Dumprep 0 -k i autostart

[Skiren]

Har något i msconfig/ autostart som heter Dumprep 0 -k. Vad är det?

Googlade lite och hittade dumprep 0 -u, men inte -k.

 

Har precis haft en liten trojan som jag pillat bort, just därför kollade jag runt och hittade detta.

 

Slänger med en Hijack logg på direkten när vi ändå håller på. Finns det några dåliga/onödiga rader i denna?

 

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 19:30:40, on 2008-02-07

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Alwil Software\Avast4\aswUpdSv.exe

C:\Program\Alwil Software\Avast4\ashServ.exe

D:\Program\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program\Alwil Software\Avast4\ashMaiSv.exe

C:\Program\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\VistaDrive\VistaDrive.exe

C:\Program\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program\ALWILS~1\Avast4\ashDisp.exe

D:\Program\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\Program\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\spoolsv.exe

E:\HJT\HiJackThis_v2.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tv.nu/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program\IE7Pro\IE7Pro.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [VistaDrive] C:\WINDOWS\VistaDrive\VistaDrive.exe

O4 - HKLM\..\Run: [Google Desktop Search] 'C:\Program\Google\Google Desktop Search\GoogleDesktop.exe' /startup

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avast!] C:\Program\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] 'D:\Program\Zone Labs\ZoneAlarm\zlclient.exe'

O4 - HKLM\..\Run: [sunJavaUpdateSched] 'C:\Program\Java\jre1.6.0_03\bin\jusched.exe'

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O8 - Extra context menu item: Append to existing PDF - res://D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: E&ampxportera till Microsoft Excel - res://C:\Program\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program\IE7Pro\IE7Pro.dll

O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program\IE7Pro\IE7Pro.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O15 - Trusted Zone: *.cdon.com

O15 - Trusted Zone: *.cdon.se

O15 - Trusted Zone: http://www.viasat.se

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5CE72DD0-4695-4D18-A4D3-3367ACD37578} (F-Secure Health Check 1.0) - http://support.f-secure.com/enu/home/onlineservices/fshc/fscax.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program\DELADE~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\Program\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: !SASWinLogon - D:\Program\SUPERAntiSpyware\SASWINLO.dll

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Program\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program\Delade filer\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GoogleDesktopManager - Google - C:\Program\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program\Delade filer\PCSuite\Services\ServiceLayer.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 9717 bytes

 

/Skiren

 

[Cecilia]

http://www.bleepingcomputer.com/startups/dumprep_0_k-1449.html

 

Du har väl inte använt msconfig för att hindra uppstarten av trojanen?

 

Jag ser inget otrevligt i loggen i alla fall, fast allt syns ju inte i en HijackThis-logg. Vet du vad det var för trojan?

 

[Skiren]

Nejdå. Men jag brukar alltid kolla runt när ja fått in nått i datorn och just dumprep 0 -k var något nytt för mig.

 

Hade smittat .exe filer. Inga viktiga så jag raderade dem. Men det verkade sprida sig så jag tog bort alla återställningspunkter, samt scannade om i felsäkert läge. och nu verkar det vara borta.

 

Dessa hittade Avast:

Win32: trojan -gen

Win32: test agent

Win32: Agent ONH

Win32: Agent AWB

 

PS. Har en rad i autostart som inte heter något och inte har något kommando. Platsen är HKLM\Software\Microsoft\Windows\currentVersion\Run

 

/Skiren

 

[inlägget ändrat 2008-02-07 20:43:24 av Skiren]

[Cecilia]

Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Dra ur internetanslutningen och stäng av alla program du ser inklusive antivirusprogram, antispionprogram och brandvägg.

Kör ComboFix och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram och brandvägg är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

[Skiren]

Hur funkar Combofix?

 

/Skiren

 

[Cecilia]

Delvis som HijackThis, fast det läser på fler ställen t ex alla filer som är skapade sista månaden i mappar där det är vanligt att otrevligheter ligger. Samt att det kan ta bort en del otrevligheter.

 

[Skiren]

Ok får se om jag hinner med innan natten. annars får jag återkomma på sön.

 

/Skiren

 

[Skiren]

Här kommer den äntligen!

 

ComboFix 08-02-12.1 - Macke 2008-02-11 22:42:25.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1053.18.724 [GMT 1:00]

Running from: C:\Documents and Settings\Macke\Skrivbord\ComboFix.exe

* Created a new restore point

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((( Files Created from 2008-01-12 to 2008-02-12 )))))))))))))))))))))))))))))))

.

 

2008-02-02 00:47 . 2008-02-02 00:47 <KAT> d-------- C:\Program\MSXML 6.0

2008-02-01 18:48 . 2008-02-08 17:53 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-02-01 18:48 . 2008-02-01 18:48 1,409 --a------ C:\WINDOWS\QTFont.for

2008-01-31 19:53 . 2008-01-31 19:53 <KAT> d-------- C:\Program\Delade filer\Macrovision Shared

2008-01-31 19:53 . 2008-02-07 14:13 <KAT> d-------- C:\Documents and Settings\All Users\Application Data\FLEXnet

2008-01-31 19:16 . 2007-08-08 21:18 192,512 --a------ C:\WINDOWS\system32\bzpdf.dll

2008-01-31 19:16 . 2005-09-08 01:03 86,728 --a------ C:\WINDOWS\system32\msxml6r.dll

2008-01-20 11:26 . 2008-01-20 11:26 <KAT> d-------- C:\Documents and Settings\Macke\Application Data\Command &amp Conquer 3 Tiberium Wars

2008-01-19 00:13 . 2008-01-28 17:15 <KAT> d-------- C:\Program\EsetOnlineScanner

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-12 21:43 38,232,096 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat

2008-02-11 21:38 --------- d-----w C:\Program\uTorrent

2008-02-08 17:01 453,008 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx

2008-02-03 12:08 --------- d-----w C:\Documents and Settings\Macke\Application Data\dvdcss

2008-02-02 09:39 2,354,123 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip

2008-02-01 14:37 --------- d-----w C:\Program\Google

2008-01-31 18:53 --------- d-----w C:\Program\Delade filer\Adobe

2008-01-21 20:15 --------- d-----w C:\Documents and Settings\Macke\Application Data\U3

2008-01-17 20:35 --------- d-----w C:\Documents and Settings\Macke\Application Data\Skype

2008-01-17 20:34 --------- d-----w C:\Documents and Settings\Macke\Application Data\skypePM

2008-01-13 18:06 --------- d-----w C:\Program\Picasa2

2008-01-12 01:39 3,041,280 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp

2008-01-10 12:27 --------- d-----w C:\Program\Winamp

2008-01-10 12:25 --------- d-----w C:\Program\Java

2008-01-10 12:10 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat

2008-01-10 12:09 --------- d-----w C:\Program\Delade filer\Skype

2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe

2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr

2007-12-03 20:23 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll

2007-11-14 15:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe

2007-11-14 15:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll

2007-10-31 14:11 2,879,488 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp

2007-10-31 14:11 1,468,928 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp

2007-10-20 19:19 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat

2007-10-20 19:19 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokala inställningar\Temporary Internet Files\Content.IE5\index.dat

2007-10-20 19:19 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokala inställningar\Tidigare\History.IE5\index.dat

2007-10-20 19:19 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokala inställningar\Tidigare\History.IE5\MSHist012007102020071021\index.dat

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries &amp legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

'CTFMON.EXE'='C:\WINDOWS\system32\ctfmon.exe' [2004-08-04 02:34 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

'SoundMan'='SOUNDMAN.EXE' [2007-04-16 14:28 577536 C:\WINDOWS\SOUNDMAN.EXE]

'NvCplDaemon'='C:\WINDOWS\system32\NvCpl.dll' [2007-04-19 13:26 7700480]

'NvMediaCenter'='C:\WINDOWS\system32\NvMcTray.dll' [2007-04-19 13:26 86016]

'VistaDrive'='C:\WINDOWS\VistaDrive\VistaDrive.exe' [2006-10-05 19:56 280779]

'Google Desktop Search'='C:\Program\Google\Google Desktop Search\GoogleDesktop.exe' [2007-10-20 22:35 1838592]

'avast!'='C:\Program\ALWILS~1\Avast4\ashDisp.exe' [2007-12-04 14:00 79224]

'ZoneAlarm Client'='D:\Program\Zone Labs\ZoneAlarm\zlclient.exe' [2007-11-14 16:05 919016]

'SunJavaUpdateSched'='C:\Program\Java\jre1.6.0_03\bin\jusched.exe' [2007-09-25 01:11 132496]

'QuickTime Task'='D:\Program\K-Lite Codec Pack\QuickTime\qttask.exe' [2007-10-19 20:16 286720]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

'CTFMON.EXE'='C:\WINDOWS\system32\CTFMON.EXE' [2004-08-04 02:34 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

'nltide_2'='regsvr32 /s /n /i:U shell32' []

'nltide_3'='advpack.dll' [2007-10-11 00:53 124928 C:\WINDOWS\system32\advpack.dll]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

'{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}'= D:\Program\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

D:\Program\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 D:\Program\SUPERAntiSpyware\SASWINLO.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

'AppInit_DLLs'=C:\Program\Google\GOOGLE~1\GOEC62~1.DLL

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]

--a------ 2008-01-11 19:54 623992 D:\Program\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2007-10-10 19:51 39792 C:\Program\Adobe\Reader 8.0\Reader\Reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]

-ra------ 2007-03-01 09:37 2321600 C:\Program\Delade filer\Adobe\Updater5\AdobeUpdater.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

--a------ 2007-09-18 15:16 171464 D:\Program\DAEMON Tools\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

C:\WINDOWS\system32\dumprep 0 -k

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2006-01-12 14:40 155648 C:\WINDOWS\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

--a------ 2007-04-19 13:26 1626112 C:\WINDOWS\system32\nwiz.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]

--a------ 2006-06-15 12:36 229376 C:\Program\Nokia\NOKIAP~1\LAUNCH~1.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync]

--a------ 2006-06-27 16:21 1449984 C:\Program\Nokia\Nokia PC Suite 6\PcSync2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]

--a------ 2007-09-28 02:17 443968 C:\Program\Picasa2\PicasaMediaDetector.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-10-19 20:16 286720 D:\Program\K-Lite Codec Pack\QuickTime\qttask.exe

 

R0 nvcchfltNVIDIA Disk Cache Filter DriverC:\WINDOWS\system32\DRIVERS\nvcchflt.sys [2006-02-26 16:21]

S0 si3132r5si3132r5C:\WINDOWS\system32\drivers\si3132r5.sys [2007-06-15 19:45]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\M]

\Shell\AutoRun\command - M:\LaunchU3.exe -a

 

.

Contents of the 'Scheduled Tasks' folder

'2008-02-02 14:47:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job'

- C:\Program\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-12 22:43:55

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-02-12 22:44:25

.

2008-02-01 23:47:03 --- E O F ---

 

/Skiren

 

[Cecilia]

Gå till http://www.virustotal.com/ klistra in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen här. Upprepa med nästa filnamn.

C:\WINDOWS\system32\bzpdf.dll

 

 

[Skiren]

QTFont.qfn och QTFont.for verkade ju vara lite skumma efter googlande. I de fallen som jag läste så innehöll de samma trojan som ja drabbades av.

 

Vad gör man sen?

 

/Skiren

 

[inlägget ändrat 2008-02-11 23:19:01 av Skiren]

[Cecilia]

Det brukar väl vara Quicktime-filer, men du kan skanna dem också på virustotal-sidan.

 

[Skiren]

Fil bzpdf.dll mottagen 2008.02.11 23:17:01 (CET)

Närvarande status: Laddar ... köad väntar söker genomförd EJ FUNNEN STOPPAD

 

 

Resultat: 0/32 (0%)

Laddar server information...

Din fil är köad i position: 2.

Uppskattat starttid är mellan 41 och 59 sekunder.

Stäng inte ner detta fönster förens sökningen är genomförd.

Scannern som arbetade med din fil har stoppat, vi kommer att vänta ett par sekunder för att försöka återställa ditt resultat.

Om du väntar i mer än 5 minuter måste du skicka in din fil igen.

Din fil blir genomsökt av VirusTotal för tillfället,

resultat kommer att visas när de är klara.

Compact Skriv ut resultat

Din fil har upphört eller existerar inte.

Tjänsten är stoppad för tillfället, din fil väntar på att bli genomsökt (position: ) för en obestämd tid.

 

Du kan vänta på ett svar (automatisk uppdatering) eller ange din email i formuläret nedan och klicka 'begär' så kommer systemet att skicka dig ett email när sökningen är genomförd.

Email:

 

 

Antivirus Version Senaste Uppdatering Resultat

AhnLab-V3 2008.2.12.10 2008.02.11 -

AntiVir 7.6.0.62 2008.02.11 -

Authentium 4.93.8 2008.02.11 -

Avast 4.7.1098.0 2008.02.11 -

AVG 7.5.0.516 2008.02.11 -

BitDefender 7.2 2008.02.11 -

CAT-QuickHeal None 2008.02.11 -

ClamAV 0.92 2008.02.11 -

DrWeb 4.44.0.09170 2008.02.11 -

eSafe 7.0.15.0 2008.02.11 -

eTrust-Vet 31.3.5529 2008.02.11 -

Ewido 4.0 2008.02.11 -

FileAdvisor 1 2008.02.11 -

Fortinet 3.14.0.0 2008.02.11 -

F-Prot 4.4.2.54 2008.02.11 -

F-Secure 6.70.13260.0 2008.02.11 -

Ikarus T3.1.1.20 2008.02.11 -

Kaspersky 7.0.0.125 2008.02.11 -

McAfee 5227 2008.02.11 -

Microsoft 1.3204 2008.02.11 -

NOD32v2 2865 2008.02.11 -

Norman 5.80.02 2008.02.11 -

Panda 9.0.0.4 2008.02.11 -

Prevx1 V2 2008.02.11 -

Rising 20.29.22.00 2008.01.30 -

Sophos 4.26.0 2008.02.11 -

Sunbelt 2.2.907.0 2008.02.09 -

Symantec 10 2008.02.11 -

TheHacker 6.2.9.217 2008.02.11 -

VBA32 3.12.6.0 2008.02.10 -

VirusBuster 4.3.26:9 2008.02.11 -

Webwasher-Gateway 6.6.2 2008.02.11 -

Övrig information

File size: 192512 bytes

MD5: 548894a44865978e9bc781f28f62364f

SHA1: 521d9ff1ccbba28c256e67bdcb8d85c1a6877708

PEiD: -

 

 

Fil msxml6r.dll mottagen 2008.02.11 23:27:33 (CET)

Närvarande status: Laddar ... köad väntar söker genomförd EJ FUNNEN STOPPAD

 

 

Resultat: 0/32 (0%)

Laddar server information...

Din fil är köad i position: 3.

Uppskattat starttid är mellan 44 och 63 sekunder.

Stäng inte ner detta fönster förens sökningen är genomförd.

Scannern som arbetade med din fil har stoppat, vi kommer att vänta ett par sekunder för att försöka återställa ditt resultat.

Om du väntar i mer än 5 minuter måste du skicka in din fil igen.

Din fil blir genomsökt av VirusTotal för tillfället,

resultat kommer att visas när de är klara.

Compact Skriv ut resultat

Din fil har upphört eller existerar inte.

Tjänsten är stoppad för tillfället, din fil väntar på att bli genomsökt (position: ) för en obestämd tid.

 

Du kan vänta på ett svar (automatisk uppdatering) eller ange din email i formuläret nedan och klicka 'begär' så kommer systemet att skicka dig ett email när sökningen är genomförd.

Email:

 

 

Antivirus Version Senaste Uppdatering Resultat

AhnLab-V3 2008.2.12.10 2008.02.11 -

AntiVir 7.6.0.62 2008.02.11 -

Authentium 4.93.8 2008.02.11 -

Avast 4.7.1098.0 2008.02.11 -

AVG 7.5.0.516 2008.02.11 -

BitDefender 7.2 2008.02.11 -

CAT-QuickHeal None 2008.02.11 -

ClamAV 0.92 2008.02.11 -

DrWeb 4.44.0.09170 2008.02.11 -

eSafe 7.0.15.0 2008.02.11 -

eTrust-Vet 31.3.5529 2008.02.11 -

Ewido 4.0 2008.02.11 -

FileAdvisor 1 2008.02.11 -

Fortinet 3.14.0.0 2008.02.11 -

F-Prot 4.4.2.54 2008.02.11 -

F-Secure 6.70.13260.0 2008.02.11 -

Ikarus T3.1.1.20 2008.02.11 -

Kaspersky 7.0.0.125 2008.02.11 -

McAfee 5227 2008.02.11 -

Microsoft 1.3204 2008.02.11 -

NOD32v2 2865 2008.02.11 -

Norman 5.80.02 2008.02.11 -

Panda 9.0.0.4 2008.02.11 -

Prevx1 V2 2008.02.11 -

Rising 20.29.22.00 2008.01.30 -

Sophos 4.26.0 2008.02.11 -

Sunbelt 2.2.907.0 2008.02.09 -

Symantec 10 2008.02.11 -

TheHacker 6.2.9.217 2008.02.11 -

VBA32 3.12.6.0 2008.02.10 -

VirusBuster 4.3.26:9 2008.02.11 -

Webwasher-Gateway 6.6.2 2008.02.11 -

Övrig information

File size: 86728 bytes

MD5: 2f13e3a067030b47638336e6920f21d7

SHA1: 3f6d58cee9fa87993f683e6d304facc835ce7888

PEiD: -

 

/Skiren

 

[Cecilia]

Det såg ju bra ut.

Såg du mitt inlägg 23:48?

 

[Skiren]

japp scannade de men de hittade inget.

Däremot känns det som att något inte står rätt till.

Datorn tappar anslutningen mot internet om den jobbar mycket eller det är mycket trafik vid nedladdning, vilket var anledningen till att ja började söka igenom datorn.

 

/Skiren

 

[Cecilia]

Vad är det för internetuppkoppling?

Har du en router?

Är det en trådlös anslutning?

 

[Skiren]

Det är direkt fiber 10/10

/Skiren

 

[Cecilia]

Då borde det ju inte vara några problem.

Har du kontroll på vad som är godkänt i ZoneAlarm?

 

Kolla upp datorn med SUPERAntiSpyware Free Edition http://www.superantispyware.com/

 

 

[Skiren]

Sökte idag igenom hela datorn med avast. (vilket tog hela dagen)

 

Den hittade:

F:\-=[Program]=-\nahdaemon403-x86\$INSTDIR\SetupDTSB.exe

 

F:\System Volume Information\_restore{D0999D4F-0A9A-4323-B73A-709DDB81F993}\RP10\A0000981.exe\$INSTDIR\SetupDTSB.exe

 

De var infekterade med Win32:Adware-gen

 

Raderingen misslyckades pga: Fel uppstod vid radering: Filen är ej komprimerad.

 

Testat att scanna mapparna med både avg och superantispyware. men de hittar inget.

 

Dessa filer finns dessutom inte att hitta i utforskaren (visa systemfiler och dolda filer påslagna)

 

Hur ska jag göra för att få bort dem?

 

Tror det var dessa 2 bland annat som det varnades för ibörjan av det här inlägget.

 

/Skiren

 

[Cecilia]

nahdaemon403

Det är väl Daemon Tools?

Daemon Tools innehåller reklamprogram, men det blir inte installerat om man väljer rätt under installationen. Så du kanske inte har installerat det. Det ska bara vara att ta bort filen F:\-=[Program]=-\nahdaemon403-x86\$INSTDIR\SetupDTSB.exe

 

Har du ställt in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

 

System Volume Information\_restore är stället där systemåterställningsfunktionen lagrar olika systemåterställningspunkter. Det betyder att systemåterställningen har inkluderat SetupDTSB.exe i en eller flera systemåterställningspunkter.

 

Med andra ord, det verkar vara ofarligt i alla fall.

 

[Skiren]

Lite av grejjen med det hela är att filen inte finns! Har inte ens någon installationsfil till daemontools?

[Cecilia]

F:\-=[Program]=-\nahdaemon403-x86\$INSTDIR\SetupDTSB.exe

Det är ju ett väldigt udda namn på mappen -=[Program]=-, är det den mappen som inte syns eller är det någon av undermapparna som inte finns?

[Cecilia]

Eftersom det inte finns någon bevakning med mejl så kan det ju tänkas att jag missar inlägg du gör så om jag inte svarar så skicka ett brev här i forumet.

[Skiren]

Det är jag som hade tråkigt vid något tillfälle och dekorerade alla mappar:)

Men däremot finns inte F:\-=[Program]=-\nahdaemon403-x86\$INSTDIR\SetupDTSB.exe

F:\-=[Program]=- heter min mapp med nyttoprogram

[Cecilia]

Jaja, det är ju installationsfilen i vilket fall som helst så det spelar ju inte så stor roll eftersom det inte är någon aktiv fil.

Problemet med uppkopplingen har du ju tagit upp i en annan tråd, så har vi något mer att avhandla i denna?

[Skiren]

Ne vi avslutar denna:) möjligt att de hänger ihop. men det aktuella problemet ligger i andra tråden.