DementedAlbino Skrevet 25. september 2008 Del Skrevet 25. september 2008 Jeg har store problemer med pcene mine her i hus om dagen. Når jeg logget på filserveren merket jeg at et program som heter email spider kjørte og samlet drøssevis med epostadresser. I tillegg har jeg fått et program som heter mass send, og regner med dette henger samme på et vis. I tillegg er der kommet et program som heter team viewer. Dette har nå skjedd på to av maskinene mine, en med xp og en med vista. Jeg kjører avg free på de begge sammen med windows sin brannmur, det er stort sett alt som er av sikkerhet på maskinene. Problemet er jo at maskinene står på konstant, og jeg på ett vis må klare å sikre de bedre mot slike ting, samt fjerne det som alt er kommet. Spørsmålet mitt er da hvordan jeg enkelt og greit kan bli kvitt alt dritt på maskinen uten å måtte formatere og legge inn alt på nytt. Lenke til kommentar
Svenni212000 Skrevet 25. september 2008 Del Skrevet 25. september 2008 (endret) Start med å poste loggene fra følgende fire programmer: SUPERAntiSpyware Free {-Kjør Full Scan-} Dr.Web CureIt! {-Kjør Full Scan-} Combofix og til slutt; HijackThis Endret 25. september 2008 av Svenni212000 Lenke til kommentar
DementedAlbino Skrevet 25. september 2008 Forfatter Del Skrevet 25. september 2008 (endret) Her er resultatene: Antispyware fant 1 sak: bluescreen.scr ComboFix 08-09-25.01 - Administrator 2008-09-25 19:34:12.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1044.18.482 [GMT 2:00] Running from: C:\Documents and Settings\Administrator\Skrivebord\ComboFix.exe * Created a new restore point WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((((( Files Created from 2008-08-25 to 2008-09-25 ))))))))))))))))))))))))))))))) . 2008-09-25 03:00 . 2008-09-25 03:00 <DIR> d-------- C:\WINDOWS\LastGood.Tmp 2008-09-24 20:57 . 2008-09-25 16:58 <DIR> dr-h----- C:\Documents and Settings\Administrator\Siste 2008-09-24 16:44 . 2008-09-24 16:44 <DIR> d-------- C:\nt 2008-09-24 15:31 . 2001-10-06 13:36 12,160 --a------ C:\WINDOWS\system32\drivers\mouhid.sys 2008-09-24 15:31 . 2008-04-13 20:45 10,368 --a------ C:\WINDOWS\system32\drivers\hidusb.sys 2008-09-24 11:18 . 2004-08-04 02:03 221,184 --a------ C:\WINDOWS\system32\wmpns.dll 2008-09-24 11:13 . 2008-09-24 11:13 <DIR> d-------- C:\WINDOWS\system32\no 2008-09-24 11:13 . 2008-09-24 11:13 <DIR> d-------- C:\WINDOWS\system32\bits 2008-09-24 11:13 . 2008-09-24 11:13 <DIR> d-------- C:\WINDOWS\l2schemas 2008-09-24 11:11 . 2008-09-24 11:11 <DIR> d-------- C:\WINDOWS\ServicePackFiles 2008-09-24 04:34 . 2003-06-28 08:56 229,487 --a------ C:\WINDOWS\system32\jpicpl32.cpl 2008-09-24 04:29 . 2008-09-24 20:27 <DIR> d-------- C:\Documents and Settings\Administrator\temp 2008-09-15 18:14 . 2008-09-15 18:14 <DIR> d-------- C:\Programfiler\HD Tune Pro 2008-09-10 18:41 . 2008-06-27 16:40 1,315,776 --a------ C:\WINDOWS\system32\drivers\athw.sys 2008-09-08 08:38 . 2008-09-08 08:38 <DIR> d-------- C:\Programfiler\SUPERAntiSpyware 2008-09-08 08:38 . 2008-09-08 08:38 <DIR> d-------- C:\Documents and Settings\All Users\Programdata\SUPERAntiSpyware.com 2008-09-08 08:38 . 2008-09-08 08:38 <DIR> d-------- C:\Documents and Settings\Administrator\Programdata\SUPERAntiSpyware.com 2008-09-08 07:01 . 2008-09-08 07:01 <DIR> d-------- C:\Documents and Settings\Administrator\Programdata\Malwarebytes 2008-09-08 07:00 . 2008-09-08 07:00 <DIR> d-------- C:\Documents and Settings\All Users\Programdata\Malwarebytes 2008-09-03 11:04 . 2008-04-14 18:21 1,888,992 --------- C:\WINDOWS\system32\ati3duag.dll . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-09-25 17:35 --------- d-----w C:\Documents and Settings\Administrator\Programdata\uTorrent 2008-09-25 17:34 --------- d-----w C:\Programfiler\LogMeIn 2008-09-25 17:13 --------- d-----w C:\Programfiler\Fellesfiler\Nero 2008-09-24 18:50 --------- d-----w C:\Documents and Settings\All Users\Programdata\avg8 2008-09-24 02:34 --------- d--h--w C:\Programfiler\InstallShield Installation Information 2008-09-24 02:34 --------- d-----w C:\Programfiler\Java 2008-09-24 02:34 --------- d-----w C:\Programfiler\Fellesfiler\InstallShield 2008-09-08 06:38 --------- d-----w C:\Programfiler\Fellesfiler\Wise Installation Wizard 2008-08-30 07:15 97,928 ----a-w C:\WINDOWS\system32\drivers\avgldx86.sys 2003-09-02 05:55 1,406 ----a-w C:\Programfiler\favicon.ico . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360] "DAEMON Tools Lite"="C:\Programfiler\DAEMON Tools Lite\daemon.exe" [2008-02-14 486856] "uTorrent"="C:\Programfiler\uTorrent\uTorrent.exe" [2008-08-13 267056] "Gadwin PrintScreen"="C:\Programfiler\Gadwin Systems\PrintScreen\PrintScreen.exe" [2007-08-20 495616] "G6FTP Server Tray Monitor"="C:\Programfiler\Gene6 FTP Server\G6FTPTray.exe" [2007-02-05 78336] "Orb"="C:\Programfiler\Orb Networks\Orb\bin\OrbTray.exe" [2007-12-18 471040] "SUPERAntiSpyware"="C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-04-20 142104] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-04-20 162584] "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-04-20 138008] "SoundMAXPnP"="C:\Programfiler\Analog Devices\Core\smax4pnp.exe" [2007-03-16 868352] "TrueImageMonitor.exe"="C:\Programfiler\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-09-14 2595480] "AcronisTimounterMonitor"="C:\Programfiler\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-09-14 905056] "Acronis Scheduler2 Service"="C:\Programfiler\Fellesfiler\Acronis\Schedule2\schedhlp.exe" [2007-09-14 140568] "LogMeIn GUI"="C:\Programfiler\LogMeIn\x86\LogMeInSystray.exe" [2007-08-03 63048] "AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-08-30 1235736] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce] "nltide_2"="shell32" [X] "nltide_3"="advpack.dll" [2008-06-23 C:\WINDOWS\system32\advpack.dll] C:\Documents and Settings\Administrator\Start-meny\Programmer\Oppstart\ No-IP DUC.lnk - C:\Programfiler\No-IP\DUC20.exe [2008-03-04 1172992] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer] "ForceClassicControlPanel"= 1 (0x1) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programfiler\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] 2008-07-23 16:28 352256 C:\Programfiler\SUPERAntiSpyware\SASWINLO.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit] 2008-05-28 12:32 87352 C:\WINDOWS\system32\LMIinit.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows] "AppInit_DLLs"=avgrsstx.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "C:\\Programfiler\\RealVNC\\VNC4\\winvnc4.exe"= "C:\\Programfiler\\uTorrent\\uTorrent.exe"= "C:\\Programfiler\\Gene6 FTP Server\\G6FTPServer.exe"= "C:\\Programfiler\\Orb Networks\\Orb\\bin\\Orb.exe"= "C:\\Programfiler\\Orb Networks\\Orb\\bin\\OrbTray.exe"= "C:\\Programfiler\\Orb Networks\\Orb\\bin\\OrbStreamerClient.exe"= "C:\\Programfiler\\Orb Networks\\Orb\\bin\\OrbChannelScan.exe"= "C:\\Programfiler\\AVG\\AVG8\\avgupd.exe"= "C:\\Programfiler\\AVG\\AVG8\\avgemc.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009 R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-03-05 368736] R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-08-30 97928] R2 avg8emc;AVG8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-08-30 875288] R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-08-30 231704] R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-07-06 76040] R2 G6FTPServer;Gene6 FTP Server;C:\Programfiler\Gene6 FTP Server\G6FTPSERVER.EXE [2007-02-05 423936] R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Programfiler\LogMeIn\x86\RaInfo.sys [2008-02-28 12856] R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sys [2008-03-07 45848] R2 NMSAccessU;NMSAccessU;C:\Programfiler\CDBurnerXP\NMSAccessU.exe [2008-03-09 71096] R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programfiler\Fellesfiler\Acronis\Fomatik\TrueImageTryStartService.exe [2007-09-14 492600] S0 SI3112R;SI3112R;C:\WINDOWS\system32\drivers\SI3112R.sys [2008-01-14 110128] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0422c8e3-ea3f-11dc-8012-0018f303e241}] \Shell\AutoRun\command - E:\Launch.exe /run . Contents of the 'Scheduled Tasks' folder . . ------- Supplementary Scan ------- . R0 -: HKCU-Main,Start Page = hxxp://www.google.no/ R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://dt-updates.com/activate?query=2fLDnrjsmki9gPH8xytveaHUYqMb37LpJgABbnyMWqlDBGOFs8DurUSQWE2vzMPtGDHTrMm4XoK8FaOocgDq LTCJd5OeUa3w1cQUogGsw7rzUTZ3r%2b00XiAyXP7TVVWXlQL5cawr3rVIcRisvz8hMlkd7lCyo4RrwQZLSkvEGoh8sEEAgztUiuj4%2fFaXJ70Dayz708sKgGred6lAvtfnPfl0Ri%2bJbBd4qUarObGlMEaSZg%2bUehu%2b2SdjBdMEO8Bkq0y2oXC%2bCrk14HJSTQwztOQhgBYZhdX24UPEAfnwfo%3d . ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-09-25 19:37:41 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: C:\WINDOWS\explorer.exe -> ?:\WINDOWS\System32\CSCDLL.dll . ------------------------ Other Running Processes ------------------------ . C:\Programfiler\Windows Defender\MsMpEng.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programfiler\LogMeIn\x86\LMIGuardian.exe C:\Programfiler\Fellesfiler\Acronis\Schedule2\schedul2.exe C:\Programfiler\Orb Networks\Orb\bin\Orb.exe C:\Programfiler\LogMeIn\x86\ramaint.exe C:\Programfiler\LogMeIn\x86\LogMeIn.exe C:\Programfiler\LogMeIn\x86\LMIGuardian.exe C:\Programfiler\RealVNC\VNC4\winvnc4.exe C:\WINDOWS\system32\WgaTray.exe C:\ComboFix\pv.cfexe C:\Programfiler\AVG\AVG8\avgrsx.exe . ************************************************************************** . Completion time: 2008-09-25 19:39:43 - machine was rebooted ComboFix-quarantined-files.txt 2008-09-25 17:39:37 Pre-Run: 24 407 015 424 byte ledig Post-Run: 24,463,130,624 byte ledig 154 --- E O F --- 2008-09-25 01:00:25 ComboFix.exe\32788R22FWJFW\C.bat;C:\Documents and Settings\Administrator\Skrivebord\ComboFix.exe;Sannsynlighvis BATCH.Virus;; ComboFix.exe\32788R22FWJFW\List-C.bat;C:\Documents and Settings\Administrator\Skrivebord\ComboFix.exe;Sannsynlighvis BATCH.Virus;; ComboFix.exe\32788R22FWJFW\psexec.cfexe;C:\Documents and Settings\Administrator\Skrivebord\ComboFix.exe;Program.PsExec.171;; ComboFix.exe;C:\Documents and Settings\Administrator\Skrivebord;Arkiv inneholder infiserte objekter;; scan.exe;C:\nt\nt;Exploit.ANIFile;Slettet.; A0000003.bat;C:\System Volume Information\_restore{DBE0D060-520B-490D-A073-964D63160026}\RP2;Sannsynlighvis BATCH.Virus;; A0000033.EXE;C:\System Volume Information\_restore{DBE0D060-520B-490D-A073-964D63160026}\RP2;Program.PsExec.170;; A0000037.bat;C:\System Volume Information\_restore{DBE0D060-520B-490D-A073-964D63160026}\RP2;Sannsynlighvis BATCH.Virus;; A0000106.exe;C:\System Volume Information\_restore{DBE0D060-520B-490D-A073-964D63160026}\RP2;Exploit.ANIFile;Slettet.; ic3D3.cab\ck.exe;D:\Shares\Software\PC\Easy Divx\EasyDivX_0820_standard.exe\ic3D3.cab;Tool.Prockill;; ic3D3.cab;D:\Shares\Software\PC\Easy Divx\EasyDivX_0820_standard.exe;Arkiv inneholder infiserte objekter;; EasyDivX_0820_standard.exe;D:\Shares\Software\PC\Easy Divx;Arkiv inneholder infiserte objekter;Flyttet.; ic3D3.cab\ck.exe;D:\System Volume Information\_restore{DBE0D060-520B-490D-A073-964D63160026}\RP2\A0000125.exe\ic3D3.cab;Tool.Prockill;; ic3D3.cab;D:\System Volume Information\_restore{DBE0D060-520B-490D-A073-964D63160026}\RP2\A0000125.exe;Arkiv inneholder infiserte objekter;; A0000125.exe;D:\System Volume Information\_restore{DBE0D060-520B-490D-A073-964D63160026}\RP2;Arkiv inneholder infiserte objekter;Flyttet.; Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 22:55:17, on 25.09.2008 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.20861) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programfiler\Windows Defender\MsMpEng.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\Programfiler\Fellesfiler\Acronis\Schedule2\schedul2.exe C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe C:\Programfiler\Gene6 FTP Server\G6FTPSERVER.EXE C:\PROGRA~1\AVG\AVG8\avgrsx.exe C:\Programfiler\LogMeIn\x86\RaMaint.exe C:\Programfiler\LogMeIn\x86\LogMeIn.exe C:\Programfiler\LogMeIn\x86\LMIGuardian.exe C:\Programfiler\CDBurnerXP\NMSAccessU.exe C:\Programfiler\Fellesfiler\Acronis\Fomatik\TrueImageTryStartService.exe C:\Programfiler\RealVNC\VNC4\WinVNC4.exe C:\PROGRA~1\AVG\AVG8\avgemc.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programfiler\Analog Devices\Core\smax4pnp.exe C:\Programfiler\Acronis\TrueImageHome\TrueImageMonitor.exe C:\Programfiler\Acronis\TrueImageHome\TimounterMonitor.exe C:\WINDOWS\system32\igfxsrvc.exe C:\Programfiler\Fellesfiler\Acronis\Schedule2\schedhlp.exe C:\Programfiler\LogMeIn\x86\LogMeInSystray.exe C:\PROGRA~1\AVG\AVG8\avgtray.exe C:\WINDOWS\system32\ctfmon.exe C:\Programfiler\LogMeIn\x86\LMIGuardian.exe C:\Programfiler\DAEMON Tools Lite\daemon.exe C:\Programfiler\uTorrent\uTorrent.exe C:\Programfiler\Gadwin Systems\PrintScreen\PrintScreen.exe C:\WINDOWS\System32\svchost.exe C:\Programfiler\Gene6 FTP Server\G6FTPTray.exe C:\Programfiler\Orb Networks\Orb\bin\OrbTray.exe C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe C:\Programfiler\No-IP\DUC20.exe C:\Programfiler\Orb Networks\Orb\bin\Orb.exe C:\Torrent\launch.exe C:\DOCUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\_start.exe C:\DOCUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\setup.exe C:\Documents and Settings\Administrator\Skrivebord\HiJackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.no/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://dt-updates.com/activate?query=2fLDn...X24UPEAfnwfo%3d R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programfiler\AVG\AVG8\avgssie.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [soundMAXPnP] C:\Programfiler\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programfiler\Acronis\TrueImageHome\TrueImageMonitor.exe O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programfiler\Acronis\TrueImageHome\TimounterMonitor.exe O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programfiler\Fellesfiler\Acronis\Schedule2\schedhlp.exe" O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programfiler\LogMeIn\x86\LogMeInSystray.exe" O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programfiler\DAEMON Tools Lite\daemon.exe" -autorun O4 - HKCU\..\Run: [uTorrent] "C:\Programfiler\uTorrent\uTorrent.exe" O4 - HKCU\..\Run: [Gadwin PrintScreen] C:\Programfiler\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash O4 - HKCU\..\Run: [G6FTP Server Tray Monitor] "C:\Programfiler\Gene6 FTP Server\G6FTPTray.exe" O4 - HKCU\..\Run: [Orb] C:\Programfiler\Orb Networks\Orb\bin\OrbTray.exe O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETTVERKSTJENESTE') O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user') O4 - Startup: No-IP DUC.lnk = C:\Programfiler\No-IP\DUC20.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programfiler\AVG\AVG8\avgpp.dll O20 - AppInit_DLLs: avgrsstx.dll O20 - Winlogon Notify: !SASWinLogon - C:\Programfiler\SUPERAntiSpyware\SASWINLO.dll O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programfiler\Fellesfiler\Acronis\Schedule2\schedul2.exe O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing) O23 - Service: Gene6 FTP Server (G6FTPServer) - Gene6 - C:\Programfiler\Gene6 FTP Server\G6FTPSERVER.EXE O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Programfiler\LogMeIn\x86\RaMaint.exe O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Programfiler\LogMeIn\x86\LogMeIn.exe O23 - Service: NMSAccessU - Unknown owner - C:\Programfiler\CDBurnerXP\NMSAccessU.exe O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programfiler\Fellesfiler\Acronis\Fomatik\TrueImageTryStartService.exe O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programfiler\RealVNC\VNC4\WinVNC4.exe -- End of file - 7238 bytes SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 09/26/2008 at 10:35 PM Application Version : 4.21.1004 Core Rules Database Version : 3579 Trace Rules Database Version: 1567 Scan type : Complete Scan Total Scan Time : 00:18:01 Memory items scanned : 449 Memory threats detected : 0 Registry items scanned : 3995 Registry threats detected : 0 File items scanned : 18124 File threats detected : 1 NotHarmful.Sysinternals Bluescreen Screen Saver C:\SYSTEM VOLUME INFORMATION\_RESTORE{DBE0D060-520B-490D-A073-964D63160026}\RP2\A0000123.SCR Så hva kan jeg gjøre her for å unngå at email spider og annet kommer tilbake, samt få alt fjernet for godt? Endret 26. september 2008 av svortevik Lenke til kommentar
DementedAlbino Skrevet 26. september 2008 Forfatter Del Skrevet 26. september 2008 Ingen som har noen tips her og kan tyde logfilene for meg? Lenke til kommentar
DementedAlbino Skrevet 26. september 2008 Forfatter Del Skrevet 26. september 2008 Ett merkelig problem til nå. Når jeg velger "tøm papirkurven" får jeg spørsmål om jeg er sikker på at jeg vil slette windows. Åpner jeg papirkurven er den tom. Skjønner ikke en dritt av pcen min om dagen. Lenke til kommentar
r2d290 Skrevet 26. september 2008 Del Skrevet 26. september 2008 (endret) Hvis du nylig har kjørt SUPERAntiSpyware og/eller MBAM, bør du poste logge de lager. Endret 26. september 2008 av r2d290 Lenke til kommentar
DementedAlbino Skrevet 26. september 2008 Forfatter Del Skrevet 26. september 2008 Hva er MBAM? Skal få lagt ut log av de programmene du be om også i tillegg til de loggene jeg alt har lagt ut. Lenke til kommentar
DementedAlbino Skrevet 26. september 2008 Forfatter Del Skrevet 26. september 2008 Da er posten lengre oppe oppdatert med ny logg fra super antispyware. Lenke til kommentar
Mr Morden Skrevet 26. september 2008 Del Skrevet 26. september 2008 MBAM står for Malwarebytes' Anti-Malware og er et gratis anti-malware program sånn som SUPERAntiSpyware, det kan hentes her http://www.malwarebytes.org Lenke til kommentar
r2d290 Skrevet 26. september 2008 Del Skrevet 26. september 2008 (endret) MBAM står for Malwarebytes' Anti-Malware og er et gratis anti-malware program sånn som SUPERAntiSpyware, det kan hentes her http://www.malwarebytes.org ...som igjen er noe TS har hatt siden 8. september: 2008-09-08 07:00 . 2008-09-08 07:00 <DIR> d-------- C:\Documents and Settings\All Users\Programdata\Malwarebytes edit: men jeg klarer ikke hjelpe deg lenger nå... Får håpe noen av de andre har noen gode tips Endret 26. september 2008 av r2d290 Lenke til kommentar
Mr Morden Skrevet 26. september 2008 Del Skrevet 26. september 2008 Beklager var bare ment som hjelp siden han spurte om MBAM. jeg skulle nok ha sett litt på loggene. Mente ikke å blande meg inn altså Lenke til kommentar
DementedAlbino Skrevet 26. september 2008 Forfatter Del Skrevet 26. september 2008 Mulig jeg har fått fjernet alt som var noe problem, så er bare å vente å se nå hvordan det går videre. To dager uten at email spider er kommet på plass igjen nå, det må jo være en bra ting:) Lenke til kommentar
snippsat Skrevet 27. september 2008 Del Skrevet 27. september 2008 (endret) Loggene ser greie ut. Du har noe som kjører fra temp som er greit og få fjernet. Start->kjør->%temp% <slett alle filer her> Problemer bruker du denne Unlocker email spider kjørte og samlet drøssevis med epostadresser Ja er vel noen som har innstalert denne da. http://www.gsa-online.de/eng/email_parser.html Du kan fjerne combofix ved å skrive combofix /u fra kjør-vinduet. Denne kommandoen gjør at filer i karantene og backups blir slette. Systemgjenopprettingsmappa nullstilt etc. Surf trygt. Endret 27. september 2008 av SNIPPSAT Lenke til kommentar
DementedAlbino Skrevet 27. september 2008 Forfatter Del Skrevet 27. september 2008 (endret) Ja jeg skjønner jo at noen har lagt inn email spider. Men er ingen som har tilgang til maskinen. Den styres via vnc og logmein, og står plassert innelåst i en bod. Sletter ikke ccleaner temp filer? Er forresten ikke den spideren du linker til der, men en som kjører i java, ser utrolig crapy ut. Endret 27. september 2008 av svortevik Lenke til kommentar
snippsat Skrevet 27. september 2008 Del Skrevet 27. september 2008 (endret) Sletter ikke ccleaner temp filer? Ikke alltid den tar med alt. Var disse jeg tenkte på C:\DOCUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\_start.exe C:\DOCUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\setup.exe Ja noen har innstalert denne oss deg. Den er ikke maleware som innstalerer seg selv. http://www.email-business.com/products/email_spider_en.htm Endret 27. september 2008 av SNIPPSAT Lenke til kommentar
DementedAlbino Skrevet 27. september 2008 Forfatter Del Skrevet 27. september 2008 Så da vil det jo si at noen har tilgang til maskinen min på ett vis:( Må vel være via vnc, orb eller logmein? Hvem tror dere her kan være synderen? Når jeg kom hjem i dag så jeg at de har brukt min maskin til å surfe på nett. En del sider i loggen, og den maskinen brukes aldri til slikt. Hva bør jeg gjøre her for å bli kvitt en eventuelt bruker som har tilgang? Lenke til kommentar
snippsat Skrevet 28. september 2008 Del Skrevet 28. september 2008 (endret) Du må bytte passord på logmein. Har du andrer passord vnc,orb,msn bytter du ut passord dem og. Innstalerer er brannmur,anbefaler Comodo som er gratis. Endret 28. september 2008 av SNIPPSAT Lenke til kommentar
inigomontoya Skrevet 1. oktober 2008 Del Skrevet 1. oktober 2008 Sjekk også at alle systemene du bruker til remote access er satt opp med kryptering da flere løsninger sender passordet i klartekst. Noe som lett kan fanges opp av folk som vet hva de gjør (uten å nevne spesifikke programnavn her) Lenke til kommentar
DementedAlbino Skrevet 1. oktober 2008 Forfatter Del Skrevet 1. oktober 2008 Jeg fjernet logmein og orb, byttet passord på vnc, men er likevel noe som skjer på maskinen min. I dag når jeg kom hjem var følgende ting nytt på maskinen: - Tarantula I tillegg kan dere se på bildet under en ting som kjørte når jeg sjekket pcen. Kanskje noen her kan tyde hva som skjer. Blir helt stresset jeg. Hva kan jeg gjøre for å slippe unna dette styret? Tar imot alt av tips her. Lenke til kommentar
snippsat Skrevet 1. oktober 2008 Del Skrevet 1. oktober 2008 (endret) Dem kommer inn mellom real vnc. Fjern den må du bruke den last ned nyeste versjon og nytt passord. Ikke samme slengen innstalerer du comodo som er en super brannvegg. Den stenger alle porter på pc,kun de program du godkjenner åpener den porter til. Ikke så ukjent dette med real vnc. http://www.google.no/search?hl=no&q=re...3%B8k&meta= Endret 1. oktober 2008 av SNIPPSAT Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå