Just nu i M3-nätverket
Jump to content

Trojan? Spyware? Nåt är det i alla fall...


indie852

Recommended Posts

Hej gott folk!

Blev angripen av antimalware doctor häromdagen och hittade ett bra botemedel via bleepingcomputer.com som föreslog bl.a. malwarebytes + rkill.exe för att döda de pågående processerna. Det verkar ha fungerat men det kvarstår ett problem: varannan minut (ibland oftare)så varnar symantec antivirus för att det hittat en misstänkt fil.

Det här säger det:

Risk: Trojan.gen

Filename: svchost.exe

Symantec lyckas varje gång slänga filen i karantän men varför fortsätter den hitta samma jäkla fil om och om igen? Jag har i nu läget inga större bekymmer utav problemet förutom att varningsmeddelandet dyker upp konstant.

Jag har försökt följande:

Genomfört en fullständig scan mha symantec corporate edition och malwarebytes i både normal läge samt säkerhetsläge.

 

I fall det spelar någon roll så kör jag XP.

Vore tacksam för hjälp med detta!

vh,

Marcus

Link to comment
Share on other sites

Helt klart att där finns något kvar. Vi kan se vad DDS visar till att börja med. Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

 

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Medan du bifogar Attach.txt som en fil.

Link to comment
Share on other sites

DDS (Ver_10-03-17.01) - NTFSx86

Run by Marcus Tirronen at 16:58:22,34 on 2010-04-27

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Professional 5.1.2600.2.1252.46.1033.18.2046.1008 [GMT 2:00]

 

AV: McAfee VirusScan *On-access scanning disabled* (Outdated) {84B5EE75-6421-4CDE-A33A-DD43BA9FAD83}

AV: Symantec AntiVirus Corporate Edition *On-access scanning enabled* (Updated) {FB06448E-52B8-493A-90F3-E43226D3305C}

FW: McAfee Personal Firewall Plus *enabled* {94894B63-8C7F-4050-BDA4-813CA00DA3E8}

 

============== Running Processes ===============

 

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSetMgr.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Common Files\Symantec Shared\ccEvtMgr.exe

C:\Program Files\Common Files\Symantec Shared\SPBBC\SPBBCSvc.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\ehome\ehtray.exe

C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe

C:\WINDOWS\stsystra.exe

C:\Program Files\Dell\Media Experience\DMXLauncher.exe

C:\Program Files\Creative\SBAudigy\Surround Mixer\CTSysVol.exe

C:\WINDOWS\system32\Rundll32.exe

C:\Program Files\Creative\VoiceCenter\AndreaVC.exe

C:\DOCUME~1\MARCUS~1\LOCALS~1\Temp\clclean.0001

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Common Files\InstallShield\UpdateService\issch.exe

C:\WINDOWS\System32\DLA\DLACTRLW.EXE

C:\PROGRA~1\McAfee\SPAMKI~1\MskAgent.exe

svchost.exe

C:\Program Files\Corel\Corel Photo Album 6\MediaDetect.exe

C:\PROGRA~1\mcafee.com\vso\mcvsshld.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfTray.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program Files\Bonjour\mDNSResponder.exe

c:\progra~1\mcafee.com\vso\mcvsescn.exe

C:\PROGRA~1\SYMANT~1\VPTray.exe

C:\Program Files\Razer\Habu\razerhid.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Symantec AntiVirus\DefWatch.exe

C:\WINDOWS\system32\ctfmon.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfAgent.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\Program Files\Creative\MediaSource\Detector\CTDetect.exe

C:\Program Files\Creative\MediaSource\Go\CTCMSGo.exe

C:\WINDOWS\eHome\ehSched.exe

C:\WINDOWS\System32\GEARSec.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\iaantmon.exe

C:\Program Files\Razer\Habu\razertra.exe

C:\Program Files\Dell Network Assistant\ezi_hnm2.exe

C:\Program Files\Razer\Habu\razerofa.exe

c:\program files\mcafee.com\agent\mcdetect.exe

C:\Program Files\Dell Network Assistant\ezi_hnm2.exe

c:\PROGRA~1\mcafee.com\agent\mctskshd.exe

C:\PROGRA~1\McAfee.com\PERSON~1\MpfService.exe

C:\PROGRA~1\McAfee\SPAMKI~1\MSKSrvr.exe

C:\WINDOWS\system32\nvsvc32.exe

svchost.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\Program Files\Symantec AntiVirus\Rtvscan.exe

C:\Program Files\Intel\IntelDH\Intel® Quick Resume Technology\ELService.exe

C:\Program Files\Common Files\Creative Labs Shared\Service\CreativeLicensing.exe

C:\WINDOWS\system32\dllhost.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\System32\svchost.exe -k HTTPFilter

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Java\jre1.5.0_06\bin\jucheck.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Spotify\spotify.exe

C:\Documents and Settings\Marcus Tirronen\Desktop\dds.scr

 

============== Pseudo HJT Report ===============

 

uStart Page = hxxp://www1.euro.dell.com/content/default.aspx?c=se&l=sv&s=gen

BHO: Adobe PDF Reader Link Helper: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\adobe\acrobat 7.0\activex\AcroIEHelper.dll

BHO: McAfee Anti-Phishing Filter: {41d68ed8-4cff-4115-88a6-6ebb8af19000} - c:\program files\mcafee\spamkiller\mcapfbho.dll

BHO: DriveLetterAccess: {5ca3d70e-1895-11cf-8e15-001234567890} - c:\windows\system32\dla\DLASHX_W.DLL

BHO: SSVHelper Class: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\program files\java\jre1.5.0_06\bin\ssv.dll

TB: McAfee VirusScan: {ba52b914-b692-46c4-b683-905236f6f655} - c:\progra~1\mcafee.com\vso\mcvsshl.dll

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

uRun: [setDefaultMIDI] MIDIDef.exe

uRun: [Creative Detector] "c:\program files\creative\mediasource\detector\CTDetect.exe" /R

uRun: [Creative MediaSource Go] "c:\program files\creative\mediasource\go\CTCMSGo.exe" /SCB

mRun: [ehTray] c:\windows\ehome\ehtray.exe

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [sunJavaUpdateSched] c:\program files\java\jre1.5.0_06\bin\jusched.exe

mRun: [sigmatelSysTrayApp] stsystra.exe

mRun: [iAAnotif] c:\program files\intel\intel matrix storage manager\iaanotif.exe

mRun: [DMXLauncher] c:\program files\dell\media experience\DMXLauncher.exe

mRun: [CTSysVol] c:\program files\creative\sbaudigy\surround mixer\CTSysVol.exe /r

mRun: [MBMon] Rundll32 CTMBHA.DLL,MBMon

mRun: [updReg] c:\windows\UpdReg.EXE

mRun: [VoiceCenter] "c:\program files\creative\voicecenter\AndreaVC.exe" /tray

mRun: [ccApp] "c:\program files\common files\symantec shared\ccApp.exe"

mRun: [Norton Ghost 10.0] "c:\program files\norton ghost\agent\GhostTray.exe"

mRun: [iSUSPM Startup] "c:\program files\common files\installshield\updateservice\isuspm.exe" -startup

mRun: [iSUSScheduler] "c:\program files\common files\installshield\updateservice\issch.exe" -start

mRun: [<NO NAME>]

mRun: [DLA] c:\windows\system32\dla\DLACTRLW.EXE

mRun: [VSOCheckTask] "c:\progra~1\mcafee.com\vso\mcmnhdlr.exe" /checktask

mRun: [OASClnt] c:\program files\mcafee.com\vso\oasclnt.exe

mRun: [MCAgentExe] c:\progra~1\mcafee.com\agent\mcagent.exe

mRun: [MCUpdateExe] c:\progra~1\mcafee.com\agent\mcupdate.exe

mRun: [MSKDetectorExe] c:\progra~1\mcafee\spamki~1\MSKDetct.exe /startup

mRun: [MSKAGENTEXE] c:\progra~1\mcafee\spamki~1\MskAgent.exe

mRun: [Corel Photo Downloader] c:\program files\corel\corel photo album 6\MediaDetect.exe

mRun: [VirusScan Online] c:\progra~1\mcafee.com\vso\mcvsshld.exe

mRun: [MPFExe] c:\progra~1\mcafee.com\person~1\MpfTray.exe

mRun: [nwiz] nwiz.exe /install

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [vptray] c:\progra~1\symant~1\VPTray.exe

mRun: [Habu] c:\program files\razer\habu\razerhid.exe

mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime

mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"

mRun: [CTRegRun] c:\windows\CTRegRun.EXE

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\docume~1\alluse~1\startm~1\programs\startup\adober~1.lnk - c:\program files\adobe\acrobat 7.0\reader\reader_sl.exe

StartupFolder: c:\docume~1\alluse~1\startm~1\programs\startup\dellne~1.lnk - c:\windows\installer\{0240bdfb-2995-4a3f-8c96-18d41282b716}\Icon0240BDFB3.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe

IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC} - c:\program files\java\jre1.5.0_06\bin\ssv.dll

IE: {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - {7DD73374-7187-4103-8F29-622AA25E7C40} - c:\program files\mcafee\spamkiller\mcapfbho.dll

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

Notify: NavLogon - c:\windows\system32\NavLogon.dll

 

================= FIREFOX ===================

 

FF - ProfilePath - c:\docume~1\marcus~1\applic~1\mozilla\firefox\profiles\h8b94cka.default\

FF - plugin: c:\program files\java\jre1.5.0_06\bin\NPJPI150_06.dll

 

---- FIREFOX POLICIES ----

c:\program files\mozilla firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\mozilla firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);

c:\program files\mozilla firefox\greprefs\all.js - pref("browser.visited_color", "#551A8B");

c:\program files\mozilla firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);

c:\program files\mozilla firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);

c:\program files\mozilla firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);

c:\program files\mozilla firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);

c:\program files\mozilla firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\mozilla firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\mozilla firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);

c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.debug", false);

c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);

c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);

c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);

c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);

c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);

c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);

c:\program files\mozilla firefox\greprefs\all.js - pref("html5.enable", false);

c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

c:\program files\mozilla firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);

c:\program files\mozilla firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");

c:\program files\mozilla firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");

c:\program files\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("browser.videoFeeds.handler", "ask");

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);

 

============= SERVICES / DRIVERS ===============

 

R1 MPFIREWL;MPFIREWL;c:\windows\system32\drivers\MpFirewall.sys [2006-8-30 80640]

R1 SAVRT;SAVRT;c:\program files\symantec antivirus\savrt.sys [2005-12-19 337592]

R1 SAVRTPEL;SAVRTPEL;c:\program files\symantec antivirus\Savrtpel.sys [2005-12-19 54968]

R2 ccEvtMgr;Symantec Event Manager;c:\program files\common files\symantec shared\ccEvtMgr.exe [2006-3-24 192160]

R2 ccSetMgr;Symantec Settings Manager;c:\program files\common files\symantec shared\ccSetMgr.exe [2006-3-24 169632]

R2 hnmwrlspkt;HomeNet Manager Wireless Protocol;c:\windows\system32\drivers\hnm_wrls_pkt.sys [2006-1-12 13696]

R2 McDetect.exe;McAfee WSC Integration;c:\program files\mcafee.com\agent\Mcdetect.exe [2006-8-30 126976]

R2 McrdSvc;Media Center Extender Service;c:\windows\ehome\mcrdsvc.exe [2005-8-5 99328]

R2 McTskshd.exe;McAfee Task Scheduler;c:\progra~1\mcafee.com\agent\mctskshd.exe [2006-8-30 121344]

R2 Symantec AntiVirus;Symantec AntiVirus;c:\program files\symantec antivirus\Rtvscan.exe [2006-6-15 1805552]

R2 wsppkt;Wireless Security Protocol;c:\windows\system32\drivers\wsp_pkt.sys [2006-1-12 13568]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\common files\symantec shared\eengine\EraserUtilRebootDrv.sys [2010-4-23 102448]

R3 m4cxw2k3;NDIS5.1 Miniport Driver for D-Link PCI Express Ethernet Controller;c:\windows\system32\drivers\m4cxw2k3.sys [2005-3-10 227584]

R3 NaiAvFilter1;NaiAvFilter1;c:\windows\system32\drivers\naiavf5x.sys [2006-8-30 114464]

R3 NAVENG;NAVENG;c:\progra~1\common~1\symant~1\virusd~1\20100422.002\naveng.sys [2010-4-23 84912]

R3 NAVEX15;NAVEX15;c:\progra~1\common~1\symant~1\virusd~1\20100422.002\navex15.sys [2010-4-23 1324720]

S2 McShield;McAfee.com McShield;c:\progra~1\mcafee.com\vso\mcshield.exe [2006-8-30 221184]

S3 ccPwdSvc;Symantec Password Validation;c:\program files\common files\symantec shared\ccPwdSvc.exe [2004-12-13 79472]

S3 mcupdmgr.exe;McAfee SecurityCenter Update Manager;c:\progra~1\mcafee.com\agent\mcupdmgr.exe [2006-8-30 245760]

S3 SavRoam;SAVRoam;c:\program files\symantec antivirus\SavRoam.exe [2006-6-15 115952]

S3 Symantec Core LC;Symantec Core LC;c:\program files\common files\symantec shared\ccpd-lc\symlcsvc.exe [2006-8-30 822424]

 

=============== Created Last 30 ================

 

2010-04-27 03:12:26 0 d-----w- c:\docume~1\marcus~1\applic~1\Spotify

2010-04-27 03:12:24 0 d-----w- c:\program files\Spotify

2010-04-26 20:25:58 0 ----a-w- c:\windows\vpc32.INI

2010-04-26 17:42:37 0 d-----w- c:\docume~1\marcus~1\applic~1\Malwarebytes

2010-04-26 17:42:27 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-26 17:42:26 0 d-----w- c:\docume~1\alluse~1\applic~1\Malwarebytes

2010-04-26 17:42:25 20824 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-26 17:42:25 0 d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-04-26 16:29:29 0 d-----w- c:\docume~1\marcus~1\applic~1\D3EE3453B46A37A6B2DD874E574CCE87

2010-04-26 16:19:34 0 d-sh--w- c:\documents and settings\marcus tirronen\PrivacIE

2010-04-26 16:03:39 0 d-sh--w- c:\documents and settings\marcus tirronen\IETldCache

2010-04-26 15:27:37 0 d-----w- c:\windows\ie8updates

2010-04-26 15:26:22 0 dc-h--w- c:\windows\ie8

2010-04-26 14:54:07 294912 ------w- c:\windows\system32\dllcache\msctf.dll

2010-04-26 14:54:06 594432 ------w- c:\windows\system32\dllcache\msfeeds.dll

2010-04-26 14:54:06 55296 ------w- c:\windows\system32\dllcache\msfeedsbs.dll

2010-04-26 14:54:06 247808 ------w- c:\windows\system32\dllcache\ieproxy.dll

2010-04-26 14:54:05 1985536 ------w- c:\windows\system32\dllcache\iertutil.dll

2010-04-26 14:54:05 12800 ------w- c:\windows\system32\dllcache\xpshims.dll

2010-04-26 14:53:51 64000 ------w- c:\windows\system32\dllcache\iecompat.dll

2010-04-23 08:32:19 0 d-----w- c:\windows\ServicePackFiles

2010-04-23 08:30:45 0 d-----w- c:\program files\MSXML 4.0

2010-04-23 07:03:35 0 d-----w- c:\program files\iPod

2010-04-23 07:03:31 0 d-----w- c:\program files\iTunes

2010-04-23 07:03:31 0 d-----w- c:\docume~1\alluse~1\applic~1\{429CAD59-35B1-4DBC-BB6D-1DB246563521}

2010-04-23 07:01:59 4128 ----a-w- C:\INFCACHE.1

2010-04-23 07:01:54 41472 ----a-w- c:\windows\system32\drivers\usbaapl.sys

2010-04-23 07:01:54 3003680 ----a-w- c:\windows\system32\usbaaplrc.dll

2010-04-23 07:01:25 0 d-----w- c:\program files\Bonjour

2010-04-23 06:59:33 0 d-----w- c:\program files\DivX

2010-04-23 06:59:33 0 d-----w- c:\program files\common files\DivX Shared

2010-04-23 06:51:35 8 ----a-w- c:\windows\system32\nvModes.dat

2010-04-23 06:45:49 0 d-----w- c:\program files\D-Link

2010-04-23 06:43:45 165376 ----a-w- c:\windows\system32\unrar.dll

2010-04-23 06:43:41 0 d-----w- c:\program files\K-Lite Codec Pack

2010-04-23 06:41:01 0 d-----w- c:\program files\uTorrent

2010-04-23 06:40:27 0 d-----w- c:\docume~1\marcus~1\applic~1\uTorrent

2010-04-23 06:38:08 0 d-s---w- c:\documents and settings\marcus tirronen\UserData

2010-04-23 06:35:16 5632 ----a-w- c:\windows\system32\ptpusb.dll

2010-04-23 06:35:15 159232 ----a-w- c:\windows\system32\ptpusd.dll

2010-04-23 06:35:15 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys

2010-04-23 06:35:15 15104 ----a-w- c:\windows\system32\dllcache\usbscan.sys

2010-04-23 06:34:44 27776 ----a-w- c:\windows\system32\drivers\habu.sys

2010-04-23 06:34:43 14592 ----a-w- c:\windows\system32\drivers\USBICP.sys

2010-04-23 06:34:40 73728 ----a-w- c:\windows\system32\habu.cpl

2010-04-23 06:33:21 87808 ----a-w- c:\windows\system32\S32EVNT1.DLL

2010-04-23 06:33:21 107696 ----a-w- c:\windows\system32\drivers\SYMEVENT.SYS

2010-04-23 06:32:45 0 d-----w- c:\program files\Symantec AntiVirus

2010-04-23 06:31:25 0 d-----w- c:\windows\system32\AGEIA

2010-04-23 06:31:08 0 d-----w- c:\program files\common files\Wise Installation Wizard

2010-04-23 06:30:52 206793 ----a-w- c:\windows\system32\nvapps.nvb

2010-04-23 06:30:51 0 d-----w- c:\windows\nview

2010-04-23 06:30:34 453152 ----a-w- c:\windows\system32\NVUNINST.EXE

2010-04-23 06:30:23 0 d-----w- C:\NVIDIA

2010-04-23 01:06:30 0 d-----w- c:\windows\system32\CatRoot_bak

2010-04-23 01:05:13 272128 ------w- c:\windows\system32\drivers\bthport.sys

2010-04-23 01:05:13 272128 ------w- c:\windows\system32\dllcache\bthport.sys

2010-04-23 01:03:59 23040 ------w- c:\windows\kb913800.exe

2010-04-23 01:03:16 202752 ------w- c:\windows\system32\dllcache\rmcast.sys

2010-04-23 01:03:12 331776 ------w- c:\windows\system32\dllcache\msadce.dll

2010-04-23 01:03:11 1315328 ------w- c:\windows\system32\dllcache\msoe.dll

2010-04-23 01:03:04 683520 ------w- c:\windows\system32\dllcache\inetcomm.dll

2010-04-23 01:02:15 293376 ------w- c:\windows\system32\browserchoice.exe

2010-04-23 01:00:17 0 d-----w- c:\windows\system32\PreInstall

2010-04-22 21:42:41 0 d-----w- c:\windows\system32\SoftwareDistribution

2010-04-22 21:41:25 8192 ----a-w- c:\windows\REGLOCS.OLD

2010-04-22 21:41:11 12160 ----a-w- c:\windows\system32\drivers\mouhid.sys

2010-04-22 21:41:08 8704 ----a-w- c:\windows\system32\kbdjpn.dll

2010-04-22 21:41:06 6144 ----a-w- c:\windows\system32\kbd106.dll

2010-04-22 21:41:05 21504 ----a-w- c:\windows\system32\hidserv.dll

2010-04-22 21:41:05 14848 ----a-w- c:\windows\system32\drivers\kbdhid.sys

2010-04-22 21:41:02 9600 ----a-w- c:\windows\system32\drivers\hidusb.sys

2010-04-22 21:41:02 9600 ----a-w- c:\windows\system32\dllcache\hidusb.sys

2010-04-22 21:40:59 31616 ----a-w- c:\windows\system32\drivers\usbccgp.sys

2010-04-22 20:44:26 0 d-----w- c:\docume~1\marcus~1\applic~1\McAfee.com Personal Firewall

2010-04-22 20:43:52 0 d-----w- c:\docume~1\marcus~1\applic~1\Symantec

 

==================== Find3M ====================

 

2010-03-10 04:57:43 1509888 ------w- c:\windows\system32\dllcache\shdocvw.dll

2010-03-10 04:57:36 1024000 ------w- c:\windows\system32\dllcache\browseui.dll

2010-02-26 06:05:08 474112 ------w- c:\windows\system32\dllcache\shlwapi.dll

2010-02-26 06:05:05 55808 ------w- c:\windows\system32\dllcache\extmgr.dll

2010-02-26 06:05:05 1054208 ------w- c:\windows\system32\dllcache\danim.dll

2010-02-26 06:05:04 151040 ------w- c:\windows\system32\dllcache\cdfview.dll

2010-02-25 11:17:33 18432 ------w- c:\windows\system32\dllcache\iedw.exe

2010-02-25 09:54:36 11070976 ------w- c:\windows\system32\dllcache\ieframe.dll

2010-02-25 06:24:37 916480 ----a-w- c:\windows\system32\wininet.dll

2010-02-25 06:24:37 916480 ------w- c:\windows\system32\dllcache\wininet.dll

2010-02-25 06:24:37 611840 ------w- c:\windows\system32\dllcache\mstime.dll

2010-02-25 06:24:37 206848 ------w- c:\windows\system32\dllcache\occache.dll

2010-02-25 06:24:37 1209344 ------w- c:\windows\system32\dllcache\urlmon.dll

2010-02-25 06:24:36 5944832 ------w- c:\windows\system32\dllcache\mshtml.dll

2010-02-25 06:24:35 25600 ------w- c:\windows\system32\dllcache\jsproxy.dll

2010-02-25 06:24:35 184320 ------w- c:\windows\system32\dllcache\iepeers.dll

2010-02-25 06:24:34 387584 ------w- c:\windows\system32\dllcache\iedkcs32.dll

2010-02-24 12:31:30 454016 ------w- c:\windows\system32\dllcache\mrxsmb.sys

2010-02-24 09:54:25 173056 ------w- c:\windows\system32\dllcache\ie4uinit.exe

2010-02-17 09:57:54 2063744 ------w- c:\windows\system32\dllcache\ntkrnlpa.exe

2010-02-16 17:37:57 2186880 ------w- c:\windows\system32\dllcache\ntoskrnl.exe

2010-02-16 17:35:40 2143744 ----a-w- c:\windows\system32\ntoskrnl.exe

2010-02-16 17:35:40 2143744 ------w- c:\windows\system32\dllcache\ntkrnlmp.exe

2010-02-16 16:57:54 2021888 ----a-w- c:\windows\system32\ntkrnlpa.exe

2010-02-16 16:57:54 2021888 ------w- c:\windows\system32\dllcache\ntkrpamp.exe

2010-02-12 09:46:14 91424 ----a-w- c:\windows\system32\dnssd.dll

2010-02-12 09:46:14 107808 ----a-w- c:\windows\system32\dns-sd.exe

2010-02-12 04:47:05 100864 ----a-w- c:\windows\system32\6to4svc.dll

2010-02-12 04:47:05 100864 ------w- c:\windows\system32\dllcache\6to4svc.dll

2010-02-11 12:01:43 226880 ------w- c:\windows\system32\dllcache\tcpip6.sys

 

============= FINISH: 17:00:10,20 ===============

 

Tack för det snabba svaret!

vh, Marcus

Link to comment
Share on other sites

Medan jag går igenom loggen så kan du uppdatera MBAM och göra en snabbskanning.

 

Hur är det meningen att du ska ha det med antivirusprogram? Jag ser till både Symantec och McAfee.

I vilken mapp ligger de svchost som Symantec klagar på?

Link to comment
Share on other sites

Håller på uppdatera MBAM nu.

Jo, Mcafee finns i bilden pga att jag nyligen ominstallerade xp och det medföljde datorn. Kör som rutin bara med symantec. Avinstallerar mcafee nu...

svchost.exe filerna ligger i c:windows\temp\ mappen. Ser även att alla verkar vara .tmp filer (temporära?).

Link to comment
Share on other sites

Vad finns i denna mapp c:\docume~1\marcus~1\applic~1\D3EE3453B46A37A6B2DD874E574CCE87 ?

~1 står för ett antal godtyckliga tecen.

Du behöver ställa in Utforskaren/Den här datorn så att du kan se alla mappar och filer:

Verktyg - Mappalternativ - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

 

Att ha antivirusprogram som är flera år gamla räcker inte som skydd mot dagens skadliga program. Även om de får nya virusdefinitioner så saknar programmen väsentliga funktioner.

 

Vi ser om det räcker med detta för att få bort de dåliga svchost-filerna eller om en djupare sökning behövs.

 

Spara ATF-Cleaner på Skrivbordet:

http://www.atribune.org/ccount/click.php?id=1

 

Stäng av alla andra program, särskilt webbläsare.

Dubbelklicka på ATF-Cleaner.exe för att starta programmet.

Bocka i Select All. Tryck på Empty Selected.

 

Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

 

Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

 

Tryck på Exit i Main-menyn för att stänga programmet.

 

Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.

 

Starta om datorn.

 

Hittar Symantec någon skadlig svchost-fil nu?

I så fall:

Spara ComboFix på Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

Link to comment
Share on other sites

Som du ser så hittar MBAM inga nya hot:

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

 

Database version: 4042

 

Windows 5.1.2600 Service Pack 2

Internet Explorer 8.0.6001.18702

 

2010-04-27 17:28:53

mbam-log-2010-04-27 (17-28-53).txt

 

Scan type: Quick scan

Objects scanned: 114081

Time elapsed: 8 minute(s), 42 second(s)

 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 0

Folders Infected: 0

Files Infected: 0

 

Memory Processes Infected:

(No malicious items detected)

 

Memory Modules Infected:

(No malicious items detected)

 

Registry Keys Infected:

(No malicious items detected)

 

Registry Values Infected:

(No malicious items detected)

 

Registry Data Items Infected:

(No malicious items detected)

 

Folders Infected:

(No malicious items detected)

 

Files Infected:

(No malicious items detected)

Link to comment
Share on other sites

Innan jag går vidare så skriver jag det här: bockade och avbockade de sakerna du rekommenderade och gick in i den mappen du hade hittat nåt avvikande i och hittade detta enemies-names.txt Om jag förstått rätt så är denna fil en del av problemet. Är inte så sugen på att öppna själva filen och inte heller vill jag radera den hejvilt.

Fortsätter med det andra du föreslog...

Link to comment
Share on other sites

Eftersom den heter .txt så kan du bifoga den till ett svar. Tryck på en av knapparna "Lägg till svar" och "Använd full redigerare" för att se hur du bifogar en fil.

Link to comment
Share on other sites

Här är lite utdrag ur filen:

[Advertising.com]

Threat="Tracking cookie or cookie of tracking site"

Description="I won't call a saved IP in combination with a log of visited web pages anonymous!"

[Avenue A, Inc.]

Threat="Tracking cookie or cookie of tracking site"

Description="They say they no longer do tracking."

[ClickFinders]

Threat=Tracking cookie or cookie of tracking site

Description=Their cookie itself is a tracking cookie.

...

[Mansion.Casino.PT]

Threat=PUPS

Description=This online casino uses the PlayTech software which only allows gaming after registration of personal information like surname, name, email address, phone number, birthday, country and currency. Like all PlayTech installers, the installation does not finish with "installation finished" , the software still downloads and installs parts of the online casino in background for several minutes. Boni offers usually mislead users to play for money.

[Magic.Box.Casino.PT]

Threat=PUPS

Description=This online casino uses the PlayTech software which only allows gaming after registration of personal information like surname, name, email address, phone number, birthday, country and currency. Like all PlayTech installers, the installation does not finish with "installation finished" , the software still downloads and installs parts of the online casino in background for several minutes. Boni offers usually mislead users to play for money.

 

Kan det vara information som "antimalware doctor" visade på skärmen?

 

McAfees städprogram http://download.mcafee.com/products/licensed/cust_support_patches/MCPR.exe för att få bort rester av antivirusprogrammet.

Link to comment
Share on other sites

Bra att Symantec har slutat klaga.

 

Det är en mycket gammal Java-version med många säkerhetshål i datorn och det innebär att du bara behöver besöka en skadlig/hackad webbsida för att få datorn infekterad. Jag rekommenderar dig att installera en ny från http://www.java.com/sv/ och därefter avinstallera den gamla i Kontrollpanelen - Lägg till eller ta bort program (inga webbläsare igång). Ta sedan bort mappen också:

c:\program files\java\jre1.5.0_06\

 

Nu återstår bara en sista städomgång:

 

1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade.

Börja med att skapa en ny systemåterställningspunkt:

XP:

Start - Program- Tillbehör - Systemverktyg - Systemåterställning

Välj att skapa en ny återställningspunkt och tryck på Nästa.

Vista och Windows 7 (?):

Högerklick på Datorn - Egenskaper - Systemskydd

Tryck på Skapa.

 

Ta sedan bort alla gamla systemåterställningspunkter genom att köra diskrensningsprogrammet.

Högerklicka på C: i Den här datorn/Utforskaren och välj Egenskaper.

På fliken Allmänt finns det en knapp som heter Diskrensning. Välj den.

Efter några minuter kommer programmet upp och då väljer du en flik som heter Fler alternativ eller något likande. Tryck på den Rensa-knapp som tar bort alla systemåterställningspunkter utom den senaste.

 

2. Ta bort ATF-Cleaner, DDS och dess loggar.

 

3. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.

http://mnin.blogspot.com/2009/02/why-i-enjoyed-tiggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.

 

4. Förbättra skyddet i datorn, se mina Råd för en säkrare dator. http://sites.google.com/site/ceblstockholm/home

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...