Just nu i M3-nätverket
Gå till innehåll

Msn-Viruset jag oxå...(forts)


KimW

Rekommendera Poster

Hej igen Cecilia!

Ledsen att behöva skapa en ny tråd.

Blev nåt strul med min förra profil o jag kunde inte logga in igen... här kommer nu MsnFix loggen du bad om. (nyss hette ja Kimwahlberg).

MSNFix 1.700 
 
C:\Documents and Settings\Maritza\Skrivbord\MSNFix
Sokningen var klar pa 2008-04-07 - 16:51:49,29 By Maritza
normalt lage    
   
************************ Kollar filer     
   
... C:\WINDOWS\msn.com
 
************************ Kollar mappar      
 
Inga Mappar Funna
 
 
 
 
************************ Tar bort virus filer      
   
.. OK ... C:\WINDOWS\msn.com 
 
 
 
************************ Rensar registret
 
 
 
Resten av filerna tas bort efter omstart
 
 
Inga Filer Funna
 
 
 
************************ Misstankta Filer
 
/!\ Dem funna filerna maste kontrolleras innan borttagning
 
[C:\DOCUME~1\Maritza\LOKALA~1\Temp\swt-3.3-win32-win32-x86.zip] 3D057F1EAA8BC7BD316C468597D2E07B

==> Var snall och ladda upp filen   C:\DOCUME~1\Maritza\SKRIVB~1\Upload_Me.zip   on http://upload.changelog.fr


 
Filerna och Registernycklarna har sparats i karantan 2008-04-07_16563284.zip
 
************************ HKLM\...\Winlogon\Userinit
 
Userinit = C:\WINDOWS\system32\userinit.exe,


------------------------------------------------------------------------ 
Gjord av : !aur3n7                     Contact: http://changelog.fr    
------------------------------------------------------------------------  
 
---------------------------------------------   END   ---------------------------------------------
 

Länk till kommentar
Dela på andra webbplatser

Det går ju att svara i samma tråd fast man har ett nytt användarnamn.

Ladda ner ComboFix till Skrivbordet:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Dra ur internetanslutningen och stäng av alla program du ser

inklusive antivirusprogram, antispionprogram och brandvägg (alternativt

starta om datorn i felsäkert läge).

Kör ComboFix och följ anvisningarna som visas.

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

När den är färdig så ska en logg komma upp.

Innan du klistrar in den i ditt svar så ta bort sådant som finns under rubriken med "snapshot" (om den finns) och ta bort alla filer som är äldre än en månad under rubriken med "Find3M".

Kontrollera att antivirusprogram och brandvägg är igång innan du

ansluter till internet.

Om du får problem med att komma ut på internet:
Kontrollpanelen - Nätverksanslutningar
högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

Varning!

ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter

för att göra det lättare att rensa datorn. Det kan bli problem t ex om

du har internet via ett USB-modem. Säg då till i stället för att köra

ComboFix.

Länk till kommentar
Dela på andra webbplatser

Jag må vara korkad men jag hittar ingen log... datom startade om sig själv o sen hittar jag inget som ser ut som en logg till detta program.

Länk till kommentar
Dela på andra webbplatser

Alltså jag körde programmet enligt anvisningar och när den var klar(?, jag stog o diskade) startade den om datorn.. sedan ser ja inget nånstans som ser ut som en log..

Länk till kommentar
Dela på andra webbplatser

detta kanske?

detta hittade jag i combofix.txt

ComboFix 08-04-06.1 - Maritza 2008-04-07 17:34:58.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1053.18.608 [GMT 2:00]
Running from: C:\Documents and Settings\Maritza\Skrivbord\ComboFix.exe
 * Created a new restore point
.

(((((((((((((((((((((((((((((((((((((((   Other Deletions   )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\system32\eeKRuBeg.ini
C:\WINDOWS\system32\eeKRuBeg.ini2
C:\WINDOWS\system32\geBuRKee.dll
C:\WINDOWS\system32\wvUlmlLD.dll

.
(((((((((((((((((((((((((   Files Created from 2008-03-07 to 2008-04-07  )))))))))))))))))))))))))))))))
.

2008-04-07 14:36 . 2008-04-07 14:36 <KAT> d-------- C:\Program\Trend Micro
2008-04-07 13:06 . 2008-04-07 13:06 <KAT> d-------- C:\Program\Lavasoft
2008-04-07 13:06 . 2008-04-07 13:07 <KAT> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-04-07 13:05 . 2008-04-07 13:05 <KAT> d-------- C:\Program\Delade filer\Wise Installation Wizard
2008-04-07 11:17 . 2008-04-07 11:17 39,424 --a------ C:\WINDOWS\msn.MSNFix
2008-04-02 22:01 . 2008-04-02 22:01 <KAT> d--h----- C:\WINDOWS\PIF
2008-03-24 10:33 . 2008-03-24 10:34 <KAT> d-------- C:\Documents and Settings\Maritza\cbt

.
((((((((((((((((((((((((((((((((((((((((   Find3M Report   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-07 10:58 --------- d-----w C:\Program\DC++
2008-03-18 00:02 --------- d-----w C:\Documents and Settings\Maritza\Application Data\Azureus
2008-03-08 17:56 --------- d-----w C:\Program\Google
2008-03-08 09:21 --------- d-----w C:\Program\Java
2008-03-06 11:33 --------- d-----w C:\Program\Microsoft CAPICOM 2.1.0.2
2008-03-05 15:54 --------- d-----w C:\Program\Windows Live
2008-03-05 15:53 --------- dcsh--w C:\Program\Delade filer\WindowsLiveInstaller
2008-03-05 15:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\WLInstaller
2008-02-28 17:21 --------- d-----w C:\Documents and Settings\All Users\Application Data\CyberLink
.

(((((((((((((((((((((((((((((((((((((   Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="C:\Program\Delade filer\Ahead\Lib\NMBgMonitor.exe" [2007-06-27 19:03 152872]
"DAEMON Tools"="C:\Program\DAEMON Tools\daemon.exe" [2006-11-12 12:48 157592]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00 15360]
"EPSON Stylus DX4400 Series"="C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.exe" [2007-03-01 08:01 180736]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 14:00 208952]
"PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 14:00 455168]
"PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 14:00 455168]
"igfxtray"="C:\WINDOWS\system32\igfxtray.exe" [2005-11-03 15:25 98304]
"igfxhkcmd"="C:\WINDOWS\system32\hkcmd.exe" [2005-11-03 15:22 77824]
"igfxpers"="C:\WINDOWS\system32\igfxpers.exe" [2005-11-03 15:26 118784]
"Genväg till egenskapssida för High Definition Audio"="HDAShCut.exe" [2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe]
"RTHDCPL"="RTHDCPL.EXE" [2005-05-25 15:37 14477312 C:\WINDOWS\RTHDCPL.EXE]
"SynTPEnh"="C:\Program\Synaptics\SynTP\SynTPEnh.exe" [2005-06-20 11:50 729178]
"SunJavaUpdateSched"="C:\Program\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 05:25 144784]
"AGRSMMSG"="AGRSMMSG.exe" [2005-05-11 13:12 88204 C:\WINDOWS\AGRSMMSG.exe]
"PCMService"="c:\Apps\Powercinema\PCMService.exe" [2005-05-11 13:48 127118]
"NeroFilterCheck"="C:\Program\Delade filer\Ahead\Lib\NeroCheck.exe" [2007-03-01 15:57 153136]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 14:00 15360]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Program\\DC++\\DCPlusPlus.exe"=
"C:\\Program\\Azureus\\Azureus.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Program\\Windows Live\\Messenger\\livecall.exe"=


.
Contents of the 'Scheduled Tasks' folder
"2007-08-08 16:36:18 C:\WINDOWS\Tasks\Påminnelse om registrering 3.job"

Länk till kommentar
Dela på andra webbplatser

Det var ju bra att du hittade till loggen själv!  thumbsup.png
Det är meningen att den ska komma upp men om det är något som stör så fungerar det inte alltid.
Ta bort filen C:\WINDOWS\msn.MSNFix

Datorn behöver genomsökas med ett antivirusprogram. Du ser inte ut att ha någon installerad. Någon särskild anledning? Vill du ha tips om gratis antivirusprogram?

Fungerar brandväggen i datorn?

Länk till kommentar
Dela på andra webbplatser

Ok filen borttagen..

Har fram till nyligen haft AVG 7.5 free installerat. Kan inte med hea historien men jag har totalt glömt bort att instellera om det. Har du tips på något som du tycker funkar bättre? Har ingen lust att betala för mig. blush.png 

Brandväggen verkar fungera.

Tror du saken e biff?

Omåttligt tacksam!

Edit: Såg just att det var avg 8.0 nuförtiden.

Länk till kommentar
Dela på andra webbplatser

Det ska väl gå bra med AVG, så installera det och skanna igenom datorn.

Provkör MSN och se om det är något problem och i så fall får du återkomma.

Här kan du läsa mina vanliga råd för en säkrare dator, men det är så klart viktigt att man använder sitt förnuft också.
http://ceblstockholm.googlepages.com/home

Länk till kommentar
Dela på andra webbplatser

Hej igen.

Nu har jag installerat Avg o scannat datan. den hittade bara en keygen som den trodde var en trojan samt samma fil som msnfix satte i karantän.

Som sagt msn verkade funka bra redan efter jag kört impFix3 innan jag kontaktade dig och felmeddelandet jag nämnde försvan efter jag kört msnfix.

Slänger med en ny hjt logg om du vill se så min data ser frisk ut.unsure.gif

Som sagt. Oändligt tack!

 Fantastiskt att det finns människor som du, som orkar lägga så mycket av din egen tid och energi på att hjälpa oss färskingar.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:42, on 2008-04-07
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16608)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program\Lavasoft\Ad-Aware 2007\aawservice.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
C:\Program\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
C:\Program\CyberLink\Shared Files\CLML_NTService\CLMLService.exe
c:\APPS\HIDSERVICE\HIDSERVICE.exe
C:\WINDOWS\system32\svchost.exe
c:\APPS\Powercinema\Kernel\TV\CLSched.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\hkcmd.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program\Synaptics\SynTP\SynTPEnh.exe
C:\Program\Java\jre1.6.0_05\bin\jusched.exe
C:\WINDOWS\AGRSMMSG.exe
C:\Apps\Powercinema\PCMService.exe
C:\Program\Delade filer\Ahead\Lib\NMBgMonitor.exe
C:\Program\DAEMON Tools\daemon.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program\Delade filer\Ahead\Lib\NMIndexingService.exe
C:\Program\Delade filer\Ahead\Lib\NMIndexStoreSvr.exe
C:\Program\Windows Live\Messenger\usnsvc.exe
C:\Program\Grisoft\AVG7\avgamsvr.exe
C:\Program\Grisoft\AVG7\avgemc.exe
C:\Program\Grisoft\AVG7\avgupsvc.exe
C:\Program\Grisoft\AVG7\avgcc.exe
C:\Program\Internet Explorer\iexplore.exe
C:\Program\Delade filer\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: EpsonToolBandKicker Class - {E99421FB-68DD-40F0-B4AC-B7027CAE2F1A} - C:\Program\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O3 - Toolbar: EPSON Web-To-Page - {EE5D279F-081B-4404-994D-C6B60AAEBA6D} - C:\Program\EPSON\EPSON Web-To-Page\EPSON Web-To-Page.dll
O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32
O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC
O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName
O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe
O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe
O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe
O4 - HKLM\..\Run: [Genväg till egenskapssida för High Definition Audio] HDAShCut.exe
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [synTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe
O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [PCMService] "c:\Apps\Powercinema\PCMService.exe"
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program\Delade filer\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [AVG7_CC] C:\Program\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program\Delade filer\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [EPSON Stylus DX4400 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_FATICAE.EXE /FU "C:\WINDOWS\TEMP\E_SA7.tmp" /EF "HKCU"
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\Program\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\sw.htm
O16 - DPF: {001EE746-A1F9-460E-80AD-269E088D6A01} (Infotl Control) - http://site.ebrary.com.support.mah.se/lib/malmoe/support/plugins/ebraryRdr.cab
O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft - C:\Program\Lavasoft\Ad-Aware 2007\aawservice.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVG7\avgemc.exe
O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe
O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe
O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Program\CyberLink\Shared Files\CLML_NTService\CLMLServer.exe
O23 - Service: Generic Service for HID Keyboard Input Collections (GenericHidService) - Unknown owner - c:\APPS\HIDSERVICE\HIDSERVICE.exe
O23 - Service: NBService - Nero AG - C:\Program\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program\Delade filer\Ahead\Lib\NMIndexingService.exe

--
End of file - 7122 bytes

Länk till kommentar
Dela på andra webbplatser

"Nu har jag installerat Avg o scannat datan. den hittade bara en keygen som den trodde var en trojan"
Det är vanligt att keygeneratorer innehåller trojaner så det ska man inte ignorera.

Jag ser inget otrevligt i loggen.
Tänk över tipsen du fick förut.
Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...