a_aa Skrevet 17. november 2008 Del Skrevet 17. november 2008 (endret) Kjører XP SP3 på en maskin som nærmer seg 7 år, og jeg er blant dem som har klart meg ganske godt med XPs brannmur, online-scanner (TrendMicro og Eset) og en smule forsiktighet når jeg er på nett. Lørdag 15 nov var jeg nok ikke tilstrekkelig forsiktig - da plukket jeg opp min første alvorlige infeksjon, som ble virkelig plagsom etter en omstart av maskinen igår. Har vanligvis rundt 40 prosesser gående, men kort tid etter at jeg koblet meg til nett var maskinen oppe i 70 - og da var det iexplore og svchost til den store gullmedlaje. Minnebruk gikk i taket. Etter å lest litt her, lastet jeg ned og kjørte både MBAM og ComboFix. Fant trojanere og rootkits, som den forsøkte å fjerne - men så snart maskinen ble koplet til nett, startet nedlasting av svineri, og vips var vi tilbake til utgangspunktet. Antok at det var kødd med korrupte systemfiler, så jeg kjørte rensk med MBAM for deretter (med blokkert nettiltgang) å gjenopprette systemet til onsdag i forrige uke (tror faktisk det er første gang jeg bruker systemgjennoppretting på alle disse åra...). Det ser ut som det gjorde susen. Kjørte nettopp full scan med MBAM som da kun fant svineri i en karantene-mappe og i restore-filer som jeg da ba om ble fjernet (den klagde også på flashmute, men den lot jeg være). Håper noen som er mer kyndige enn meg kan ta en titt på ComboFix-loggen - ser det greit ut? ComboFix 08-11-14.01 - a_aa 2008-11-17 19:10:34.2 - NTFSx86 Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1044.18.1649 [GMT 1:00] Running from: c:\documents and settings\a_aa\Skrivebord\ComboFix.exe WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((((( Files Created from 2008-10-17 to 2008-11-17 ))))))))))))))))))))))))))))))) . 2008-11-16 18:43 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-11-16 18:43 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-11-16 17:05 . 2008-11-16 18:43 <DIR> d-------- c:\programfiler\Malwarebytes' Anti-Malware 2008-11-16 17:05 . 2008-11-16 17:05 <DIR> d-------- c:\documents and settings\a_aa\Programdata\Malwarebytes 2008-11-16 17:05 . 2008-11-16 17:05 <DIR> d-------- c:\documents and settings\All Users\Programdata\Malwarebytes 2008-11-16 16:45 . 2008-11-16 16:45 <DIR> d-------- c:\documents and settings\a_aa\Programdata\Locktime 2008-11-16 16:43 . 2008-11-16 18:18 <DIR> d-------- c:\programfiler\NetLimiter 2 Monitor 2008-11-16 16:43 . 2008-11-16 16:43 <DIR> d-------- c:\documents and settings\All Users\Programdata\Locktime 2008-10-24 20:58 . 2008-10-15 17:38 337,408 --------- c:\windows\system32\dllcache\netapi32.dll . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-16 21:17 --------- d-----w c:\programfiler\SpeedFan 2008-11-16 16:38 120 ----a-w c:\programfiler\ouInli.txt 2008-11-16 16:36 --------- d-----w c:\programfiler\Fellesfiler\Adobe 2008-11-16 16:20 14,336 ----a-w c:\windows\system32\svchost(2).exe 2008-11-16 10:58 --------- d-----w c:\programfiler\EsetOnlineScanner 2008-11-16 10:54 14,336 ----a-w c:\windows\system32\svchost.exe 2008-11-09 22:48 --------- d-----w c:\documents and settings\a_aa\Programdata\dvdcss 2008-10-23 19:45 --------- d-----w c:\documents and settings\a_aa\Programdata\skypePM 2008-10-23 19:45 --------- d-----w c:\documents and settings\a_aa\Programdata\Skype 2008-10-11 13:17 --------- d-----w c:\programfiler\Windows Media Connect 2 2008-10-09 20:06 --------- d-----w c:\documents and settings\a_aa\Programdata\vlc 2008-10-08 17:39 --------- d-----w c:\documents and settings\a_aa\Programdata\JLC's Software 2008-10-08 17:38 --------- d-----w c:\programfiler\JLC's Software 2008-10-06 18:55 --------- d-----w c:\programfiler\Winamp 2008-10-03 17:31 6,066,176 ------w c:\windows\system32\dllcache\ieframe.dll 2008-10-02 18:05 --------- d-----w c:\programfiler\Java 2008-09-21 10:45 --------- d-----w c:\programfiler\VideoLAN 2008-09-15 15:29 1,846,400 ----a-w c:\windows\system32\win32k.sys 2008-09-15 15:29 1,846,400 ------w c:\windows\system32\dllcache\win32k.sys 2008-09-08 10:41 333,824 ------w c:\windows\system32\dllcache\srv.sys 2008-08-27 09:30 3,593,216 ------w c:\windows\system32\dllcache\mshtml.dll 2008-08-25 08:41 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe 2008-08-25 08:38 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe 2008-08-23 05:56 635,848 ------w c:\windows\system32\dllcache\iexplore.exe 2008-08-23 05:54 161,792 ------w c:\windows\system32\dllcache\ieakui.dll 2004-03-11 20:05 4 ----a-w c:\programfiler\Fellesfiler\ENCQUEUE.DAT 2004-03-11 19:52 8,037 ----a-w c:\programfiler\Fellesfiler\CDDB.DAT 2004-03-10 20:36 0 ----a-w c:\programfiler\Fellesfiler\CDQUEUE.DAT 2004-02-29 22:13 0 ----a-w c:\programfiler\Fellesfiler\CDFILES.DAT 2003-11-19 00:25 2,633,728 ----a-w c:\programfiler\Fellesfiler\EAC.exe 2003-11-18 23:05 11,636 ----a-w c:\programfiler\Fellesfiler\News.rtf 2003-04-22 15:50 10,221 ----a-w c:\programfiler\Fellesfiler\Legal.rtf 2003-04-17 23:57 14,336 ----a-w c:\programfiler\Fellesfiler\ShowInfo.exe 2003-04-01 12:36 111,099 ----a-w c:\programfiler\Fellesfiler\WME9.vbs . ((((((((((((((((((((((((((((( snapshot@2008-11-16_19.39.15,62 ))))))))))))))))))))))))))))))))))))))))) . - 2008-11-16 18:01:21 63,860 ----a-w c:\windows\system32\perfc009.dat + 2008-11-17 18:12:20 63,860 ----a-w c:\windows\system32\perfc009.dat - 2008-11-16 18:01:21 72,532 ----a-w c:\windows\system32\perfc014.dat + 2008-11-17 18:12:20 72,532 ----a-w c:\windows\system32\perfc014.dat - 2008-11-16 18:01:21 405,310 ----a-w c:\windows\system32\perfh009.dat + 2008-11-17 18:12:20 405,310 ----a-w c:\windows\system32\perfh009.dat - 2008-11-16 18:01:21 408,858 ----a-w c:\windows\system32\perfh014.dat + 2008-11-17 18:12:20 408,858 ----a-w c:\windows\system32\perfh014.dat . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "updateMgr"="c:\programfiler\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [bU] "FlashMute"="c:\programfiler\FlashMute\FlashMute.exe" [2006-03-11 221184] "MSMSGS"="c:\programfiler\Messenger\MSMSGS.EXE" [2008-04-14 1695232] "RemoteCenter"="" [bU] "PMCRemote"="" [bU] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "NeroCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "SBDrvDet"="c:\programfiler\Creative\SB Drive Det\SBDrvDet.exe" [2002-12-03 45056] "UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112] "CTSysVol"="c:\programfiler\Creative\SBAudigy2\Surround Mixer\CTSysVol.exe" [2002-10-29 49152] "CTDVDDet"="c:\programfiler\Creative\SBAudigy2\DVDAudio\CTDVDDet.EXE" [2002-09-30 45056] "zBrowser Launcher"="c:\programfiler\Logitech\iTouch\iTouch.exe" [2002-11-23 631362] "SunJavaUpdateSched"="c:\programfiler\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "StartCCC"="c:\programfiler\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112] "Adobe Reader Speed Launcher"="c:\programfiler\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792] "CloneCDElbyCDFL"="c:\programfiler\Elaborate Bytes\CloneCD\ElbyCheck.exe" [2002-11-02 45056] "Wizard"="" [bU] "CTHelper"="CTHELPER.EXE" [2003-10-06 c:\windows\system32\CTHELPER.EXE] "Logitech Utility"="Logi_MwX.Exe" [2002-11-08 c:\windows\LOGI_MWX.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\All Users\Start-meny\Programmer\Oppstart\ Pinnacle Streaming Server.lnk - c:\programfiler\Pinnacle\Shared Files\Programs\StrmServer\StrmServer.exe [2008-03-25 603408] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer] "SpecifyDefaultButtons"= 0 (0x0) "Btn_Search"= 0 (0x0) "NoBandCustomize"= 0 (0x0) [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.l3acm"= l3codecp.acm "VIDC.PIM1"= pclepim1.dll "msacm.dvacm"= c:\progra~1\FELLES~1\ULEADS~1\Vio\Dvacm.acm "vidc.ffds"= c:\programfiler\ffdshow\ffdshow.ax [HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Programmer^Oppstart^AutoStart IR.lnk] path=c:\documents and settings\All Users\Start-meny\Programmer\Oppstart\AutoStart IR.lnk backup=c:\windows\pss\AutoStart IR.lnkCommon Startup [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\D-Link Air USB Utility] --a------ 2003-07-23 08:21 2695168 c:\programfiler\D-Link\Air USB Utility\AirCFG.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DataLayer] --a------ 2005-03-31 08:30 1106944 c:\programfiler\Fellesfiler\PCSuite\DataLayer\DataLayer.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCSuiteTrayApplication] --a------ 2005-03-22 08:39 167936 c:\programfiler\Nokia\Nokia PC Suite 6\LaunchApplication.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "c:\\WINDOWS\\system32\\mmc.exe"= "c:\\WINDOWS\\system32\\sessmgr.exe"= "c:\\Programfiler\\VideoLAN\\VLC\\vlc.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "%windir%\\system32\\sessmgr.exe"= "c:\\Programfiler\\Skype\\Phone\\Skype.exe"= R?2 WZCBDLService;WZCBDL Service;c:\programfiler\WZCBDL Service\WZCBDLS.exe [2002-03-19 36864] R2 NIOC;NIOC Service;\??\c:\windows\System32\NIOC.SYS [2002-09-27 22912] R3 iComp;Hauppauge WinTV PVR USB2 Encoder;c:\windows\system32\DRIVERS\HCWUSB2.sys [2004-06-28 1134304] R3 MODRC;DiBcom Infrared Receiver;c:\windows\system32\DRIVERS\modrc.sys [2008-09-06 13824] S3 PRISM_USB;D-Link Air DWL-122 Wireless USB Adapter Driver;c:\windows\system32\DRIVERS\PRISMUSB.sys [2004-01-28 636416] S3 SetupNTGLM7X;SetupNTGLM7X;\??\F:\NTGLM7X.sys [] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{89abaa23-d143-11da-b84d-000d61b66697}] \Shell\AutoRun\command - l:\wd_windows_tools\setup.exe . . ------- Supplementary Scan ------- . uStart Page = hxxp://www.startsiden.no/ IE: Download all by Net Transport - c:\programfiler\Xi\NetTransport 2\NTAddList.html IE: Download by Net Transport - c:\programfiler\Xi\NetTransport 2\NTAddLink.html IE: E&ksporter til Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 Trusted Zone: *.eset.com Trusted Zone: *.fokus.no Trusted Zone: *.trendmicro.com TCP: {7F0DB0C7-22BE-4CFF-ABCB-BAF9C48A79F7} = 130.67.60.68,130.67.15.198 O16 -: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd c:\windows\Downloaded Program Files\menu.dll - O16 -: {3D2CB570-D425-11D5-ABD0-00008369C46F} hxxps://nettbank.fokus.no/html/activex/FOK/Menu.cab c:\windows\Downloaded Program Files\Menu.inf c:\windows\system32\unicows.dll - c:\windows\Downloaded Program Files\IPSUploader.ocx O16 -: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} hxxp://asp09.photoprintit.de/microsite/18/defaults/activex/IPSUploader.cab c:\windows\Downloaded Program Files\IPSUploader.inf . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-17 19:13:48 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- DLLs Loaded Under Running Processes --------------------- PROCESS: c:\windows\explorer.exe -> c:\programfiler\FlashMute\mutelib.dll . Completion time: 2008-11-17 19:15:17 ComboFix-quarantined-files.txt 2008-11-17 18:15:04 ComboFix2.txt 2008-11-16 18:40:00 ComboFix3.txt 2008-11-16 16:02:26 Pre-Run: 13 471 330 304 byte ledig Post-Run: 13,580,267,520 byte ledig 171 --- E O F --- 2008-10-26 19:22:21 På meg virker det som maskina nå er i godt gammelt slag (som en gammel Volvo 240...) - men skulle det være noe mistenkelig i loggen, setter jeg stor pris på å bli gjort oppmerksom på dette. Ellers hadde jeg en gang en plan om å installere NOD32 - mulig jeg skal revitalisere den planen igjen... Endret 18. november 2008 av a_aa Lenke til kommentar
r2d290 Skrevet 17. november 2008 Del Skrevet 17. november 2008 Legg merke til at alle instruksjonene som blir gitt i denne tråden er skreddersydd for denne maskinen, og at verktøyene som blir brukt her, kan forårsake skade på en annen maskin med andre typer infeksjoner. Hvis du tror du har det samme problemet, bør du følge veiledningen til norbat, og poste loggene i en ny tråd. Hallo Mitt navn er r2d290, og jeg skal være med på å hjelpe deg med å fjerne alle infeksjoner du måtte ha på PC-en. Det kommer til å bli gitt en rekke instruksjoner som må bli fulgt i den rekkefølgen vi skriver dem i. Hvis det er en instruksjon du ikke forstår, du er usikker på noe, eller det skjer noe uventet, må du ikke gjette/gå videre, men skrive en post på forumet der du spør om det du lurer på. Ikke start flere tråder (hverken her på diskusjon.no eller på andre forum). Dette vil bare forvirre oss som driver support. Det kan hende at opperasjonen vil gå i flere ledd, og det kan hende det tar litt tid før du får svar, men vi gir oss ikke hvis ikke du gjør det. Ikke gi opp og formater PC-en (selvom noen sier at det er det eneste som hjelper). Det er svært usansynlig at man må formatere grunnet virus. I noen tilfeller hender det at tråder går oss hus forbi, så hvis du ikke har fått svar innen 24 timer kan det være lurt å skrive en liten "purre-post" så tråden din havner øverst på lista. Hvis du følger disse instruksjonene, skal vi nok få fikset problemet med maskinen. Jeg analyserer loggene dine nå, og vil komme tilbake med respons så snart jeg kan... PS: Det kan hende at sikkerhetsprogrammene dine gir advarsler på noen av verktøyene vi ber deg om å bruke. sikkerhetsprogrammene kan ikke vite om verktøyene har gode eller dårlige hensikter. Verktøyene blir brukt av profesjonelle rundt om i hele verden, så du kan stole på at programmene er trygge. Lenke til kommentar
r2d290 Skrevet 17. november 2008 Del Skrevet 17. november 2008 Gå til http://virusscan.jotti.org , trykk på Browse, og last opp følgende fil til analyse: c:\windows\system32\svchost(2).exe c:\programfiler\Fellesfiler\ENCQUEUE.DAT c:\programfiler\Fellesfiler\CDFILES.DAT Deretter trykker du på Submit. Godta at filen blir scannet. Til slutt kopierer du resultatet, og limer det inn i din neste post, så jeg kan se på den, og vurdere hva som må gjøres videre. Lenke til kommentar
raWrz Skrevet 17. november 2008 Del Skrevet 17. november 2008 hvis jeg tolker det du sier rektig så har du ikke noe antivirus da anbefaler jeg avira antivir: http://www.free-av.com/en/download/1/avira..._antivirus.html som er et av de beste gratis alternativene ute og til brannmur (velg den hvis du vil ) anbefaler jeg http://www.personalfirewall.comodo.com/dow...d_firewall.html er mye skriking fra den i starten men etter ca noen dager så slutter den NB!: Hvis du instalerer comodo så spørr du om du vil ha dems gratis antivirus da krysser du av Lenke til kommentar
a_aa Skrevet 17. november 2008 Forfatter Del Skrevet 17. november 2008 Gå til http://virusscan.jotti.org , trykk på Browse, og last opp følgende fil til analyse:c:\windows\system32\svchost(2).exe c:\programfiler\Fellesfiler\ENCQUEUE.DAT c:\programfiler\Fellesfiler\CDFILES.DAT Deretter trykker du på Submit. Godta at filen blir scannet. Til slutt kopierer du resultatet, og limer det inn i din neste post, så jeg kan se på den, og vurdere hva som må gjøres videre. Takker for at du tar deg tid! ENCQUEUE.DAT og CDFILES.DAT er tomme filer - kan åpnes i notepad som en tom tekstfil. CDFILES.DAT ble ikke akseptert da den var 0 bytes. File: ENCQUEUE.DAT Status: OK(Note: file has been scanned before. Therefore, this file's scan results will not be stored in the database) MD5: f1d3ff8443297732862df21dc4e57262 Packers detected: - File: svchost(2).exe Status: INFECTED/MALWARE MD5: 2fade3d461e99941aaa13e0b83385b46 Packers detected: - Scan taken on 17 Nov 2008 20:12:43 (GMT) A-Squared Found nothing AntiVir Found nothing ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing CPsecure Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing F-Secure Anti-Virus Found nothing G DATA Found nothing Ikarus Found nothing Kaspersky Anti-Virus Found nothing NOD32 Found nothing Norman Virus Control Found nothing Panda Antivirus Found nothing Sophos Antivirus Found nothing VirusBuster Found nothing VBA32 Found nothing Tok i tillegg: File: svchost.exe Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database) MD5: 2fade3d461e99941aaa13e0b83385b46 Packers detected: - Scan taken on 17 Nov 2008 20:31:11 (GMT) A-Squared Found nothing AntiVir Found nothing ArcaVir Found nothing Avast Found nothing AVG Antivirus Found nothing BitDefender Found nothing ClamAV Found nothing CPsecure Found nothing Dr.Web Found nothing F-Prot Antivirus Found nothing F-Secure Anti-Virus Found nothing G DATA Found nothing Ikarus Found nothing Kaspersky Anti-Virus Found nothing NOD32 Found nothing Norman Virus Control Found nothing Panda Antivirus Found nothing Sophos Antivirus Found nothing VirusBuster Found nothing VBA32 Found nothing Begge versjonene av svchost er fra 2008-11-16 - ikke noe godt tegn... hvis jeg tolker det du sier rektig så har du ikke noe antivirus .. og det har jo gått bra i nesten 7 år Men det er vel tvilsomt om det funker like bra de 7 neste, så jeg takker for dine råd! Lenke til kommentar
raWrz Skrevet 17. november 2008 Del Skrevet 17. november 2008 (endret) problemet er at Svchost er en viktig fil i Windows Endret 17. november 2008 av Submit Lenke til kommentar
a_aa Skrevet 17. november 2008 Forfatter Del Skrevet 17. november 2008 problemet er at Svchost er en viktig fil i Windows I know - og det var datoen på de filene som plagde meg såpass at jeg fant ut at det var best å søke litt støtte, selv om ting ser bra ut ifm scanning. Lenke til kommentar
r2d290 Skrevet 18. november 2008 Del Skrevet 18. november 2008 (endret) Last ned Process explorer (http://technet.microsoft.com/en-us/sysinternals/bb896653.aspx) Dobbelklikk på svchost(2) for og se om noen tjenster kjører under den som på bildet jeg sender med. https://www.diskusjon.no/index.php?act=atta...g&id=264882 Endret 18. november 2008 av r2d290 Lenke til kommentar
a_aa Skrevet 18. november 2008 Forfatter Del Skrevet 18. november 2008 Takker fortsatt! Har lastet ned Process Explorer og kjører denne - men får ikke opp bildet du linket til. svchost(2).exe vises ikke som en prosess, kun svchost.exe gjør det. Ser ingen mistenkelige tjenester der. Mente du at Process Explorer skulle "skanne" aktivitet til fila svchost(2).exe på noe vis, hvis den fikk beskjed om det? Lenke til kommentar
Pizzaen Skrevet 18. november 2008 Del Skrevet 18. november 2008 ...Har lastet ned Process Explorer og kjører denne - men får ikke opp bildet du linket til... Får heller ikke opp bildet, kommer bare opp "Du har ikke tillatelse til å gjennomføre denne handlingen." Lenke til kommentar
r2d290 Skrevet 18. november 2008 Del Skrevet 18. november 2008 Sorry for det med bildet :=) Prøver på nytt. Lenke til kommentar
a_aa Skrevet 18. november 2008 Forfatter Del Skrevet 18. november 2008 Som sagt - svchost(2).exe vises ikke som en prosess, kun svchost.exe vises. Finnes det en enkel måte å få sjekket om svchost(2).exe er bit-identisk med svchost.exe? Og evt om disse er bit-identisk med en garantert ukorrupt svchost.exe (filversjon "5.1.2600.5512 (xpsp.080413-2111)")? Lenke til kommentar
snippsat Skrevet 18. november 2008 Del Skrevet 18. november 2008 (endret) Hei r2d290 lurte på om jeg kunne overta,da får jeg prøve på det. Det ser ut som det er blitt lagd en copy av av den ene svchost-filen. Begge har samme MD5 og størrelse. Det er nok kun den ene som er aktiv derfor ser du ikke ikke svchost(2) som en kjørende prosess. Prøv og gi filen et nytt navn c:\windows\system32\svchost(2).exe.bak Er den ikke aktiv som prosess vil dette gå greit. Da lar du den bare være sånn en stund. Oppdatere og kjør en ny scann med MBAM. Finner den noe poster du loggen. Endret 18. november 2008 av SNIPPSAT Lenke til kommentar
a_aa Skrevet 18. november 2008 Forfatter Del Skrevet 18. november 2008 Takker for støtten! Prøv og gi filen et nytt navn c:\windows\system32\svchost(2).exe.bak Gjort - og alt går fortsatt bra Oppdatere og kjør en ny scann med MBAM. Kjørte full scan med MBAM med fersk database - og fant kun èn infisert fil: flashmute_2.exe (som jeg vil beholde, det er visstnok en vanlig feiltolkning...) Kanskje lykken har stått den kjekke bi, likevel? Lenke til kommentar
snippsat Skrevet 18. november 2008 Del Skrevet 18. november 2008 Ja da skulle det være greit Du kan fjerne combofix ved å skrive combofix /u fra kjør-vinduet. Denne kommandoen gjør at filer i karantene og backups blir slette. Systemgjenopprettingsmappa nullstilt etc. Surf trygt. Lenke til kommentar
a_aa Skrevet 18. november 2008 Forfatter Del Skrevet 18. november 2008 Takker hjerteligst for all hjelp og støtte, folkens - det er virkelig flott av dere å bruke så mye tid på å hjelpe oss som ikke er helt selvhjulpne! Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå