: Antiwpa - antiwpa.dll

Notify: avgrsstarter - avgrsstx.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

 

============= SERVICES / DRIVERS ===============

 

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-11-29 216400]

R1 AvgMfx86;AVG Free On-access Scanner Minifilter Driver x86;c:\windows\system32\drivers\avgmfx86.sys [2009-11-29 29584]

R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-11-29 243024]

R2 avg9wd;AVG Free WatchDog;c:\program\avg\avg9\avgwdsvc.exe [2010-7-17 308136]

R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2010-7-21 38224]

S2 gupdate;Google Update Service (gupdate);c:\program\google\update\GoogleUpdate.exe [2010-3-7 135664]

S3 ctgame;Game Port;c:\windows\system32\drivers\CTGAME.SYS [2007-1-31 12160]

S3 FETHCB;Fast Ethernet CardBus PC Card NT Driver;c:\windows\system32\drivers\FETHCB.sys [2007-1-31 25434]

S3 FsUsbExDisk;FsUsbExDisk;\??\c:\windows\system32\fsusbexdisk.sys --> c:\windows\system32\FsUsbExDisk.SYS [?]

 

=============== Created Last 30 ================

 

2010-07-21 13:22:03 54016 ----a-w- c:\windows\system32\drivers\ruoy.sys

2010-07-21 12:56:50 0 d-----w- d:\docume~1\dator\applic~1\Malwarebytes

2010-07-21 12:56:28 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-07-21 12:56:26 0 d-----w- c:\docume~1\alluse~1\applic~1\Malwarebytes

2010-07-21 12:56:25 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-07-21 12:56:24 0 d-----w- c:\program\Malwarebytes' Anti-Malware

2010-07-19 17:57:56 0 d-----w- c:\program\MeeSoft

2010-07-18 11:52:31 0 d-----w- C:\TYPLE

2010-07-18 11:42:31 0 d-----w- c:\program\Typle2.0v

2010-07-17 09:44:37 12536 ----a-w- c:\windows\system32\avgrsstx.dll

2010-07-15 05:27:46 3384 ----a-w- c:\windows\system32\wbem\Outlook_01cb23de7550af48.mof

2010-07-12 09:36:18 411368 ----a-w- c:\windows\system32\deployJava1.dll

2010-07-08 14:52:51 0 d-----w- c:\program\MarkAnyContentSAFER

2010-06-29 13:03:57 33340 ------w- c:\windows\system32\dbmsqlgc.dll

2010-06-29 13:03:56 24576 ------w- c:\windows\system32\dbmsgnet.dll

2010-06-29 13:03:45 306688 ----a-w- c:\windows\IsUninst.exe

2010-06-29 12:58:46 0 d-----w- c:\program\Sony

2010-06-29 12:56:35 0 d-----w- c:\program\Sony Setup

2010-06-29 10:10:15 17616 ----a-w- C:\video.pass

2010-06-29 10:04:49 0 d-----w- c:\program\Game Cam V2

2010-06-28 11:10:59 0 d-----w- c:\windows\RegisteredPackages

2010-06-28 08:14:59 0 d-----w- C:\Fraps

2010-06-28 07:33:25 0 d-----w- c:\program\Call of Duty

2010-06-27 18:44:32 245760 ----a-w- c:\windows\system32\mp4sds32.ax

2010-06-27 18:44:31 309616 ----a-w- c:\windows\system32\wmv8dmod.dll

2010-06-27 18:44:28 420240 ----a-w- c:\windows\system32\mpg4c32.dll

2010-06-27 18:31:51 0 d-----w- c:\program\Codemasters

2010-06-27 18:26:21 0 d-----w- c:\program\GameSpy Arcade

2010-06-27 14:20:28 529 ----a-w- c:\windows\eReg.dat

2010-06-27 14:16:07 0 d-----w- c:\program\EA GAMES

 

==================== Find3M ====================

 

2010-07-17 09:44:39 243024 ----a-w- c:\windows\system32\drivers\avgtdix.sys

2010-07-17 09:43:18 216400 ----a-w- c:\windows\system32\drivers\avgldx86.sys

2010-07-15 05:27:46 91866 ----a-w- c:\windows\system32\perfc01D.dat

2010-07-15 05:27:46 463994 ----a-w- c:\windows\system32\perfh01D.dat

2010-07-08 14:48:18 5632 ----a-w- c:\windows\system32\drivers\StarOpen.sys

2010-06-15 02:16:24 86016 ----a-w- c:\windows\system32\frapsvid.dll

2010-05-06 10:36:51 916480 ----a-w- c:\windows\system32\wininet.dll

2010-05-02 08:10:15 1851264 ----a-w- c:\windows\system32\win32k.sys

2008-05-20 16:13:57 32768 -csha-w- c:\windows\system32\config\systemprofile\lokala inställningar\tidigare\history.ie5\mshist012008052020080521\index.dat

 

============= FINISH: 15:34:03,48 ===============

[Mats H]

Hej Mikael,

då tydligen ditt Windows är en "crackad" version, kommer jag att avbryta mitt support av den här tråden med ditt problem.

Detta är ett personligt ställningstagande, eftersom forumreglerna inte förbjuder support.

Hoppas att du kan få ordning på detta när du har ett lagligt Windows.

Lycka till i fortsättningen.

Mvh

Mats H

[Mikael Larsson]

jag hade ingen som helst aning om att den var det - jag köpte den begagnad. Hur som helst - tack för svar.

[Cecilia]

Det är alltid bäst att formatera och installera om en begagnad dator, då vet man vad som finns i den sedan. Kan ju finnas en massa skadliga program om man har otur.