Problem medTrojan-klicker

[Tomping]

Efter jag kört avenger så är c\combofix mappen helt tom skall den vara det? anledningen att jag ville titta i mappen var att jag tyckte att jag sett IKI.någonting i den

Be happy!

 

[inlägget ändrat 2008-01-29 20:25:58 av Tomping]

[Tomping]

Jag har kört alla tidigare filer vi haft problem med i virusTotal. de visar inget längre det känns väldigt hoppfullt, tror du att datorn är ren nu?

 

Kan du rekomendera något andra programm än zonealarm och ad-aware

Be happy!

 

[Cecilia]

Det ser ju ut som att Avenger fick bort flera illasinnade filer där i alla fall. Det vore bra att se en ComboFix-logg nu och se om det syns något mer i den.

 

<Hej!när datorn startade om så hittade zonealarm Trojan-clicker.win32.vb.aai Path C\Avenger\lndt2.sys var det bra?>

Det visar att ZoneAlarm fungerar i alla fall, synd att den inte kunde hitta de illasinnade filerna innan Avenger hade tagit bort dem bara.

 

[Tomping]

ComboFix 08-01-28.2 - Hemmadatorn 2008-01-30 6:40:45.5 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1053.18.628 [GMT 1:00]

Running from: C:\Documents and Settings\Hemmadatorn\Skrivbord\ComboFix.exe

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((( Files Created from 2007-12-28 to 2008-01-30 )))))))))))))))))))))))))))))))

.

 

2008-01-28 22:12 . 2008-01-28 22:12 <KAT> d-------- C:\WINDOWS\system32\xircom

2008-01-28 22:12 . 2008-01-28 22:12 <KAT> d-------- C:\Program\microsoft frontpage

2008-01-28 22:10 . 2008-01-28 22:10 <KAT> d-------- C:\WINDOWS\ERUNT

2008-01-25 16:06 . 2008-01-25 16:06 <KAT> d-------- C:\Program\Trend Micro

2008-01-22 17:16 . 2008-01-22 17:16 268 --ah----- C:\sqmdata00.sqm

2008-01-22 17:16 . 2008-01-22 17:16 244 --ah----- C:\sqmnoopt00.sqm

2008-01-17 17:11 . 2008-01-17 17:29 <KAT> d-------- C:\Documents and Settings\Hemmadatorn\Application Data\dvdcss

2008-01-16 17:34 . 2006-05-10 21:36 196,608 --a------ C:\WINDOWS\system32\UpdateDriver.exe

2008-01-16 17:34 . 2006-07-20 19:06 525 --a------ C:\WINDOWS\system32\ucuiinfo.ini

2008-01-14 21:37 . 2008-01-14 21:37 0 --a------ C:\WINDOWS\nsreg.dat

2008-01-13 11:01 . 2008-01-13 11:01 151 --a------ C:\WINDOWS\PhotoSnapViewer.INI

2008-01-13 10:10 . 2008-01-13 10:10 <KAT> d-------- C:\Program\MSXML 4.0

2008-01-12 18:46 . 2008-01-12 18:46 <KAT> d-------- C:\Program\VideoLAN

2008-01-12 13:05 . 2008-01-12 13:05 <KAT> d-------- C:\Documents and Settings\Hemmadatorn\Application Data\Teleca

2008-01-12 13:05 . 2007-04-23 15:54 108,680 -ra------ C:\WINDOWS\system32\drivers\s115mdm.sys

2008-01-12 13:05 . 2007-04-23 15:54 100,488 -ra------ C:\WINDOWS\system32\drivers\s115mgmt.sys

2008-01-12 13:05 . 2007-04-23 15:54 98,568 -ra------ C:\WINDOWS\system32\drivers\s115obex.sys

2008-01-12 13:05 . 2007-04-23 15:54 83,208 -ra------ C:\WINDOWS\system32\drivers\s115bus.sys

2008-01-12 13:05 . 2007-04-23 15:54 15,112 -ra------ C:\WINDOWS\system32\drivers\s115mdfl.sys

2008-01-12 13:05 . 2007-04-23 15:54 12,424 -ra------ C:\WINDOWS\system32\drivers\s115whnt.sys

2008-01-12 13:05 . 2007-04-23 15:54 12,424 -ra------ C:\WINDOWS\system32\drivers\s115wh.sys

2008-01-12 13:05 . 2007-04-23 15:54 12,424 -ra------ C:\WINDOWS\system32\drivers\s115cmnt.sys

2008-01-12 13:05 . 2007-04-23 15:54 12,424 -ra------ C:\WINDOWS\system32\drivers\s115cm.sys

2008-01-12 13:03 . 2008-01-12 13:03 <KAT> d-------- C:\WINDOWS\Downloaded Installations

2008-01-12 13:03 . 2008-01-12 13:03 <KAT> d-------- C:\Program\Sony Ericsson

2008-01-12 13:03 . 2008-01-12 13:04 <KAT> d-------- C:\Program\Delade filer\Teleca Shared

2008-01-12 13:03 . 2008-01-12 13:03 <KAT> d-------- C:\Program\Delade filer\Sony Ericsson Shared

2008-01-12 13:03 . 2008-01-12 13:03 <KAT> d-------- C:\Documents and Settings\Hemmadatorn\Application Data\Sony Ericsson

2008-01-12 13:01 . 2008-01-12 13:03 <KAT> d-------- C:\Documents and Settings\All Users\Application Data\Teleca

2008-01-12 13:01 . 2008-01-12 13:03 <KAT> d-------- C:\Documents and Settings\All Users\Application Data\Sony Ericsson

2008-01-07 06:23 . 2008-01-07 06:23 <KAT> d-------- C:\Documents and Settings\Hemmadatorn\Application Data\Lavasoft

2008-01-06 21:00 . 2008-01-12 21:32 <KAT> d-------- C:\Documents and Settings\Hemmadatorn\Application Data\vlc

2008-01-06 11:24 . 2007-09-24 23:31 69,632 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-01-05 21:42 . 2008-01-13 17:02 <KAT> d-------- C:\Documents and Settings\Hemmadatorn\Contacts

2008-01-05 10:03 . 2008-01-05 10:03 40 --a------ C:\WINDOWS\system32\drmgs.sys

2008-01-04 19:50 . 2008-01-04 19:50 <KAT> d-------- C:\Program\Alcohol Soft

2008-01-04 19:47 . 2008-01-04 19:47 <KAT> d-------- C:\Program Files

2008-01-04 19:47 . 2008-01-04 19:47 715,248 --a------ C:\WINDOWS\system32\drivers\sptd.sys

2008-01-03 21:12 . 2008-01-03 21:20 <KAT> d-------- C:\Program\MagicISO

2008-01-03 14:59 . 2008-01-29 21:44 <KAT> d-------- C:\Program\World of Warcraft

2008-01-03 14:59 . 2008-01-03 14:59 <KAT> d-------- C:\Program\Delade filer\Blizzard Entertainment

2008-01-03 14:39 . 2008-01-03 14:39 <KAT> d-------- C:\Documents and Settings\Hemmadatorn\Application Data\ATI

2008-01-03 14:39 . 2008-01-03 14:39 <KAT> d-------- C:\Documents and Settings\All Users\Application Data\ATI

2008-01-03 14:35 . 2007-12-05 14:17 593,920 --------- C:\WINDOWS\system32\ati2sgag.exe

2008-01-03 14:30 . 2008-01-03 14:30 10 --a------ C:\WINDOWS\WININIT.INI

2008-01-03 14:20 . 2008-01-03 14:20 <KAT> d-------- C:\Documents and Settings\Hemmadatorn\Application Data\TechSmith

2008-01-03 11:45 . 2008-01-03 11:45 <KAT> d-------- C:\Program\TechSmith

2008-01-03 11:45 . 2008-01-03 11:45 <KAT> d-------- C:\Program\Delade filer\Wise Installation Wizard

2008-01-03 11:45 . 2008-01-03 11:45 <KAT> d-------- C:\Documents and Settings\All Users\Application Data\TechSmith

2008-01-03 08:12 . 2008-01-30 02:19 959 --a------ C:\rollback.ini

2008-01-03 08:03 . 2008-01-03 08:54 <KAT> d-------- C:\Documents and Settings\Hemmadatorn\Application Data\MailFrontier

2008-01-03 08:03 . 2008-01-30 06:41 4,422,688 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat

2008-01-03 08:03 . 2008-01-29 19:37 63,620 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx

2008-01-03 07:51 . 2008-01-03 08:34 <KAT> d-------- C:\Documents and Settings\All Users\Application Data\MailFrontier

2008-01-03 07:51 . 2007-11-14 16:05 1,086,952 --a------ C:\WINDOWS\system32\zpeng24.dll

2008-01-03 06:59 . 2007-07-30 19:19 271,224 --a------ C:\WINDOWS\system32\mucltui.dll

2008-01-03 06:59 . 2007-07-30 19:18 30,072 --a------ C:\WINDOWS\system32\mucltui.dll.mui

2008-01-03 06:36 . 2008-01-03 06:36 <KAT> d-------- C:\Program\ATI

2008-01-03 00:40 . 2008-01-03 00:40 <KAT> d-------- C:\Program\ULi5289

2008-01-03 00:40 . 2001-11-13 21:24 35,587 --a------ C:\WINDOWS\system32\rm5289.exe

2008-01-03 00:40 . 2006-03-09 22:02 24,415 --a------ C:\WINDOWS\system32\unM5289.exe

2008-01-03 00:38 . 2008-01-03 00:38 <KAT> d-------- C:\WINDOWS\RaidTool

2008-01-03 00:38 . 2008-01-03 00:38 <KAT> d-------- C:\RaidTool

2008-01-03 00:34 . 2007-11-26 11:16 72,704 --a------ C:\WINDOWS\system32\drivers\jraid.sys

2008-01-03 00:19 . 2008-01-26 22:03 116 --a------ C:\WINDOWS\NeroDigital.ini

2008-01-02 23:06 . 2005-06-28 10:21 22,752 --a------ C:\WINDOWS\system32\spupdsvc.exe

2008-01-02 22:58 . 2007-07-09 14:11 584,192 -----c--- C:\WINDOWS\system32\dllcache\rpcrt4.dll

2008-01-02 22:55 . 2008-01-09 05:21 <KAT> d--h----- C:\WINDOWS\$hf_mig$

2008-01-02 22:52 . 2007-07-30 19:19 43,352 --a------ C:\WINDOWS\system32\wups2.dll

2008-01-02 22:52 . 2007-07-30 19:18 34,136 --a------ C:\WINDOWS\system32\wucltui.dll.mui

2008-01-02 22:52 . 2007-07-30 19:19 25,944 --a------ C:\WINDOWS\system32\wuaucpl.cpl.mui

2008-01-02 22:52 . 2007-07-30 19:19 25,944 --a------ C:\WINDOWS\system32\wuapi.dll.mui

2008-01-02 22:52 . 2007-07-30 19:18 20,312 --a------ C:\WINDOWS\system32\wuaueng.dll.mui

2008-01-02 22:51 . 2008-01-02 22:51 <KAT> d---s---- C:\Documents and Settings\Hemmadatorn\UserData

2008-01-02 22:46 . 2008-01-02 22:46 <KAT> d-------- C:\Documents and Settings\All Users\Application Data\Office Genuine Advantage

2008-01-02 22:23 . 2008-01-03 07:38 <KAT> d-------- C:\WINDOWS\CAVTemp

2008-01-02 22:23 . 2008-01-02 22:23 <KAT> d-------- C:\Program\Driver-Soft

2008-01-02 22:23 . 2004-03-09 16:45 662,288 --a------ C:\WINDOWS\system32\MSCOMCT2.OCX

2008-01-02 22:23 . 2004-06-14 14:56 427,864 --a------ C:\WINDOWS\system32\XceedZip.dll

2008-01-02 21:42 . 2008-01-02 21:42 <KAT> d-------- C:\Program\uTorrent

2008-01-02 21:42 . 2008-01-27 10:35 <KAT> d-------- C:\Documents and Settings\Hemmadatorn\Application Data\uTorrent

2008-01-02 18:43 . 2008-01-02 18:43 <KAT> d-------- C:\Program\ULiRaid

2008-01-02 18:43 . 2005-07-04 14:21 52,480 --a------ C:\WINDOWS\system32\drivers\m5289.sys

2008-01-02 18:43 . 2005-07-15 15:09 29,696 --a------ C:\WINDOWS\system32\dev32.exe

2008-01-02 18:43 . 2005-12-28 03:32 9,621 --a------ C:\WINDOWS\system32\drivers\ulisata.cat

2008-01-02 17:45 . 2008-01-03 14:36 <KAT> d-------- C:\Program\ATI Technologies

2008-01-02 17:39 . 2008-01-02 17:39 <KAT> d-------- C:\WINDOWS\system32\LogFiles

2008-01-02 17:09 . 2004-08-04 01:34 75,264 --a------ C:\WINDOWS\system32\usbui.dll

2008-01-02 17:01 . 2008-01-29 19:24 450 --a------ C:\WINDOWS\system\C6501.ini

2008-01-02 17:00 . 2008-01-02 17:00 <KAT> d-------- C:\Program\C-Media 6501 Sound

2008-01-02 17:00 . 2006-08-08 09:18 5,713,920 --a------ C:\WINDOWS\system\c6501.cpl

2008-01-02 17:00 . 2006-07-11 07:05 1,419,776 --a------ C:\WINDOWS\system32\drivers\c6501.sys

2008-01-02 17:00 . 2001-11-23 05:08 712,704 --a------ C:\WINDOWS\system32\c6501a3d.dll

2008-01-02 17:00 . 2001-11-23 05:08 712,704 -ra------ C:\WINDOWS\system32\a3d.dll

2008-01-02 17:00 . 2006-06-30 07:05 262,144 -r------- C:\WINDOWS\Cmi6501Uninstall.exe

2008-01-02 17:00 . 2006-06-27 10:14 253,952 --a------ C:\WINDOWS\system32\c6501rm.exe

2008-01-02 17:00 . 2005-12-26 10:23 53,248 --a------ C:\WINDOWS\system32\c6501rm.dll

2008-01-02 17:00 . 2006-06-27 07:54 32,768 --a------ C:\WINDOWS\system32\c6501p.dll

2007-12-05 04:05 . 2007-12-05 04:05 368,640 --a------ C:\WINDOWS\system32\ATIDEMGX.dll

2007-12-05 03:48 . 2007-12-05 03:48 9,535,488 --a------ C:\WINDOWS\system32\atioglx2.dll

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-25 18:59 --------- d-----w C:\Program\Java

2008-01-14 10:28 2,659,840 ----a-w C:\WINDOWS\Internet Logs\xDBD0.tmp

2008-01-12 20:32 --------- d-----w C:\Documents and Settings\Hemmadatorn\Application Data\vlc

2008-01-12 12:07 58,895 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2008_01_11_07_03_31_small.dmp.zip

2008-01-12 12:07 58,052 ----a-w C:\WINDOWS\Internet Logs\zlclient_2nd_2008_01_11_07_03_44_small.dmp.zip

2008-01-12 12:01 994,652 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip

2008-01-05 20:41 --------- d-----w C:\Program\MSN Messenger

2008-01-05 09:01 --------- d-----w C:\Program\Google

2008-01-04 18:44 --------- d-----w C:\Documents and Settings\Hemmadatorn\Application Data\Ahead

2008-01-03 13:28 --------- d--h--w C:\Program\InstallShield Installation Information

2008-01-03 05:33 --------- d-----w C:\Program\Delade filer\InstallShield

2008-01-02 15:59 --------- d-----w C:\Program\DIFX

2008-01-02 15:56 --------- d-----w C:\Documents and Settings\Hemmadatorn\Application Data\AdobeUM

2008-01-02 15:45 --------- d--h--w C:\Program\Uninstall Information

2008-01-02 15:37 --------- d-----w C:\Program\Microsoft.NET

2008-01-02 15:36 --------- d-----w C:\Program\Nero

2008-01-02 15:36 --------- d-----w C:\Program\Delade filer\Ahead

2008-01-02 15:35 --------- d-----w C:\Program\Lavasoft

2008-01-02 15:35 --------- d-----w C:\Program\Delade filer\Adobe

2008-01-02 15:17 --------- d-----w C:\Program\Delade filer\Java

2008-01-02 15:16 --------- d-----w C:\Program\Onlinetjänster

2008-01-02 15:15 --------- d-----w C:\Program\Delade filer\MSSoap

2008-01-02 14:59 --------- d-----w C:\Program\Delade filer\SpeechEngines

2008-01-02 14:59 --------- d-----w C:\Program\Delade filer\ODBC

2007-12-05 05:26 2,782,208 ----a-w C:\WINDOWS\system32\drivers\ati2mtag.sys

2007-12-05 03:04 269,312 ----a-w C:\WINDOWS\system32\ati2dvag.dll

2007-12-05 02:56 147,456 ----a-w C:\WINDOWS\system32\atipdlxx.dll

2007-12-05 02:55 43,520 ----a-w C:\WINDOWS\system32\ati2edxx.dll

2007-12-05 02:55 26,112 ----a-w C:\WINDOWS\system32\Ati2mdxx.exe

2007-12-05 02:55 122,880 ----a-w C:\WINDOWS\system32\Oemdspif.dll

2007-12-05 02:55 122,880 ----a-w C:\WINDOWS\system32\ati2evxx.dll

2007-12-05 02:54 307,200 ----a-w C:\WINDOWS\system32\atiiiexx.dll

2007-12-05 02:53 53,248 ----a-w C:\WINDOWS\system32\ATIDDC.DLL

2007-12-05 02:53 495,616 ----a-w C:\WINDOWS\system32\ati2evxx.exe

2007-12-05 02:44 3,175,584 ----a-w C:\WINDOWS\system32\ati3duag.dll

2007-12-05 02:33 1,640,192 ----a-w C:\WINDOWS\system32\ativvaxx.dll

2007-12-05 02:19 5,435,392 ----a-w C:\WINDOWS\system32\atioglxx.dll

2007-12-05 02:19 385,024 ----a-w C:\WINDOWS\system32\atikvmag.dll

2007-12-05 02:17 17,408 ----a-w C:\WINDOWS\system32\atitvo32.dll

2007-12-05 02:16 49,152 ----a-w C:\WINDOWS\system32\drivers\ati2erec.dll

2007-12-05 02:11 499,712 ----a-w C:\WINDOWS\system32\ati2cqag.dll

2007-11-14 15:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe

2007-11-07 09:29 722,432 ----a-w C:\WINDOWS\system32\lsasrv.dll

2007-10-29 22:45 1,289,728 ----a-w C:\WINDOWS\system32\quartz.dll

2007-10-25 09:00 230,912 ----a-w C:\WINDOWS\system32\wmasf.dll

2007-10-24 00:47 96,760 ----a-w C:\WINDOWS\system32\dfshim.dll

2007-10-24 00:47 84,480 ----a-w C:\WINDOWS\system32\mscories.dll

2007-10-24 00:47 282,112 ----a-w C:\WINDOWS\system32\mscoree.dll

2007-10-24 00:47 158,720 ----a-w C:\WINDOWS\system32\mscorier.dll

2007-10-11 06:14 659,968 ----a-w C:\WINDOWS\system32\wininet.dll

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries &amp legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

'AlcoholAutomount'='C:\Program\Alcohol Soft\Alcohol 120\axcmd.exe' [2007-12-22 08:23 221568]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

'NeroFilterCheck'='C:\Program\Delade filer\Ahead\Lib\NeroCheck.exe' [2006-01-12 15:40 155648]

'C6501Sound'='c6501.cpl' []

'JMB36X IDE Setup'='C:\WINDOWS\RaidTool\xInsIDE.exe' [2007-03-20 14:36 36864]

'ZoneAlarm Client'='C:\Program\Zone Labs\ZoneAlarm\zlclient.exe' [2007-11-14 16:05 919016]

'StartCCC'='C:\Program\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe' [2006-11-10 12:35 90112]

'Ad-Aware'='C:\Program\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe' [2005-05-27 14:24 865280]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

'MsnMsgr'='C:\Program\MSN Messenger\MsnMsgr.exe' [2007-01-19 12:55 5674352]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

'nlsf'='cmd.exe' [2006-03-18 18:24 390656 C:\WINDOWS\system32\cmd.exe]

'tscuninstall'='C:\WINDOWS\system32\tscupgrd.exe' [2006-03-18 18:24 44544]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATICustomerCare]

--a------ 2007-10-04 18:38 307200 C:\Program\ATI\ATICustomerCare\ATICustomerCare.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

--a------ 2007-01-19 12:55 5674352 C:\Program\MSN Messenger\msnmsgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

C:\Program\Steam\Steam.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ULiRaid5289]

--a------ 2005-06-07 15:16 409600 C:\Program\ULI5289\ULi5289.exe

 

R0 jahcijahciC:\WINDOWS\system32\DRIVERS\JAHCI.sys [2005-10-25 04:35]

R0 m5289m5289C:\WINDOWS\system32\DRIVERS\m5289.sys [2005-07-04 14:21]

R0 uliagpkxULi AGP Bus Filter DriverC:\WINDOWS\system32\DRIVERS\agpkx.sys [2005-05-03 17:31]

R3 cm102u32C-Media CM6501 Like Sound InterfaceC:\WINDOWS\system32\drivers\c6501.sys [2006-07-11 07:05]

R3 ULI5261XPULi M526X Ethernet NT DriverC:\WINDOWS\system32\DRIVERS\ULILAN51.SYS [2005-03-22 20:36]

S3 s115busSony Ericsson Device 115 driver (WDM)C:\WINDOWS\system32\DRIVERS\s115bus.sys [2007-04-23 15:54]

S3 s115mdflSony Ericsson Device 115 USB WMC Modem FilterC:\WINDOWS\system32\DRIVERS\s115mdfl.sys [2007-04-23 15:54]

S3 s115mdmSony Ericsson Device 115 USB WMC Modem DriverC:\WINDOWS\system32\DRIVERS\s115mdm.sys [2007-04-23 15:54]

S3 s115mgmtSony Ericsson Device 115 USB WMC Device Management Drivers (WDM)C:\WINDOWS\system32\DRIVERS\s115mgmt.sys [2007-04-23 15:54]

S3 s115obexSony Ericsson Device 115 USB WMC OBEX InterfaceC:\WINDOWS\system32\DRIVERS\s115obex.sys [2007-04-23 15:54]

S3 StreamSurgeStreamSurge DriverC:\WINDOWS\system32\DRIVERS\ss.sys []

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-30 06:41:38

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows

AppInit_DLLs = ?IKI.DLL

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-01-30 6:41:58

ComboFix-quarantined-files.txt 2008-01-30 05:41:56

ComboFix2.txt 2008-01-29 18:27:21

ComboFix3.txt 2008-01-28 21:25:24

ComboFix4.txt 2008-01-28 18:08:32

.

2008-01-21 14:59:41 --- E O F ---

Förhoppningsvis sista logen!'

 

Be happy! I´am

 

[Cecilia]

Jodå, det närmar sig slutet.

 

Skanna C:\WINDOWS\system32\drmgs.sys på virustotal-sidan.

 

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

Gå till mappen C:\WINDOWS\system32 och leta efter filer som heter ?IKI.DLL där ? står för ett godtyckligt tecken, t ex diki.dll eller 3iki.dll. Skanna filer du hittar på virustotal-sidan.

 

[Tomping]

Inget på drmgs.sys denvar ren

 

sökte på iki dessa filer dök upp. har tittatr igenom system 32 mappen men hittar inget ska jag mappa upp alla mappar.

 

C:\WINDOWS\system32\esentprf.ini

C:\WINDOWS\system32\oobe\phone.inf

C:\WINDOWS\system32\usmt\sysfiles.inf

C:\WINDOWS\system32

\ZoneLabs\avsys\bases\av-i386-0607g.xml

C:\WINDOWS\system32\ZoneLabs\avsys\bases\daily.txt

 

Be happy!

 

[Cecilia]

Det var ju bra med drmgs.sys.

Det skulle vara en ?IKI.DLL i C:\WINDOWS\system32 och inte i någon annan mapp.

 

Vad är det för fil-lista?

 

Kopiera in följande i Anteckningar:

[KOD]

Registry values to replace with dummy:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows | AppInit_DLLs

[/KOD]

Obs! Det ska bara vara två rader.

 

Starta Avenger

Bocka i 'Input Script Manually'

Klicka på förstoringsglaset och i 'View/edit script' så klistrar du in texten som finns i Anteckningar.

Klicka på Done

Klicka på det gröna ljuset och svara Ja på frågorna.

Datorn startar nu om (kanske två gånger).

Ett DOS-fönster ska komma fram och sedan ska loggen komma upp.

Klistra in den här liksom en ny HijackThis-logg.

 

[Tomping]

när jag sökte på iki i system 32 mappen så dök dessa filer upp!! jag scanade dessa utan resultat. något annat hittade jag inte när jag tittade

Be happy!

 

[Cecilia]

De filnamnen innehåller ju inte bokstäverna 'iki' i alla fall, och inte heller filtillägget .dll.

 

[Tomping]

Avenger loggen!

Logfile of The Avenger version 1, by Swandog46

Running from registry key:

\Registry\Machine\System\CurrentControlSet\Services\xrtskylg

 

*******************

 

Script file located at: \??\C:\Documents and Settings\xwfkmmey.txt

Script file opened successfully.

 

Script file read successfully

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Registry value HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs replaced with dummy successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

Be happy!

 

[Tomping]

Här är HJ loggen

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:10, on 2008-01-30

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Program\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Program\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program\Zone Labs\ZoneAlarm\MailFrontier\mantispm.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://google.se/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: SnagIt Toolbar Loader - {00C6482D-C502-44C8-8409-FCE54AD9C208} - C:\Program\TechSmith\SnagIt 8\SnagItBHO.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O3 - Toolbar: SnagIt - {8FF5E183-ABDE-46EB-B09E-D2AAB95CABE3} - C:\Program\TechSmith\SnagIt 8\SnagItIEAddin.dll

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program\Delade filer\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [C6501Sound] RunDll32 c6501.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\RaidTool\xInsIDE.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] 'C:\Program\Zone Labs\ZoneAlarm\zlclient.exe'

O4 - HKLM\..\Run: [startCCC] 'C:\Program\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe'

O4 - HKLM\..\Run: [Ad-Aware] 'C:\Program\Lavasoft\Ad-Aware SE Professional\Ad-Aware.exe' +c

O4 - HKCU\..\Run: [AlcoholAutomount] 'C:\Program\Alcohol Soft\Alcohol 120\axcmd.exe' /automount

O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] 'C:\Program\MSN Messenger\MsnMsgr.Exe' /background (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y '%SystemRoot%\System32\syssetub.dll' '%SystemRoot%\System32\syssetup.dll' (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [MsnMsgr] 'C:\Program\MSN Messenger\MsnMsgr.Exe' /background (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y '%SystemRoot%\System32\syssetub.dll' '%SystemRoot%\System32\syssetup.dll' (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [MsnMsgr] 'C:\Program\MSN Messenger\MsnMsgr.Exe' /background (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y '%SystemRoot%\System32\syssetub.dll' '%SystemRoot%\System32\syssetup.dll' (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [MsnMsgr] 'C:\Program\MSN Messenger\MsnMsgr.Exe' /background (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y '%SystemRoot%\System32\syssetub.dll' '%SystemRoot%\System32\syssetup.dll' (User 'Default user')

O8 - Extra context menu item: E&ampxportera till Microsoft Excel - res://C:\Program\MICROS~1\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~1\OFFICE11\REFIEBAR.DLL

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1199310692609

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1199339247875

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 4596 bytes

 

Be happy!

 

[Tomping]

lol! Du har helt rätt! det kanske fanns en textsträng i filen med iki eller något i filerna?

Be happy!

 

[Cecilia]

Jag ser inget otrevligt i loggen.

Hur uppför sig datorn nu?

 

[Tomping]

Hur snabb som helst inga larm sedan igår morse!

 

Kan du rekomendera något annat antivirus och spyware program än de jag har. Är tex avg bra? tyckte det verkade hitta det mesta när jag körde virtotal.

Be happy!

 

[Cecilia]

Tack för alla poäng! :)

 

Vilka program som hittar mest beror delvis på vad man råkar ut för. Ett bra test av antivirusprogram finns på http://www.av-comparatives.org/

Det omfattar bara betalversioner, i gratisversionerna så är vissa funktioner borttagna men jag vet inte hur det slår.

 

De antispionprogram som jag tycker är bäst hittar du på http://ceblstockholm.googlepages.com/home

 

 

[Tomping]

Du är värd vartenda poäng)

Om jag får problem så vet jag vart jag skall vända mig. Jag kommer att rekomendera detta forum för mina vänner.

 

Kämpa på! Du är förbannat duktig på det du gör. Hoppas du får betalt för det.

Be happy, i´m happier than ever,thanks!

 

[Cecilia]

Jag får inget betalt av IDG, utan alla som skriver (frågar eller svarar) gör det på samma villkor.

 

Ha det så bra!

 

[Tomping]

Uhh! jag fattar inte men zonealarm larmade för denna i dag.Trojan-Clicker .Win32.VB.aai C:\System Volume Information\_ restore{F8E58CDD-42D8-44EB-9B14-563370290816}\RP7\A0002822.sys Jag har inte varit ute på nätet efter att du och jag chattade igår. sedan hade den hittat något i avenger men jag tror att det kanske varit något avenger karantänlagt??

 

ska jag fortfarande vara orolig?/Tomping

Be happy!

 

[Cecilia]

Inget att vara orolig för.

 

Alldeles rätt när något hittas i Avenger så är det i Avengers karantän.

 

C:\System Volume Information\_restore är stället där systemåterställningsfunktionen lagrar olika systemåterställningspunkter. Det betyder att medan din dator var infekterad så skapade Windows en systemåterställningspunkt. Så länge som otrevligheterna ligger i den mappen så är de ofarliga. Däremot så om du återställer till en tidpunkt då datorn var infekterad så blir även otrevligheterna återställda.

 

Du kan ta bort samtliga systemåterställningspunkter genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt.

Systemåterställningsfunktionen slår man av och på här:

Högerklick på Den här datorn - Egenskaper - Systemåterställning

 

[Tomping]

skönt jag vart orolig, datorn hängde sig och jag var tvungen att starta om med skivan i. tur att jag inte valde systemåterställning!

jag har rensat restore och skapat en ny återställningspunkt.

Be happy!