[LØST] Trojan kapret datamaskin, trenger fjernehjelp.

[Currybomb]

Halla folkens. Pc'n har nylig blitt utsatt for trojan angrep, jeg har mistanke om at jeg klarte å åpne en mail jeg ikke burde ha åpnet. Alle e-mail adressene mine har blitt kapret og det samme gjelder mine to WoW kontoer, en slags key-log.

 

Etter dette har jeg har kjørt AVG Internet Security Pro versjon og Zonealarm Forcefield, samtidig som jeg bruker Firefox No-script, ad-aware, search and destroy og cc-cleaner. AVG fant så mye som en trojan med navnet Trojan Horse Generic11.AVLZ. Denne typen Trojanen fant jeg absolutt ingenting om på google, altså " Generic11.AVLZ ".

 

Den ser foreløpig ut til å ha infected D:/system Volume Information\_restore.. og C:/system Volume Information\_restore. AVG har flyttet disse til vault, og skal ikke være skadelig så lenge jeg ikke restorer tilbake til ett tidligere punkt.

Derfor har jeg fjernet alle tidligere punktene på system restore og slått på igjen. Men saken er at jeg synes dette er utrolig skummelt, jeg har blitt utrolig paranoid når det gjelder å skrive personlige informasjon. Derfor vil jeg bare forsikre meg om dette har virkelig klart å gjøre susen, eller om Pc'n forsatt er i faresonen.

 

Jeg har kjørt Malwarebytes'Anti-Malware og foreløpig ser loggen ut sånn:

 

Malwarebytes' Anti-Malware 1.28

Database versjon: 1268

Windows 5.1.2600 Service Pack 3

 

14.10.2008 18:52:55

mbam-log-2008-10-14 (18-52-55).txt

 

Skanntype: Full Skann (C:\|D:\|)

Objekter skannet: 188199

Tid tilbakelagt: 1 hour(s), 31 minute(s), 37 second(s)

 

Minneprosesser infisert: 0

Minnemoduler infisert: 0

Registernøkler infisert: 0

Registerverdier infisert: 0

Registerfiler infisert: 0

Mapper infisert: 0

Filer infisert: 0

 

Minneprosesser infisert:

(Ingen mistenkelige filer funnet)

 

Minnemoduler infisert:

(Ingen mistenkelige filer funnet)

 

Registernøkler infisert:

(Ingen mistenkelige filer funnet)

 

Registerverdier infisert:

(Ingen mistenkelige filer funnet)

 

Registerfiler infisert:

(Ingen mistenkelige filer funnet)

 

Mapper infisert:

(Ingen mistenkelige filer funnet)

 

Filer infisert:

(Ingen mistenkelige filer funnet)

_________________________

 

Jeg kjørte også Combofix, loggen ser foreløpig sånn ut.

 

ComboFix 08-10-12.01 - Eier 2008-10-14 19:04:51.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1044.18.1402 [GMT 2:00]

Running from: C:\Documents and Settings\Eier\Skrivebord\ComboFix.exe

* Created a new restore point

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

----- BITS: Possible infected sites -----

 

hxxp://www.graboid.com

.

((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_AVGRKX86

 

 

((((((((((((((((((((((((( Files Created from 2008-09-14 to 2008-10-14 )))))))))))))))))))))))))))))))

.

 

No new files created in this timespan

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"DAEMON Tools Lite"="C:\Programfiler\DAEMON Tools Lite\daemon.exe" [2008-08-08 490952]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-05-22 8433664]

"Adobe Reader Speed Launcher"="C:\Programfiler\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]

"LManager"="C:\PROGRA~1\LAUNCH~1\LManager.exe" [2007-06-27 752136]

"SunJavaUpdateSched"="C:\Programfiler\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"QuickTime Task"="C:\Programfiler\QuickTime\QTTask.exe" [2008-09-06 413696]

"AppleSyncNotifier"="C:\Programfiler\Fellesfiler\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-09-03 111936]

"iTunesHelper"="C:\Programfiler\iTunes\iTunesHelper.exe" [2008-09-08 289576]

"ISW"="C:\Programfiler\CheckPoint\ZAForceField\ForceField.exe" [2008-07-24 445688]

"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-10-02 1235736]

"nwiz"="nwiz.exe" [2007-05-22 C:\WINDOWS\system32\nwiz.exe]

"RTHDCPL"="RTHDCPL.EXE" [2007-05-10 C:\WINDOWS\RTHDCPL.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 15360]

 

C:\Documents and Settings\Murtaza\Start-meny\Programmer\Oppstart\

Adobe Gamma.lnk - C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664]

 

C:\Documents and Settings\All Users\Start-meny\Programmer\Oppstart\

Mobilt bredb†nd.lnk - C:\Programfiler\Telenor\Mobilt bredb†nd\Mobilt bredb†nd.exe [2008-02-11 876544]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=avgrsstx.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools Lite]

--a------ 2008-08-08 14:11 490952 C:\Programfiler\DAEMON Tools Lite\daemon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2008-04-14 18:23 1695232 C:\Programfiler\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent]

--a------ 2007-10-10 07:28 36352 C:\Programfiler\Winamp\winampa.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"D:\\Spill\\F.E.A.R\\F.E.A.R\\FEARMP.exe"=

"D:\\Spill\\F.E.A.R\\F.E.A.R\\FEAR.exe"=

"C:\\WINDOWS\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"C:\\Programfiler\\Bonjour\\mDNSResponder.exe"=

"C:\\Programfiler\\iTunes\\iTunes.exe"=

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programfiler\\MSN Messenger\\msnmsgr.exe"=

"C:\\Programfiler\\MSN Messenger\\livecall.exe"=

"D:\\Spill\\F.E.A.R\\F.E.A.R\\FEARXP\\FEARXP.exe"=

"C:\\Programfiler\\AVG\\AVG8\\avgemc.exe"=

"C:\\Programfiler\\AVG\\AVG8\\avgupd.exe"=

"C:\\Programfiler\\AVG\\AVG8\\avgnsx.exe"=

 

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{7d33abe4-6539-11dd-b73c-80683ba2978f}]

\Shell\AutoRun\command - G:\LaunchU3.exe -a

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{9166fc37-6c9d-11dd-b771-001e4c07eac5}]

\Shell\AutoRun\command - H:\setup.exe AUTORUN=1

 

*Newly Created Service* - AVGRKX86

.

Contents of the 'Scheduled Tasks' folder

 

2008-10-03 C:\WINDOWS\Tasks\1-Click Maintenance.job

- C:\Programfiler\TuneUp Utilities 2008\OneClick.exe [2008-04-16 09:59]

 

2008-10-03 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job

- C:\Programfiler\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

.

- - - - ORPHANS REMOVED - - - -

 

MSConfigStartUp-Steam - D:\Spill\\Steam.exe

 

 

.

------- Supplementary Scan -------

.

R1 -: HKCU-Internet Settings,ProxyOverride = *.local

 

O16 -: {1E54D648-B804-468d-BC78-4AFFED8E262E} - hxxp://www.srtest.com/srl_bin/sysreqlab3.cab

C:\WINDOWS\Downloaded Program Files\SysReqLab3.osd

C:\WINDOWS\Downloaded Program Files\sysreqlab3.dll

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-10-14 19:10:33

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

------------------------ Other Running Processes ------------------------

.

C:\Programfiler\Lavasoft\Ad-Aware\aawservice.exe

C:\Programfiler\CheckPoint\ZAForceField\ISWSVC.exe

C:\Programfiler\Fellesfiler\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Programfiler\AVG\AVG8\avgwdsvc.exe

C:\Programfiler\AVG\AVG8\avgfws8.exe

C:\Programfiler\Telenor\Mobilt bredbånd\Mobilt bredbånd.exe

C:\Programfiler\Bonjour\mDNSResponder.exe

C:\Programfiler\Telenor\Mobilt bredbånd\GtDetectSc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\PROGRA~1\AVG\AVG8\avgam.exe

C:\DOCUME~1\Murtaza\LOKALE~1\Temp\RtkBtMnt.exe

C:\PROGRA~1\AVG\AVG8\avgnsx.exe

C:\Programfiler\CheckPoint\ZAForceField\ISWMGR.exe

C:\Programfiler\CheckPoint\ZAForceField\ISWMGR.exe

C:\PROGRA~1\AVG\AVG8\avgemc.exe

C:\Programfiler\iPod\bin\iPodService.exe

C:\Programfiler\AVG\AVG8\avgrsx.exe

.

**************************************************************************

.

Completion time: 2008-10-14 19:13:49 - machine was rebooted

ComboFix-quarantined-files.txt 2008-10-14 17:13:42

 

Pre-Run: 67 924 504 576 byte ledig

Post-Run: 67,950,018,560 byte ledig

 

131 --- E O F --- 2008-09-15 21:05:48

 

Jeg setter utrolig pris på om noen kyndige personer kunne ha analysert loggene mine. Hjertelig takk på forhånd å ikke nøl med å fortelle meg om jeg event bør gi mer informasjon.

Endret 14. oktober 2008 av arian

[michael691]

Kan du ikke boote i (hva faen heter det igjen? har tenkt i 5 minutter nå. ) Jaja der skjermen blir svart og oppløsningen er på 800x600 og du har ikke internett tilgang etc. og kjøre antivirus, som avast. Det burde gjøre susen. gjorde på meg

[Pizzaen]

Kan du ikke boote i (hva faen heter det igjen? har tenkt i 5 minutter nå. ) Jaja der skjermen blir svart og oppløsningen er på 800x600 og du har ikke internett tilgang etc. og kjøre antivirus, som avast. Det burde gjøre susen. gjorde på meg

 

Sikkerhetsmodus ?

[norbat]

Loggene dine er greie ut.

Kjører pc'n ok?

[michael691]

Kan du ikke boote i (hva faen heter det igjen? har tenkt i 5 minutter nå. ) Jaja der skjermen blir svart og oppløsningen er på 800x600 og du har ikke internett tilgang etc. og kjøre antivirus, som avast. Det burde gjøre susen. gjorde på meg

 

Sikkerhetsmodus ?

 

 

JAA!!! Det var det! HAH. Takk.

[Currybomb]

Takker for raske svar! tok meg en matbit. Arild_Banankake jeg er temmelig sikker på at jeg har funnet synderen, jeg vil bare forsikre meg om jeg har fjernet den. ;--)

 

norbat pc'n virker mer eller mindre som den skal, men flott at loggene ser bra ut. takk for du tok deg tid!

[r2d290]

Dersom du mener at problemet med maskinen din er løst, kan du endre emnetittelen din, ved å trykke på i førsteposten din, og velge full endring. Øverst der emnetittelen din er, skriver du:

[LØST]

foran emnetittelen din.

 

Eks: [LØST] Har fått virus på maskinen

 

Dette vil være med på å holde forumet mer oversiktlig for supporterne, samt at nye folk som får samme problemet lettere vil finne en passende tråd å se i.

 

-Surf trygt-

[Currybomb]

Er en ting jeg undrer meg over, hvorfor har det seg sånn at denne typen " Trojan Horse Generic11.AVLZ " trojanen som jeg ble rammet av ikke eksisterer på google ? er det en sjelden variant eller er det bare jeg som har misforstått ?

[r2d290]

Hvis du prøver å fjerne "AVLZ", får du plutselig 26700 treff

 

Er en del malware som genererer et unikt navn i hvert tilfelle for at det skal bli vanskeligere for antimalware-programmer å gjenkjenne dem...

 

 

edit: glemte nesten en viktig ting:

 

Combofix må avinstalleres.

 

Gå til Start > Kjør

Skriv følgende i boksen:

• combofix /u
  

PS: legg merke til mellomrommet mellom X og /u

 

Trykk Enter.

 

Denne kommandoen vil:

• Fjerne følgende:
  • ComboFix og dets tilhørende filer og mapper.
    VundoFix backups, hvis de eksisterer.
    Mappen C:\Deckard, hvis den eksisterer
    Mappen C:\OtMoveIt, hvis den eksisterer
    

  [*] Nullstille klokke-instillingene.

   

  [*] Skjule filetternavn hvis det er nødvendig.

   

  [*] Skjule System/Skjulte filer og mapper hvis det er nødvendig.

   

  [*] Nullstille systemgjennoprettingspunkter.

Endret 14. oktober 2008 av r2d290