Just nu i M3-nätverket
Jump to content

Backdoor graybird i vista ??


Miami vice

Recommended Posts

Hej !

Mitt Norton upptäckte 'Backdoor.graybird' och kunde inte ta bort det.

Norton länkar till symantecs support, men där finns inga instruktioner om hur man får bort det om man använder windows vista.

Så jag googlade lite på backdoor graybird och fick fram att A-squared skulle kunna ta bort det.

Men icke, den hittade inte ens filen.

Tydligen så finns det dåligt med hjälp när detta uppenbarar sig i Windows vista.

Är det någon som har några bra tips, så tar jag tacksamt emot det.

 

 

Link to comment
Share on other sites

 

Hej !

Tack för ditt svar.

Här kommer loggen:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:44, on 2008-02-12

Platform: Windows Vista (WinNT 6.00.1904)

MSIE: Internet Explorer v7.00 (7.00.6000.16575)

Boot mode: Normal

 

Running processes:

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\RtHDVCpl.exe

C:\Acer\Empowering Technology\SysMonitor.exe

C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\ehome\ehtray.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe

C:\Windows\ehome\ehmsas.exe

C:\PROGRA~1\MICROS~2\Office12\OUTLOOK.EXE

C:\Program Files\Internet Explorer\ieuser.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Windows\system32\Macromed\Flash\FlashUtil9e.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://sv.intl.acer.yahoo.com'>http://sv.intl.acer.yahoo.com

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://sv.intl.acer.yahoo.com

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://uk.rd.yahoo.com/customize/ycomp/defaults/su/*http://uk.yahoo.com

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

F2 - REG:system.ini: UserInit=C:\Windows\system32\Userinit.exe

O1 - Hosts: ::1 localhost

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\NppBho.dll

O2 - BHO: Spybot-S&ampD IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: ShowBarObj Class - {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - C:\Windows\system32\ActiveToolBand.dll

O3 - Toolbar: Acer eDataSecurity Management - {5CBE3B7C-1E47-477e-A7DD-396DB0476E29} - C:\Windows\system32\eDStoolbar.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program Files\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Show Norton Toolbar - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\1.5\UIBHO.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [Acer Empowering Technology Monitor] C:\Acer\Empowering Technology\SysMonitor.exe

O4 - HKLM\..\Run: [eDataSecurity Loader] C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe

O4 - HKLM\..\Run: [WarReg_PopUp] C:\Acer\WR_PopUp\WarReg_PopUp.exe

O4 - HKLM\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe

O4 - HKLM\..\Run: [NvSvc] RUNDLL32.EXE C:\Windows\system32\nvsvc.dll,nvsvcStart

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [ccApp] 'C:\Program Files\Common Files\Symantec Shared\ccApp.exe'

O4 - HKLM\..\Run: [symantec PIF AlertEng] 'C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe' /a /m 'C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll'

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] 'C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe'

O4 - HKLM\..\Run: [NBKeyScan] 'C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe'

O4 - HKLM\..\Run: [GrooveMonitor] 'C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe'

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [!AVG Anti-Spyware] 'C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe' /minimized

O4 - HKLM\..\Run: [ZoneAlarm Client] 'C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe'

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - HKCU\..\Run: [ehTray.exe] C:\Windows\ehome\ehTray.exe

O4 - HKCU\..\Run: [DesktopIconToy] C:\Program Files\Desktop Icon Toy\DesktopIconToy.exe

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NÄTVERKSTJÄNST')

O4 - HKUS\S-1-5-18\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [Acer Tour Reminder] C:\Acer\AcerTour\Reminder.exe (User 'Default user')

O4 - Global Startup: PCM Media Sharing.lnk = C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe

O8 - Extra context menu item: E&ampxportera till Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_03\bin\npjpi150_03.dll

O9 - Extra button: Skicka till OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Ski&ampcka till OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: (no name) - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe

O9 - Extra 'Tools' menuitem: Uninstall BitDefender Online Scanner v8 - {85d1f590-48f4-11d9-9669-0800200c9a66} - C:\Windows\bdoscandel.exe

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search &amp Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O13 - Gopher Prefix:

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab

O16 - DPF: {0EB0E74A-2A76-4AB3-A7FB-9BD8C29F7F75} (CKAVWebScan Object) - http://www.kaspersky.com/kos/eng/partner/us/kavwebscan_unicode.cab

O16 - DPF: {3860DD98-0549-4D50-AA72-5D17D200EE10} (Windows Live OneCare safety scanner control) - http://cdn.scan.onecare.live.com/resource/download/scanner/en-ca/wlscctrl2.cab

O16 - DPF: {56762DEC-6B0D-4AB4-A8AD-989993B5D08B} (OnlineScanner Control) - http://www.eset.eu/buxus/docs/OnlineScanner.cab

O16 - DPF: {5D86DDB5-BDF9-441B-9E9E-D4730F4EE499} (BDSCANONLINE Control) - http://download.bitdefender.com/resources/scan8/oscan8.cab

O16 - DPF: {664088B0-6AF3-4514-AF9D-A0DC3A3DF24A} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols3beta/fscax.cab

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.5.0) - http://javadl-esd.sun.com/update/1.5.0/jinstall-1_5_0_03-windows-i586.cab

O16 - DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} (a-squared Scanner) - http://ax.emsisoft.com/asquared.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~2\Office12\GR99D3~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: a-squared Free Service (a2free) - Emsi Software GmbH - C:\Program Files\a-squared Free\a2service.exe

O23 - Service: Acer HomeMedia Connect Service - CyberLink - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe

O23 - Service: ePerformance Service (AcerMemUsageCheckService) - Unknown owner - C:\Acer\Empowering Technology\ePerformance\MemCheck.exe

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: Automatisk LiveUpdate-schemaläggare - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe

O23 - Service: eDSService.exe (eDataSecurity Service) - HiTRSUT - C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe

O23 - Service: eRecovery Service (eRecoveryService) - Acer Inc. - C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program Files\Norton Internet Security\isPwdSvc.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe

O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Program Files\CyberLink\Shared Files\RichVideo.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program Files\Common Files\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\Windows\System32\ZoneLabs\vsmon.exe

O23 - Service: Window Domain Services (windowndns) - Unknown owner - C:\Program Files\Internet Explorer\svchost.exe (file missing)

 

--

End of file - 12193 bytes

 

 

Link to comment
Share on other sites

Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Dra ur internetanslutningen och stäng av alla program du ser inklusive antivirusprogram, antispionprogram och brandvägg.

Kör ComboFix och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram och brandvägg är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Link to comment
Share on other sites

 

Här är combofix loggen:

ComboFix 08-02-12.1 - Henke 2008-02-12 14:25:39.4 - NTFSx86

Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1053.18.1112 [GMT 1:00]

Running from: C:\Users\Henke\Desktop\ComboFix.exe

* Created a new restore point

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Previous Run -------

.

C:\Users\Henke\AppData\Roaming\inst.exe

L:\Autorun.inf

 

.

((((((((((((((((((((((((( Files Created from 2008-01-12 to 2008-02-12 )))))))))))))))))))))))))))))))

.

 

2008-02-12 13:43 . 2008-02-12 13:43 <KAT> d-------- C:\Program Files\Trend Micro

2008-02-10 14:26 . 2008-02-10 14:27 <KAT> d-------- C:\Program Files\a-squared Free

2008-02-10 14:19 . 2008-02-10 14:19 <KAT> d-------- C:\Users\Henke\AppData\Roaming\True Sword

2008-02-10 14:18 . 2008-02-10 14:18 <KAT> d-------- C:\Windows\System32\backuped

2008-02-10 14:18 . 2008-02-10 14:19 <KAT> d-------- C:\Program Files\True Sword 4

2008-02-09 21:04 . 2008-02-09 21:04 <KAT> d-------- C:\Users\All Users\RTL Winter Sports 2008

2008-02-09 21:04 . 2008-02-09 21:04 <KAT> d-------- C:\ProgramData\RTL Winter Sports 2008

2008-02-09 20:43 . 2008-02-09 20:43 278,728 --a------ C:\Windows\System32\drivers\atksgt.sys

2008-02-09 20:43 . 2008-02-09 20:43 25,416 --a------ C:\Windows\System32\drivers\lirsgt.sys

2008-02-09 20:42 . 2008-02-09 20:43 <KAT> d-------- C:\Program Files\RTL Winter Sports 2008

2008-02-09 13:23 . 2008-02-09 13:26 <KAT> d-------- C:\Program Files\Ultra WMV Converter

2008-02-08 11:11 . 2008-02-08 11:11 <KAT> d-------- C:\Program Files\QuickTime

2008-02-07 18:02 . 2008-02-07 18:05 <KAT> d-------- C:\Program Files\Windows Live Safety Center

2008-02-07 12:12 . 2008-02-07 12:12 <KAT> d-------- C:\Windows\System32\Kaspersky Lab

2008-01-26 10:59 . 2008-01-26 10:59 715,248 --a------ C:\Windows\System32\drivers\sptd.sys

2008-01-26 10:11 . 2008-01-26 10:11 <KAT> d-------- C:\Program Files\Aspyr

2008-01-25 11:36 . 2008-01-25 11:36 <KAT> d-------- C:\Users\All Users\CheckPoint

2008-01-25 11:36 . 2008-01-25 11:36 <KAT> d-------- C:\ProgramData\CheckPoint

2008-01-25 11:36 . 2008-01-25 11:36 <KAT> d-------- C:\Program Files\Zone Labs

2008-01-25 11:36 . 2008-01-09 03:31 1,086,952 --a------ C:\Windows\System32\zpeng24.dll

2008-01-25 11:36 . 2008-01-09 03:32 276,368 --a------ C:\Windows\System32\drivers\~GLH0014.TMP

2008-01-25 11:35 . 2008-01-25 11:37 <KAT> d-------- C:\Windows\System32\ZoneLabs

2008-01-25 11:35 . 2008-02-12 10:00 352,615 --ah----- C:\Windows\System32\drivers\vsconfig.xml

2008-01-25 11:35 . 2008-01-09 03:32 276,368 --------- C:\Windows\System32\drivers\vsdatant.sys

2008-01-25 11:34 . 2008-02-12 14:19 <KAT> d-------- C:\Windows\Internet Logs

2008-01-25 11:27 . 2005-04-13 03:48 49,265 --a------ C:\Windows\System32\jpicpl32.cpl

2008-01-25 11:26 . 2008-01-25 11:27 <KAT> d-------- C:\Program Files\Java

2008-01-25 11:25 . 2008-01-25 11:25 <KAT> d-------- C:\Program Files\Common Files\Java

2008-01-24 12:48 . 2008-01-24 12:48 <KAT> d-------- C:\Program Files\4U Computing

2008-01-24 12:25 . 2008-01-24 12:25 <KAT> d-------- C:\Windows\BDOSCAN8

2008-01-21 10:58 . 2008-01-21 10:58 <KAT> d-------- C:\Users\Henke\AppData\Roaming\Grisoft

2008-01-21 10:18 . 2008-01-21 20:20 <KAT> d-------- C:\Users\All Users\Spybot - Search &amp Destroy

2008-01-21 10:18 . 2008-01-21 10:18 <KAT> d-------- C:\Users\All Users\Grisoft

2008-01-21 10:18 . 2008-01-21 20:20 <KAT> d-------- C:\ProgramData\Spybot - Search &amp Destroy

2008-01-21 10:18 . 2008-01-21 10:18 <KAT> d-------- C:\ProgramData\Grisoft

2008-01-21 10:18 . 2008-01-21 10:18 <KAT> d-------- C:\Program Files\Spybot - Search &amp Destroy

2008-01-21 10:18 . 2007-05-30 13:10 10,872 --a------ C:\Windows\System32\drivers\AvgAsCln.sys

2008-01-21 10:15 . 2008-01-21 10:15 <KAT> d-------- C:\Users\All Users\SUPERAntiSpyware.com

2008-01-21 10:15 . 2008-01-21 10:15 <KAT> d-------- C:\ProgramData\SUPERAntiSpyware.com

2008-01-21 10:12 . 2008-01-21 10:12 <KAT> d-------- C:\Users\Henke\AppData\Roaming\SUPERAntiSpyware.com

2008-01-21 10:12 . 2008-02-05 13:55 <KAT> d-------- C:\Program Files\SUPERAntiSpyware

2008-01-20 14:18 . 2008-01-20 14:18 <KAT> d-------- C:\KAV

2008-01-18 20:45 . 2008-01-18 20:48 <KAT> d-------- C:\Program Files\Ultra MPEG Converter

2008-01-14 17:44 . 2008-01-15 17:19 <KAT> d-------- C:\Users\Henke\AppData\Roaming\Vso

2008-01-14 17:44 . 2008-01-14 17:44 47,360 --a------ C:\Windows\System32\drivers\pcouffin.sys

2008-01-14 17:44 . 2008-01-15 17:19 47,360 --a------ C:\Users\Henke\AppData\Roaming\pcouffin.sys

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-02-12 10:39 --------- d-----w C:\Users\Henke\AppData\Roaming\uTorrent

2008-02-12 09:28 --------- d-----w C:\Program Files\Common Files\Symantec Shared

2008-02-12 09:25 --------- d-----w C:\Program Files\Smart MP3 Renamer

2008-02-09 12:15 --------- d-----w C:\Program Files\Ultra AVI Converter

2008-02-09 07:21 --------- d-----w C:\ProgramData\Symantec

2008-01-21 09:12 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard

2008-01-18 14:55 --------- d-----w C:\Program Files\uTorrent

2008-01-15 16:19 --------- d-----w C:\Users\Henke\AppData\Roaming\Vso

2008-01-15 08:54 10,537 ----a-w C:\Windows\system32\drivers\COH_Mon.cat

2008-01-15 04:28 706 ----a-w C:\Windows\system32\drivers\COH_Mon.inf

2008-01-12 17:32 23,904 ----a-w C:\Windows\system32\drivers\COH_Mon.sys

2008-01-09 20:32 --------- d-----w C:\Program Files\Windows Sidebar

2008-01-09 20:32 --------- d-----w C:\Program Files\Windows Mail

2008-01-09 20:25 804,352 ----a-w C:\Windows\system32\drivers\tcpip.sys

2008-01-09 20:25 24,064 ----a-w C:\Windows\System32\netcfg.exe

2008-01-09 20:25 22,016 ----a-w C:\Windows\System32\netiougc.exe

2008-01-09 20:25 217,272 ----a-w C:\Windows\system32\drivers\netio.sys

2008-01-09 20:25 167,424 ----a-w C:\Windows\System32\tcpipcfg.dll

2008-01-09 20:24 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll

2008-01-09 20:24 45,112 ----a-w C:\Windows\system32\drivers\pciidex.sys

2008-01-09 20:24 449,024 ----a-w C:\Windows\AppPatch\AcSpecfc.dll

2008-01-09 20:24 4,247,552 ----a-w C:\Windows\System32\GameUXLegacyGDFs.dll

2008-01-09 20:24 211,000 ----a-w C:\Windows\system32\drivers\volsnap.sys

2008-01-09 20:24 21,560 ----a-w C:\Windows\system32\drivers\atapi.sys

2008-01-09 20:24 2,143,744 ----a-w C:\Windows\AppPatch\AcGenral.dll

2008-01-09 20:24 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll

2008-01-09 20:24 154,624 ----a-w C:\Windows\system32\drivers\nwifi.sys

2008-01-09 20:24 15,928 ----a-w C:\Windows\system32\drivers\pciide.sys

2008-01-09 20:24 11,776 ----a-w C:\Windows\System32\sbunattend.exe

2008-01-09 20:24 109,624 ----a-w C:\Windows\system32\drivers\ataport.sys

2008-01-09 20:24 1,686,016 ----a-w C:\Windows\System32\gameux.dll

2008-01-09 20:24 1,060,920 ----a-w C:\Windows\system32\drivers\ntfs.sys

2008-01-09 14:01 53,248 ----a-w C:\Windows\bdoscandel.exe

2008-01-09 02:32 276,368 ----a-w C:\Windows\system32\drivers\~GLH0014.TMP

2008-01-02 09:10 413,696 ----a-w C:\Windows\System32\wrap_oal.dll

2008-01-02 09:10 110,592 ----a-w C:\Windows\System32\OpenAL32.dll

2008-01-01 11:25 --------- d-----w C:\Program Files\OpenAL

2008-01-01 11:25 --------- d-----w C:\Program Files\Eidos

2007-12-30 07:48 --------- d-----w C:\Program Files\Absolute Video Converter

2007-12-28 12:47 --------- d--h--w C:\Program Files\InstallShield Installation Information

2007-12-28 12:46 --------- d-----w C:\Program Files\Empire Interactive

2007-12-26 13:31 --------- d-----w C:\Program Files\Activision

2007-12-20 18:10 805 ----a-w C:\Windows\system32\drivers\SYMEVENT.INF

2007-12-20 18:10 123,952 ----a-w C:\Windows\system32\drivers\SYMEVENT.SYS

2007-12-20 18:10 10,740 ----a-w C:\Windows\system32\drivers\SYMEVENT.CAT

2007-12-20 18:10 --------- d-----w C:\Program Files\Symantec

2007-12-12 15:30 1,327,104 ----a-w C:\Windows\System32\quartz.dll

2007-12-12 15:29 9,728 ----a-w C:\Windows\System32\LAPRXY.DLL

2007-12-12 15:29 824,832 ----a-w C:\Windows\System32\wininet.dll

2007-12-12 15:29 56,320 ----a-w C:\Windows\System32\iesetup.dll

2007-12-12 15:29 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll

2007-12-12 15:29 26,624 ----a-w C:\Windows\System32\ieUnatt.exe

2007-12-12 15:29 223,232 ----a-w C:\Windows\System32\WMASF.DLL

2007-12-12 15:28 84,992 ----a-w C:\Windows\system32\drivers\srvnet.sys

2007-12-12 15:28 58,368 ----a-w C:\Windows\system32\drivers\mrxsmb20.sys

2007-12-12 15:28 130,048 ----a-w C:\Windows\system32\drivers\srv2.sys

2007-12-12 15:28 101,888 ----a-w C:\Windows\system32\drivers\mrxsmb.sys

2007-12-12 15:27 3,505,848 ----a-w C:\Windows\System32\ntkrnlpa.exe

2007-12-12 15:27 3,472,056 ----a-w C:\Windows\System32\ntoskrnl.exe

2007-12-06 14:50 8,704 ----a-w C:\Windows\System32\hcrstco.dll

2007-12-06 14:50 8,704 ----a-w C:\Windows\System32\hccoin.dll

2007-12-03 18:56 704,000 ----a-w C:\Windows\System32\PhotoScreensaver.scr

2007-12-03 18:56 67,584 ----a-w C:\Windows\System32\wlanhlp.dll

2007-12-03 18:56 542,720 ----a-w C:\Windows\System32\sysmain.dll

2007-12-03 18:56 502,784 ----a-w C:\Windows\System32\wlansvc.dll

2007-12-03 18:56 47,104 ----a-w C:\Windows\System32\wlanapi.dll

2007-12-03 18:56 297,984 ----a-w C:\Windows\System32\wlansec.dll

2007-12-03 18:56 290,816 ----a-w C:\Windows\System32\wlanmsm.dll

2007-12-03 18:56 24,064 ----a-w C:\Windows\System32\wtsapi32.dll

2007-12-03 18:56 2,923,520 ----a-w C:\Windows\explorer.exe

2007-12-03 18:56 2,027,008 ----a-w C:\Windows\System32\win32k.sys

2007-12-03 18:54 1,244,672 ----a-w C:\Windows\System32\mcmde.dll

2007-09-26 17:17 0 ----a-w C:\Users\Henke\AppData\Roaming\wklnhst.dat

2007-09-26 15:00 174 --sha-w C:\Program Files\desktop.ini

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries &amp legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

'Sidebar'='C:\Program Files\Windows Sidebar\sidebar.exe' [2008-01-09 21:24 1232896]

'ehTray.exe'='C:\Windows\ehome\ehTray.exe' [2006-11-02 13:35 125440]

'DesktopIconToy'='C:\Program Files\Desktop Icon Toy\DesktopIconToy.exe' [ ]

'WMPNSCFG'='C:\Program Files\Windows Media Player\WMPNSCFG.exe' [2006-11-02 13:36 201728]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

'Windows Defender'='C:\Program Files\Windows Defender\MSASCui.exe' [2007-09-26 09:10 1006264]

'RtHDVCpl'='RtHDVCpl.exe' [2007-03-23 12:04 4423680 C:\Windows\RtHDVCpl.exe]

'Acer Tour'='' []

'Acer Empowering Technology Monitor'='C:\Acer\Empowering Technology\SysMonitor.exe' [2007-01-24 09:27 319488]

'eDataSecurity Loader'='C:\Acer\Empowering Technology\eDataSecurity\eDSloader.exe' [2007-02-06 23:04 464168]

'WarReg_PopUp'='C:\Acer\WR_PopUp\WarReg_PopUp.exe' [2006-11-05 20:48 57344]

'eRecoveryService'='' []

'Acer Tour Reminder'='C:\Acer\AcerTour\Reminder.exe' [2007-02-15 17:39 151552]

'NvSvc'='C:\Windows\system32\nvsvc.dll' [2007-07-06 19:15 86016]

'NvCplDaemon'='C:\Windows\system32\NvCpl.dll' [2007-07-06 19:15 8466432]

'NvMediaCenter'='C:\Windows\system32\NvMcTray.dll' [2007-07-06 19:15 81920]

'ccApp'='C:\Program Files\Common Files\Symantec Shared\ccApp.exe' [2007-01-09 22:59 115816]

'Symantec PIF AlertEng'='C:\Program Files\Common Files\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe' [2007-03-12 09:22 517768]

'Adobe Reader Speed Launcher'='C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe' [2007-05-11 02:06 40048]

'NBKeyScan'='C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe' [2007-08-08 09:25 1828136]

'GrooveMonitor'='C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe' [2006-10-26 23:47 31016]

'NeroFilterCheck'='C:\Program Files\Common Files\Nero\Lib\NeroCheck.exe' [2007-03-01 15:57 153136]

'!AVG Anti-Spyware'='C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe' [2007-06-11 10:25 6731312]

'ZoneAlarm Client'='C:\Program Files\Zone Labs\ZoneAlarm\zlclient.exe' [2008-01-09 03:31 959976]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

'Acer Tour Reminder'='C:\Acer\AcerTour\Reminder.exe' [2007-02-15 17:39 151552]

 

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartupPCM Media Sharing.lnk - C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\PCMMediaSharing.exe [2007-05-05 19:53:45 200812]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

'{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}'= C:\Program Files\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

C:\Program Files\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program Files\SUPERAntiSpyware\SASWINLO.dll

 

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Adobe Reader Speed Launch.lnk]

path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Adobe Reader Speed Launch.lnk

backup=C:\Windows\pss\Adobe Reader Speed Launch.lnk.CommonStartup

backupExtension=.CommonStartup

 

[HKLM\~\startupfolder\C:^ProgramData^Microsoft^Windows^Start Menu^Programs^Startup^Empowering Technology Launcher.lnk]

path=C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\Empowering Technology Launcher.lnk

backup=C:\Windows\pss\Empowering Technology Launcher.lnk.CommonStartup

backupExtension=.CommonStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AnyDVD]

--a------ 2007-04-13 21:51 407088 C:\Program Files\SlySoft\AnyDVD\AnyDVD.exe

 

R0 AtiPcieATI PCI Express (3GIO) FilterC:\Windows\system32\DRIVERS\AtiPcie.sys [2006-10-30 04:22]

R0 PSDFilterPSDFilterC:\Windows\system32\DRIVERS\psdfilter.sys [2007-02-06 23:04]

R0 PSDNServPSDNSERVERC:\Windows\system32\drivers\PSDNServ.sys [2007-02-06 23:04]

R0 psdvdiskpsdvdiskC:\Windows\system32\drivers\psdvdisk.sys [2007-02-06 23:04]

R1 IDSvix86Symantec Intrusion Prevention DriverC:\PROGRA~2\Symantec\DEFINI~1\SymcData\idsdefs\20080208.001\IDSvix86.sys [2007-11-06 17:07]

R2 Acer HomeMedia Connect ServiceAcer HomeMedia Connect Service'C:\Program Files\Acer Arcade Live\Acer HomeMedia Connect\Kernel\DMS\CLMSServer.exe' [2007-04-04 17:54]

R2 eDataSecurity ServiceeDSService.exe'C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe' [2007-02-06 23:04]

R2 int15int15C:\Acer\Empowering Technology\eRecovery\int15.sys [2006-12-07 17:12]

R3 SYMNDISVSYMNDISVC:\Windows\system32\Drivers\SYMNDISV.SYS [2007-10-30 19:55]

R3 yukonwlhNDIS6.0 Miniport Driver for Marvell Yukon Ethernet ControllerC:\Windows\system32\DRIVERS\yk60x86.sys [2007-03-23 03:12]

S2 windowndnsWindow Domain ServicesC:\Program Files\Internet Explorer\svchost.exe []

S3 atikmdagatikmdagC:\Windows\system32\DRIVERS\atikmdag.sys [2007-03-14 15:04]

 

*Newly Created Service* - COMHOST

.

Contents of the 'Scheduled Tasks' folder

'2008-01-07 20:25:54 C:\Windows\Tasks\Norton Internet Security - Sök igenom datorn - Henke.job'

- C:\Program Files\Norton Internet Security\Norton AntiVirus\Navw32.exeB/TASK:

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-02-12 14:27:23

Windows 6.0.6000 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-02-12 14:28:01

ComboFix-quarantined-files.txt 2008-02-12 13:27:58

.

2008-02-08 08:04:20 --- E O F ---

 

 

Link to comment
Share on other sites

Jag kan bara se ofarliga rester av 'Backdoor.graybird', den verkar inte vara aktiv längre. Är du säker på att Norton inte har tagit bort den?

 

Avinstallera True Sword och ta sedan bort mapparna:

C:\Program Files\True Sword 4

C:\Users\Henke\AppData\Roaming\True Sword

 

Gå till http://www.virustotal.com/ klistra in följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen här.

C:\Windows\system32\drivers\~GLH0014.TMP

 

Kontrollpanelen - Administrationsverktyg - Tjänster

Leta upp Window Domain Services i listan, dubbelklicka och välj Startmetod Inaktiverad.

 

Det är en gammal Java-version med säkerhetshål i datorn. Jag rekommenderar dig att installera en ny från http://www.java.com/sv/ och därefter avinstallera alla Java/J2SE/JRE utom den senaste i Kontrollpanelen - Lägg till eller ta bort program (inga webbläsare igång).

 

Link to comment
Share on other sites

 

Hej ! Jag tror inte att Norton tagit bort filen, det stod nämligen att den inte kunde det, men man kunde klicka för att bli länkad till Symantecs hemsida om vad man bör göra.

Det här fick jag upp från virustotal:

(Allt den andra som Ni rekommenderade har jag gjort):

Fil _GLH0014.TMP mottagen 2008.02.12 17:03:15 (CET)

Närvarande status: Laddar ... köad väntar söker genomförd EJ FUNNEN STOPPAD

 

 

Resultat: 0/32 (0%)

Laddar server information...

Din fil är köad i position: 6.

Uppskattat starttid är mellan 54 och 77 sekunder.

Stäng inte ner detta fönster förens sökningen är genomförd.

Scannern som arbetade med din fil har stoppat, vi kommer att vänta ett par sekunder för att försöka återställa ditt resultat.

Om du väntar i mer än 5 minuter måste du skicka in din fil igen.

Din fil blir genomsökt av VirusTotal för tillfället,

resultat kommer att visas när de är klara.

Compact Skriv ut resultat

Din fil har upphört eller existerar inte.

Tjänsten är stoppad för tillfället, din fil väntar på att bli genomsökt (position: ) för en obestämd tid.

 

Du kan vänta på ett svar (automatisk uppdatering) eller ange din email i formuläret nedan och klicka 'begär' så kommer systemet att skicka dig ett email när sökningen är genomförd.

Email:

 

 

Antivirus Version Senaste Uppdatering Resultat

AhnLab-V3 2008.2.13.10 2008.02.12 -

AntiVir 7.6.0.65 2008.02.12 -

Authentium 4.93.8 2008.02.11 -

Avast 4.7.1098.0 2008.02.12 -

AVG 7.5.0.516 2008.02.12 -

BitDefender 7.2 2008.02.12 -

CAT-QuickHeal None 2008.02.12 -

ClamAV 0.92 2008.02.12 -

DrWeb 4.44.0.09170 2008.02.12 -

eSafe 7.0.15.0 2008.02.11 -

eTrust-Vet 31.3.5530 2008.02.12 -

Ewido 4.0 2008.02.12 -

FileAdvisor 1 2008.02.12 -

Fortinet 3.14.0.0 2008.02.12 -

F-Prot 4.4.2.54 2008.02.11 -

F-Secure 6.70.13260.0 2008.02.12 -

Ikarus T3.1.1.20 2008.02.12 -

Kaspersky 7.0.0.125 2008.02.12 -

McAfee 5227 2008.02.11 -

Microsoft 1.3204 2008.02.12 -

NOD32v2 2868 2008.02.12 -

Norman 5.80.02 2008.02.12 -

Panda 9.0.0.4 2008.02.12 -

Prevx1 V2 2008.02.12 -

Rising 20.29.22.00 2008.01.30 -

Sophos 4.26.0 2008.02.12 -

Sunbelt 2.2.907.0 2008.02.12 -

Symantec 10 2008.02.12 -

TheHacker 6.2.9.217 2008.02.11 -

VBA32 3.12.6.0 2008.02.11 -

VirusBuster 4.3.26:9 2008.02.12 -

Webwasher-Gateway 6.6.2 2008.02.12 -

Övrig information

File size: 276368 bytes

MD5: c86d6640281981fa36b26a91dabf5feb

SHA1: 05347164c3c29595e903a46b0e7ee40e81326818

PEiD: -

 

 

OBSERVERA: VirusTotal är en gratis tjänst av Hispasec Sistemas. Det är inga garantier på tillgängligheten eller uppföljandet av denna tjänst. Även fast upptäckandet av virus med användandet av flertal antivirus program är mer överlägsen användandet av endast ett, garanterar INTE dessa resultat om en fil är helt riskfri. För närvarande finns det ingen lösning som erbjuder 100% effektivitet för att uppäcka virus och malware.

 

 

 

Link to comment
Share on other sites

 

Jo, Norton hittar samma fil igen.

Backdoor.graybird, men sen står det kan inte tas bort från en fil som inte stöds.

Men inte var den ligger.

Jag har provat med sök funktionen men den hittar inte heller filen.

Men som ni skrev, det kan ju vara fragment som ligger kvar.

Säger ni att mitt system är 'rent' så tror jag givetivis på det.

Jag är tacksam för all hjälp jag fått.

Tack !

 

Link to comment
Share on other sites

Hej ! Efter virussökningen i Norton så högerklickade jag på Backdoor.graybird och valde fliken detaljer.

Där fick jag fram att sökvägen ledde till en mapp (zippad).

Det var ett gratis program som jag hittat på nätet som skulle göra skrivbordet lite livligare.

Jag kom inte så långt att jag packade upp filen.

Men jag slängde den nu iallfall.

Tack för all hjälp!

 

 

Link to comment
Share on other sites

 

Ja, självklart.

Jag har varit inne på sidan och läst om dina råd tidigare, då jag också fått hjälp av dig.

Tyvärr så är det alltid något som kommer igenom alla skydd man har.

Det är synd att det inte är så många online scanners som funkar på vista.

Tack för din hjälp än en gång.

 

Link to comment
Share on other sites

Filer du har laddat ner kan du skanna på virustotal-sidan, så får du lite mer koll på vad det är innan det har blivit installerat och infekterat datorn.

 

Link to comment
Share on other sites

  • 5 months later...

I vilken fil och mapp säger Norton att den skadliga filen ligger?
Se inlägget 2008-02-12 19:38 om hur man får fram det.

Link to comment
Share on other sites

paranoid555

vad konstigt ja körde en sökning nu och norton hittade inget :s bara nån trackingcookie,, kan norton ha tagitbort viruset?

Link to comment
Share on other sites

paranoid555

okej a ja vet inte men finns en lista ,och längst ner på lista så står backdoor.graybird och så finns d nån knapp om man vill återställa filen så antar att de har tagit bort det..

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...