generelt sprm angående virusprogram.

[marama]

har plagdes med en del trojanere+ virus i det siste..

har fulgt de anbefalte prosesser på dette forum, å det har sett greit ut.

 

men det dukker stadig opp nye trojanere... idag poppet det opp. trojan horse adloard_r.AQ som jeg ikke har peiling på hva er.

 

så til spørsmålet, når AVG popper opp med en info om funn av trojaner. da trykker jeg legg i virus vault.

skal den bare ligge der? ikke slettes? er det trygt så lenge den ligger i virus vault?eller noe annet jeg skal gjøre?

[phfjeld]

Selv skjønner jeg ikke hvordan det er mulig å ha problemer med slem programvare.

Windows' egen brannmur og Avast! antivirus redder selv den dummeste idiot fra å kunne infisere noe som helst.

Endret 23. august 2008 av phfjeld

[norbat]

Det er trygt å la den ligge i Virus Vault og du kan godt slette den fra Virus Vault.

 

I hvilken forbindelse er det du får disse trojanerene?

Dukker de bare plutselig opp eller er det i forbindelse med noen spesiell aktivitet på internett?

 

KJør gjerne en scan med Combofix og post loggen.

[marama]

i dag dukket den opp mens jeg satt på facebook.virker som om de kommer bare sånn plutselig. å på opera sin søkemotor hadde d lagt seg ett tegn +answer.com som jeg ikke fikk fjernet. avinnstalerte hele opera.

 

eneste jeg har lastet ned siden sist jeg postet combofix + hijackthis er Limewire,mulig det var med noe der? ikke lastet ned noe spesielt fra limewire..

 

kjørte combofix tidligere i dag.. fjernet bare noen cookies tror jeg.

kan kjøre Combofix en gang til å poste....

 

men siden jeg fikk den første trojaneren, har nettet virket tregere eller når jeg trykker på IE knappen kan det gått gå 30-45 sekunder før startsiden begynner å komme frem. normalt er den fremme på maks 5sek.

[marama]

Combofix

 

 

ComboFix 08-08-21.02 - Stig Øyvind 2008-08-22 23:46:14.5 - NTFSx86

Running from: C:\Documents and Settings\Stig Øyvind\Skrivebord\ComboFix.exe

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((( Files Created from 2008-07-22 to 2008-08-22 )))))))))))))))))))))))))))))))

.

 

2008-08-22 09:21 . 2008-08-22 09:21 <DIR> dr-h----- C:\Documents and Settings\Stig Øyvind\Siste

2008-08-22 09:21 . 2008-08-22 09:21 <DIR> dr-h----- C:\Documents and Settings\Stig Øyvind\Siste

2008-08-21 18:39 . 2008-08-22 22:43 <DIR> d-------- C:\Documents and Settings\Stig Øyvind\Programdata\LimeWire

2008-08-21 18:33 . 2008-08-21 18:38 <DIR> d-------- C:\Programfiler\Limewire

2008-08-20 00:19 . 2004-05-14 16:53 462,848 --a------ C:\WINDOWS\system32\ltkrn13n.dll

2008-08-20 00:19 . 2004-05-14 16:53 450,560 --a------ C:\WINDOWS\system32\ltimg13n.dll

2008-08-20 00:19 . 2004-05-14 16:53 401,408 --a------ C:\WINDOWS\system32\lfcmp13n.dll

2008-08-20 00:19 . 2004-05-14 16:53 299,008 --a------ C:\WINDOWS\system32\ltdis13n.dll

2008-08-20 00:19 . 2004-01-12 02:09 206,336 --a------ C:\WINDOWS\system32\ltefx13n.dll

2008-08-20 00:19 . 2004-05-14 16:53 163,840 --a------ C:\WINDOWS\system32\ltfil13n.dll

2008-08-20 00:19 . 2003-11-04 15:10 69,632 --a------ C:\WINDOWS\system32\lfgif13n.dll

2008-08-20 00:19 . 2004-05-14 16:53 57,344 --a------ C:\WINDOWS\system32\lfbmp13n.dll

2008-08-18 14:28 . 2008-08-18 17:05 <DIR> d-------- C:\WINDOWS\system32\CatRoot_bak

2008-08-17 01:16 . 2008-08-17 01:16 <DIR> d-------- C:\Documents and Settings\Stig Ïyvind\Lokale innstillinger

2008-08-17 01:16 . 2008-08-17 01:16 <DIR> d-------- C:\Documents and Settings\Stig Ïyvind

2008-08-16 00:58 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-08-16 00:56 . 2008-08-16 00:56 <DIR> d-------- C:\Programfiler\Fellesfiler\Java

2008-08-15 00:17 . 2008-08-15 00:17 <DIR> d-------- C:\Programfiler\Google

2008-08-14 20:30 . 2008-08-17 01:26 <DIR> d-------- C:\Programfiler\Trend Micro

2008-08-14 20:29 . 2008-08-14 20:29 812,344 --a------ C:\Programfiler\HJTInstall.exe

2008-08-14 19:55 . 2008-08-14 19:55 <DIR> d-------- C:\WINDOWS\system32\xircom

2008-08-14 19:55 . 2008-08-14 19:55 <DIR> d-------- C:\Programfiler\microsoft frontpage

2008-08-14 19:19 . 2008-08-14 19:19 <DIR> d-------- C:\Documents and Settings\All Users\Programdata\SUPERAntiSpyware.com

2008-08-14 19:18 . 2008-08-14 20:05 <DIR> d-------- C:\Programfiler\SUPERAntiSpyware

2008-08-14 19:18 . 2008-08-14 20:05 <DIR> d-------- C:\Documents and Settings\Stig Øyvind\Programdata\SUPERAntiSpyware.com

2008-08-14 19:16 . 2008-08-14 19:16 6,467,096 --a------ C:\Programfiler\SUPERAntiSpyware.exe

2008-08-14 19:01 . 2008-08-16 00:54 <DIR> d-a------ C:\Documents and Settings\All Users\Programdata\TEMP

2008-08-14 19:00 . 2008-08-14 19:00 13,559,336 --a------ C:\Programfiler\sdsetup.exe

2008-08-14 01:02 . 2008-08-14 01:02 <DIR> d-------- C:\Programfiler\CCleaner

2008-08-14 01:00 . 2008-08-14 01:00 2,922,072 --a------ C:\Programfiler\ccsetup210.exe

2008-08-13 21:46 . 2008-05-01 16:34 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll

2008-08-12 01:36 . 2008-08-22 23:31 <DIR> d--h----- C:\$AVG8.VAULT$

2008-08-12 01:19 . 2008-08-22 08:53 <DIR> d-------- C:\WINDOWS\system32\drivers\Avg

2008-08-12 01:19 . 2008-08-12 01:19 96,520 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys

2008-08-12 01:19 . 2008-08-12 01:19 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll

2008-08-12 01:18 . 2008-08-12 01:18 <DIR> d-------- C:\Programfiler\AVG

2008-08-12 01:18 . 2008-08-12 10:55 <DIR> d-------- C:\Documents and Settings\All Users\Programdata\avg8

2008-08-12 01:07 . 2008-08-12 01:09 <DIR> d-------- C:\Documents and Settings\All Users\Programdata\Lavasoft

2008-08-12 01:00 . 2008-08-12 01:05 19,153,264 --a------ C:\Programfiler\aaw2008.exe

2008-08-12 00:58 . 2008-08-12 01:12 48,367,896 --a------ C:\Programfiler\avg_free_stf_en_8_138a1332.exe

2008-08-06 21:52 . 2008-08-13 12:42 244 --ah----- C:\sqmnoopt19.sqm

2008-08-06 21:52 . 2008-08-13 12:42 232 --ah----- C:\sqmdata19.sqm

2008-08-05 17:58 . 2008-08-13 12:41 244 --ah----- C:\sqmnoopt18.sqm

2008-08-05 17:58 . 2008-08-13 12:41 232 --ah----- C:\sqmdata18.sqm

2008-08-05 11:09 . 2008-08-13 11:50 244 --ah----- C:\sqmnoopt17.sqm

2008-08-05 11:09 . 2008-08-13 11:50 232 --ah----- C:\sqmdata17.sqm

2008-08-01 23:44 . 2008-08-13 11:44 244 --ah----- C:\sqmnoopt16.sqm

2008-08-01 23:44 . 2008-08-13 11:44 232 --ah----- C:\sqmdata16.sqm

2008-07-30 21:42 . 2008-08-13 02:08 244 --ah----- C:\sqmnoopt15.sqm

2008-07-30 21:42 . 2008-08-13 02:08 232 --ah----- C:\sqmdata15.sqm

2008-07-28 15:38 . 2008-08-13 01:27 244 --ah----- C:\sqmnoopt14.sqm

2008-07-28 15:38 . 2008-08-13 01:27 232 --ah----- C:\sqmdata14.sqm

2008-07-22 16:05 . 2008-08-13 00:29 244 --ah----- C:\sqmnoopt13.sqm

2008-07-22 16:05 . 2008-08-13 00:29 232 --ah----- C:\sqmdata13.sqm

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-22 15:22 --------- d-----w C:\Programfiler\Opera

2008-08-15 22:58 --------- d-----w C:\Programfiler\Java

2008-08-14 18:05 --------- d-----w C:\Programfiler\Fellesfiler\Wise Installation Wizard

2008-07-07 20:23 253,952 ----a-w C:\WINDOWS\system32\es.dll

2008-06-24 16:31 74,240 ----a-w C:\WINDOWS\system32\mscms.dll

2008-06-23 16:16 666,624 ----a-w C:\WINDOWS\system32\wininet.dll

2008-06-20 17:37 246,784 ----a-w C:\WINDOWS\system32\mswsock.dll

2008-04-12 21:02 1,495,112 ----a-w C:\Programfiler\install_flash_player.exe

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:03 15360]

"swg"="C:\Programfiler\Google\GoogleToolbarNotifier\1.2.1128.5462\GoogleToolbarNotifier.exe" [2008-08-15 00:17 171448]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPEnh"="C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe" [2006-08-11 18:56 794714]

"SMSERIAL"="C:\WINDOWS\sm56hlpr.exe" [1963-01-01 00:00 565248]

"QuickTime Task"="C:\Programfiler\QuickTime\qttask.exe" [2007-10-24 17:43 286720]

"Adobe Reader Speed Launcher"="C:\Programfiler\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

"HP Software Update"="C:\Programfiler\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 15:49 49152]

"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-08-12 01:18 1232152]

"SunJavaUpdateSched"="C:\Programfiler\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]

"VTTimer"="VTTimer.exe" [2006-08-03 14:53 53248 C:\WINDOWS\system32\VTTimer.exe]

 

C:\Documents and Settings\All Users\Start-meny\Programmer\Oppstart\

HP Digital Imaging Monitor.lnk - C:\Programfiler\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 19:28:24 258048]

HP Image Zone Hurtigstart.lnk - C:\Programfiler\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-04 19:50:52 53248]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=avgrsstx.dll

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"AdVantage"="C:\Programfiler\AdVantage\AdVantage.exe"

"DAEMON Tools"="C:\Programfiler\DAEMON Tools\daemon.exe" -lang 1033

"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"S3Trayp"=S3trayp.exe

"HDAudDeck"=C:\Programfiler\VIA\VIAudioi\HDADeck\HDeck.exe 1

"Adobe Reader Speed Launcher"="C:\Programfiler\Adobe\Reader 8.0\Reader\Reader_sl.exe"

"NeroFilterCheck"=C:\Programfiler\Fellesfiler\Ahead\Lib\NeroCheck.exe

"SunJavaUpdateSched"="C:\Programfiler\Java\jre1.6.0_02\bin\jusched.exe"

"GrooveMonitor"="C:\Programfiler\Microsoft Office\Office12\GrooveMonitor.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programfiler\\MSN Messenger\\msnmsgr.exe"=

"C:\\Programfiler\\MSN Messenger\\livecall.exe"=

"C:\\Programfiler\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"C:\\Programfiler\\Microsoft Office\\Office12\\GROOVE.EXE"=

"C:\\Programfiler\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"C:\\Programfiler\\AVG\\AVG8\\avgupd.exe"=

"C:\\Programfiler\\Limewire\\LimeWire.exe"=

 

R1 AvgLdx86;AVG Free AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-08-12 01:19]

R2 avg8wd;AVG Free8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-08-12 01:18]

R2 UxTuneUp;TuneUp Theme Extension;C:\WINDOWS\System32\svchost.exe [2004-08-04 01:03]

R3 S3GIGP;S3GIGP;C:\WINDOWS\system32\DRIVERS\S3gIGPm.sys [2006-09-12 10:43]

R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2006-07-03 17:11]

S3 cxbu0wdm;CardMan 3x21;C:\WINDOWS\system32\DRIVERS\cxbu0wdm.sys [2008-01-15 12:39]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

 

*Newly Created Service* - CATCHME

.

Contents of the 'Scheduled Tasks' folder

 

2008-07-04 C:\WINDOWS\Tasks\1-Click Maintenance.job

- C:\Programfiler\TuneUp Utilities 2007\SystemOptimizer.exe [2007-08-02 19:35]

 

2008-08-17 C:\WINDOWS\Tasks\WebReg psc 1600 series.job

- C:\Programfiler\HP\Digital Imaging\bin\hpqwrg.exe [2004-11-04 20:12]

.

.

------- Supplementary Scan -------

.

R0 -: HKCU-Main,Start Page = hxxp://www.startsiden.no/

R0 -: HKCU-Main,Search Page = hxxp://www.google.com

R0 -: HKCU-Main,Search Bar = hxxp://www.google.com/ie

R1 -: HKCU-SearchURL,(Default) = hxxp://www.google.com/search?q=%s

O8 -: E&xport to Microsoft Excel - C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-22 23:49:23

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-08-22 23:52:52

ComboFix-quarantined-files.txt 2008-08-22 21:52:42

ComboFix2.txt 2008-08-22 20:09:22

 

Pre-Run: 29,126,549,504 byte ledig

Post-Run: 29,147,287,552 byte ledig

 

158 --- E O F --- 2008-08-15 21:08:56

 

[phfjeld]

i dag dukket den opp mens jeg satt på facebook.virker som om de kommer bare sånn plutselig. å på opera sin søkemotor hadde d lagt seg ett tegn +answer.com som jeg ikke fikk fjernet. avinnstalerte hele opera.

 

eneste jeg har lastet ned siden sist jeg postet combofix + hijackthis er Limewire,mulig det var med noe der? ikke lastet ned noe spesielt fra limewire..

 

kjørte combofix tidligere i dag.. fjernet bare noen cookies tror jeg.

kan kjøre Combofix en gang til å poste....

 

men siden jeg fikk den første trojaneren, har nettet virket tregere eller når jeg trykker på IE knappen kan det gått gå 30-45 sekunder før startsiden begynner å komme frem. normalt er den fremme på maks 5sek.

 

Ukritisk bruk av Limewire?

Guddie luck.

[norbat]

NÅr disse trojaneren blir funnet, hvor i systemet ditt ligger de?

 

combofix-loggen viser ingen malware.

[marama]

Da kom det en trojaner igjen, er vel en av de samme som har vært funnet av avg før..

 

C:/Document and settings/stig Øyvind/lokale innstillinger/temporary internett files/CONTENT.IE5/QJ434ROH/i1[1].exe

Endret 26. august 2008 av marama

[Slafs]

C:/Document and settings/stig Øyvind/lokale innstillinger/temporary internett files/CONTENT.IE5/QJ434ROH/i1[1].exe

 

Denne har jeg sett flere meldinger på, etterfulgt av

C:\WINDOWS\system32\~.EXE

rett etter.

 

Fikk du opp denne mens du var på Facebook? Prøver å finne ut av hvordan maskinene blir infisert, mistenker at det holder å gå inn på en infisert webside, UTEN at brukerne trenger å gjøre noe mer..

[snippsat]

Dette er temp fra IE.

C:/Document and settings/stig Øyvind/lokale innstillinger/temporary internett files/CONTENT.IE5/QJ434ROH/i1[1].exe

 

Gjør dette dette så slettes den.

Greit og gjøre dette en gang iblant.

 

Last ned kjør CCleaner

'Valg'->'Avansert'. Fjern avkryssingen framfor: "bare slett midlertidige filer som er eldere enn 48 t.

Kjør og register-renser"svar ja til og reparere"-->backup svar ja når du blir spørt.

Kjør register-renser et par ganger til alle feil er borte.

Endret 26. august 2008 av SNIPPSAT

[marama]

C:/Document and settings/stig Øyvind/lokale innstillinger/temporary internett files/CONTENT.IE5/QJ434ROH/i1[1].exe

 

Denne har jeg sett flere meldinger på, etterfulgt av

C:\WINDOWS\system32\~.EXE

rett etter.

 

Fikk du opp denne mens du var på Facebook? Prøver å finne ut av hvordan maskinene blir infisert, mistenker at det holder å gå inn på en infisert webside, UTEN at brukerne trenger å gjøre noe mer..

 

ja den poppet opp på AVG når jeg var på facebook...

 

ikke trykket på noen linker, men bruker applicationene Premier league football + Norsk toppfotball daglig..