norbat Skrevet 2. februar 2009 Del Skrevet 2. februar 2009 (endret) Det vil nok fortsatt sendes ut slike ormer forkledd som bilde, så man får bare leve etter regelen: "Man skal ALDRI trykke på linker uten å vite om det er bevisst sendt fra avsender" Linkadresse: hxxp://myspacess.net/image.php?=min mailadresse Infisert fil: DSC000020090201.JPG.exe Klikker man få fila, installers følgende: NB! Det ser ut til at denne infeksjonen er langt mer omfattende enn den som er nevnt tidligere. Langt flere filer/prosesser/regisertendringer er involvert. Kanskje den forrige bare var en testvariant? Filer: C:\WINDOWS\fxstaller.exe C:\Documents and Settings\brukernavn\Lokale innstillinger\Temp\IXP000.TMP\DSC000.EXE C:\Documents and Settings\brukernavn\Lokale innstillinger\Temp\TMP4352$.TMP C:\WINDOWS\system32\lexplorer.exe (l=L) Kan være andre filnavn:windows.exe , winamp.exe C:\tezzzt.exe <-mulig dette er tilfeldig navn, så andre navn kan forekomme Andre filer som kan forekomme: c:\windows\system32\iexplore.exe c:\windows\wswc.exe C:\am.exe C:\pap.exe C:\sihw.exe C:\fef.exe c:\windows\system32\yxcfir.exe <- tilfeldig navn Rootkit:<- har ikke fått gjenskapt denne ved senere forsøk, så antar dette er et ikke-problem Service: Seneka Registeroppføring: [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] Windows UDP Control Center = fxstaller.exe Windows UDP Control Service = wswc.exe Det opprettes også noen registeroppføringer av typen: Internet Explorer = "C:\windows\System32\lExplorer.exe (i HKCU og HKLM, Run/RunServices) hvis det er fila lexplorer.exe som opprettes. Er det windows.exe, står det Windows osv. På nåværende tidspunkt tar svært få av-programmer denne: BitDefender: Trojan.Inject.TM Enkelte andre av-prog. vil nok gi meldinger om suspekt nettkontakt. Løsning: Last ned Malwarebytes Anti-Malware (MBAM) til skrivebordet. Kjør og installer programmet. Velg Norsk-språk La programmet oppdatere seg og velg å kjør en 'hurtig systemskann', klikk Skann. Det kommer en meldingsboks om at scannen er ferdig, klikk Ok Klikk på Vis resultat-knappen.Hvis det er funnet malware, vil du nå se hva som er funnet. Klikk så på Fjern valgte -knappen for å fjerne malwaren som evt. ble funnet. Hent Combofix, og legg det på skrivebordet Kjør combofix.exe, og følg veiledningen. Du må ikke klikke på vinduet mens programmet kjører. Post loggfilen fra combofix (c:\combofix.txt) sammen med loggen fra MBAM. Kjør en ny rask skann med MBAM etter at du har kjørt Combofix og fått laget loggen. Kjøre også en rens inkl.registerrensen til CCleaner. Når registerrensen kjøres, sørg for at MUI Cache er merket. Endret 8. februar 2009 av norbat Lenke til kommentar
norbat Skrevet 2. februar 2009 Forfatter Del Skrevet 2. februar 2009 (endret) File DSC000020090201.JPG.EXE received on 02.02.2009 23:56:18 Klikk for å se/fjerne innholdet nedenfor a-squared 4.0.0.93 2009.02.02 Trojan.Inject!IK AhnLab-V3 5.0.0.2 2009.02.02 - AntiVir 7.9.0.71 2009.02.02 - Authentium 5.1.0.4 2009.02.02 - Avast 4.8.1281.0 2009.02.02 - AVG 8.0.0.229 2009.02.02 - BitDefender 7.2 2009.02.02 Trojan.Inject.TM CAT-QuickHeal 10.00 2009.02.02 - ClamAV 0.94.1 2009.02.02 - Comodo 959 2009.02.02 - DrWeb 4.44.0.09170 2009.02.02 BackDoor.IRC.Sdbot.3762 eSafe 7.0.17.0 2009.02.01 - eTrust-Vet 31.6.6337 2009.02.02 - F-Prot 4.4.4.56 2009.02.02 - F-Secure 8.0.14470.0 2009.02.02 - Fortinet 3.117.0.0 2009.02.02 - GData 19 2009.02.02 Trojan.Inject.TM Ikarus T3.1.1.45.0 2009.02.02 Trojan.Inject K7AntiVirus 7.10.615 2009.02.02 - Kaspersky 7.0.0.125 2009.02.02 Trojan-Downloader.Win32.Agent.bgfk McAfee 5514 2009.02.02 - McAfee+Artemis 5514 2009.02.02 - Microsoft 1.4306 2009.02.02 - NOD32 3819 2009.02.02 - Norman 6.00.02 2009.02.02 - nProtect 2009.1.8.0 2009.02.02 Trojan.Inject.TM Panda 9.5.1.2 2009.02.02 - PCTools 4.4.2.0 2009.02.02 - Prevx1 V2 2009.02.02 Cloaked Malware Rising 21.14.61.00 2009.02.01 - SecureWeb-Gateway 6.7.6 2009.02.02 - Sophos 4.38.0 2009.02.02 - Sunbelt 3.2.1835.2 2009.01.16 - Symantec 10 2009.02.02 - TheHacker 6.3.1.5.244 2009.02.02 - TrendMicro 8.700.0.1004 2009.02.02 - ViRobot 2009.2.2.1585 2009.02.02 - VirusBuster 4.5.11.0 2009.02.02 Trojan.DR.Agent.Gen.15 Additional information File size: 102913 bytes MD5...: f673cc19706dede946e0f0a846eb49df File tezzzt.exe received on 02.03.2009 15:10:52 Klikk for å se/fjerne innholdet nedenfor a-squared 4.0.0.93 2009.02.03 - AhnLab-V3 5.0.0.2 2009.02.03 - AntiVir 7.9.0.71 2009.02.03 - Authentium 5.1.0.4 2009.02.03 - Avast 4.8.1281.0 2009.02.03 - AVG 8.0.0.229 2009.02.03 - BitDefender 7.2 2009.02.03 - CAT-QuickHeal 10.00 2009.02.03 - ClamAV 0.94.1 2009.02.03 - Comodo 961 2009.02.03 - DrWeb 4.44.0.09170 2009.02.03 - eSafe 7.0.17.0 2009.02.01 - eTrust-Vet 31.6.6339 2009.02.03 - F-Prot 4.4.4.56 2009.02.02 - F-Secure 8.0.14470.0 2009.02.03 - Fortinet 3.117.0.0 2009.02.02 - GData 19 2009.02.03 - Ikarus T3.1.1.45.0 2009.02.03 - K7AntiVirus 7.10.615 2009.02.02 - Kaspersky 7.0.0.125 2009.02.03 - McAfee 5514 2009.02.02 - McAfee+Artemis 5514 2009.02.02 - Microsoft 1.4306 2009.02.03 VirTool:Win32/CeeInject.gen!J NOD32 3821 2009.02.03 - Norman 6.00.02 2009.02.03 Ircbot.AMAM nProtect 2009.1.8.0 2009.02.03 - Panda 9.5.1.2 2009.02.02 - PCTools 4.4.2.0 2009.02.03 - Prevx1 V2 2009.02.03 Cloaked Malware Rising 21.15.10.00 2009.02.03 - SecureWeb-Gateway 6.7.6 2009.02.03 - Sophos 4.38.0 2009.02.03 - Sunbelt 3.2.1835.2 2009.01.16 - Symantec 10 2009.02.03 - TheHacker 6.3.1.5.245 2009.02.03 - TrendMicro 8.700.0.1004 2009.02.03 - VBA32 3.12.8.12 2009.02.03 - ViRobot 2009.2.3.1587 2009.02.03 - VirusBuster 4.5.11.0 2009.02.02 Trojan.DR.Agent.Gen.15 Additional information File size: 41522 bytes MD5...: ad375b7f7671272a7ec6e55459468073 Endret 3. februar 2009 av norbat Lenke til kommentar
norbat Skrevet 3. februar 2009 Forfatter Del Skrevet 3. februar 2009 (endret) Dette skjer når man kjører løsningsforslaget: 1. Rask skann med MBAM Klikk for å se/fjerne innholdet nedenfor Malwarebytes' Anti-Malware 1.33 Databaseversjon: 1718 Windows 5.1.2600 Service Pack 3 03.02.2009 15:38:12 mbam-log-2009-02-03 (15-38-12).txt Skanntype: Rask Skann Objekter skannet: 49313 Tid tilbakelagt: 3 minute(s), 47 second(s) Minneprosesser infisert: 2 Minnemoduler infisert: 0 Registernøkler infisert: 0 Registerverdier infisert: 3 Registerfiler infisert: 0 Mapper infisert: 0 Filer infisert: 5 Minneprosesser infisert: C:\WINDOWS\fxstaller.exe (Backdoor.Bot) -> Failed to unload process. C:\WINDOWS\system32\explorer.exe (Backdoor.Bot) -> Failed to unload process. Minnemoduler infisert: (Ingen mistenkelige filer funnet) Registernøkler infisert: (Ingen mistenkelige filer funnet) Registerverdier infisert: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows explorer (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center (Backdoor.Bot) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PromoReg (Backdoor.Bot) -> Quarantined and deleted successfully. Registerfiler infisert: (Ingen mistenkelige filer funnet) Mapper infisert: (Ingen mistenkelige filer funnet) Filer infisert: C:\WINDOWS\fxstaller.exe (Backdoor.Bot) -> Delete on reboot. C:\WINDOWS\system32\explorer.exe (Backdoor.Bot) -> Delete on reboot. C:\Documents and Settings\Eier\Lokale innstillinger\temp\IXP000.TMP\DSC000.EXE (Backdoor.Bot) -> Quarantined and deleted successfully. C:\Documents and Settings\Eier\Skrivebord\DSC000020090201.JPG.EXE (Trojan.Agent) -> Quarantined and deleted successfully. C:\Documents and Settings\Eier\Lokale innstillinger\temp\TMPD7.tmp (Backdoor.Bot) -> Quarantined and deleted successfully. MBAM tar de aller fleste av filene som er infisert. MBAM ber om en restart slik at den får slettet de filene som da slettes ved reboot. 2. Combofix Klikk for å se/fjerne innholdet nedenfor ComboFix 09-02-02.04 - Eier 2009-02-03 15:45:03.5 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1044.18.1278.940 [GMT 1:00] Kjører fra: c:\documents and settings\Eier\Skrivebord\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Outdated) . ((((((((((((((((((((((((((((((((((((((( Andre slettinger ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\docume~1\Eier\LOKALE~1\Temp\tmp2.tmp . ((((((((((((((((((((((((((( Filer Opprettet Fra 2009-01-03 til 2009-02-03 ))))))))))))))))))))))))))))))))) . 2009-02-03 15:35 . 2009-02-03 15:35 244 --ah----- C:\sqmnoopt11.sqm 2009-02-03 15:35 . 2009-02-03 15:35 232 --ah----- C:\sqmdata11.sqm 2009-02-03 15:33 . 2009-02-03 15:33 29,184 --a------ c:\windows\system32\vphuv.exe 2009-02-03 15:33 . 2009-02-03 15:33 244 --ah----- C:\sqmnoopt10.sqm 2009-02-03 15:33 . 2009-02-03 15:33 232 --ah----- C:\sqmdata10.sqm 2009-02-03 15:27 . 2009-02-03 15:27 29,184 --a------ c:\windows\system32\mndgbrar.exe 2009-02-03 15:27 . 2009-02-03 15:27 244 --ah----- C:\sqmnoopt09.sqm 2009-02-03 15:27 . 2009-02-03 15:27 232 --ah----- C:\sqmdata09.sqm 2009-02-03 14:14 . 2009-02-03 14:14 <DIR> dr-h----- c:\documents and settings\Eier\Siste 2009-02-03 11:56 . 2009-02-03 11:57 244 --ah----- C:\sqmnoopt08.sqm 2009-02-03 11:56 . 2009-02-03 11:57 232 --ah----- C:\sqmdata08.sqm 2009-02-03 11:54 . 2009-02-03 11:55 244 --ah----- C:\sqmnoopt07.sqm 2009-02-03 11:54 . 2009-02-03 11:55 232 --ah----- C:\sqmdata07.sqm 2009-02-03 11:53 . 2009-02-03 11:53 41,522 --a------ C:\tezzzt.exe 2009-02-03 11:52 . 2009-02-03 11:53 244 --ah----- C:\sqmnoopt06.sqm 2009-02-03 11:52 . 2009-02-03 11:53 232 --ah----- C:\sqmdata06.sqm 2009-02-03 11:18 . 2009-02-03 11:18 <DIR> d--hs---- C:\FOUND.010 2009-02-03 10:50 . 2009-02-03 10:50 244 --ah----- C:\sqmnoopt05.sqm 2009-02-03 10:50 . 2009-02-03 10:50 232 --ah----- C:\sqmdata05.sqm 2009-02-03 10:43 . 2009-02-03 10:43 244 --ah----- C:\sqmnoopt04.sqm 2009-02-03 10:43 . 2009-02-03 10:43 244 --ah----- C:\sqmnoopt03.sqm 2009-02-03 10:43 . 2009-02-03 10:43 232 --ah----- C:\sqmdata04.sqm 2009-02-03 10:43 . 2009-02-03 10:43 232 --ah----- C:\sqmdata03.sqm 2009-01-14 20:37 . 2008-12-11 11:57 333,952 --------- c:\windows\system32\dllcache\srv.sys 2009-01-08 21:02 . 2008-10-16 21:33 671,232 --------- c:\windows\system32\dllcache\mstime.dll 2009-01-08 21:02 . 2008-10-16 21:33 477,696 --------- c:\windows\system32\dllcache\mshtmled.dll 2009-01-08 21:02 . 2008-10-16 21:33 233,472 --------- c:\windows\system32\dllcache\webcheck.dll 2009-01-08 21:02 . 2008-10-16 21:33 193,024 --------- c:\windows\system32\dllcache\msrating.dll 2009-01-08 21:02 . 2008-10-16 21:33 102,912 --------- c:\windows\system32\dllcache\occache.dll 2009-01-08 21:02 . 2008-10-16 21:33 44,544 --------- c:\windows\system32\dllcache\pngfilt.dll 2009-01-08 21:00 . 2008-12-13 07:40 3,593,216 --------- c:\windows\system32\dllcache\mshtml.dll . (((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-20 19:05 204,079,104 ----a-w c:\windows\DUMPc061.tmp 2009-01-14 15:11 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-01-14 15:11 15,504 ----a-w c:\windows\system32\drivers\mbam.sys 2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys 2003-03-25 11:33 13,068,936 ----a-r c:\windows\system32\config\systemprofile\mpsetup.exe 2003-03-25 11:33 13,068,936 ----a-r c:\documents and settings\Eier\mpsetup.exe 2003-03-25 11:33 13,068,936 ----a-r c:\documents and settings\Default User\mpsetup.exe 2003-03-25 11:33 13,068,936 ------r c:\documents and settings\Administrator\mpsetup.exe 2008-05-14 23:03 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale innstillinger\Logg\History.IE5\MSHist012008051520080516\index.dat . ((((((((((((((((((((((((((((( snapshot@2009-02-03_14.59.38,49 ))))))))))))))))))))))))))))))))))))))))) . - 2009-01-10 01:35:28 20,853,704 ----a-w c:\windows\system32\MRT.exe + 2009-01-09 16:35:30 20,853,704 ----a-w c:\windows\system32\MRT.exe . (((((((((((((((((((((((((((((((( Oppstartspunkter I Registeret ))))))))))))))))))))))))))))))))))))))))))))) . . *Merk* tomme oppføringer & gyldige standardoppføringer vises ikke REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "MSMSGS"="c:\programfiler\Messenger\msmsgs.exe" [2008-04-14 1695232] "Picasa Media Detector"="c:\programfiler\Picasa2\PicasaMediaDetector.exe" [2008-08-21 443968] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "avgnt"="c:\programfiler\Avira\AntiVir PersonalEdition Classic\avgnt.exe" [2008-07-17 266497] "Adobe Reader Speed Launcher"="c:\programfiler\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "SunJavaUpdateSched"="c:\programfiler\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "ATIModeChange"="Ati2mdxx.exe" [2001-09-04 c:\windows\system32\Ati2mdxx.exe] "SoundMan"="SOUNDMAN.EXE" [2003-12-19 c:\windows\SOUNDMAN.EXE] "BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 c:\windows\system32\bthprops.cpl] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\All Users\Start-meny\Programmer\Oppstart\ Microsoft Office.lnk - c:\programfiler\Microsoft Office\Office\OSA9.EXE [2000-01-21 65588] [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Programmer^Oppstart^BTTray.lnk] path=c:\documents and settings\All Users\Start-meny\Programmer\Oppstart\BTTray.lnk backup=c:\windows\pss\BTTray.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchApp] Alaunch [X] [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AcerNotebookManager] --a------ 2003-12-11 18:18 509952 c:\programfiler\Acer\Notebook Manager\almxptray.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ATIPTA] --a------ 2004-01-27 21:10 335872 c:\programfiler\ATI Technologies\ATI Control Panel\atiptaxx.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LManager] --a------ 2004-02-27 10:31 294912 c:\programfiler\Launch Manager\QtZgAcer.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LtMoh] --------- 2003-04-28 15:08 184320 c:\programfiler\ltmoh\ltmoh.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS] --------- 2008-04-14 18:23 1695232 c:\programfiler\Messenger\msmsgs.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RemoteControl] --a------ 2003-10-21 11:52 40960 c:\programfiler\CyberLink\PowerDVD\PDVDServ.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh] --a------ 2003-04-18 15:20 610304 c:\programfiler\Synaptics\SynTP\SynTPEnh.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr] --a------ 2003-04-18 14:36 110592 c:\programfiler\Synaptics\SynTP\SynTPLpr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AGRSMMSG] --a------ 2003-09-23 17:06 88363 c:\windows\AGRSMMSG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent] --------- 2008-04-14 18:23 110592 c:\windows\system32\bthprops.cpl [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programfiler\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programfiler\\Windows Live\\Messenger\\livecall.exe"= R2 acernbm;acernbm;c:\windows\system32\drivers\acernbm.sys [2004-04-07 6501] R2 osadmi;osadmi;c:\windows\system32\drivers\osadmi.sys [2004-04-07 6714] R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [2004-04-07 190804] R3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [2004-04-07 5817] . ------- Tilleggsskanning ------- . uDefault_Search_URL = hxxp://www.google.com/ie uInternet Connection Wizard,ShellNext = hxxp://global.acer.com/ uSearchURL,(Default) = hxxp://www.google.com/search?q=%s . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-03 15:46:39 Windows 5.1.2600 Service Pack 3 FAT NTAPI skanner skjulte prosesser ... skanner skjulte autostart-oppføringer ... skanner skjulte filer ... skanning vellykket skjulte filer: 0 ************************************************************************** . Tidspunkt ferdig: 2009-02-03 15:47:39 Det ble denne gangen ikke funnet noen rootkit, men et par 'nye' filer ble opprettet siden sist (infiserte filer er i fet skrift) Disse filene tar man og sletter manuelt evt. skanner med av-programmet sitt. Til slutt en rens/registerrens med CCleaner. Combofix fjernes ved å skrive combofix /u. Dette vil også nullstille systemgjenopprettingen slik at man ikke blir infisert ved en evt. gjenoppretting senere. Endret 3. februar 2009 av norbat Lenke til kommentar
Olenoe Skrevet 3. februar 2009 Del Skrevet 3. februar 2009 hehe, nettop ei veninne jeg aldri snakker med som linka meg detta ^^ Er alt for mange idioter der ute imo :/ Lenke til kommentar
norbat Skrevet 3. februar 2009 Forfatter Del Skrevet 3. februar 2009 Det virker som om malwaren er fjernet fra nevnte adresse. Det hjelper ikke de som allerede er infisert, men... Lenke til kommentar
r2d290 Skrevet 3. februar 2009 Del Skrevet 3. februar 2009 (endret) Da blir det vel bare å vente på at det kommer et nytt domene, med filer som drar med seg enda mer malware Endret 3. februar 2009 av r2d290 Lenke til kommentar
Tosha0007 Skrevet 15. februar 2009 Del Skrevet 15. februar 2009 (endret) vil berre tipse om ny link no... foto?? hxxp://www.hi5-spaces.com/gallery.php?=min mailadresse Skal sjekke noko loggar på den no, reknar med det er snakk om dei same filene. Edit: Eg poster mbam og Combofix logg straks dei er ferdige Endret 15. februar 2009 av tosha0007 Lenke til kommentar
norbat Skrevet 15. februar 2009 Forfatter Del Skrevet 15. februar 2009 (endret) Ja, gjør det. Du kan selv se etter følgende filer knyttet til denne infeksjonen: C:\DOCUME~1\user\LOCALS~1\Temp\IXP000.TMP\burnew.exe C:\WINDOWS\fxstaller.exe c:\iha.exe <-mulig tilfeldig filnavn File PICT2009-02-14-JPG.EXE received on 02.15.2009 21:53:14 (CET) Antivirus;Version;Last Update;Result a-squared;4.0.0.93;2009.02.15;Riskware.Win32.CeeInject!IK AhnLab-V3;5.0.0.2;2009.02.15;- AntiVir;7.9.0.79;2009.02.15;Worm/Rbot.101889 Authentium;5.1.0.4;2009.02.15;- Avast;4.8.1335.0;2009.02.15;- AVG;8.0.0.237;2009.02.15;- BitDefender;7.2;2009.02.15;MemScan:Backdoor.RBot.YBJ CAT-QuickHeal;10.00;2009.02.13;- ClamAV;0.94.1;2009.02.15;- Comodo;978;2009.02.15;- DrWeb;4.44.0.09170;2009.02.15;- eSafe;7.0.17.0;2009.02.15;Win32.VirToolCeeInje eTrust-Vet;31.6.6358;2009.02.14;- F-Prot;4.4.4.56;2009.02.15;- F-Secure;8.0.14470.0;2009.02.15;Backdoor.Win32.IRCBot.hsy Fortinet;3.117.0.0;2009.02.15;- GData;19;2009.02.15;MemScan:Backdoor.RBot.YBJ Ikarus;T3.1.1.45.0;2009.02.15;VirTool.Win32.CeeInject K7AntiVirus;7.10.630;2009.02.14;- Kaspersky;7.0.0.125;2009.02.15;Backdoor.Win32.IRCBot.hsy McAfee;5527;2009.02.15;- McAfee+Artemis;5527;2009.02.15;- Microsoft;1.4306;2009.02.15;VirTool:Win32/CeeInject.gen!J NOD32;3853;2009.02.14;- Norman;6.00.02;2009.02.13;- nProtect;2009.1.8.0;2009.02.15;MemScan:Backdoor.RBot.YBJ Panda;10.0.0.10;2009.02.15;Trj/CI.A PCTools;4.4.2.0;2009.02.15;- Prevx1;V2;2009.02.15;Malicious Software Rising;21.16.62.00;2009.02.15;- SecureWeb-Gateway;6.7.6;2009.02.15;Worm.Rbot.101889 Sophos;4.38.0;2009.02.15;- Sunbelt;3.2.1851.2;2009.02.12;- Symantec;10;2009.02.15;- TheHacker;6.3.2.1.257;2009.02.15;- TrendMicro;8.700.0.1004;2009.02.15;- ViRobot;2009.2.14.1607;2009.02.15;- VirusBuster;4.5.11.0;2009.02.15;Trojan.DR.Agent.Gen.15 Additional information File size: 101888 bytes MD5...: 8b8194e45898e9a844aa8661ec65170f Endret 15. februar 2009 av norbat Lenke til kommentar
Tosha0007 Skrevet 15. februar 2009 Del Skrevet 15. februar 2009 (endret) no kom den først mbam loggen Malwarebytes' Anti-Malware 1.34 Databaseversjon: 1764 Windows 5.1.2600 Service Pack 3 15.02.2009 21:54:10 mbam-log-2009-02-15 (21-53-49).txt Skanntype: Rask Skann Objekter skannet: 77596 Tid tilbakelagt: 5 minute(s), 57 second(s) Minneprosesser infisert: 0 Minnemoduler infisert: 0 Registernøkler infisert: 0 Registerverdier infisert: 0 Registerfiler infisert: 0 Mapper infisert: 0 Filer infisert: 1 Minneprosesser infisert: (Ingen mistenkelige filer funnet) Minnemoduler infisert: (Ingen mistenkelige filer funnet) Registernøkler infisert: (Ingen mistenkelige filer funnet) Registerverdier infisert: (Ingen mistenkelige filer funnet) Registerfiler infisert: (Ingen mistenkelige filer funnet) Mapper infisert: (Ingen mistenkelige filer funnet) Filer infisert: C:\WINDOWS\fxstaller.exe (Backdoor.Bot) -> No action taken. Den blei fjerna (veit ikkje kvifor loggen er feil). Ser ut som infeksjonen gjer at mbam heng seg litt opp under scanning sidan den plutseleg ikkje svarar før den fortsetter. Combofix logg kjem snart edit: kjekt å vera populer ein søndags kveld Sjeldan eg ser så mange sender linken til meg Endret 15. februar 2009 av tosha0007 Lenke til kommentar
norbat Skrevet 15. februar 2009 Forfatter Del Skrevet 15. februar 2009 Er det den samme linken med samme tekst du får eller er det noe variasjon på teksten? Lenke til kommentar
Tosha0007 Skrevet 15. februar 2009 Del Skrevet 15. februar 2009 til no er det berre den same linken... Men trur det er vesentleg fleire av kompisane mine som er infisert enn det eg får inntrykk av. Skal be somme av dei legga opp loggar her så kan andre og hjelpe til. Har bedd ein del av dei som er infisert å sende logger via f.eks e-post sidan andre då ikkje går linken. Tar diverre lengre tid enn eg trudde dette med combofix loggar, har 3 stk som skal sende meg ganske snart men det verkar som alle måtte ta ein restart ganske nyleg Lenke til kommentar
r2d290 Skrevet 15. februar 2009 Del Skrevet 15. februar 2009 (endret) iha-filen var det få programmer som detekterte... File iha.exe received on 02.15.2009 22:05:29 (CET) Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED Result: 8/39 (20.52%) a-squared 4.0.0.93 2009.02.15 Trojan.Win32.Agent2.djm!A2 AhnLab-V3 5.0.0.2 2009.02.15 - AntiVir 7.9.0.79 2009.02.15 - Authentium 5.1.0.4 2009.02.15 - Avast 4.8.1335.0 2009.02.15 - AVG 8.0.0.237 2009.02.15 Agent.AYFC BitDefender 7.2 2009.02.15 Trojan.TDss.BG CAT-QuickHeal 10.00 2009.02.13 - ClamAV 0.94.1 2009.02.15 - Comodo 978 2009.02.15 - DrWeb 4.44.0.09170 2009.02.15 - eSafe 7.0.17.0 2009.02.15 Suspicious File eTrust-Vet 31.6.6358 2009.02.14 - F-Prot 4.4.4.56 2009.02.15 - F-Secure 8.0.14470.0 2009.02.15 - Fortinet 3.117.0.0 2009.02.15 - GData 19 2009.02.15 Trojan.TDss.BG Ikarus T3.1.1.45.0 2009.02.15 - K7AntiVirus 7.10.630 2009.02.14 - Kaspersky 7.0.0.125 2009.02.15 - McAfee 5527 2009.02.15 - McAfee+Artemis 5527 2009.02.15 - Microsoft 1.4306 2009.02.15 - NOD32 3853 2009.02.14 a variant of Win32/Kryptik.FZ Norman 6.00.02 2009.02.13 - nProtect 2009.1.8.0 2009.02.15 Trojan/W32.Agent2.102912 Panda 10.0.0.10 2009.02.15 - PCTools 4.4.2.0 2009.02.15 - Prevx1 V2 2009.02.15 - Rising 21.16.62.00 2009.02.15 - SecureWeb-Gateway 6.7.6 2009.02.15 - Sophos 4.38.0 2009.02.15 - Sunbelt 3.2.1851.2 2009.02.12 - Symantec 10 2009.02.15 - TheHacker 6.3.2.1.257 2009.02.15 - TrendMicro 8.700.0.1004 2009.02.15 - VBA32 3.12.8.12 2009.02.15 Trojan.Win32.Agent2.djm ViRobot 2009.2.14.1607 2009.02.15 - VirusBuster 4.5.11.0 2009.02.15 - Additional information File size: 65390 bytes MD5...: 1a2ff145ff42cc75255475b3e5b3e0bd Endret 15. februar 2009 av r2d290 Lenke til kommentar
norbat Skrevet 15. februar 2009 Forfatter Del Skrevet 15. februar 2009 Ja, det er rimelig vanlig at 'hovedfila' blir sendt inn til sjekk hos av-produsentene, mens de filene som blir installert under selve infeksjonen ikke i like stor grad blir det. Sitte man på slike filer, er det anbefalt å sende de inn til div. av-prod. som ennå ikke har noen definisjon for den/de. Lenke til kommentar
Tosha0007 Skrevet 15. februar 2009 Del Skrevet 15. februar 2009 (endret) årh... det er håplaust å vera utolmodig Ser jaggu meg ikkje ut som nokon logger seg på igjen. Beklager ventetida alle saman edit: beklager alle sammen, men eg har store problem med nettverket no. Satser på å få postet loggane i morgon tidleg. Detter ut heile tida når eg skal kopiere noko inn på forumet. Endret 15. februar 2009 av tosha0007 Lenke til kommentar
r2d290 Skrevet 15. februar 2009 Del Skrevet 15. februar 2009 (endret) Kjørte mbam (uten å restarte for å fjerne fxstaller)) og så combofix. MBAM: Malwarebytes' Anti-Malware 1.33 Databaseversjon: 1721 Windows 5.0.2195 Service Pack 4 15.02.2009 22:26:44 mbam-log-2009-02-15 (22-26-44).txt Skanntype: Rask Skann Objekter skannet: 45855 Tid tilbakelagt: 7 minute(s), 13 second(s) Minneprosesser infisert: 0 Minnemoduler infisert: 0 Registernøkler infisert: 0 Registerverdier infisert: 1 Registerfiler infisert: 0 Mapper infisert: 0 Filer infisert: 1 Minneprosesser infisert: (Ingen mistenkelige filer funnet) Minnemoduler infisert: (Ingen mistenkelige filer funnet) Registernøkler infisert: (Ingen mistenkelige filer funnet) Registerverdier infisert: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center (Backdoor.Bot) -> Quarantined and deleted successfully. Registerfiler infisert: (Ingen mistenkelige filer funnet) Mapper infisert: (Ingen mistenkelige filer funnet) Filer infisert: C:\WINNT\fxstaller.exe (Backdoor.Bot) -> Delete on reboot. CF: ComboFix 09-02-14.01 - kjelleren 15.02.2009 22:29:38.3 - NTFSx86 Microsoft Windows 2000 Professional 5.0.2195.4.1252.1.1033.18.256.83 [GMT -8:00] Running from: c:\documents and settings\kjelleren\Desktop\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\winnt\fxstaller.exe c:\winnt\Temp\scsE.tmp c:\winnt\Temp\scsF.tmp . ((((((((((((((((((((((((( Files Created from 2009-01-16 to 2009-02-16 ))))))))))))))))))))))))))))))) . 2009-02-15 22:28 . 15.02.09 22:28 16,384 --a----t- c:\winnt\system32\Perflib_Perfdata_2d0.dat 2009-02-15 22:27 . 15.02.09 22:27 61,440 --a------ c:\winnt\system32\drivers\kqhm.sys 2009-02-15 21:58 . 15.02.09 21:58 0 --a--c--- C:\in.exe 2009-02-15 21:55 . 15.02.09 21:55 65,390 --a--c--- C:\iha.exe 2009-02-03 22:30 . 15.02.09 22:15 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware 2009-02-03 22:30 . 03.02.09 22:30 <DIR> d-------- c:\documents and settings\kjelleren\Application Data\Malwarebytes 2009-02-03 22:30 . 03.02.09 22:30 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2009-02-03 22:30 . 14.01.09 16:11 38,496 --a------ c:\winnt\system32\drivers\mbamswissarmy.sys 2009-02-03 22:30 . 14.01.09 16:11 15,504 --a------ c:\winnt\system32\drivers\mbam.sys . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2005-11-20 23:45 271 ---h--w c:\program files\desktop.ini 2005-11-20 23:45 21,952 ---h--w c:\program files\folder.htt 1999-12-07 12:00 32,528 ----a-w c:\winnt\inf\wbfirdma.sys 2008-02-02 11:07 67,696 ----a-w c:\program files\mozilla firefox\components\jar50.dll 2008-02-02 11:07 54,376 ----a-w c:\program files\mozilla firefox\components\jsd3250.dll 2008-02-02 11:07 34,952 ----a-w c:\program files\mozilla firefox\components\myspell.dll 2008-02-02 11:07 46,720 ----a-w c:\program files\mozilla firefox\components\spellchk.dll 2008-02-02 11:07 172,144 ----a-w c:\program files\mozilla firefox\components\xpinstal.dll . ------- Sigcheck ------- 07.12.99 04:00 7952 9e64ad53cfd9da2d22e8a924f8c6e62c c:\winnt\system32\svchost.exe 07.12.99 04:00 7952 9e64ad53cfd9da2d22e8a924f8c6e62c c:\winnt\system32\dllcache\svchost.exe 07.12.99 04:00 402704 dd546c9407e7567ee207efe5ac8fd09d c:\winnt\$NtServicePackUninstall$\user32.dll 19.06.03 11:05 403216 11ed538db87d8cf38017a63a82aa805d c:\winnt\ServicePackFiles\i386\user32.dll 21.04.05 00:08 419600 63a7731cf4ba8565b9f07908fac05c3b c:\winnt\SoftwareDistribution\Download\1ecefd93e6869cae3c59975999e09db0\user32.dll 19.06.03 11:05 403216 11ed538db87d8cf38017a63a82aa805d c:\winnt\system32\USER32.DLL 19.06.03 11:05 403216 11ed538db87d8cf38017a63a82aa805d c:\winnt\system32\dllcache\user32.dll 07.12.99 04:00 71440 e8162bf0c57d0cc137e2f3549d0485a7 c:\winnt\$NtServicePackUninstall$\ws2_32.dll 19.06.03 11:05 69904 0190c62de42396d78db9be771cf2403e c:\winnt\ServicePackFiles\i386\ws2_32.dll 19.06.03 11:05 69904 0190c62de42396d78db9be771cf2403e c:\winnt\system32\ws2_32.dll 07.12.99 04:00 305520 8072c7c242fb6d17fb61a01274f20217 c:\winnt\$NtServicePackUninstall$\tcpip.sys 19.06.03 11:05 332144 5f1be742b1f2196663255991ae7acc83 c:\winnt\ServicePackFiles\i386\tcpip.sys 12.05.05 02:25 320176 4800519c7b6a6fa2212f1f14781430a6 c:\winnt\SoftwareDistribution\Download\1ecefd93e6869cae3c59975999e09db0\tcpip.sys 19.06.03 11:05 332144 5f1be742b1f2196663255991ae7acc83 c:\winnt\system32\drivers\tcpip.sys 07.12.99 04:00 177424 85c0d6bd769aab1b007b21cca9a346c8 c:\winnt\$NtServicePackUninstall$\winlogon.exe 19.06.03 11:05 181008 3980c28d116d438bbb36fb38526fde1a c:\winnt\ServicePackFiles\i386\winlogon.exe 08.04.05 03:51 186640 bb1daf6a5737652646d52665251a0265 c:\winnt\SoftwareDistribution\Download\1ecefd93e6869cae3c59975999e09db0\winlogon.exe 19.06.03 11:05 181008 3980c28d116d438bbb36fb38526fde1a c:\winnt\system32\WINLOGON.EXE 07.12.99 04:00 167760 fbf289385e77176b5929975748abd84b c:\winnt\$NtServicePackUninstall$\ndis.sys 19.06.03 11:05 170928 fb4f2d0595bd3546a4dd915e4a9b4809 c:\winnt\ServicePackFiles\i386\ndis.sys 19.06.03 11:05 170928 fb4f2d0595bd3546a4dd915e4a9b4809 c:\winnt\system32\drivers\ndis.sys 07.12.99 04:00 1611840 25b3a87706f18ca5c812f342f8690386 c:\winnt\$NtServicePackUninstall$\ntkrnlpa.exe 19.06.03 11:05 1694080 541daef38c9c82541690aa7e6f52f654 c:\winnt\ServicePackFiles\i386\ntkrnlpa.exe 06.05.05 03:45 1713280 ba85f7c7b83cac2b5d125e2fd3347c94 c:\winnt\SoftwareDistribution\Download\1ecefd93e6869cae3c59975999e09db0\ntkrnlpa.exe 06.10.05 01:20 1713600 b52db052c1e45ce142ceb8562c01173d c:\winnt\SoftwareDistribution\Download\578fef18a3427384fd4115c571334a5d\ntkrnlpa.exe 19.06.03 11:05 1694080 541daef38c9c82541690aa7e6f52f654 c:\winnt\system32\NTKRNLPA.EXE 07.12.99 04:00 1640976 d7697fad3df8494ac35f23c0c87c240e c:\winnt\$NtServicePackUninstall$\ntoskrnl.exe 19.06.03 11:05 1719056 61a2dcfce1abf5340d2128e45b5f52b7 c:\winnt\ServicePackFiles\i386\ntoskrnl.exe 06.05.05 03:45 1690432 ac3ce69c7b349494a53a25b44091cd6b c:\winnt\SoftwareDistribution\Download\1ecefd93e6869cae3c59975999e09db0\ntoskrnl.exe 06.10.05 01:20 1691008 1c544f422b18f4b4c66c8b7e80eb7866 c:\winnt\SoftwareDistribution\Download\578fef18a3427384fd4115c571334a5d\ntoskrnl.exe 19.06.03 11:05 1719056 61a2dcfce1abf5340d2128e45b5f52b7 c:\winnt\system32\NTOSKRNL.EXE 19.06.03 11:05 243472 59cf2b7dced9111f48f51b4b570e672d c:\winnt\explorer.exe 07.12.99 04:00 238352 7251759785c60ed0e3d3f8379c89a079 c:\winnt\$NtServicePackUninstall$\explorer.exe 19.06.03 11:05 243472 59cf2b7dced9111f48f51b4b570e672d c:\winnt\ServicePackFiles\i386\explorer.exe 07.12.99 04:00 88848 63709f4c5bd9b401849c929d6eefbb3d c:\winnt\$NtServicePackUninstall$\services.exe 19.06.03 11:05 89360 cfed2d28f5b8a24127e9e06043070643 c:\winnt\ServicePackFiles\i386\services.exe 08.04.05 03:51 92944 b861b4e6e9637eb76a40c10c552e0229 c:\winnt\SoftwareDistribution\Download\1ecefd93e6869cae3c59975999e09db0\services.exe 19.06.03 11:05 89360 cfed2d28f5b8a24127e9e06043070643 c:\winnt\system32\SERVICES.EXE 07.12.99 04:00 33552 794087da8de60705c20e127262362c8c c:\winnt\$NtServicePackUninstall$\lsass.exe 19.06.03 11:05 33552 271229760cced993e9e7cab1c7274134 c:\winnt\ServicePackFiles\i386\lsass.exe 19.12.04 14:30 33552 f19d0a319ab4bf5496f08807cb9b8651 c:\winnt\SoftwareDistribution\Download\1ecefd93e6869cae3c59975999e09db0\lsass.exe 19.06.03 11:05 33552 271229760cced993e9e7cab1c7274134 c:\winnt\system32\LSASS.EXE 20.02.01 13:09 8192 d36a33c21eeed5a6c1daecb7c80a1909 c:\winnt\system32\CTFMON.EXE 07.12.99 04:00 17168 a4e505d537a0476daaf61eb90cae457c c:\winnt\$NtServicePackUninstall$\userinit.exe 19.06.03 11:05 17680 bf179c5b8a722cc79aef1ca90d6c7d48 c:\winnt\ServicePackFiles\i386\userinit.exe 19.06.03 11:05 17680 bf179c5b8a722cc79aef1ca90d6c7d48 c:\winnt\system32\USERINIT.EXE 07.12.99 04:00 732432 ef6f0245fbc4bb392e3a6b7b13c13dca c:\winnt\$NtServicePackUninstall$\kernel32.dll 19.06.03 11:05 743184 1e93bdaae187253d18711da5c210474a c:\winnt\ServicePackFiles\i386\kernel32.dll 30.12.04 09:53 712464 06bbe7fa3859d09ede0cebd987a8995e c:\winnt\SoftwareDistribution\Download\1ecefd93e6869cae3c59975999e09db0\kernel32.dll 16.08.05 01:39 712464 694e9bc2ade4f30c99d8a59340307e1a c:\winnt\SoftwareDistribution\Download\1ecefd93e6869cae3c59975999e09db0\uniproc\kernel32.dll 16.04.07 04:44 712976 18d623471de9dcc2cea310b2f3fba15a c:\winnt\SoftwareDistribution\Download\49ae63596290f80ccb3cf14997c90755\kernel32.dll 16.04.07 04:44 712976 0ab23b46ccaeba64d748a5cf79cb4bb6 c:\winnt\SoftwareDistribution\Download\49ae63596290f80ccb3cf14997c90755\uniproc\kernel32.dll 19.06.03 11:05 743184 affda6f602a8f0dba615279c28b3bdf8 c:\winnt\system32\KERNEL32.DLL 07.12.99 04:00 13584 f768d588307c35721fc6fd54bb87cd85 c:\winnt\$NtServicePackUninstall$\powrprof.dll 19.06.03 11:05 13584 0a35f356726069b95f4bb2a99203fdd4 c:\winnt\ServicePackFiles\i386\powrprof.dll 19.06.03 11:05 13584 0a35f356726069b95f4bb2a99203fdd4 c:\winnt\system32\powrprof.dll 07.12.99 04:00 96016 ae555a18419f65b94b2362dc0ffe91e3 c:\winnt\$NtServicePackUninstall$\imm32.dll 19.06.03 11:05 96528 873794ce17dd72420d9c4072d4d112e5 c:\winnt\ServicePackFiles\i386\imm32.dll 19.06.03 11:05 96528 873794ce17dd72420d9c4072d4d112e5 c:\winnt\system32\imm32.dll . ((((((((((((((((((((((((((((( snapshot@ti 03.02.2009_21.36.32,50 ))))))))))))))))))))))))))))))))))))))))) . - 2007-07-31 03:19:20 92,504 ----a-w c:\winnt\system32\cdm.dll + 2008-10-16 22:09:44 92,696 ----a-w c:\winnt\system32\cdm.dll - 2007-07-31 03:19:20 92,504 -c--a-w c:\winnt\system32\dllcache\cdm.dll + 2008-10-16 22:09:44 92,696 -c--a-w c:\winnt\system32\dllcache\cdm.dll - 2007-07-31 03:19:16 53,080 -c--a-w c:\winnt\system32\dllcache\wuauclt.exe + 2008-10-16 22:09:44 51,224 -c--a-w c:\winnt\system32\dllcache\wuauclt.exe - 2007-07-31 03:19:42 1,712,984 -c--a-w c:\winnt\system32\dllcache\wuaueng.dll + 2008-10-16 22:13:40 1,809,944 -c--a-w c:\winnt\system32\dllcache\wuaueng.dll + 2008-10-16 22:08:58 34,328 ----a-w c:\winnt\system32\SoftwareDistribution\Setup\ServiceStartup\wups.dll\7.2.6001.788\wups.dll + 2008-10-16 22:09:44 43,544 ----a-w c:\winnt\system32\SoftwareDistribution\Setup\ServiceStartup\wups2.dll\7.2.6001.788\wups2.dll - 2007-07-31 03:19:36 549,720 ----a-w c:\winnt\system32\wuapi.dll + 2008-10-16 22:12:20 561,688 ----a-w c:\winnt\system32\wuapi.dll - 2007-07-31 03:19:16 53,080 ----a-w c:\winnt\system32\wuauclt.exe + 2008-10-16 22:09:44 51,224 ----a-w c:\winnt\system32\wuauclt.exe - 2007-07-31 03:19:42 1,712,984 ----a-w c:\winnt\system32\wuaueng.dll + 2008-10-16 22:13:40 1,809,944 ----a-w c:\winnt\system32\wuaueng.dll - 2007-07-31 03:19:32 325,976 ----a-w c:\winnt\system32\wucltui.dll + 2008-10-16 22:12:22 323,608 ----a-w c:\winnt\system32\wucltui.dll - 2007-07-31 03:18:40 33,624 ----a-w c:\winnt\system32\wups.dll + 2008-10-16 22:08:58 34,328 ----a-w c:\winnt\system32\wups.dll - 2007-07-31 03:19:12 43,352 ----a-w c:\winnt\system32\wups2.dll + 2008-10-16 22:09:44 43,544 ----a-w c:\winnt\system32\wups2.dll - 2007-07-31 03:19:28 203,096 ----a-w c:\winnt\system32\wuweb.dll + 2008-10-16 22:13:40 202,776 ----a-w c:\winnt\system32\wuweb.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "swg"="c:\program files\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [29.02.08 19:57 171448] "ctfmon.exe"="ctfmon.exe" [20.02.01 13:09 8192 c:\winnt\system32\CTFMON.EXE] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Disc Detector"="c:\program files\Creative\ShareDLL\CtNotify.exe" [30.08.99 00:55 189952] "Synchronization Manager"="mobsync.exe" [19.06.03 11:05 111376 c:\winnt\system32\mobsync.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "internat.exe"="internat.exe" [07.12.99 04:00 20752 c:\winnt\system32\internat.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "^SetupICWDesktop"="c:\program files\Internet Explorer\Connection Wizard\icwconn1.exe" [19.06.03 11:05 186640] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [20.12.06 13:55 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 19.04.07 13:41 294912 c:\program files\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"= mmdrv.dll [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^WinZip Quick Pick.lnk] path=c:\documents and settings\All Users\Start Menu\Programs\Startup\WinZip Quick Pick.lnk backup=c:\winnt\pss\WinZip Quick Pick.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr] --a------ 04.09.07 22:40 6856704 c:\program files\MSN Messenger\msnmsgr.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ctfmon.exe] --a------ 20.02.01 13:09 8192 c:\winnt\system32\CTFMON.EXE [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Synchronization Manager] --a------ 19.06.03 11:05 111376 c:\winnt\system32\mobsync.exe R0 DiMaint;Eicon Maintenance Driver;c:\winnt\system32\drivers\disdn\dimaint.sys [2005-11-20 68400] R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2006-10-10 5632] R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2007-02-27 32256] R3 Diwan;Eicon Driver for all DIVA PnP cards;c:\winnt\system32\drivers\disdn\diwan.sys [2005-11-20 612976] R3 Winacpci;Winacpci;c:\winnt\system32\drivers\winacpci.sys [2005-11-20 602128] S3 NtApm;NT Apm/Legacy Interface Driver;c:\winnt\system32\drivers\NtApm.sys [2005-11-20 9104] S3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2006-02-16 4096] --- Other Services/Drivers In Memory --- *Deregistered* - MBAMSwissArmy . Contents of the 'Scheduled Tasks' folder 2006-10-23 c:\winnt\Tasks\Backup1.job - z:\_backup\backup\take_design_backup_.cmd [] 2006-10-23 c:\winnt\Tasks\Backup__regnskap.job - z:\_backup\backup\take_backup__regnskap.cmd [] . - - - - ORPHANS REMOVED - - - - MSConfigStartUp-SunJavaUpdateSched - c:\program files\Java\jre1.5.0_06\bin\jusched.exe . ------- Supplementary Scan ------- . uSearch Page = hxxp://www.google.com uSearch Bar = hxxp://www.google.com/ie uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: {{c95fe080-8f5d-11d2-a20b-00aa003c157a} - %SystemRoot%\web\related.htm LSP: %SystemRoot%\system32\msafd.dll DPF: DirectAnimation Java Classes - file://c:\winnt\Java\classes\dajava.cab DPF: Microsoft XML Parser for Java - file://c:\winnt\Java\classes\xmldso.cab FF - ProfilePath - c:\documents and settings\kjelleren\Application Data\Mozilla\Firefox\Profiles\zibm0acd.default\ FF - component: c:\program files\Mozilla Firefox\components\xpinstal.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-15 22:32:21 Windows 5.0.2195 Service Pack 4 NTFS scanning hidden processes ... scanning hidden autostart entries ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Disc Detector = c:\program files\Creative\ShareDLL\CtNotify.exe?X???x???????????? C?????Disc Detector?B???A???????A???????B???@?$?@?? C?????U?@?????????@?B???A???????A???????B???@?????P???$?@?p???????Am?w??????????@???????????????????B???????????????????????????????????B scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- - - - - - - - > 'winlogon.exe'(204) c:\program files\SUPERAntiSpyware\SASWINLO.dll c:\winnt\system32\wzcdlg.dll c:\winnt\system32\WZCSAPI.DLL . Completion time: 15.02.2009 22:35:47 ComboFix-quarantined-files.txt 2009-02-16 06:35:44 ComboFix2.txt 2009-02-04 05:39:03 ComboFix3.txt 2008-02-17 22:44:16 Pre-Run: 131 203 072 bytes free Post-Run: 126,988,288 bytes free 208 Endret 15. februar 2009 av r2d290 Lenke til kommentar
norbat Skrevet 15. februar 2009 Forfatter Del Skrevet 15. februar 2009 r2d290: Oppdater MBAM og kjør en ny rask skann, og se om den ikke finner de andre filene. Lenke til kommentar
r2d290 Skrevet 15. februar 2009 Del Skrevet 15. februar 2009 r2d290:Oppdater MBAM og kjør en ny rask skann, og se om den ikke finner de andre filene. Jeg slettet filene med cfscript rett etter at jeg hadde postet loggene. Kan evt. gjøre det i morgen. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå