|
|
#1
19 juni 2009, 08:12
| |||
| |||
 Autorun Malware? Hej, min dator verkar ha vissa sabotageprogram som jag upptäckte när min morbror ansluten sina USB-nyckel. Avast scan hittade lite saker, men kunde inte rena / ta bort den. Defender skanna skulle frysa efter ca 7 minuter. Och MBAM fullständig scan också frös efter ca 5 minuter, men Quick Scan var okej. Här är loggarna: Avast: 18/06/2009 11:07:37 AM användarens 3652 Tecken "Win32: Ups [Cryp]" har hittats i "D: \ materialåtervinningsföretag \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Personliga mappar \ början av personliga mappar \ Inkorg \ UPS Spårningsnummer 7124353990 \ UPS_INVOICE_978172.zip \ UPS_INVOICE_9781 72.exe "-fil. 18/06/2009 11:06:59 AM användarens 3652 Tecken "Win32: Ups [Cryp]" har hittats i "D: \ materialåtervinningsföretag \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Personliga mappar \ början av personliga mappar \ Borttaget \ UPS Spårningsnummer 7124353990 \ UPS_INVOICE_978172.zip \ UPS_INVOICE_9781 72.exe "-fil. 18/06/2009 11:06:59 AM användarens 3652 Tecken "Win32: Ups [Cryp]" har hittats i "D: \ materialåtervinningsföretag \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Personliga mappar \ början av personliga mappar \ Borttaget \ UPS Spårningsnummer 0762005263 \ invoice_8712.zip \ INVOICE_8712.exe "fil. 18/06/2009 11:06:58 AM användarens 3652 Tecken "Win32: Agent-AAPS [Trj]" har hittats i "D: \ materialåtervinningsföretag \ S-1-5-21-1214440339-602162358-839522115-1003 \ Dd16 \ Outlook.pst \ Personliga mappar \ början av personliga mappar \ Borttaget \ UPS Spårningsnummer 3508422599 \ ups_invoice.zip \ ups_invoice.exe "fil. 18/06/2009 10:42:55 AM användarens 3652 Tecken "Win32: Trojan-gen (Övrigt)" har hittats i "C: \ Documents and Settings \ användarnamn \ Lokala inställningar \ Application Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup.com (imap)-00000005.pst \ info@fcagroup.com \ början av personliga mappar \ [Gmail] \ Alla mail \ Really cool bilder \ pussy.zip \ pussy.exe "fil. 18/06/2009 10:42:41 AM användarens 3652 Tecken "Win32: Ups [Cryp]" har hittats i "C: \ Documents and Settings \ användarnamn \ Lokala inställningar \ Application Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup . com (imap)-00000005.pst \ info@fcagroup.com \ början av personliga mappar \ [Gmail] \ Alla mail \ UPS: Din Spårningsnummer 358010698330 \ PDF76512.zip \ PDF76512.exe "fil. 18/06/2009 10:42:41 AM användarens 3652 Tecken "Win32: Ups [Cryp]" har hittats i "C: \ Documents and Settings \ användarnamn \ Lokala inställningar \ Application Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup . com (imap)-00000005.pst \ info@fcagroup.com \ början av personliga mappar \ [Gmail] \ Alla mail \ UPS: Din Spårningsnummer 145132932471 \ PDF76512.zip \ PDF76512.exe "fil. 18/06/2009 10:42:23 AM användarens 3652 Tecken "Win32: Ups [Cryp]" har hittats i "C: \ Documents and Settings \ användarnamn \ Lokala inställningar \ Application Data \ Microsoft \ Outlook \ Outlookinfo @ fcagroup . com (imap)-00000005.pst \ info@fcagroup.com \ början av personliga mappar \ [Gmail] \ Alla mail \ UPS: Din Spårningsnummer 239293259082 \ EXL6512721.zip \ EXL6512721.exe "fil. 17/06/2009 5:36:18 PM SYSTEM 1328 Sign av "BV: AutoRun-T [WRM]" har hittats i "F: \ Autorun.inf" fil. SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 06/19/2009 vid 10:43 Application Version: 4.26.1004 Core Rules Database Version: 3947 Trace Rules Database Version: 1889 Scan type: Complete Scan Total Scan Time: 00:36:36 Memory ex skannade: 631 Memory hot upptäcks: 0 Registreringsenheten ex skannade: 6110 Registreringsenheten hot upptäcks: 0 Arkiv ex skannade: 46796 Arkiv hot upptäcks 9 Adware.Tracking Cookie C: \ Documents and Settings \ användarnamn \ Cookies \ användarnamn @ xiti [1]. Txt C: \ Documents and Settings \ användarnamn \ Cookies \ användarnamn @ revsci [2]. Txt C: \ Documents and Settings \ användarnamn \ Cookies \ användarnamn @ tribalfusion [2]. Txt C: \ Documents and Settings \ användarnamn \ Cookies \ användarnamn @ RealMedia [2]. Txt C: \ Documents and Settings \ användarnamn \ Cookies \ user@microsoftwindows.112.2o 7 [1]. Txt C: \ Documents and Settings \ användarnamn \ Cookies \ user@pandasoftware.112.2o7 [1]. Txt C: \ Documents and Settings \ användarnamn \ Cookies \ user@adopt.euroclick [2]. Txt C: \ Documents and Settings \ användarnamn \ Cookies \ användarnamn @ specificclick [2]. Txt C: \ Documents and Settings \ användarnamn \ Cookies \ användarnamn @ 247realmedia [1]. Txt Malwarebytes' Anti-Malware 1.38 Database version: 2308 Windows 5.1.2600 Service Pack 3 19/06/2009 11:01:44 AM mbam-log-2009-06-19 (11-01-44). txt Scan type: Quick Scan Objekt skannade: 87063 Tid som förflutit: 2 minute (s), 24 sekund (er) Memory Processes Infekterade: 0 Minnesmoduler Infekterade: 0 Registernycklar Infekterade: 0 Registervärdena Infekterade: 0 Registry Data Items Infekterade: 0 Mappar Infekterade: 0 Filer Infekterade: 0 Memory Processes Infekterade: (Inga illasinnade poster upptäcks) Minnesmoduler Infekterade: (Inga illasinnade poster upptäcks) Registernycklar Infekterade: (Inga illasinnade poster upptäcks) Registervärdena Infekterade: (Inga illasinnade poster upptäcks) Registry Data Items Infekterade: (Inga illasinnade poster upptäcks) Mappar Infekterade: (Inga illasinnade poster upptäcks) Filer Infekterade: (Inga illasinnade poster upptäcks) Loggfil av Trend Micro HijackThis v2.0.2 Scan sparades vid 11:04:24 den 19/06/2009 Plattform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512) Boot mode: Normal Kör processer: C: \ WINDOWS \ System32 \ Smss.exe C: \ WINDOWS \ system32 \ Winlogon.exe C: \ WINDOWS \ system32 \ services.exe C: \ WINDOWS \ system32 \ Lsass.exe C: \ WINDOWS \ system32 \ Svchost.exe C: \ Program Files \ Windows Defender \ MsMpEng.exe C: \ WINDOWS \ System32 \ Svchost.exe C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe C: \ WINDOWS \ system32 \ Spoolsv.exe C: \ WINDOWS \ system32 \ cisvc.exe C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe C: \ Program \ Hamachi \ hamachi.exe C: \ WINDOWS \ system32 \ cidaemon.exe C: \ Program \ Java \ jre6 \ bin \ jqs.exe C: \ Program \ Delade filer \ Microsoft Shared \ VS7DEBUG \ MDM.EXE C: \ WINDOWS \ system32 \ nvsvc32.exe C: \ WINDOWS \ Explorer.EXE C: \ Program Files \ Pervasive Software \ PSQL \ bin \ w3dbsmgr.exe C: \ WINDOWS \ system32 \ Svchost.exe C: \ WINDOWS \ system32 \ SearchIndexer.exe C: \ WINDOWS \ system32 \ fxssvc.exe C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe C: \ WINDOWS \ RTHDCPL.EXE C: \ progra ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe C: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe C: \ WINDOWS \ Samsung \ PanelMgr \ SSMMgr.exe C: \ WINDOWS \ Twain_32 \ Samsung \ SCX4x28 \ Scan2pc.exe C: \ Program \ Java \ jre6 \ bin \ jusched.exe C: \ WINDOWS \ system32 \ Ctfmon.exe C: \ WINDOWS \ System32 \ Svchost.exe C: \ Program Files \ Skype \ Phone \ Skype.exe C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe C: \ Program \ Hamachi \ hamachi.exe C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe C: \ Program Files \ Skype \ Plugin Manager \ skypePM.exe C: \ WINDOWS \ system32 \ taskmgr.exe C: \ Program Files \ SUPERAntiSpyware \ SUPERAntiSpyware.exe C: \ WINDOWS \ system32 \ Notepad.exe C: \ Program \ Mozilla Firefox \ firefox.exe C: \ WINDOWS \ system32 \ SearchProtocolHost.exe C: \ Program Files \ Trend Micro \ HijackThis \ sniper.exe R0 - HKCU \ Software \ Microsoft \ Internet Explorer \ Main, Start Page = http://www.dhl.ca/ca/wfHomeLoggedIn.aspx F2 - REG: system.ini: UserInit = C: \ WINDOWS \ system32 \ userinit.exe, userinit. Exe O1 - Hosts: 66.98.148.65 auto.search.msn.com O1 - Hosts: 66.98.148.65 auto.search.msn.es O2 - BHO: Spybot-S & D IE Protection - (53707962-6F74-2D53-2644-206D7942484F) - C: \ progra ~ 1 \ Spybot ~ 1 \ SDHelper.dll O2 - BHO: Java (tm) Plug-In 2 SSV Helper - (DBC80044-A445-435b-BC74-9C25C1C588A9) - C: \ Program \ Java \ jre6 \ bin \ jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - (E7E6F031-17CE-4C07-BC86-EABFE594F69C) - C: \ Program \ Java \ jre6 \ lib \ distribuera \ jqs \ dvs \ jqs_plugin.dll O4 - HKLM \ .. \ Run: [NvCplDaemon] rundll32.exe C: \ WINDOWS \ system32 \ NvCpl.dll, NvStartup O4 - HKLM \ .. \ Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM \ .. \ Run: [Alcmtr] ALCMTR.EXE O4 - HKLM \ .. \ Run: [DiskeeperSystray] "C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkIcon.exe" O4 - HKLM \ .. \ Run: [avast!] C: \ progra ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp.exe O4 - HKLM \ .. \ Run: [Windows Defender] "C: \ Program Files \ Windows Defender \ MSASCui.exe"-hide O4 - HKLM \ .. \ Run: [ZoneAlarm Client] "C: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe" O4 - HKLM \ .. \ Run: [Samsung PanelMgr] C: \ WINDOWS \ Samsung \ PanelMgr \ SSMMgr.exe / autorun O4 - HKLM \ .. \ Run: [4x28 Scan2PC] "C: \ WINDOWS \ Twain_32 \ Samsung \ SCX4x28 \ Scan2pc.e XE" O4 - HKLM \ .. \ Run: [SunJavaUpdateSched] "C: \ Program \ Java \ jre6 \ bin \ jusched.exe" O4 - HKLM \ .. \ RunOnce: [Malwarebytes' Anti-Malware] C: \ Program Files \ Malwarebytes' Anti-Malware \ mbamgui.exe / install / silent O4 - HKCU \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe O4 - HKCU \ .. \ Run: [Skype] "C: \ Program Files \ Skype \ Phone \ Skype.exe" / nosplash / minimeras O4 - HKUS \ S-1-5-19 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'LOCAL SERVICE') O4 - HKUS \ S-1-5-20 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'NETWORK SERVICE') O4 - HKUS \ S-1-5-18 \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User "SYSTEM") O4 - HKUS \. DEFAULT \ .. \ Run: [Ctfmon.exe] C: \ WINDOWS \ system32 \ Ctfmon.exe (User 'Default user') O4 - Startup: hamachi.lnk = C: \ Program \ Hamachi \ hamachi.exe O4 - Startup: Genväg till Karta Drive.lnk = C: \ Documents and Settings \ användarnamn \ Desktop \ Karta Drive.bat O4 - Startup: SyncBack.lnk = C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe O4 - Global Startup: Windows Search.lnk = C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe O8 - Extra sammanhang menyobjektet: E & xportera till Microsoft Excel - res: / / C: \ progra ~ 1 \ mikro ~ 2 \ Office11 \ EXCEL.EXE/3000 O8 - Extra sammanhang menyobjektet: Web Capture - C: \ Program Files \ SmarThru Office \ WebCapture.dll Ø9 - Extra button: Research - (92780B25-18CC-41C8-B9BE-3C9C571A8263) - C: \ progra ~ 1 \ mikro ~ 2 \ Office11 \ REFIEBAR.DLL Ø9 - Extra button: (inget namn) - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ progra ~ 1 \ Spybot ~ 1 \ SDHelper.dll Ø9 - Extra 'Tools' MENUITEM: Spybot - Search & Destroy Configuration - (DFB852A3-47F8-48C4-A200-58CAB36FD2A2) - C: \ progra ~ 1 \ Spybot ~ 1 \ SDHelper.dll Ø9 - Extra button: (inget namn) - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe Ø9 - Extra 'Tools' MENUITEM: @ xpsp3res.dll, -20001 - (e2e2dd38-d088-4134-82b7-f2ba38496583) - C: \ WINDOWS \ Network Diagnostic \ xpnetdiag.exe Ø9 - Extra button: Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe Ø9 - Extra 'Tools' MENUITEM: Windows Messenger - (FB5F1910-F110-11d2-BB9E-00C04F795683) - C: \ Program Files \ Messenger \ msmsgs.exe O16 - DPF: (56762DEC-6B0D-4AB4-A8AD-989993B5D08B) -- http://www.eset.eu/buxus/docs/OnlineScanner.cab O16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl Class) -- http://www.update.microsoft.com/wind...?1203273577140 O18 - Protocol: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - C: \ progra ~ 1 \ GEMENSAMMA ~ 1 \ Skype \ SKYPE4 ~ 1.DLL O20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll O23 - Service: Adobe LM Service - Unknown ägaren - C: \ Program Files \ Common Files \ Adobe Systems Shared \ Service \ Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe O23 - Service: Diskeeper - Diskeeper Corporation - C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe O23 - Service: Hamachi Service (HamachiService) - LogMeIn Inc. - C: \ Program \ Hamachi \ hamachi.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C: \ Program \ Java \ jre6 \ bin \ jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe O23 - Service: Pervasive PSQL Workgroup Engine (psqlWGE) - Pervasive Software Inc. - C: \ Program Files \ Pervasive Software \ PSQL \ bin \ w3dbsmgr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe -- End of file - 7353 bytes |
|
#2
20 juni 2009, 06:58
| ||||||||||||
| ||||||||||||
| Autorun Malware? Tjena där och välkommen till Computer Juice Jag är Steve och jag kommer att hjälpa dig thoughout denna korrigeringsfil. Innan korrigeringsfilen, läs det här inlägget helt. Om det är något som du inte förstår, ber dina frågor innan du fortsätter. Det är viktigt att du inte missar ett steg. Vänligen göra allt i rätt ordning / sekvens. Vi börjar med ComboFix.exe. Gå till denna sida för nedladdning länkar och anvisningar för att köra verktyget: http://www.bleepingcomputer.com/comb...o-use-combofix Se till att du har stängt av alla anti-virus och anti malware program så att de inte stör driften av ComboFix. Inkludera C: \ ComboFix.txt i ditt nästa svar för ytterligare granskning.
__________________
__________________
Stolt medlem i ASAP & UNITE Mitt System: Steves Rigg
|
|
#3
22 juni 2009, 07:38
| |||
| |||
| Autorun Malware? Hej, tack för att hjälpa. Här är loggen: ComboFix 09-06-21.01 - Användaren 22/06/2009 10:29.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.2046.1511 [GMT -4:00] Running from: C: \ Documents and Settings \ användarnamn \ Desktop \ ComboFix.exe AV: avast! antivirus 4.8.1335 [VPS 090621-0] * On-tillgång genomlysningsutrustning funktionshindrade * (Uppdaterad) (7591DB91-41F0-48A3-B128-1A293FD8233D) FW: ZoneAlarm Firewall * funktionshindrade * (829BDA32-94B3-44F4-8446-F8FCFF809F8B) . ((((((((((((((((((((((((((((((((((((((( Andra Strykningar ))))))))) )))))))))))))))))))))))))))))))))))))))) . c: \ windows \ system32 \ winsusrm.dll . ((((((((((((((((((((((((( Files Created från 2009-05-22 till 2009-06-22 ))))))))))) )))))))))))))))))))) . 2009-06-19 15:34. 2009-06-19 15:34 -------- d ----- w-C: \ Program Files \ Microsoft ActiveSync 2009-06-19 14:07. 2009-06-19 14:07 -------- d ----- w C: \ Documents and Settings \ användarnamn \ Application Data \ Malwarebytes 2009-06-19 14:07. 2009-06-17 15:27 38160 ---- aw-c: \ windows \ system32 \ drivers \ mbamswissarmy.sys 2009-06-19 14:07. 2009-06-19 14:07 -------- d ----- w-C: \ Program Files \ Malwarebytes' Anti-Malware 2009-06-19 14:07. 2009-06-19 14:07 -------- d ----- w C: \ Documents and Settings \ All Users \ Application Data \ Malwarebytes 2009-06-19 14:07. 2009-06-17 15:27 19096 ---- aw-c: \ windows \ system32 \ drivers \ mbam.sys 2009-06-19 13:58. 2009-06-19 13:58 117760 ---- aw C: \ Documents and Settings \ användarnamn \ Application Data \ SUPERAntiSpyware.com \ SUPERAntiSpyware \ SDDLLS \ UIREPAIR.DLL 2009-06-19 13:57. 2009-06-19 13:57 -------- d ----- w C: \ Documents and Settings \ All Users \ Application Data \ SUPERAntiSpyware.com 2009-06-19 13:57. 2009-06-19 13:57 -------- d ----- w-C: \ Program Files \ SUPERAntiSpyware 2009-06-19 13:57. 2009-06-19 13:57 -------- d ----- w C: \ Documents and Settings \ användarnamn \ Application Data \ SUPERAntiSpyware.com 2009-06-19 13:57. 2009-06-19 13:57 -------- d ----- w-C: \ Program Files \ Common Files \ Wise Installation Wizard 2009-06-10 17:39. 2009-06-10 17:39 152576 ---- aw C: \ Documents and Settings \ användarnamn \ Application Data \ söndag \ Java \ jre1.6.0_14 \ lzma.dll 2009-06-10 00:53. 2009-06-10 00:53 -------- d ----- w C: \ Documents and Settings \ All Users \ Application Data \ NCH Software 2009-05-29 11:46. 2008-04-14 09:42 26,624 ---- aw C: \ Documents and Settings \ LocalService \ Application Data \ Microsoft \ UPnP Device Host \ upnphost \ udhisapi.dll . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))) )))))))))))))))))))))))))))))))))))))))))))) . 2009-06-22 14:22. 2009-04-28 15:03 -------- d ----- w C: \ Documents and Settings \ användarnamn \ Application Data \ Skype 2009-06-22 13:56. 2008-02-17 21:01 -------- d ----- w C: \ Documents and Settings \ användarnamn \ Application Data \ Hamachi 2009-06-22 12:02. 2009-04-28 15:18 -------- d ----- w C: \ Documents and Settings \ användarnamn \ Application Data \ skypePM 2009-06-19 13:35. 2008-02-17 22:39 -------- d ----- w C: \ Documents and Settings \ All Users \ Application Data \ Spybot - Search & Destroy 2009-06-18 19:10. 2008-06-19 15:20 31703397 ---- aw-c: \ windows \ Internet Logs \ tvDebug.zip 2009-06-12 07:08. 2008-12-03 14:46 -------- d ----- w-C: \ Program Files \ Windows Desktop Search 2009-06-10 17:39. 2009-03-26 15:12 -------- d ----- w-C: \ Program Files \ Java 2009-06-10 16:58. 2008-12-30 17:22 -------- d ----- w C: \ Documents and Settings \ användarnamn \ Application Data \ FileZilla 2009-05-30 21:05. 2008-08-28 17:15 -------- d ----- w-C: \ Program Files \ MK Powertools 2009-05-25 04:24. 2008-05-27 03:18 350,208 ---- aw-c: \ windows \ system32 \ mssph.dll 2009-05-21 15:33. 2008-12-06 16:44 410984 ---- aw-c: \ windows \ system32 \ deploytk.dll 2009-05-12 19:12. 2008-02-17 18:05 26,144 ---- aw-c: \ windows \ system32 \ spupdsvc.exe 2009-05-07 15:32. 2004-08-03 16:56 345,600 ---- aw-c: \ windows \ system32 \ Localspl.dll 2009-05-01 16:37. 2009-02-07 19:53 -------- d ----- w C: \ Documents and Settings \ användarnamn \ Application Data \ Unyte 2009-04-29 04:46. 2004-08-03 16:56 666,624 ---- aw-c: \ windows \ system32 \ wininet.dll 2009-04-29 04:46. 2004-08-03 16:56 81920 ---- aw-c: \ windows \ system32 \ ieencode.dll 2009-04-28 15:18. 2009-04-28 15:18 56 --- ha-w-c: \ windows \ system32 \ ezsidmv.dat 2009-04-28 15:02. 2009-04-28 15:02 -------- d ----- w-C: \ Program Files \ Common Files \ Skype 2009-04-28 15:02. 2009-04-28 15:02 -------- d ----- r-C: \ Program Files \ Skype 2009-04-28 15:02. 2009-04-28 15:02 -------- d ----- w C: \ Documents and Settings \ All Users \ Application Data \ Skype 2009-04-17 12:26. 2004-08-03 15:17 1,847,168 ---- aw-c: \ windows \ system32 \ Win32k.sys 2009-04-15 14:51. 2004-08-03 16:56 585,216 ---- aw-c: \ windows \ system32 \ Rpcrt4.dll 2009-04-09 02:09. 2009-04-09 02:04 664 ---- aw-c: \ windows \ system32 \ d3d9caps.dat 2009-04-01 21:57. 2008-02-17 22:30 4212 --- ha-w-c: \ windows \ system32 \ zllictbl.dat 2009-04-01 21:21. 2009-04-01 21:21 152576 ---- aw C: \ Documents and Settings \ användarnamn \ Application Data \ söndag \ Java \ jre1.6.0_13 \ lzma.dll 2009-03-31 21:41. 2009-03-31 21:41 0 ---- aw-c: \ windows \ system32 \ WSSPOOL.TMP 2009-03-26 15:11. 2009-03-26 15:11 152576 ---- aw C: \ Documents and Settings \ användarnamn \ Application Data \ söndag \ Java \ jre1.6.0_12 \ lzma.dll 2008-06-23 22:36. 2008-06-23 22:36 0 ---- aw-C: \ Program Files \ gditst 2008-05-22 20:04. 2008-05-22 20:04 190 ---- aw-C: \ Program Files \ Common Files \ psasetup.log . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))) )))))))))))))))))))))))))))))))))))))))) . . * Not * tomma poster & legit default poster visas inte REGEDIT4 [HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curre ntVersion \ Run] "Ctfmon.exe" = "c: \ windows \ system32 \ Ctfmon.exe" [2008-04-14 15360] "Skype" = "C: \ Program Files \ Skype \ Phone \ Skype.exe" [2009-04-21 24264488] [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run] "NvCplDaemon" = "c: \ windows \ system32 \ NvCpl.dll" [2007-09-17 8491008] "DiskeeperSystray" = "C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkIcon.exe" [2006-10-04 163840] "avast!" = "c: \ progra ~ 1 \ ALWILS ~ 1 \ Avast4 \ ashDisp. exe" [2009-02-05 81000] "ZoneAlarm Client" = "C: \ Program Files \ Zone Labs \ ZoneAlarm \ zlclient.exe" [2009-02-16 981384] "Samsung PanelMgr" = "c: \ windows \ Samsung \ PanelMgr \ SSMMgr.exe" [2008-07-31 536576] "4x28 Scan2PC" = "c: \ windows \ Twain_32 \ Samsung \ SCX4x28 \ Scan 2pc.exe" [2008-09-29 495616] "SunJavaUpdateSched" = "C: \ Program Files \ Java \ jre6 \ bin \ jusched.exe" [2009-05-21 148888] "RTHDCPL" = "RTHDCPL.EXE" - c: \ windows \ RTHDCPL.exe [2007-04-26 16132608] [HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run] "Ctfmon.exe" = "c: \ windows \ system32 \ Ctfmon.exe" [2008-04-14 15360] c: \ Documents and Settings \ användarnamn \ Start-meny \ Program \ Autostart \ hamachi.lnk - C: \ Program Files \ Hamachi \ hamachi.exe [2008-2-17 625952] Genväg till Karta Drive.lnk - c: \ Documents and Settings \ användarnamn \ Desktop \ Karta Drive.bat [2008-7-30 42] SyncBack.lnk - C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe [2008-11-15 2936064] c: \ Documents and Settings \ All Users \ Start-meny \ Program \ Autostart \ Windows Search.lnk - C: \ Program Files \ Windows Desktop Search \ WindowsSearch.exe [2008-5-26 123904] [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entversion \ Explorer \ ShellExecuteHooks] "(56F9679E-7826-4C84-81F3-532071A8BCC5)" = "C: \ Program Files \ Windows Desktop Search \ MSNLNamespaceMgr.dll" [2009-05-25 304128] "(5AE067D3-9AFB-48E0-853A-EBB7F4A000DA)" = "C: \ Program Files \ SUPERAntiSpyware \ SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ Winlogon \ anmäla \! SASWinLogon] 2008-12-22 16:05 356352 ---- aw-C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll [HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ contro l \ SafeBoot \ Minimal \ WinDefend] @ = "Service" [HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Security Center \ Monitoring \ ZoneLabsFirewall] "DisableMonitoring" = dword: 00000001 [HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile] "EnableFirewall" = 0 (0x0) [HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ List] "% windir% \ \ system32 \ \ sessmgr.exe" = "% windir% \ \ Network Diagnostic \ \ xpnetdiag.exe" = "c: \ \ WINDOWS \ \ system32 \ \ fxsclnt.exe" = "c: \ \ Program Files \ \ Pervasive Software \ \ PSQL \ \ bin \ \ w3dbsmgr.exe" = "c: \ \ WINDOWS \ \ twain_32 \ \ Samsung \ \ ScanMgr.exe" = "c: \ \ WINDOWS \ \ twain_32 \ \ Samsung \ \ SCX4x28 \ \ Scan2Pc. exe" = "c: \ \ WINDOWS \ \ twain_32 \ \ Samsung \ \ SCX4x28 \ \ Sscan2io. exe" = "c: \ \ Program Files \ \ Skype \ \ Phone \ \ Skype.exe" = [HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ GloballyOpenPorts \ List] "3389: TCP" = 3389: TCP: @ Xpsp2res.dll, -22009 R1 aswSP, avast! Self Protection, c: \ windows \ system32 \ drivers \ aswSP.sys [07/04/2008 10:44 AM 114768] R1 SASDIFSV; SASDIFSV, C: \ Program Files \ SUPERAntiSpyware \ sasdifsv.sys [26/05/2009 10:05 AM 9968] R1 SASKUTIL; SASKUTIL, C: \ Program Files \ SUPERAntiSpyware \ SASKUTIL.SYS [26/05/2009 10:05 AM 72944] R2 aswFsBlk; aswFsBlk, c: \ windows \ system32 \ drivers \ aswF sBlk.sys [07/04/2008 10:44 AM 20560] R2 HamachiService; Hamachi Service, c: \ Program \ Hamachi \ hamachi.exe [17/02/2008 5:01 PM 625952] R2 psqlWGE, Pervasive PSQL Workgroup Engine, c: \ program \ Pervasive Software \ PSQL \ bin \ w3dbsmgr.exe [06.06.2008 1:03 435488] R2 WinDefend, Windows Defender, C: \ Program Files \ Windows Defender \ MsMpEng.exe [03/11/2006 8:19 13592] R3 SASENUM; SASENUM, C: \ Program Files \ SUPERAntiSpyware \ SASENUM.SYS [26/05/2009 10:05 AM 7408] S1 KPSYSDRV; KPSYSDRV, c: \ windows \ system32 \ drivers \ Kpsy sdrv.sys [23/06/2008 6:36 PM 17016] S2 BulkUsb, Genesys Logic USB Controller NT 5.0, c: \ windows \ system32 \ drivers \ usbprn.sys [23/06/2008 6:27 PM 7552] S2 SSPORT; SSPORT; \? \ C: \ windows \ system32 \ Drivers \ SSPO RT.sys -> c: \ windows \ system32 \ Drivers \ SSPORT.sys [?] S3 Moarer; Moarer, [x] --- Andra Tjänster / förare i Memory --- * NewlyCreated * - SASDIFSV * NewlyCreated * - SASENUM * NewlyCreated * - SASKUTIL . Innehållet i "Schemalagda aktiviteter" mapp 2009-06-22 C: \ Windows \ Tasks \ MP Scheduled Scan.job - C: \ Program Files \ Windows Defender \ MpCmdRun.exe [2006-11-04 00:20] 2009-06-22 C: \ Windows \ Tasks \ SyncBack Outlook.job - C: \ Program Files \ 2BrightSparks \ SyncBack \ SyncBack.exe [2008-11-15 16:19] . . ------- Supplementary Scan ------- . uStart Page = hxxp: / / www.dhl.ca / se / wfHomeLoggedIn.aspx IE: E & xportera till Microsoft Excel - C: \ progra ~ 1 \ mikro ~ 2 \ Office11 \ EXCEL.EXE/3000 IE: Web Capture - C: \ Program Files \ SmarThru Office \ WebCapture.dll FF - ProfilePath -- . ************************************************** ************************ CatchMe 0.3.1398 W2K/XP/Vista - rootkit / stealth malware detector av Gmer, http://www.gmer.net Rootkit scan 2009-06-22 10:31 Windows 5.1.2600 Service Pack 3 NTFS scanning dolda processer ... scanning dold autostart poster ... scanning dolda filer ... scan completed successfully dolda filer: 0 ************************************************** ************************ . --------------------- LOCKED Registernycklar --------------------- [HKEY_LOCAL_MACHINE \ SOFTWARE \ Pervasive Software \ PSQL] @ Denied:) (Alla) @ = "" . Tid: 2009-06-22 10:32 ComboFix-karantän-files.txt 2009-06-22 14:32 Pre-Run: 32245211136 bytes gratis Post-Run: 32239325184 bytes gratis WindowsXP-KB310994-SP2-Pro-BootDisk-SVE.exe [boot loader] timeout = 2 default = multi (0) disk (0) rdisk (0) partition (1) \ WINDOW S [operating systems] c: \ cmdcons \ BOOTSECT.DAT = "Microsoft Windows Recovery Console" / cmdcons multi (0) disk (0) rdisk (0) partition (1) \ WINDOWS = "Micro soft Windows XP Professional" / noexecute = OptIn / fastdetect 164 --- EOF --- 2009-06-18 19:28 |
|
#4
22 juni 2009, 09:38
| |||
| |||
| Autorun Malware? Tjena det I nästa post Jag vill att du ska köra en online virus scan, första kan ta bort vissa oönskade skräp .... Hämta ATF Cleaner av Atribune. Detta program är för XP och Windows 2000 Dubbelklicka ATF-Cleaner.exe att köra programmet. Under Huvudsaklig välja: Välj Alla Klicka på Empty Selected knappen. Om du använder Firefox webbläsare Klicka Firefox högst upp och välj: Välj Alla Klicka på Empty Selected knappen. OBS! Om du vill hålla dina sparade lösenord, klicka Nej vid prompten. Om du använder Opera webbläsaren Klicka Opera högst upp och välj: Välj Alla Klicka på Empty Selected knappen. OBS! Om du vill hålla dina sparade lösenord, klicka Nej vid prompten. Klicka Avsluta på huvudmenyn för att stänga programmet. För Teknisk supportDubbelklicka på den e-postadress finns längst ner i varje meny. Upprätta en Internet-anslutning och utföra en online scan med Internet Explorer vid Kaspersky Online Scanner. ** Vista användare - högerklicka IE / Firefox-ikonen och kör som administratör Klicka Acceptera, När du ombeds att ladda ned och installera programmet filer och databas av sabotageprogram definitioner.
Denna animation guidar dig genom processen:  ** Obs ** För att optimera genomlysningsutrustning temne och skapa en mer vettig rapport för granskning: Stäng alla öppna program Stäng av den verkliga Temne scanner av befintliga antivirusprogram när de utför online scan. Du kan koppla ner från Internet när du börjar skanna. Anmärkning för Internet Explorer 7-användare: Om du har problem med att visa godkänn-knappen för licensen klickar du på Zooma verktyg som finns längst ned till höger i IE fönstret och ställ in zoom till 75%. När licens godtas, återställs till 100%. Post tillbaka med resultaten från Kasperksy, även uppdatera mig om hur det är att köra
__________________ Stolt medlem i ASAP & UNITE |
|
#5
23 juni 2009, 08:40
| |||
| |||
| Autorun Malware? http://www.dhl.ca/ca/wfHomeLoggedIn.aspx R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM \ Software \ Microsoft \ Internet Explorer \ Main, Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 http://www.eset.eu/buxus/docs/OnlineScanner.cab O16 - DPF: (6414512B-B978-451D-A0D8-FCFDF33E833C) (WUWebControl Class) -- http://www.update.microsoft.com/wind...?1203273577140 O18 - Protocol: skype4com - (FFC8B962-9B40-4DFF-9458-1830C7DD7F5D) - C: \ progra ~ 1 \ GEMENSAMMA ~ 1 \ Skype \ SKYPE4 ~ 1.DLL O20 - Winlogon Notify:! SASWinLogon - C: \ Program Files \ SUPERAntiSpyware \ SASWINLO.dll O23 - Service: Adobe LM Service - Unknown ägaren - C: \ Program Files \ Common Files \ Adobe Systems Shared \ Service \ Adobelmsvc.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C: \ Program Files \ Alwil Software \ Avast4 \ ashWebSv.exe O23 - Service: Diskeeper - Diskeeper Corporation - C: \ Program Files \ Diskeeper Corporation \ Diskeeper \ DkService.exe O23 - Service: Hamachi Service ( HamachiService) - LogMeIn Inc. - C: \ Program \ Hamachi \ hamachi.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C: \ Program \ Java \ jre6 \ bin \ jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C: \ WINDOWS \ system32 \ nvsvc32.exe O23 - Service: Pervasive PSQL Workgroup Engine (psqlWGE) - Pervasive Software Inc. - C: \ Program Files \ Pervasive Software \ PSQL \ bin \ w3dbsmgr.exe O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C: \ WINDOWS \ system32 \ ZoneLabs \ vsmon.exe - End of file - 7090 bytes |
|
#6
23 juni 2009, 12:14
| |||
| |||
| Autorun Malware? Hallå där Vi måste verkligen köra en full system scan på enheten att vara säker på att ingenting är överblivna. En sak jag märker är att online-scanner fångas upp på ett phishing-bedrägeri email. Det är inte berätta exakt vilka ett är det men det säger oss att det ligger i din inkorg. Phishing försök att lura dig till att din information till webbplatser så att brottslingar kan då få information och använda den för egen vinning. För mer information om lösenordsfiske Läs artikeln här. E i fråga kan se ut som det kom från din egen bank eller annan finansiell institution och även bära logotyper stulits från den ursprungliga platsen. Aldrig logga in på någon bank webbplats eller annan webbplats från länkar från e-post. Alltid gå tillbaka till startsidan och logga in från sina. Jag rekommenderar att du tömma bort mappen vid sidan av alla andra misstänkta e-postmeddelanden. Kan prova en full skanning med en annan scanner. Gör en online scan med Panda ActiveScan
* Stäng av verkliga Temne scanner av befintliga antivirusprogram när de utför online scan. Avast användare Obs! Du ska fortsätta med online scan på Panda om du får en varning. Det är ett falskt positivt från Avast eftersom Panda Antivirus inte kryptera sina virus databas. Av någon anledning att HJT log du angav är oläslig, istället vill jag att du efter en annan typ av log Hämta DDS och spara den på skrivbordet.
Post både loggar tillbaka i ditt nästa svar Också omfatta panda scan resultat och hålla mig uppdaterad på ditt system status
__________________ Stolt medlem i ASAP & UNITE |
