Just nu i M3-nätverket
Jump to content

Dumprep 0 -k i autostart


Skiren

Recommended Posts

Har något i msconfig/ autostart som heter Dumprep 0 -k. Vad är det?

Googlade lite och hittade dumprep 0 -u, men inte -k.

 

Har precis haft en liten trojan som jag pillat bort, just därför kollade jag runt och hittade detta.

 

Slänger med en Hijack logg på direkten när vi ändå håller på. Finns det några dåliga/onödiga rader i denna?

 

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 19:30:40, on 2008-02-07

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Alwil Software\Avast4\aswUpdSv.exe

C:\Program\Alwil Software\Avast4\ashServ.exe

D:\Program\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\mdm.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program\Alwil Software\Avast4\ashMaiSv.exe

C:\Program\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\VistaDrive\VistaDrive.exe

C:\Program\Google\Google Desktop Search\GoogleDesktop.exe

C:\Program\ALWILS~1\Avast4\ashDisp.exe

D:\Program\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\Program\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\spoolsv.exe

E:\HJT\HiJackThis_v2.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tv.nu/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: IE7pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program\IE7Pro\IE7Pro.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [VistaDrive] C:\WINDOWS\VistaDrive\VistaDrive.exe

O4 - HKLM\..\Run: [Google Desktop Search] 'C:\Program\Google\Google Desktop Search\GoogleDesktop.exe' /startup

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\Run: [avast!] C:\Program\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [ZoneAlarm Client] 'D:\Program\Zone Labs\ZoneAlarm\zlclient.exe'

O4 - HKLM\..\Run: [sunJavaUpdateSched] 'C:\Program\Java\jre1.6.0_03\bin\jusched.exe'

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O8 - Extra context menu item: Append to existing PDF - res://D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert link target to Adobe PDF - res://D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert link target to existing PDF - res://D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert selected links to Adobe PDF - res://D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert selected links to existing PDF - res://D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Convert selection to Adobe PDF - res://D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: Convert selection to existing PDF - res://D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert to Adobe PDF - res://D:\Program\Adobe\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: E&ampxportera till Microsoft Excel - res://C:\Program\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program\IE7Pro\IE7Pro.dll

O9 - Extra 'Tools' menuitem: IE7pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program\IE7Pro\IE7Pro.dll

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - C:\Program\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - %windir%\bdoscandel.exe (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O15 - Trusted Zone: *.cdon.com

O15 - Trusted Zone: *.cdon.se

O15 - Trusted Zone: http://www.viasat.se

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5CE72DD0-4695-4D18-A4D3-3367ACD37578} (F-Secure Health Check 1.0) - http://support.f-secure.com/enu/home/onlineservices/fshc/fscax.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program\DELADE~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: C:\Program\Google\GOOGLE~1\GOEC62~1.DLL

O20 - Winlogon Notify: !SASWinLogon - D:\Program\SUPERAntiSpyware\SASWINLO.dll

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Program\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program\Delade filer\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: GoogleDesktopManager - Google - C:\Program\Google\Google Desktop Search\GoogleDesktop.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia. - C:\Program\Delade filer\PCSuite\Services\ServiceLayer.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 9717 bytes

 

/Skiren

 

Link to comment
Share on other sites

Nejdå. Men jag brukar alltid kolla runt när ja fått in nått i datorn och just dumprep 0 -k var något nytt för mig.

 

Hade smittat .exe filer. Inga viktiga så jag raderade dem. Men det verkade sprida sig så jag tog bort alla återställningspunkter, samt scannade om i felsäkert läge. och nu verkar det vara borta.

 

Dessa hittade Avast:

Win32: trojan -gen

Win32: test agent

Win32: Agent ONH

Win32: Agent AWB

 

PS. Har en rad i autostart som inte heter något och inte har något kommando. Platsen är HKLM\Software\Microsoft\Windows\currentVersion\Run

 

/Skiren

 

[inlägget ändrat 2008-02-07 20:43:24 av Skiren]

Link to comment
Share on other sites

Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Dra ur internetanslutningen och stäng av alla program du ser inklusive antivirusprogram, antispionprogram och brandvägg.

Kör ComboFix och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram och brandvägg är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Link to comment
Share on other sites

Delvis som HijackThis, fast det läser på fler ställen t ex alla filer som är skapade sista månaden i mappar där det är vanligt att otrevligheter ligger. Samt att det kan ta bort en del otrevligheter.

 

Link to comment
Share on other sites

Här kommer den äntligen!

 

ComboFix 08-02-12.1 - Macke 2008-02-11 22:42:25.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1053.18.724 [GMT 1:00]

Running from: C:\Documents and Settings\Macke\Skrivbord\ComboFix.exe

* Created a new restore point

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((( Files Created from 2008-01-12 to 2008-02-12 )))))))))))))))))))))))))))))))

.

 

2008-02-02 00:47 . 2008-02-02 00:47 <KAT> d-------- C:\Program\MSXML 6.0

2008-02-01 18:48 . 2008-02-08 17:53 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-02-01 18:48 . 2008-02-01 18:48 1,409 --a------ C:\WINDOWS\QTFont.for

2008-01-31 19:53 . 2008-01-31 19:53 <KAT> d-------- C:\Program\Delade filer\Macrovision Shared

2008-01-31 19:53 . 2008-02-07 14:13 <KAT> d-------- C:\Documents and Settings\All Users\Application Data\FLEXnet

2008-01-31 19:16 . 2007-08-08 21:18 192,512 --a------ C:\WINDOWS\system32\bzpdf.dll

2008-01-31 19:16 . 2005-09-08 01:03 86,728 --a------ C:\WINDOWS\system32\msxml6r.dll

2008-01-20 11:26 . 2008-01-20 11:26 <KAT> d-------- C:\Documents and Settings\Macke\Application Data\Command &amp Conquer 3 Tiberium Wars

2008-01-19 00:13 . 2008-01-28 17:15 <KAT> d-------- C:\Program\EsetOnlineScanner

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-12 21:43 38,232,096 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat

2008-02-11 21:38 --------- d-----w C:\Program\uTorrent

2008-02-08 17:01 453,008 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx

2008-02-03 12:08 --------- d-----w C:\Documents and Settings\Macke\Application Data\dvdcss

2008-02-02 09:39 2,354,123 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip

2008-02-01 14:37 --------- d-----w C:\Program\Google

2008-01-31 18:53 --------- d-----w C:\Program\Delade filer\Adobe

2008-01-21 20:15 --------- d-----w C:\Documents and Settings\Macke\Application Data\U3

2008-01-17 20:35 --------- d-----w C:\Documents and Settings\Macke\Application Data\Skype

2008-01-17 20:34 --------- d-----w C:\Documents and Settings\Macke\Application Data\skypePM

2008-01-13 18:06 --------- d-----w C:\Program\Picasa2

2008-01-12 01:39 3,041,280 ----a-w C:\WINDOWS\Internet Logs\xDB3.tmp

2008-01-10 12:27 --------- d-----w C:\Program\Winamp

2008-01-10 12:25 --------- d-----w C:\Program\Java

2008-01-10 12:10 32 ----a-w C:\Documents and Settings\All Users\Application Data\ezsid.dat

2008-01-10 12:09 --------- d-----w C:\Program\Delade filer\Skype

2007-12-04 13:04 837,496 ----a-w C:\WINDOWS\system32\aswBoot.exe

2007-12-04 12:54 95,608 ----a-w C:\WINDOWS\system32\AvastSS.scr

2007-12-03 20:23 98,304 ----a-w C:\WINDOWS\system32\CmdLineExt.dll

2007-11-14 15:05 75,248 ----a-w C:\WINDOWS\zllsputility.exe

2007-11-14 15:05 1,086,952 ----a-w C:\WINDOWS\system32\zpeng24.dll

2007-10-31 14:11 2,879,488 ----a-w C:\WINDOWS\Internet Logs\xDB1.tmp

2007-10-31 14:11 1,468,928 ----a-w C:\WINDOWS\Internet Logs\xDB2.tmp

2007-10-20 19:19 16,384 --sha-w C:\WINDOWS\system32\config\systemprofile\Cookies\index.dat

2007-10-20 19:19 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokala inställningar\Temporary Internet Files\Content.IE5\index.dat

2007-10-20 19:19 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokala inställningar\Tidigare\History.IE5\index.dat

2007-10-20 19:19 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokala inställningar\Tidigare\History.IE5\MSHist012007102020071021\index.dat

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries &amp legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

'CTFMON.EXE'='C:\WINDOWS\system32\ctfmon.exe' [2004-08-04 02:34 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

'SoundMan'='SOUNDMAN.EXE' [2007-04-16 14:28 577536 C:\WINDOWS\SOUNDMAN.EXE]

'NvCplDaemon'='C:\WINDOWS\system32\NvCpl.dll' [2007-04-19 13:26 7700480]

'NvMediaCenter'='C:\WINDOWS\system32\NvMcTray.dll' [2007-04-19 13:26 86016]

'VistaDrive'='C:\WINDOWS\VistaDrive\VistaDrive.exe' [2006-10-05 19:56 280779]

'Google Desktop Search'='C:\Program\Google\Google Desktop Search\GoogleDesktop.exe' [2007-10-20 22:35 1838592]

'avast!'='C:\Program\ALWILS~1\Avast4\ashDisp.exe' [2007-12-04 14:00 79224]

'ZoneAlarm Client'='D:\Program\Zone Labs\ZoneAlarm\zlclient.exe' [2007-11-14 16:05 919016]

'SunJavaUpdateSched'='C:\Program\Java\jre1.6.0_03\bin\jusched.exe' [2007-09-25 01:11 132496]

'QuickTime Task'='D:\Program\K-Lite Codec Pack\QuickTime\qttask.exe' [2007-10-19 20:16 286720]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

'CTFMON.EXE'='C:\WINDOWS\system32\CTFMON.EXE' [2004-08-04 02:34 15360]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

'nltide_2'='regsvr32 /s /n /i:U shell32' []

'nltide_3'='advpack.dll' [2007-10-11 00:53 124928 C:\WINDOWS\system32\advpack.dll]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

'{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}'= D:\Program\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

D:\Program\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 D:\Program\SUPERAntiSpyware\SASWINLO.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

'AppInit_DLLs'=C:\Program\Google\GOOGLE~1\GOEC62~1.DLL

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Acrobat Assistant 8.0]

--a------ 2008-01-11 19:54 623992 D:\Program\Adobe\Acrobat 8.0\Acrobat\Acrotray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2007-10-10 19:51 39792 C:\Program\Adobe\Reader 8.0\Reader\Reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AdobeUpdater]

-ra------ 2007-03-01 09:37 2321600 C:\Program\Delade filer\Adobe\Updater5\AdobeUpdater.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools]

--a------ 2007-09-18 15:16 171464 D:\Program\DAEMON Tools\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

C:\WINDOWS\system32\dumprep 0 -k

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2006-01-12 14:40 155648 C:\WINDOWS\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

--a------ 2007-04-19 13:26 1626112 C:\WINDOWS\system32\nwiz.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication]

--a------ 2006-06-15 12:36 229376 C:\Program\Nokia\NOKIAP~1\LAUNCH~1.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PcSync]

--a------ 2006-06-27 16:21 1449984 C:\Program\Nokia\Nokia PC Suite 6\PcSync2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector]

--a------ 2007-09-28 02:17 443968 C:\Program\Picasa2\PicasaMediaDetector.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2007-10-19 20:16 286720 D:\Program\K-Lite Codec Pack\QuickTime\qttask.exe

 

R0 nvcchfltNVIDIA Disk Cache Filter DriverC:\WINDOWS\system32\DRIVERS\nvcchflt.sys [2006-02-26 16:21]

S0 si3132r5si3132r5C:\WINDOWS\system32\drivers\si3132r5.sys [2007-06-15 19:45]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\M]

\Shell\AutoRun\command - M:\LaunchU3.exe -a

 

.

Contents of the 'Scheduled Tasks' folder

'2008-02-02 14:47:02 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job'

- C:\Program\Apple Software Update\SoftwareUpdate.exe

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-12 22:43:55

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-02-12 22:44:25

.

2008-02-01 23:47:03 --- E O F ---

 

/Skiren

 

Link to comment
Share on other sites

Gå till http://www.virustotal.com/ klistra in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen här. Upprepa med nästa filnamn.

C:\WINDOWS\system32\bzpdf.dll

 

 

Link to comment
Share on other sites

QTFont.qfn och QTFont.for verkade ju vara lite skumma efter googlande. I de fallen som jag läste så innehöll de samma trojan som ja drabbades av.

 

Vad gör man sen?

 

/Skiren

 

[inlägget ändrat 2008-02-11 23:19:01 av Skiren]

Link to comment
Share on other sites

Fil bzpdf.dll mottagen 2008.02.11 23:17:01 (CET)

Närvarande status: Laddar ... köad väntar söker genomförd EJ FUNNEN STOPPAD

 

 

Resultat: 0/32 (0%)

Laddar server information...

Din fil är köad i position: 2.

Uppskattat starttid är mellan 41 och 59 sekunder.

Stäng inte ner detta fönster förens sökningen är genomförd.

Scannern som arbetade med din fil har stoppat, vi kommer att vänta ett par sekunder för att försöka återställa ditt resultat.

Om du väntar i mer än 5 minuter måste du skicka in din fil igen.

Din fil blir genomsökt av VirusTotal för tillfället,

resultat kommer att visas när de är klara.

Compact Skriv ut resultat

Din fil har upphört eller existerar inte.

Tjänsten är stoppad för tillfället, din fil väntar på att bli genomsökt (position: ) för en obestämd tid.

 

Du kan vänta på ett svar (automatisk uppdatering) eller ange din email i formuläret nedan och klicka 'begär' så kommer systemet att skicka dig ett email när sökningen är genomförd.

Email:

 

 

Antivirus Version Senaste Uppdatering Resultat

AhnLab-V3 2008.2.12.10 2008.02.11 -

AntiVir 7.6.0.62 2008.02.11 -

Authentium 4.93.8 2008.02.11 -

Avast 4.7.1098.0 2008.02.11 -

AVG 7.5.0.516 2008.02.11 -

BitDefender 7.2 2008.02.11 -

CAT-QuickHeal None 2008.02.11 -

ClamAV 0.92 2008.02.11 -

DrWeb 4.44.0.09170 2008.02.11 -

eSafe 7.0.15.0 2008.02.11 -

eTrust-Vet 31.3.5529 2008.02.11 -

Ewido 4.0 2008.02.11 -

FileAdvisor 1 2008.02.11 -

Fortinet 3.14.0.0 2008.02.11 -

F-Prot 4.4.2.54 2008.02.11 -

F-Secure 6.70.13260.0 2008.02.11 -

Ikarus T3.1.1.20 2008.02.11 -

Kaspersky 7.0.0.125 2008.02.11 -

McAfee 5227 2008.02.11 -

Microsoft 1.3204 2008.02.11 -

NOD32v2 2865 2008.02.11 -

Norman 5.80.02 2008.02.11 -

Panda 9.0.0.4 2008.02.11 -

Prevx1 V2 2008.02.11 -

Rising 20.29.22.00 2008.01.30 -

Sophos 4.26.0 2008.02.11 -

Sunbelt 2.2.907.0 2008.02.09 -

Symantec 10 2008.02.11 -

TheHacker 6.2.9.217 2008.02.11 -

VBA32 3.12.6.0 2008.02.10 -

VirusBuster 4.3.26:9 2008.02.11 -

Webwasher-Gateway 6.6.2 2008.02.11 -

Övrig information

File size: 192512 bytes

MD5: 548894a44865978e9bc781f28f62364f

SHA1: 521d9ff1ccbba28c256e67bdcb8d85c1a6877708

PEiD: -

 

 

Fil msxml6r.dll mottagen 2008.02.11 23:27:33 (CET)

Närvarande status: Laddar ... köad väntar söker genomförd EJ FUNNEN STOPPAD

 

 

Resultat: 0/32 (0%)

Laddar server information...

Din fil är köad i position: 3.

Uppskattat starttid är mellan 44 och 63 sekunder.

Stäng inte ner detta fönster förens sökningen är genomförd.

Scannern som arbetade med din fil har stoppat, vi kommer att vänta ett par sekunder för att försöka återställa ditt resultat.

Om du väntar i mer än 5 minuter måste du skicka in din fil igen.

Din fil blir genomsökt av VirusTotal för tillfället,

resultat kommer att visas när de är klara.

Compact Skriv ut resultat

Din fil har upphört eller existerar inte.

Tjänsten är stoppad för tillfället, din fil väntar på att bli genomsökt (position: ) för en obestämd tid.

 

Du kan vänta på ett svar (automatisk uppdatering) eller ange din email i formuläret nedan och klicka 'begär' så kommer systemet att skicka dig ett email när sökningen är genomförd.

Email:

 

 

Antivirus Version Senaste Uppdatering Resultat

AhnLab-V3 2008.2.12.10 2008.02.11 -

AntiVir 7.6.0.62 2008.02.11 -

Authentium 4.93.8 2008.02.11 -

Avast 4.7.1098.0 2008.02.11 -

AVG 7.5.0.516 2008.02.11 -

BitDefender 7.2 2008.02.11 -

CAT-QuickHeal None 2008.02.11 -

ClamAV 0.92 2008.02.11 -

DrWeb 4.44.0.09170 2008.02.11 -

eSafe 7.0.15.0 2008.02.11 -

eTrust-Vet 31.3.5529 2008.02.11 -

Ewido 4.0 2008.02.11 -

FileAdvisor 1 2008.02.11 -

Fortinet 3.14.0.0 2008.02.11 -

F-Prot 4.4.2.54 2008.02.11 -

F-Secure 6.70.13260.0 2008.02.11 -

Ikarus T3.1.1.20 2008.02.11 -

Kaspersky 7.0.0.125 2008.02.11 -

McAfee 5227 2008.02.11 -

Microsoft 1.3204 2008.02.11 -

NOD32v2 2865 2008.02.11 -

Norman 5.80.02 2008.02.11 -

Panda 9.0.0.4 2008.02.11 -

Prevx1 V2 2008.02.11 -

Rising 20.29.22.00 2008.01.30 -

Sophos 4.26.0 2008.02.11 -

Sunbelt 2.2.907.0 2008.02.09 -

Symantec 10 2008.02.11 -

TheHacker 6.2.9.217 2008.02.11 -

VBA32 3.12.6.0 2008.02.10 -

VirusBuster 4.3.26:9 2008.02.11 -

Webwasher-Gateway 6.6.2 2008.02.11 -

Övrig information

File size: 86728 bytes

MD5: 2f13e3a067030b47638336e6920f21d7

SHA1: 3f6d58cee9fa87993f683e6d304facc835ce7888

PEiD: -

 

/Skiren

 

Link to comment
Share on other sites

japp scannade de men de hittade inget.

Däremot känns det som att något inte står rätt till.

Datorn tappar anslutningen mot internet om den jobbar mycket eller det är mycket trafik vid nedladdning, vilket var anledningen till att ja började söka igenom datorn.

 

/Skiren

 

Link to comment
Share on other sites

Sökte idag igenom hela datorn med avast. (vilket tog hela dagen)

 

Den hittade:

F:\-=[Program]=-\nahdaemon403-x86\$INSTDIR\SetupDTSB.exe

 

F:\System Volume Information\_restore{D0999D4F-0A9A-4323-B73A-709DDB81F993}\RP10\A0000981.exe\$INSTDIR\SetupDTSB.exe

 

De var infekterade med Win32:Adware-gen

 

Raderingen misslyckades pga: Fel uppstod vid radering: Filen är ej komprimerad.

 

Testat att scanna mapparna med både avg och superantispyware. men de hittar inget.

 

Dessa filer finns dessutom inte att hitta i utforskaren (visa systemfiler och dolda filer påslagna)

 

Hur ska jag göra för att få bort dem?

 

Tror det var dessa 2 bland annat som det varnades för ibörjan av det här inlägget.

 

/Skiren

 

Link to comment
Share on other sites

nahdaemon403

Det är väl Daemon Tools?

Daemon Tools innehåller reklamprogram, men det blir inte installerat om man väljer rätt under installationen. Så du kanske inte har installerat det. Det ska bara vara att ta bort filen F:\-=[Program]=-\nahdaemon403-x86\$INSTDIR\SetupDTSB.exe

 

Har du ställt in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

 

System Volume Information\_restore är stället där systemåterställningsfunktionen lagrar olika systemåterställningspunkter. Det betyder att systemåterställningen har inkluderat SetupDTSB.exe i en eller flera systemåterställningspunkter.

 

Med andra ord, det verkar vara ofarligt i alla fall.

 

Link to comment
Share on other sites

F:\-=[Program]=-\nahdaemon403-x86\$INSTDIR\SetupDTSB.exe


Det är ju ett väldigt udda namn på mappen -=[Program]=-, är det den mappen som inte syns eller är det någon av undermapparna som inte finns?

Link to comment
Share on other sites

Eftersom det inte finns någon bevakning med mejl så kan det ju tänkas att jag missar inlägg du gör så om jag inte svarar så skicka ett brev här i forumet.

Link to comment
Share on other sites

Det är jag som hade tråkigt vid något tillfälle och dekorerade alla mappar:)

Men däremot finns inte F:\-=[Program]=-\nahdaemon403-x86\$INSTDIR\SetupDTSB.exe

F:\-=[Program]=- heter min mapp med nyttoprogram



Link to comment
Share on other sites

Jaja, det är ju installationsfilen i vilket fall som helst så det spelar ju inte så stor roll eftersom det inte är någon aktiv fil.

Problemet med uppkopplingen har du ju tagit upp i en annan tråd, så har vi något mer att avhandla i denna? :)

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...