Just nu i M3-nätverket
Jump to content

Hjälp med "Windows Recovery" virus


mageri99

Recommended Posts

Hej,

Har drabbats av "Windows Recovery" virus och har gjort följande hittills:

 

1. Installerade Malwarebytes och lär det skanna igenom datorn. Programmet kunde ta bort viruset men filer och mappar var fortfarande försvunna. En loggfil från skanningen bifogas.

2. Jag laddade sedan ner Combofix och lät även den skanna igenom datorn. Efter skanningen kom många mappar och filer tillbaka. Men fortfarande finns det många tomma mappar i till exempel startmenyn.

3. Har också skapat en dds.txt

 

Hur ska jag gå vidare?

 

Tack på förhand!

Mvh

Magnus

Malwarebytes log.txt

Combofix log.txt

Link to comment
Share on other sites

.

DDS (Ver_11-03-05.01) - NTFSx86

Run by magnus at 9:25:49,03 on 2011-05-10

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Professional 5.1.2600.3.1252.46.1053.18.3567.2940 [GMT 2:00]

.

AV: Trend Micro OfficeScan Antivirus *Enabled/Updated* {1FC26DCE-A699-4605-A40B-9028A2174173}

FW: Trend Micro Personal Firewall *Enabled*

.

============== Running Processes ===============

.

C:\WINDOWS\system32\svchost.exe -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

svchost.exe

C:\WINDOWS\system32\inetsrv\inetinfo.exe

C:\Program\Delade filer\LightScribe\LSSrvc.exe

C:\WINDOWS\System32\svchost.exe -k HPZ12

C:\Program\Trend Micro\OfficeScan Client\ntrtscan.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program\PDF Complete\pdfsvc.exe

C:\WINDOWS\System32\svchost.exe -k HPZ12

C:\Program\Microsoft SQL Server\90\Shared\sqlwriter.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\Program\Trend Micro\OfficeScan Client\tmlisten.exe

C:\Program\Trend Micro\OfficeScan Client\TmPfw.exe

C:\Program\Trend Micro\OfficeScan Client\CNTAoSMgr.exe

C:\Program\Trend Micro\BM\TMBMSRV.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program\PDF Complete\pdfsty.exe

C:\WINDOWS\SMINST\Scheduler.exe

C:\Program\Net iD\iid.exe

C:\Program\Delade filer\Adobe\ARM\1.0\AdobeARM.exe

C:\Program\Trend Micro\OfficeScan Client\pccntmon.exe

C:\Program\Delade filer\LightScribe\LightScribeControlPanel.exe

C:\Program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\magnus\Skrivbord\dds.scr

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://www.google.se/

uURLSearchHooks: H - No File

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program\delade filer\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: {7E853D72-626A-48EC-A868-BA8D5E23E045} - No File

BHO: Windows Live inloggningshjälpen: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program\delade filer\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\program\google\google toolbar\GoogleToolbar_32.dll

BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\program\google\googletoolbarnotifier\5.6.6209.1142\swg.dll

BHO: ChromeFrame BHO: {ecb3c477-1a0a-44bd-bb57-78f9efe34fa7} - c:\program\google\chrome frame\application\11.0.696.65\npchrome_frame.dll

TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program\google\google toolbar\GoogleToolbar_32.dll

uRun: [LightScribe Control Panel] c:\program\delade filer\lightscribe\LightScribeControlPanel.exe -hidden

uRun: [swg] "c:\program\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [RTHDCPL] RTHDCPL.EXE

mRun: [PDF Complete] "c:\program\pdf complete\pdfsty.exe"

mRun: [Recguard] c:\windows\sminst\Recguard.exe

mRun: [Reminder] c:\windows\creator\Remind_XP.exe

mRun: [scheduler] c:\windows\sminst\Scheduler.exe

mRun: [searchSettings] c:\program\pdfforge toolbar\SearchSettings.exe

mRun: [Net iD] "c:\program\net id\iid.exe"

mRun: [Adobe Reader Speed Launcher] "c:\program\adobe\reader 9.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\program\delade filer\adobe\arm\1.0\AdobeARM.exe"

mRun: [QuickTime Task] "c:\program\quicktime\qttask.exe" -atboottime

mRun: [OfficeScanNT Monitor] "c:\program\trend micro\officescan client\pccntmon.exe" -HideWindow

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

IE: E&xportera till Microsoft Excel - c:\program\micros~3\office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\program\google\google toolbar\component\GoogleToolbarDynamic_mui_en_D183CA64F05FDD98.dll/cmsidewiki.html

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program\messenger\msmsgs.exe

IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBC} - c:\program\java\jre1.5.0\bin\npjpi150.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\program\micros~3\office12\REFIEBAR.DLL

DPF: {00134F72-5284-44F7-95A8-52A619F70751} - hxxps://tjelvar/officescan/console/ClientInstall/WinNTChk.cab

DPF: {08D75BC1-D2B5-11D1-88FC-0080C859833B} - hxxps://bejla:4343/officescan/console/html/ClientInstall/setup.cab

DPF: {35C3D91E-401A-4E45-88A5-F3B32CD72DF4} - hxxps://bejla:4343/officescan/console/html/root/AtxEnc.cab

DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} - hxxp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.3.cab

DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1203426265796

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab

DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab

Handler: gcf - {9875BFAF-B04D-445E-8A69-BE36838CDE3E} - c:\program\google\chrome frame\application\11.0.696.65\npchrome_frame.dll

Handler: qrev - {9DE24BAC-FC3C-42c4-9FC4-76B3FAFDBD90} - c:\program\quests~1\toadfo~1\RNetPin.dll

mASetup: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "c:\program\delade filer\lightscribe\LSRunOnce.exe"

.

================= FIREFOX ===================

.

FF - ProfilePath - c:\docume~1\magnus\applic~1\mozilla\firefox\profiles\o6nq8w1v.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program\mozilla firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\DotNetAssistantExtension

FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b}

.

============= SERVICES / DRIVERS ===============

.

R2 MsDtsServer;SQL Server Integration Services;c:\program\microsoft sql server\90\dts\binn\MsDtsSrvr.exe [2007-3-4 202096]

R2 pdfcDispatcher;PDF Document Manager;c:\program\pdf complete\pdfsvc.exe [2008-2-19 540184]

R2 ReportServer;SQL Server Reporting Services (MSSQLSERVER);c:\program\microsoft sql server\mssql.3\reporting services\reportserver\bin\ReportingServicesService.exe [2007-3-4 17264]

R2 tmevtmgr;tmevtmgr;c:\windows\system32\drivers\tmevtmgr.sys [2011-5-9 51792]

R2 TmFilter;Trend Micro Filter;c:\program\trend micro\officescan client\TmXpflt.sys [2010-10-20 249424]

R2 TmPreFilter;Trend Micro PreFilter;c:\program\trend micro\officescan client\TmPreflt.sys [2010-10-20 36432]

R3 tmcfw;Trend Micro Common Firewall Service;c:\windows\system32\drivers\TM_CFW.sys [2009-2-23 338960]

R3 TmPfw;OfficeScan NT Firewall;c:\program\trend micro\officescan client\TmPfw.exe [2009-2-23 488768]

S2 gupdate;Google Update Service (gupdate);c:\program\google\update\GoogleUpdate.exe [2010-1-11 135664]

S3 gupdatem;Tjänsten Google Update (gupdatem);c:\program\google\update\GoogleUpdate.exe [2010-1-11 135664]

S3 TmProxy;OfficeScan NT Proxy Service;c:\program\trend micro\officescan client\TmProxy.exe [2009-2-23 652552]

S4 msvsmon80;Visual Studio 2005 Remote Debugger;c:\program\microsoft visual studio 8\common7\ide\remote debugger\x86\msvsmon.exe [2006-12-2 2805000]

S4 msvsmon90;Visual Studio 2008 Remote Debugger;c:\program\microsoft visual studio 9.0\common7\ide\remote debugger\x86\msvsmon.exe [2007-11-7 3004416]

.

=============== File Associations ===============

.

.txt=UltraEdit.txt

.

=============== Created Last 30 ================

.

2011-05-10 06:47:20 118784 ----a-w- c:\windows\system32\chg.exe

2011-05-09 12:07:51 59472 ----a-w- c:\windows\system32\drivers\tmactmon.sys

2011-05-09 12:07:51 51792 ----a-w- c:\windows\system32\drivers\tmevtmgr.sys

2011-05-09 12:07:51 163408 ----a-w- c:\windows\system32\drivers\tmcomm.sys

2011-05-09 12:07:16 -------- d-----w- c:\program\Trend Micro

2011-05-09 11:41:56 -------- d-sha-r- C:\cmdcons

2011-05-09 11:39:13 98816 ----a-w- c:\windows\sed.exe

2011-05-09 11:39:13 89088 ----a-w- c:\windows\MBR.exe

2011-05-09 11:39:13 256512 ----a-w- c:\windows\PEV.exe

2011-05-09 11:39:13 161792 ----a-w- c:\windows\SWREG.exe

2011-05-09 10:44:40 -------- d-----w- c:\docume~1\magnus\applic~1\Malwarebytes

2011-05-09 10:44:32 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-05-09 10:44:31 -------- d-----w- c:\docume~1\alluse~1\applic~1\Malwarebytes

2011-05-09 10:44:27 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-05-09 10:44:26 -------- d-----w- c:\program\Malwarebytes' Anti-Malware

2011-05-09 09:25:28 1550012 ----a-w- c:\windows\system32\PerfStringBackup.TMP

.

==================== Find3M ====================

.

2011-03-07 05:33:37 692736 ----a-w- c:\windows\system32\inetcomm.dll

2011-03-04 06:36:56 420864 ----a-w- c:\windows\system32\vbscript.dll

2011-03-03 13:53:40 1857920 ----a-w- c:\windows\system32\win32k.sys

2011-02-22 23:07:46 916480 ----a-w- c:\windows\system32\wininet.dll

2011-02-22 23:07:45 43520 ----a-w- c:\windows\system32\licmgr10.dll

2011-02-22 23:07:45 1469440 ------w- c:\windows\system32\inetcpl.cpl

2011-02-22 11:43:15 385024 ----a-w- c:\windows\system32\html.iec

2011-02-17 12:54:07 5120 ----a-w- c:\windows\system32\xpsp4res.dll

2011-02-15 12:56:39 290432 ----a-w- c:\windows\system32\atmfd.dll

2011-02-09 13:54:03 270848 ----a-w- c:\windows\system32\sbe.dll

2011-02-09 13:54:03 186880 ----a-w- c:\windows\system32\encdec.dll

2008-02-19 08:26:54 454656 ----a-w- c:\program\putty.exe

.

============= FINISH: 9:26:16,23 ===============

Link to comment
Share on other sites

På sidan http://www.virustotal.com klickar du på Bläddra -knappen och klistrar in följande filnamn i rutan, klicka på Öppna och sedan på Skicka Fil. Vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in länken till resultatet här.

c:\windows\system32\chg.exe

 

Men fortfarande finns det många tomma mappar i till exempel startmenyn.
Kan du ge några exempel på sådana mappar?

 

Eftersom du har kört ComboFix flera gånger vill jag se de tidigare loggarna för att se vad som gjordes vid de tillfällena. Du hittar loggarna i mappen C:\Qoobox och med namnen:

ComboFix2.txt

ComboFix3.txt

 

Jag skulle vilja se Attach.txt också.

Link to comment
Share on other sites

Hänger inte med på vad jag ska göra på virustotal.com. Vilket filnamn ska jag klistra in? Någon chg.exe har jag inte.

 

Bifogar övriga filer du efterfrågade.

 

Tomma mappar är te x länkarna i start-menyn. T ex så kan jag på startmenyn leta mig fram till Microsoft Office / Microsoft Office - verktyg men sen är det tomt där länken till själva applikationen ska finnas.

Tillbehör finns men under Administrationsverktyg är det tomt.

 

/Magnus

ComboFix2.txt

ComboFix3.txt

Attach.txt

Link to comment
Share on other sites

Kopiera raden:

c:\windows\system32\chg.exe

och klistra in den i fältet för filnamn i rutan som kommer upp när du trycker på Bläddra-knappen på sidan http://www.virustotal.com/

Enligt loggarna finns filen.

Link to comment
Share on other sites

Är du samma person som skapade tråden //eforum.idg.se/topic/329390-behover-hjalp-med-combofix-logg/ ?

Link to comment
Share on other sites

Aha, nej det är jag inte. Det var en administrator. Då ska jag leta den vägen och återkommer när jag hittat filen.

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...