Just nu i M3-nätverket
Jump to content

hjälp med spionprogram/rootkit


katastrof

Recommended Posts

Skulle behöva hjälp med att ta bort ett ev spionprogram/rootkit. Om nån vänlig själ finnes skulle jag vara tacksam för all hjälp.

Kör eset smart security och zone alarm pro, samt spybot, malwarebytes,ad-aware,windows defender,ccleaner samt har kört kaspersky/panda active scan/housecall online scanner men den enda som hittar nåt allvarligt är f-secure online scanner som hittade följande:

Scanning type: Scan system for malware, rootkits
Target: C:\ N:\

Result: 2 malware found

Stealth_drive (hidden item) c: TrackingCookie.2o7 (spyware) System

Statistics

Scanned:Files: 97402 System: 4001 Not scanned: 7 Actions:Disinfected: 0 Renamed: 0 Deleted: 0 None: 2 Submitted: 0 Files not scanned:C:\PAGEFILE.SYS C:\WINDOWS\SYSTEM32\DRIVERS\SPTD.SYS C:\WINDOWS\SYSTEM32\CONFIG\DEFAULT C:\WINDOWS\SYSTEM32\CONFIG\SAM C:\WINDOWS\SYSTEM32\CONFIG\SECURITY C:\WINDOWS\SYSTEM32\CONFIG\SOFTWARE C:\WINDOWS\SYSTEM32\CONFIG\SYSTEM

Options

Scanning engines:F-Secure USS: 2.40.0 F-Secure Hydra: 2.8.8110, 2009-01-19 F-Secure AVP: 7.0.171, 2009-01-19 F-Secure Pegasus: 1.20.0, 1970-00-01 F-Secure Blacklight: 0.0.0 Scanning options:Scan defined files: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ZIP XXX ANI AVB BAT CMD JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR Use Advanced heuristics
Åtgärden att rensa verkar funka, dvs inga felmeddelande men när man kör den igen hittar den exakt samma sak: Stealth_drive (hidden item) och TrackingCookie.2o7 (spyware)....
Hijack log ser ut så här:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 23:31:56, on 2009-01-19
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16762)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Program\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
C:\Program\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
C:\Program\Bluetooth\Bluetooth-programvara\bin\btwdins.exe
C:\Program\Ashampoo\Ashampoo Magical Defrag\bin\defragActivityMonitor.exe
C:\Program\Delade filer\InterVideo\DeviceService\DevSvc.exe
C:\WINDOWS\system32\cisvc.exe
C:\Program\ESET\ESET Smart Security\ekrn.exe
C:\Program\Glocalnet Bredband\Bredbandsklienten\GlocalnetBredbandService.exe
C:\Program\Delade filer\LightScribe\LSSrvc.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\Program\Delade filer\Ulead Systems\DVD\ULCDRSvr.exe
C:\Program\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe
C:\Program\Uniblue\WinBackup 2.0\wbscheds.exe
C:\WINDOWS\RTHDCPL.EXE
C:\Program\HP\HP Software Update\HPWuSchd2.exe
C:\Program\Microsoft IntelliType Pro\itype.exe
C:\Program\ESET\ESET Smart Security\egui.exe
C:\Program\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
C:\Program\Zone Labs\ZoneAlarm\zlclient.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program\Yahoo!\Messenger\ymsgr_tray.exe
C:\WINDOWS\system32\OBroker.exe
C:\Program\Delade filer\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\WINDOWS\system32\cidaemon.exe
C:\Program\Internet Explorer\IEXPLORE.EXE
C:\Program\Mozilla Firefox\firefox.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://www.yahoo.com/'>http://www.yahoo.com/ext/search/search.html'>http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9/*http://www.yahoo.com/ext/search/search.html
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaults/sb/msgr9/*http://www.yahoo.com/ext/search/search.html
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://us.rd.yahoo.com/customize/ie/defaults/su/msgr9/*http://www.yahoo.com
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: &Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program\Yahoo!\Companion\Installs\cpn0\yt.dll
O2 - BHO: Länkhjälp till Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: e-kort Browser Helper Object - {1C900459-DEEF-4aa9-B260-1EF0F0C70A8D} - C:\Program\ekort\Bhoekort.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program\BitComet\tools\BitCometBHO_1.1.11.30.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_01\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\Windows Live Toolbar\msntb.dll
O2 - BHO: SingleInstance Class - {FDAD4DA1-61A2-4FD8-9C17-86F7AC245081} - C:\Program\Yahoo!\Companion\Installs\cpn0\YTSingleInstance.dll
O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program\Yahoo!\Companion\Installs\cpn0\yt.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
O4 - HKLM\..\Run: [HP Software Update] C:\Program\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [itype] "C:\Program\Microsoft IntelliType Pro\itype.exe"
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [egui] "C:\Program\ESET\ESET Smart Security\egui.exe" /hide /waitservice
O4 - HKLM\..\Run: [WD Drive Manager] C:\Program\Western Digital\WD Drive Manager\WDBtnMgrUI.exe
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKCU\..\Run: [Messenger (Yahoo!)] "C:\Program\Yahoo!\Messenger\YahooMessenger.exe" -quiet
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &Windows Live Search - res://C:\Program\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\Program\MICROS~3\Office12\EXCEL.EXE/3000
O8 - Extra context menu item: Skicka till &Bluetooth - C:\Program\Bluetooth\Bluetooth-programvara\btsendto_ie_ctx.htm
O8 - Extra context menu item: Öppna på ny flik i bakgrunden - res://C:\Program\Windows Live Toolbar\Components\sv-se\msntabres.dll.mui/229?b9738ab28356423e93cd60e37935ff63
O8 - Extra context menu item: Öppna på ny flik i förgrunden - res://C:\Program\Windows Live Toolbar\Components\sv-se\msntabres.dll.mui/230?b9738ab28356423e93cd60e37935ff63
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_01\bin\ssv.dll
O9 - Extra button: Blogga detta - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra 'Tools' menuitem: &Blogga detta i Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program\Windows Live\Writer\WriterBrowserExtension.dll
O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program\Paltalk Messenger\Paltalk.exe
O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\Bluetooth\Bluetooth-programvara\btsendto_ie.htm
O9 - Extra 'Tools' menuitem: @btrez.dll,-4017 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\Bluetooth\Bluetooth-programvara\btsendto_ie.htm
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program\BitComet\tools\BitCometBHO_1.1.11.30.dll/206 (file missing)
O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Martin\Start-meny\Program\IMVU\Run IMVU.lnk
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: e-kort - {F74E75A5-96BF-40ef-A1C8-88EAEBB82AB6} - C:\Program\ekort\ekort.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll
O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab'>http://support.f-secure.com/ols/fscax.cab
O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab
O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedContent/vc/bin/AvSniff.cab
O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase5036.cab
O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedContent/common/bin/cabsa.cab
O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{6A00E5B8-FA26-4A27-9502-9510D46630BC}: NameServer = 192.168.0.1
O23 - Service: Adobe Active File Monitor V6 (AdobeActiveFileMonitor6.0) - Unknown owner - C:\Program\Adobe\Photoshop Elements 6.0\PhotoshopElementsFileAgent.exe
O23 - Service: AshampooDefragService -   - C:\Program\Ashampoo\Ashampoo Magical Defrag\bin\aDefragService.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program\Bluetooth\Bluetooth-programvara\bin\btwdins.exe
O23 - Service: Capture Device Service - InterVideo Inc. - C:\Program\Delade filer\InterVideo\DeviceService\DevSvc.exe
O23 - Service: Eset HTTP Server (EhttpSrv) - ESET - C:\Program\ESET\ESET Smart Security\EHttpSrv.exe
O23 - Service: Eset Service (ekrn) - ESET - C:\Program\ESET\ESET Smart Security\ekrn.exe
O23 - Service: Firebird Server - MAGIX Instance (FirebirdServerMAGIXInstance) - Unknown owner - C:\MAGIX\Common\Database\bin\fbserver.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program\Delade filer\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: Glocalnet Bredband (GlocalnetBredbandClientService) - Glocalnet AB - C:\Program\Glocalnet Bredband\Bredbandsklienten\GlocalnetBredbandService.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program\Delade filer\LightScribe\LSSrvc.exe
O23 - Service: NBService - Nero AG - C:\Program\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe (file missing)
O23 - Service: NMIndexingService - Nero AG - C:\Program\Delade filer\Ahead\Lib\NMIndexingService.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program\Delade filer\Ulead Systems\DVD\ULCDRSvr.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe
O23 - Service: WD Drive Manager Service (WDBtnMgrSvc.exe) - WDC - C:\Program\Western Digital\WD Drive Manager\WDBtnMgrSvc.exe
O23 - Service: WinBackup Scheduler (WinBackupScheduler) - Uniblue Systems - C:\Program\Uniblue\WinBackup 2.0\wbscheds.exe

--
End of file - 11897 bytes


Anledningen till varför jag misstänker rootkit är att en online-scanner hittade en sppdll.dll-fil som skulle köra hacktool.rootkit...så jag förhastade mig och tog helt sonika bort dll-filen. Så nu finns den inte längre även om skiten säkert bara döpt om sig
Arg.
Så hjälp mottages tacksamt som sagt
Link to comment
Share on other sites

om det kan va till nån hjälp så säger RootkitReveal  så här:

HKU\S-1-5-21-4116689305-4003873459-1369398186-1009\Software\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY*    2008-08-08 15:07    0 bytes    Key name contains embedded nulls (*)
HKU\S-1-5-21-4116689305-4003873459-1369398186-1009\Software\SecuROM\License information*    2009-01-08 11:22    0 bytes    Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAC*    2006-07-25 10:56    0 bytes    Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*    2006-07-25 10:56    0 bytes    Key name contains embedded nulls (*)
HKLM\SOFTWARE\Microsoft\RootCertExtraction    2009-01-19 23:36    8 bytes    Data mismatch between Windows API and raw hive data.
HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg    2008-08-08 14:56    0 bytes    Access is denied.
C:    1601-01-01 01:00    0 bytes    Error mounting volume

Link to comment
Share on other sites

Forumet fungerar bäst men flera små inlägg än ett stort.

Har du inte Eset Smart Security med egen brandvägg? Då ska du ju inte ha ZoneAlarms brandvägg igång. Att ha två brandväggar igång samtidigt kan leda till konstiga problem och faktiskt sänkt säkerhet.

Det är en gammal Java-version med säkerhetshål i datorn. Jag rekommenderar dig att installera en ny från http://www.java.com/sv/ och därefter avinstallera alla Java och J2SEutom den senaste i Kontrollpanelen - Lägg till eller ta bort program (inga webbläsare igång).

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE
Kan du läsa om på http://www.bleepingcomputer.com/startups/alcmtr-240.html

O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program\Paltalk Messenger\Paltalk.exe
Kan du läsa om på http://www.systemlookup.com/O9/189-PalTalk.html

O9 - Extra button: Run IMVU - {d9288080-1baa-4bc4-9cf8-a92d743db949} - C:\Documents and Settings\Martin\Start-meny\Program\IMVU\Run IMVU.lnk
http://www.systemlookup.com/O9/221-Run_IMVU.html

Kontrollpanelen - Administrationsverktyg - Tjänster
Leta upp Norman API-hooking helper i listan, dubbelklicka och välj Startmetod Inaktiverad.

Link to comment
Share on other sites

Både F-secure och RootkitRevealer säger att det är något konstigt med C:, men jag vet inte vad det kan vara för något som ger ett sådant resultat. Men årtalet ser ju minst sagt skumt ut.

HKU\S-1-5-21-4116689305-4003873459-1369398186-1009\Softw are\SecuROM\!CAUTION! NEVER DELETE OR CHANGE ANY KEY*    2008-08-08 15:07    0 bytes    Key name contains embedded nulls (*)
HKU\S-1-5-21-4116689305-4003873459-1369398186-1009\Software\Se cuROM\License information*    2009-01-08 11:22    0 bytes    Key name contains embedded nulls (*)
SecuROM är något kopieringsskydd.

HKLM\SECURITY\Policy\Secrets\SAC*    2006-07-25 10:56    0 bytes    Key name contains embedded nulls (*)
HKLM\SECURITY\Policy\Secrets\SAI*    2006-07-25 10:56    0 bytes    Key name contains embedded nulls (*)
http://forum.sysinternals.com/forum_posts.asp?TID=8748

HKLM\SOFTWARE\Microsoft\RootCertExtraction    2009-01-19 23:36    8 bytes    Data mismatch between Windows API and raw hive data.
8 bytes är för litet för något skadligt.

HKLM\SYSTEM\ControlSet004\Services\sptd\Cfg    2008-08-08 14:56    0 bytes    Access is denied.
Brukar dyka upp när Daemon Tools eller Alcohol 120% är installerade (eller var).
Link to comment
Share on other sites

SecuROM är ett koperingsskydd från Electronic Arts som gör att ett program bara går att installera på tre olika datorer och är inget farligt.

Link to comment
Share on other sites

Sorry för det långa inlägget men tänkte att det ändå kommer att frågas efter lite loggar....
Följt dina råd cecilia och gått igenom det du påpekat men sen då...?
Är det ingen större fara eller hur ska jag gå vidare liksom?
Vill ju ogärna ha en keylogger eller annat otrevligt i min datorLedsen

Tack för din hjälp.

Link to comment
Share on other sites

Keylogger är det ju i alla fall inte fråga om.
Raden från F-secure resp. från RootkitRevealer om C: förekommer några få gånger på internet men ingen gång kan jag se att man har gjort någon åtgärd. Men vi kan se om SDFix säger något mer.
Ladda ner SDFix till Skrivbordet:
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
Dubbelklicka på SDFix.exe och en ny mapp skapas, C:\SDFix.

Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

Öppna den nya mappen C:\SDFix och dubbelklicka på RunThis.bat för att starta programmet.
Tryck OK och senare Y följt av Enter för att fortsätta.
Det arbetar ett tag och när det är klart så kommer det upp en fråga om du vill starta om datorn.
Tryck på godtycklig tangent för att omstarten ska påbörjas.
Datorn kommer att ta lång tid på sig under uppstarten eftersom programmet kommer att gå igång och fixa till en massa.
När det är klart visas Finished.
Tryck på valfri tangent för att avsluta programmet.

Om SDFix inte startar automatiskt efter omstarten av datorn så startar du Runthis.bat som förut men trycker F i stället för Y.

Om loggen inte kommer upp automatiskt så öppna mappen SDFix och öppna filen Report.txt i Anteckningar.
Klistra in innehållet i loggen i ditt svar här.

Link to comment
Share on other sites

Försökt med SDFix två gånger nu och efter omstarten så fastnar den i flera timmar och kommer aldrig till "finished" och när jag öppna den igen (efter att ha stängt den) så står det:

               To run the SDFix tool please reboot to Safe Mode
       (Reboot, tap the F8 Key and choose Safe Mode from the Advanced Menu)
               (SDFix Requires Administrator Account Privileges)

             1. Download/Run a-squared from EMSI Software
             2. Download/Run Norman Malware Cleaner from Norman
             3. Download/Run SAV32CLI from Sophos
             4. Download/Run AVPTool from Kaspersky

             A. Create System Report
             B. Create Service/Driver List
             C. Create Catchme Log
             D. Export SafeBoot Key

             H. Add Windows Default Hosts File
             R. Repair SafeBoot Key

             U. Download latest version of SDFix

                    E. EXIT

          (Active Internet Connection Required To Download Files)
Type A,B,C,D,R,U,1,2,3,4 or E to Exit....

och i report.txt står det bara:


SDFix: Version 1.240
Run by Martin on 2009-01-21 at 15:43

Microsoft Windows XP [Version 5.1.2600]
Running From: C:\SDFix

Checking Services :


Restoring Default Security Values
Restoring Default Hosts File

Rebooting

kanske måste ominstallera den eller nåt eller om du har tips på nåt annat roligt program som kan skapa en logg som du kan ha nytta av...

Link to comment
Share on other sites

Tack för ditt svar. I den står det:

file copied: C:\WINDOWS\system32\user32.dll -> C:\WINDOWS\system32\dllcache\user32.dll ( 578560 bytes )

Link to comment
Share on other sites

Nähä nä, det känns ju betryggande om du säger så, litar på ditt omdöme. Blev bara osäker på mitt förfarande när jag bara tog bort en dll-fil (sppdll.dll) som en utav alla online-scanners påstod skulle köra ett "program" vid namn hacktool.rootkit.

Men som sagt nu kan jag klicka tryggt på burken med dina lugnande ord i bakhuvudet. Bytte tillbaka till mitt vanliga nod32 ist för (ESET smart security med brandvägg)
Har alltid känt mig trygg med nod32 och zone alarm pro-kombination.

Tack för all hjälp cecilia.



Link to comment
Share on other sites

Gjorde det efter jag tog bort den och då hittade den den inte. Men grejen är att jag inte kommer ihåg vilken det var jag körde....så jag kör väl en omgång till med alla online-scannrar jag använt...Dumstrut

Link to comment
Share on other sites

Det var f-secure online scanner som hittade samma som första gången:

Stealth_drive (hidden item) c: TrackingCookie.2o7 (spyware) System

Körde lite SuperAntiSpyware i felsäkert läge och efter felsökaren på hårdisken eftersom det börja låta väldigt märkligt och mycke när jag försökte göra nåt, ty inga program öppnade sig ordentligt och hela datorn hängde sig. Men nu är den "tyst" igen.
Tänkte köra en varv med RegistryBooster 2 ty det var ett tag sen.

Men som sagt tack för dina svar och hjälp. Får väl betrakta datorn som relativt "frisk" och inte smittad a nåt allvarligt i a f.

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...