Hjälp! Keylogger gömmer sig för bra.

[Wasd]

Jag mistänker att jag har fått in en skum keylogger på min dator. Detta efter jag har sökt igenom datorn med ett programm s.k Spybot Search & Destroy. Loggen har jag bifogat.

 

Jag körde även en scan med HijackThis. Loggen får ni här:

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:30:40, on 2010-08-09

Platform: Unknown Windows (WinNT 6.01.3504)

MSIE: Unable to get Internet Explorer version!

Boot mode: Normal

 

Running processes:

C:\Program Files (x86)\Steam\Steam.exe

C:\Program Files (x86)\McAfee Security Scan\2.0.181\SSScheduler.exe

C:\Program Files (x86)\AVG\AVG9\avgtray.exe

C:\Users\Max!\Desktop\ALT\Skype\Phone\Skype.exe

C:\Users\Max!\Desktop\ALT\Spotify\spotify.exe

C:\Users\Max!\Desktop\ALT\Mozilla Firefox\firefox.exe

C:\Users\Max!\Desktop\ALT\Mozilla Firefox\plugin-container.exe

C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe

C:\Users\Max!\Desktop\ALT\Stunlock Studios\Bloodline Champions Beta\Binary\BloodlineChampions.exe

C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe

C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

F2 - REG:system.ini: UserInit=userinit.exe

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG9\avgssie.dll

O4 - HKLM\..\Run: [AVG9_TRAY] C:\PROGRA~2\AVG\AVG9\avgtray.exe

O4 - HKCU\..\Run: [steam] "C:\Program Files (x86)\Steam\Steam.exe" -silent

O4 - HKCU\..\RunOnce: [Ad-Watch Live!] C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-Aware.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Lokal tjänst')

O4 - HKUS\S-1-5-19\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Lokal tjänst')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /autoRun (User 'Nätverkstjänst')

O4 - HKUS\S-1-5-20\..\RunOnce: [mctadmin] C:\Windows\System32\mctadmin.exe (User 'Nätverkstjänst')

O4 - Global Startup: McAfee Security Scan Plus.lnk = ?

O13 - Gopher Prefix:

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG9\avgpp.dll

O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing)

O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing)

O23 - Service: AVG Free E-mail Scanner (avg9emc) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG9\avgemc.exe

O23 - Service: AVG Free WatchDog (avg9wd) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG9\avgwdsvc.exe

O23 - Service: CSIScanner - Prevx - C:\Program Files\Prevx\prevx.exe

O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing)

O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: McAfee Security Scan Component Host Service (McComponentHostService) - McAfee, Inc. - C:\Program Files (x86)\McAfee Security Scan\2.0.181\McCHSvc.exe

O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing)

O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing)

O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing)

O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing)

O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing)

O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files (x86)\Common Files\Steam\SteamService.exe

O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing)

O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing)

O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing)

O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing)

O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing)

O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing)

O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing)

 

--

End of file - 6350 bytes

 

Jag mistänker att keyloggern har kommit genom kakorna som SSD hittade. Men är inte riktigt säker.

[Cecilia]

Kakor/Cookies är helt ofarliga för datorn eftersom det bara är små textfiler. De kan aldrig någonsin fungera som en keylogger. En del antivirusprogram och liknande tar bort kakor därför att det personligen kan kännas lite obehagligt att t ex annonsföretag håller reda på vilka annonser man ser och klickar på samt annat liknande. Cookies kommer in så fort man surfar lite, särskilt när man ser någon annons.

[Wasd]

Kakor/Cookies är helt ofarliga för datorn eftersom det bara är små textfiler. De kan aldrig någonsin fungera som en keylogger. En del antivirusprogram och liknande tar bort kakor därför att det personligen kan kännas lite obehagligt att t ex annonsföretag håller reda på vilka annonser man ser och klickar på samt annat liknande. Cookies kommer in så fort man surfar lite, särskilt när man ser någon annons.

 

Jaha, men kan det inte vara så att en keylogger har hoppat med dom här kakorna och sedan vidare längre in i datorn?

[Cecilia]

Nej, kakor är textfiler och det kan inte komma med några programfiler med en kaka. En kaka skrivs av en viss webbplats, t ex doubleclick.net, och kan endast läsas av samma webbplats.

 

Däremot kan man få in skadliga program/filer från en illasinnad/hackad webbsida om man har något program med säkerhetshål, t ex en gammal version av Java eller Flash, men det har inte det minsta med kakor att göra. Fast vanligast är ju att man själv installerar de skadliga programmen, naturligtvis för att man inte inser att det är skadliga program.

[Wasd]

Nej, kakor är textfiler och det kan inte komma med några programfiler med en kaka. En kaka skrivs av en viss webbplats, t ex doubleclick.net, och kan endast läsas av samma webbplats.

 

Däremot kan man få in skadliga program/filer från en illasinnad/hackad webbsida om man har något program med säkerhetshål, t ex en gammal version av Java eller Flash, men det har inte det minsta med kakor att göra. Fast vanligast är ju att man själv installerar de skadliga programmen, naturligtvis för att man inte inser att det är skadliga program.

 

 

Jaha, tack för snabbt svar.

 

Står de något i HJT loggen som jag skrev in som kan hjälpa mig att hitta den här keyloggern? Är inte så bra på att läsa såna loggs.

[Cecilia]

HijackThis-loggen ser helt normal ut. Men det finns andra program att använda för att kolla upp datorn om det behövs.

 

Varför tror du att du har en keylogger i datorn?

[Wasd]

HijackThis-loggen ser helt normal ut. Men det finns andra program att använda för att kolla upp datorn om det behövs.

 

Varför tror du att du har en keylogger i datorn?

 

 

För att jag har blivit hackad på mitt World of Warcraft account, min Facebook och min E-mail.

[Cecilia]

Du har väl bytt lösenord och eventuella hemliga frågor på dessa ställen nu.

 

Det finns ju många sätt att komma över lösenord dock, phisingssidor och trojaner som läser av lösenord som är lagrade i datorn t ex i webbläsaren är nog vanligare än rena keyloggers som läser tangentnedtryckningar.

 

Vi kan se vad DDS visar till att börja med. Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

 

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Medan du bifogar Attach.txt som en fil.

 

Skanna datorn online på

http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html

Om något hittas så spara loggen och klistra in i ditt svar.

[Wasd]

Du har väl bytt lösenord och eventuella hemliga frågor på dessa ställen nu.

 

Det finns ju många sätt att komma över lösenord dock, phisingssidor och trojaner som läser av lösenord som är lagrade i datorn t ex i webbläsaren är nog vanligare än rena keyloggers som läser tangentnedtryckningar.

 

Vi kan se vad DDS visar till att börja med. Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

 

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Medan du bifogar Attach.txt som en fil.

 

Skanna datorn online på

http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html

Om något hittas så spara loggen och klistra in i ditt svar.

 

DDS.txt:

 

DDS (Ver_10-03-17.01) - NTFSX64

Run by Max! at 1:22:17,78 on 2010-08-10

Internet Explorer: 8.0.7600.16385

Microsoft Windows 7 Home Premium 6.1.7600.0.1252.46.1053.18.3063.1465 [GMT 2:00]

 

 

============== Running Processes ===============

 

C:\Windows\system32\wininit.exe

C:\Program Files (x86)\AVG\AVG9\avgchsva.exe

C:\Program Files (x86)\AVG\AVG9\avgrsa.exe

C:\Program Files (x86)\AVG\AVG9\avgcsrva.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe -k DcomLaunch

C:\Windows\system32\svchost.exe -k RPCSS

C:\Windows\system32\atiesrxx.exe

C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted

C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted

C:\Windows\system32\svchost.exe -k netsvcs

C:\Windows\system32\svchost.exe -k LocalService

C:\Windows\system32\atieclxx.exe

C:\Windows\system32\svchost.exe -k NetworkService

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork

C:\Program Files (x86)\AVG\AVG9\avgwdsvc.exe

c:\Program Files\Microsoft SQL Server\MSSQL10.SQLEXPRESS\MSSQL\Binn\sqlservr.exe

C:\Program Files (x86)\AVG\AVG9\avgnsa.exe

c:\Program Files\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\Program Files (x86)\AVG\AVG9\avgemc.exe

C:\Program Files (x86)\AVG\AVG9\avgcsrvx.exe

C:\Windows\system32\WUDFHost.exe

C:\Windows\System32\svchost.exe -k secsvcs

C:\Program Files\Windows Media Player\wmpnetwk.exe

C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation

C:\Windows\system32\SearchIndexer.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskhost.exe

C:\Program Files (x86)\Steam\Steam.exe

C:\Program Files (x86)\McAfee Security Scan\2.0.181\SSScheduler.exe

C:\Program Files (x86)\AVG\AVG9\avgtray.exe

C:\Program Files (x86)\Common Files\Steam\SteamService.exe

C:\Windows\System32\svchost.exe -k LocalServicePeerNet

C:\Users\Max!\Desktop\ALT\Skype\Phone\Skype.exe

C:\Users\Max!\Desktop\ALT\Spotify\spotify.exe

C:\Users\Max!\Desktop\ALT\Mozilla Firefox\firefox.exe

C:\Users\Max!\Desktop\ALT\Mozilla Firefox\plugin-container.exe

C:\Program Files\Prevx\prevx.exe

C:\Program Files\Prevx\prevx.exe

C:\Program Files (x86)\Spybot - Search & Destroy\SpybotSD.exe

C:\Windows\system32\taskhost.exe

C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWService.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Windows\system32\wbem\wmiprvse.exe

C:\Program Files (x86)\Lavasoft\Ad-Aware\AAWTray.exe

C:\Program Files (x86)\Trend Micro\HijackThis\HijackThis.exe

C:\Windows\SysWOW64\NOTEPAD.EXE

C:\Windows\SysWOW64\hh.exe

C:\Program Files (x86)\Lavasoft\Ad-Aware\Ad-Aware.exe

C:\Windows\system32\SearchProtocolHost.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Users\Max!\Downloads\dds.scr

C:\Windows\system32\conhost.exe

C:\Windows\system32\wbem\wmiprvse.exe

 

============== Pseudo HJT Report ===============

 

mLocal Page = c:\windows\syswow64\blank.htm

mWinlogon: Userinit=userinit.exe

BHO: AVG Safe Search: {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files (x86)\avg\avg9\avgssie.dll

uRun: [steam] "c:\program files (x86)\steam\Steam.exe" -silent

uRunOnce: [Ad-Watch Live!] c:\program files (x86)\lavasoft\ad-aware\Ad-Aware.exe

mRun: [AVG9_TRAY] c:\progra~2\avg\avg9\avgtray.exe

StartupFolder: c:\progra~3\micros~1\windows\startm~1\programs\startup\mcafee~1.lnk - c:\program files (x86)\mcafee security scan\2.0.181\SSScheduler.exe

mPolicies-explorer: NoActiveDesktop = 1 (0x1)

mPolicies-explorer: NoActiveDesktopChanges = 1 (0x1)

mPolicies-explorer: ForceActiveDesktopOn = 0 (0x0)

mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)

mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)

mPolicies-system: EnableUIADesktopToggle = 0 (0x0)

Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - c:\program files (x86)\avg\avg9\avgpp.dll

{3CA2F312-6F6E-4B53-A66E-4E65E497C8C0}

AppInit_DLLs-X64: avgrssta.dll

 

============= SERVICES / DRIVERS ===============

 

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2010-8-9 69152]

R0 pxscan;pxscan;c:\windows\system32\drivers\pxscan.sys [2010-8-9 34696]

R1 AvgLdx64;AVG Free AVI Loader Driver x64;c:\windows\system32\drivers\avgldx64.sys [2010-7-24 269904]

R1 AvgMfx64;AVG Free On-access Scanner Minifilter Driver x64;c:\windows\system32\drivers\avgmfx64.sys [2010-7-24 35536]

R1 AvgTdiA;AVG Free Network Redirector x64;c:\windows\system32\drivers\avgtdia.sys [2010-7-24 317520]

R2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [2009-8-18 203264]

R2 avg9emc;AVG Free E-mail Scanner;c:\program files (x86)\avg\avg9\avgemc.exe [2010-7-24 921952]

R2 avg9wd;AVG Free WatchDog;c:\program files (x86)\avg\avg9\avgwdsvc.exe [2010-7-24 308136]

R2 CSIScanner;CSIScanner;c:\program files\prevx\prevx.exe [2010-8-9 6719872]

R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files (x86)\lavasoft\ad-aware\AAWService.exe [2010-7-12 1352832]

R2 pxrts;pxrts;c:\windows\system32\drivers\pxrts.sys [2010-8-9 56320]

R3 e1yexpress;Intel® Gigabit Network Connections Driver;c:\windows\system32\drivers\e1y60x64.sys [2009-6-10 281088]

R3 pxkbf;pxkbf;c:\windows\system32\drivers\pxkbf.sys [2010-8-9 22336]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]

S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\microsoft.net\framework64\v4.0.30319\mscorsvw.exe [2010-3-18 138576]

S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files (x86)\mcafee security scan\2.0.181\McCHSvc.exe [2010-1-15 227232]

S3 WatAdminSvc;Aktiveringsteknologier för Windows-tjänst;c:\windows\system32\wat\WatAdminSvc.exe [2010-7-26 1255736]

S4 MSSQLServerADHelper100;SQL Active Directory Helper Service;c:\program files\microsoft sql server\100\shared\sqladhlp.exe [2009-7-22 61976]

S4 msvsmon90;Visual Studio 2008 Remote Debugger;c:\program files\microsoft visual studio 9.0\common7\ide\remote debugger\x64\msvsmon.exe [2007-11-7 4466688]

S4 RsFx0103;RsFx0103 Driver;c:\windows\system32\drivers\RsFx0103.sys [2009-3-30 311656]

S4 SQLAgent$SQLEXPRESS;SQL Server Agent (SQLEXPRESS);c:\program files\microsoft sql server\mssql10.sqlexpress\mssql\binn\SQLAGENT.EXE [2009-3-30 427880]

 

=============== Created Last 30 ================

 

2010-08-09 21:30:27 0 d-----w- c:\program files (x86)\Trend Micro

2010-08-09 21:20:37 69152 ----a-w- c:\windows\system32\drivers\Lbd.sys

2010-08-09 21:17:56 0 dc-h--w- c:\programdata\{BD986C1B-72EC-4B82-B47B-6CAC4E6F494E}

2010-08-09 21:17:33 0 d-----w- c:\programdata\Lavasoft

2010-08-09 21:17:33 0 d-----w- c:\program files (x86)\Lavasoft

2010-08-09 20:19:21 0 d-----w- c:\programdata\Spybot - Search & Destroy

2010-08-09 20:19:21 0 d-----w- c:\program files (x86)\Spybot - Search & Destroy

2010-08-09 19:54:50 60928 ----a-w- c:\windows\syswow64\PxSecure.dll

2010-08-09 19:54:49 56320 ----a-w- c:\windows\system32\drivers\pxrts.sys

2010-08-09 19:54:49 34696 ----a-w- c:\windows\system32\drivers\pxscan.sys

2010-08-09 19:54:49 22336 ----a-w- c:\windows\system32\drivers\pxkbf.sys

2010-08-09 19:54:49 0 d-----w- c:\program files\Prevx

2010-08-09 19:54:33 0 d-----w- c:\programdata\PrevxCSI

2010-08-04 19:12:20 452440 ----a-w- c:\windows\syswow64\d3dx10_40.dll

2010-08-04 19:12:20 4379984 ----a-w- c:\windows\syswow64\D3DX9_40.dll

2010-08-04 19:12:20 2036576 ----a-w- c:\windows\syswow64\D3DCompiler_40.dll

2010-08-04 19:10:37 0 d-----w- c:\program files (x86)\Heroes of Newerth

2010-08-04 02:44:36 0 d-----w- c:\users\max!\appdata\roaming\Xfire

2010-08-04 02:44:36 0 d-----w- c:\programdata\Xfire

2010-08-02 17:24:48 12867584 ----a-w- c:\windows\syswow64\shell32.dll

2010-08-01 01:12:18 69448 ----a-w- c:\windows\syswow64\XAPOFX1_3.dll

2010-08-01 01:12:18 517448 ----a-w- c:\windows\syswow64\XAudio2_4.dll

2010-08-01 01:12:17 235352 ----a-w- c:\windows\syswow64\xactengine3_4.dll

2010-08-01 01:12:16 22360 ----a-w- c:\windows\syswow64\X3DAudio1_6.dll

2010-08-01 01:11:26 65032 ----a-w- c:\windows\syswow64\XAPOFX1_0.dll

2010-08-01 01:11:26 507400 ----a-w- c:\windows\syswow64\XAudio2_1.dll

2010-08-01 01:11:25 3495784 ----a-w- c:\windows\syswow64\d3dx9_33.dll

2010-08-01 01:11:25 267112 ----a-w- c:\windows\syswow64\xactengine2_9.dll

2010-08-01 01:11:25 25608 ----a-w- c:\windows\syswow64\X3DAudio1_4.dll

2010-08-01 01:11:25 18280 ----a-w- c:\windows\syswow64\x3daudio1_2.dll

2010-08-01 01:11:18 2414360 ----a-w- c:\windows\syswow64\d3dx9_31.dll

2010-08-01 01:10:05 462864 ----a-w- c:\windows\syswow64\d3dx10_37.dll

2010-08-01 01:10:05 1420824 ----a-w- c:\windows\syswow64\D3DCompiler_37.dll

2010-08-01 01:10:00 3786760 ----a-w- c:\windows\syswow64\D3DX9_37.dll

2010-08-01 01:09:51 81768 ----a-w- c:\windows\syswow64\xinput1_3.dll

2010-08-01 01:08:50 0 d-----w- c:\windows\syswow64\xlive

2010-08-01 01:08:49 0 d-----w- c:\program files (x86)\Microsoft Games for Windows - LIVE

2010-08-01 01:08:16 0 d-----w- c:\program files (x86)\Microsoft XNA

2010-08-01 01:01:42 0 d-----w- c:\programdata\Microsoft Help

2010-08-01 01:01:09 0 d-----w- c:\program files\Microsoft SDKs

2010-08-01 00:51:27 78872 ----a-w- c:\windows\system32\perf-SQLAgent$SQLEXPRESS-sqlagtctr10.1.2531.0.dll

2010-08-01 00:51:27 50200 ----a-w- c:\windows\syswow64\perf-SQLAgent$SQLEXPRESS-sqlagtctr10.1.2531.0.dll

2010-08-01 00:51:09 79896 ----a-w- c:\windows\syswow64\perf-MSSQL$SQLEXPRESS-sqlctr10.1.2531.0.dll

2010-08-01 00:51:08 111640 ----a-w- c:\windows\system32\perf-MSSQL$SQLEXPRESS-sqlctr10.1.2531.0.dll

2010-08-01 00:48:39 0 d-----w- c:\windows\system32\RsFx

2010-08-01 00:47:49 0 d-----w- c:\program files\Microsoft Visual Studio 9.0

2010-08-01 00:47:40 0 d-----w- c:\windows\syswow64\1033

2010-08-01 00:47:40 0 d-----w- c:\windows\system32\1033

2010-08-01 00:47:29 0 d-----w- c:\program files\Microsoft.NET

2010-08-01 00:45:15 0 d-----w- c:\program files\Microsoft SQL Server

2010-08-01 00:42:25 0 d-----w- c:\program files (x86)\Microsoft SQL Server

2010-08-01 00:42:10 0 d-----w- c:\program files\Microsoft Synchronization Services

2010-08-01 00:42:10 0 d-----w- c:\program files\Microsoft SQL Server Compact Edition

2010-08-01 00:41:54 0 d-----w- c:\program files (x86)\Microsoft Synchronization Services

2010-08-01 00:41:53 0 d-----w- c:\program files (x86)\Microsoft SQL Server Compact Edition

2010-08-01 00:39:52 0 d-----w- c:\program files (x86)\Microsoft Visual Studio 10.0

2010-08-01 00:39:14 0 d-----w- c:\program files\Microsoft Visual Studio 10.0

2010-08-01 00:39:14 0 d-----w- c:\program files\Microsoft Help Viewer

2010-08-01 00:38:41 1549878 ----a-w- c:\windows\syswow64\PerfStringBackup.INI

2010-08-01 00:32:01 0 d-----w- c:\windows\PCHEALTH

2010-07-27 23:24:02 0 d-----w- c:\program files (x86)\common files\Steam

2010-07-27 23:23:50 0 d-----w- c:\program files (x86)\Steam

2010-07-26 05:27:55 0 d-----w- c:\windows\syswow64\Wat

2010-07-26 05:27:55 0 d-----w- c:\windows\system32\Wat

2010-07-26 01:07:58 311808 ----a-w- c:\windows\system32\msv1_0.dll

2010-07-26 01:07:58 257024 ----a-w- c:\windows\syswow64\msv1_0.dll

2010-07-26 01:05:41 99176 ----a-w- c:\windows\syswow64\PresentationHostProxy.dll

2010-07-26 01:05:41 49472 ----a-w- c:\windows\syswow64\netfxperf.dll

2010-07-26 01:05:41 48960 ----a-w- c:\windows\system32\netfxperf.dll

2010-07-26 01:05:41 444752 ----a-w- c:\windows\system32\mscoree.dll

2010-07-26 01:05:41 320352 ----a-w- c:\windows\system32\PresentationHost.exe

2010-07-26 01:05:41 297808 ----a-w- c:\windows\syswow64\mscoree.dll

2010-07-26 01:05:41 295264 ----a-w- c:\windows\syswow64\PresentationHost.exe

2010-07-26 01:05:41 1130824 ----a-w- c:\windows\syswow64\dfshim.dll

2010-07-26 01:05:41 109912 ----a-w- c:\windows\system32\PresentationHostProxy.dll

2010-07-26 01:05:40 1942856 ----a-w- c:\windows\system32\dfshim.dll

2010-07-26 01:05:19 294912 ----a-w- c:\windows\system32\browserchoice.exe

2010-07-25 20:01:55 0 d-----w- c:\program files (x86)\common files\Blizzard Entertainment

2010-07-25 01:23:09 11406336 ----a-w- c:\windows\syswow64\wmp.dll

2010-07-25 01:23:08 1975296 ----a-w- c:\windows\system32\CertEnroll.dll

2010-07-25 01:23:08 1320960 ----a-w- c:\windows\syswow64\CertEnroll.dll

2010-07-25 01:23:07 12625920 ----a-w- c:\windows\system32\wmploc.DLL

2010-07-25 01:23:07 12625408 ----a-w- c:\windows\syswow64\wmploc.DLL

2010-07-25 01:22:54 84992 ----a-w- c:\windows\system32\asycfilt.dll

2010-07-25 01:22:54 67584 ----a-w- c:\windows\syswow64\asycfilt.dll

2010-07-25 01:22:51 1736608 ----a-w- c:\windows\system32\ntdll.dll

2010-07-25 01:22:51 1289528 ----a-w- c:\windows\syswow64\ntdll.dll

2010-07-25 01:22:30 612352 ----a-w- c:\windows\system32\vbscript.dll

2010-07-25 01:22:30 427520 ----a-w- c:\windows\syswow64\vbscript.dll

2010-07-25 01:19:53 976896 ----a-w- c:\windows\system32\inetcomm.dll

2010-07-25 01:19:53 740864 ----a-w- c:\windows\syswow64\inetcomm.dll

2010-07-25 01:19:48 148480 ----a-w- c:\windows\system32\t2embed.dll

2010-07-25 01:19:48 108544 ----a-w- c:\windows\syswow64\t2embed.dll

2010-07-25 01:19:42 389632 ----a-w- c:\windows\system32\winlogon.exe

2010-07-25 01:19:42 2870272 ----a-w- c:\windows\explorer.exe

2010-07-25 01:19:42 2614272 ----a-w- c:\windows\syswow64\explorer.exe

2010-07-25 01:19:16 7680 ----a-w- c:\windows\syswow64\instnm.exe

2010-07-25 01:19:16 5120 ----a-w- c:\windows\syswow64\wow32.dll

2010-07-25 01:19:16 25600 ----a-w- c:\windows\syswow64\setup16.exe

2010-07-25 01:19:16 243200 ----a-w- c:\windows\system32\wow64.dll

2010-07-25 01:19:16 2048 ----a-w- c:\windows\syswow64\user.exe

2010-07-25 01:19:16 14336 ----a-w- c:\windows\syswow64\ntvdm64.dll

2010-07-25 01:15:27 91648 ----a-w- c:\windows\syswow64\avifil32.dll

2010-07-25 01:14:06 46592 ----a-w- c:\windows\system32\msasn1.dll

2010-07-25 01:14:06 34816 ----a-w- c:\windows\syswow64\msasn1.dll

2010-07-24 21:46:24 220672 ----a-w- c:\windows\system32\wintrust.dll

2010-07-24 21:46:24 172032 ----a-w- c:\windows\syswow64\wintrust.dll

2010-07-24 21:46:24 139264 ----a-w- c:\windows\system32\cabview.dll

2010-07-24 21:46:24 132608 ----a-w- c:\windows\syswow64\cabview.dll

2010-07-24 18:07:07 0 d-----w- c:\windows\syswow64\Macromed

2010-07-24 18:07:06 0 d-----w- c:\programdata\McAfee Security Scan

2010-07-24 18:07:06 0 d-----w- c:\programdata\McAfee

2010-07-24 18:06:57 0 d-----w- c:\program files (x86)\McAfee Security Scan

2010-07-24 17:47:20 13048 ----a-w- c:\windows\system32\avgrssta.dll

2010-07-24 17:47:17 317520 ----a-w- c:\windows\system32\drivers\avgtdia.sys

2010-07-24 17:47:12 269904 ----a-w- c:\windows\system32\drivers\avgldx64.sys

2010-07-24 17:47:09 35536 ----a-w- c:\windows\system32\drivers\avgmfx64.sys

2010-07-24 17:47:08 0 d-----w- c:\windows\system32\drivers\Avg

2010-07-24 17:44:48 0 d-----w- c:\program files (x86)\AVG

2010-07-24 17:44:35 0 d-----w- c:\programdata\avg9

2010-07-24 17:43:43 0 d-sh--w- c:\windows\Installer

2010-07-24 17:32:29 270208 ------w- c:\windows\system32\MpSigStub.exe

2010-07-24 17:24:02 0 d-----w- c:\windows\Panther

2010-07-24 17:23:34 0 d-----w- c:\users\max!\appdata\roaming\Spotify

2010-07-24 17:17:52 0 d-----w- c:\programdata\Blizzard Entertainment

2010-07-24 17:11:17 0 d-----w- C:\Windows.old.000

2010-07-24 16:44:54 0 d-sh--we c:\programdata\Start-meny

2010-07-24 16:44:54 0 d-sh--we c:\programdata\Skrivbord

2010-07-24 16:44:54 0 d-sh--we c:\programdata\Programdata

2010-07-24 16:44:54 0 d-sh--we c:\programdata\Mallar

2010-07-24 16:44:54 0 d-sh--we c:\programdata\Favoriter

2010-07-24 16:44:54 0 d-sh--we c:\programdata\Dokument

2010-07-24 16:44:54 0 d-sh--we c:\program files\Delade filer

2010-07-24 16:29:58 0 ----a-w- c:\windows\ativpsrm.bin

2010-07-24 16:29:25 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_09_00.Wdf

 

==================== Find3M ====================

 

2010-08-09 15:45:51 726318 ----a-w- c:\windows\system32\perfh01D.dat

2010-08-09 15:45:51 165210 ----a-w- c:\windows\system32\perfc01D.dat

2010-07-09 19:04:40 41872 ----a-w- c:\windows\syswow64\xfcodec.dll

2010-07-09 19:04:40 27536 ----a-w- c:\windows\system32\xfcodec64.dll

2010-05-27 07:24:13 34304 ----a-w- c:\windows\syswow64\atmlib.dll

2010-05-27 06:34:09 46080 ----a-w- c:\windows\system32\atmlib.dll

2010-05-27 04:11:32 366080 ----a-w- c:\windows\system32\atmfd.dll

2010-05-27 03:49:37 293888 ----a-w- c:\windows\syswow64\atmfd.dll

2010-05-21 05:52:30 1192960 ----a-w- c:\windows\system32\wininet.dll

2010-05-21 05:18:06 977920 ----a-w- c:\windows\syswow64\wininet.dll

2010-05-21 05:14:50 48128 ----a-w- c:\windows\syswow64\jsproxy.dll

2010-05-19 19:48:12 144384 ----a-w- c:\windows\system32\cdd.dll

2009-07-14 07:43:11 37052 ----a-w- c:\windows\inf\perflib\041d\perfd.dat

2009-07-14 07:43:11 37052 ----a-w- c:\windows\inf\perflib\041d\perfc.dat

2009-07-14 07:43:11 294764 ----a-w- c:\windows\inf\perflib\041d\perfi.dat

2009-07-14 07:43:11 294764 ----a-w- c:\windows\inf\perflib\041d\perfh.dat

2009-07-14 04:54:24 174 --sha-w- c:\program files\desktop.ini

2009-07-14 04:54:24 174 --sha-w- c:\program files (x86)\desktop.ini

2009-07-14 01:00:34 291294 ----a-w- c:\windows\inf\perflib\0000\perfi.dat

2009-07-14 01:00:34 291294 ----a-w- c:\windows\inf\perflib\0000\perfh.dat

2009-07-14 01:00:32 31548 ----a-w- c:\windows\inf\perflib\0000\perfd.dat

2009-07-14 01:00:32 31548 ----a-w- c:\windows\inf\perflib\0000\perfc.dat

2009-06-10 20:44:08 9633792 --sha-r- c:\windows\fonts\StaticCache.dat

2009-07-14 01:39:53 398848 --sha-w- c:\windows\winsxs\amd64_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_4d4d1f2f696639a2\WinMail.exe

2009-07-14 01:14:45 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe

 

============= FINISH: 1:23:52,43 ===============

[Wasd]

Nämen! Ad-aware hittade 23 trojaner hehe som den nu har tagit hand om, hur kan jag kolla om dom är helt borta? Är de bara och göra en till genomsökning?

 

Loggen är bifogad.

[Cecilia]

Så vitt jag kan se så var allt utom en fil som Ad-Aware hittade i mappen c:\windows.old. Det är mappen där det sparades filer från din tidigare Windows-installation när du gjorde uppgraderingen till Windows 7. Det är inget som påverkar din nuvarande installation av Windows 7. Den återstående filen är ett falsklarm och gäller ComboFix (förutsatt att du förstås har hämtat ComboFix på ett legalt ställe).

 

Jag kan inte se något skadligt i DDS-loggarna.

 

Hur går det med Kaspersky?

[Wasd]

Så vitt jag kan se så var allt utom en fil som Ad-Aware hittade i mappen c:\windows.old. Det är mappen där det sparades filer från din tidigare Windows-installation när du gjorde uppgraderingen till Windows 7. Det är inget som påverkar din nuvarande installation av Windows 7. Den återstående filen är ett falsklarm och gäller ComboFix (förutsatt att du förstås har hämtat ComboFix på ett legalt ställe).

 

Jag kan inte se något skadligt i DDS-loggarna.

 

Hur går det med Kaspersky?

 

Jasså, så dom trojanerna som Ad-aware hittade är inte skadliga?

 

Jag fick inte igång Kaspersky igår. Ska göra ett nytt försök nu, återkommer med resultat.

[Cecilia]

Jasså, så dom trojanerna som Ad-aware hittade är inte skadliga?

De ställde antagligen till skada i din gamla Windows-installation, men i den här har de ju inte körts och därmed inte kunnat göra något.

[Wasd]

De ställde antagligen till skada i din gamla Windows-installation, men i den här har de ju inte körts och därmed inte kunnat göra något.

 

Så dom kan inte hoppa ifrån min gammla windows version till min nya?

[Cecilia]

Inte av sig själva. Du måste själv starta programmen, t ex starta programmet "sony_vegaspro8_dvdarchitect45_soundforge9_crack.exe" i mappen c:\windows.old\users\max!\desktop\azureus downloads\sony vegas pro 9.0c with crack and keygen. Men om du hade gjort det så borde ju Ad-Aware ha hittat någon skadlig fil i din nuvarande Windows-installation. Jag hoppas att du inser att det är väldigt vanligt att cracks och keygens innehåller skadliga filer, ibland keyloggers.

[Wasd]

Inte av sig själva. Du måste själv starta programmen, t ex starta programmet "sony_vegaspro8_dvdarchitect45_soundforge9_crack.exe" i mappen c:\windows.old\users\max!\desktop\azureus downloads\sony vegas pro 9.0c with crack and keygen. Men om du hade gjort det så borde ju Ad-Aware ha hittat någon skadlig fil i din nuvarande Windows-installation. Jag hoppas att du inser att det är väldigt vanligt att cracks och keygens innehåller skadliga filer, ibland keyloggers.

 

 

Jaha, då får jag försöka komma på någon annan lösning..

 

Ja, självklart vet jag att cracks och keygens ofta innehåller skadlig kod.

[Cecilia]

Du kan ju installera en bättre brandvägg så att du får bättre kontroll på vad som passerar från din dator till datorer på internet. Jag har exempel på några bra sådana på min webbsida http://sites.google.com/site/ceblstockholm/home