monkaponka Skrevet 25. november 2008 Del Skrevet 25. november 2008 Hei, har fått ett problem har klart å innstalere antivirus 2009 på en pc. Og nå kommer det pop ups hele tiden,den kutter nettverkstilgang når jeg prøver å komme inn på visse sider (denne siden kommer jeg ikke inn på...). Prøvde å følge veiledningen , men å kjøre MBAM går ikke (prøvde å byttte navn , da fikk jeg innstalert MBAM og alt så ut til å fungere helt til den skulle oppdatere seg så kutta den ut .. Noen tips til å få kjørt MBAM Lenke til kommentar
norbat Skrevet 25. november 2008 Del Skrevet 25. november 2008 Etter at du har byttet navn på MBAM, så prøv og kjør programmet fra Sikker modus /m nettverk (slik at du evt. får oppdatert). Hvis dette fortsatt er problematisk, så kan det være lurt å kjøre en systemgjenoppretting til en dato før problemet oppsto for deretter å kjøre gjennom veiledningen (mbam + combofix) Lenke til kommentar
monkaponka Skrevet 25. november 2008 Forfatter Del Skrevet 25. november 2008 Har prøvd MBAM i safe mode men vil ikke starte der heller(har også prøvd navnbytte). Skulle prøve systemgjenoppretting, men den var deaktivert den måtte aktiveres i vanligmodus og der kommer jeg ikke inn lenger. Så da er vel diskbytte neste ???? Lenke til kommentar
raWrz Skrevet 25. november 2008 Del Skrevet 25. november 2008 (endret) får du Innstalert Combofix og kjør det da? edit: ingen vits med Harddisk bytte eller noe vi skal få det bort Endret 25. november 2008 av Submit Lenke til kommentar
monkaponka Skrevet 25. november 2008 Forfatter Del Skrevet 25. november 2008 Får ikke innstalert Combofix desverre. Lenke til kommentar
raWrz Skrevet 25. november 2008 Del Skrevet 25. november 2008 (endret) combofix skal du ikke innstalere. det er et så kalt "offline" program ( hvis det var riktig) så det starter seg selv bare ved og klikke på den edit: hør på norbat under han har MYE mer peiling en meg Endret 25. november 2008 av Submit Lenke til kommentar
norbat Skrevet 25. november 2008 Del Skrevet 25. november 2008 (endret) Hvis ingen av de tidligere nevnte programmer starter i sikker eller normal modus, så får vi se om det er andre måter å angripe dette på. 1. Last ned SDFix.exe. Pakk ut programmet. Restart i sikker modus (tapp f8 under oppstart) Kjør RunThis.bat i SDfix-mappa. Det lages en rapport (Report.txt) som du evt. kan poste Se om du ikke nå får kjørt mbam el. combofix 2. I sikker modus: Får du åpne utforsker? Hvis, så gå til mappa Windows og til mappa Windows/system32. Ordne filene etter dato. Se etter nylig opprettede filer med filnavn som virker 'meningsløse'/tilfeldige navn. Endre filendelse på disse filene (eks. awwnaldh.dll->awwnaldh.dll.vir osv.) Se om du da ikke får mulighet til å kjøre mbam el. combofix 3. I sikker modus m/nettverk, se om du får kjørt en onlineskanner, eks. http://www.bitdefender.com/scan8/ie.html Prøv deretter å kjøre mbam og combofix 4. Lag en boot-cd med http://www.free-av.com/en/tools/12/avira_a...cue_system.html og se om ikke dette kan fjerne problemene. Hvis ikke noen av disse punktene hjelper, så ser vi på andre løsninger Endret 25. november 2008 av norbat Lenke til kommentar
monkaponka Skrevet 25. november 2008 Forfatter Del Skrevet 25. november 2008 Hvis ingen av de tidligere nevnte programmer starter i sikker eller normal modus, så får vi se om det er andre måter å angripe dette på. 1. Last ned SDFix.exe. Pakk ut programmet. Restart i sikker modus (tapp f8 under oppstart) Kjør RunThis.bat i SDfix-mappa. Det lages en rapport (Report.txt) som du evt. kan poste Se om du ikke nå får kjørt mbam el. combofix 2. I sikker modus: Får du åpne utforsker? Hvis, så gå til mappa Windows og til mappa Windows/system32. Ordne filene etter dato. Se etter nylig opprettede filer med filnavn som virker 'meningsløse'/tilfeldige navn. Endre filendelse på disse filene (eks. awwnaldh.dll->awwnaldh.dll.vir osv.) Se om du da ikke får mulighet til å kjøre mbam el. combofix 3. I sikker modus m/nettverk, se om du får kjørt en onlineskanner, eks. http://www.bitdefender.com/scan8/ie.html Prøv deretter å kjøre mbam og combofix 4. Lag en boot-cd med http://www.free-av.com/en/tools/12/avira_a...cue_system.html og se om ikke dette kan fjerne problemene. Hvis ikke noen av disse punktene hjelper, så ser vi på andre løsninger Nå fikk jeg noe å jobbe med ja. Takk så langt for alle tips og hjelp. Lenke til kommentar
norbat Skrevet 25. november 2008 Del Skrevet 25. november 2008 (endret) Før du startet på lista prøv følgende (hvis det fungerer er det raskest): Hvis du har installert mbam, høyreklikk på ikonet og velg egenskaper. Under fanearket 'Snarvei', klikker du på 'Gå til mål...' Mappa til Malwarebytes vil åpne seg. Der vil du finne mbam.exe Forandre navnet på denne fila, eks. test.exe Kjør fila ved å dobbeltklikke på den. Ikke bry deg om å oppdatere, men kjør en rask skann og fjern det den evt. finner. Etter en restart kjører du mbam igjen, oppdater og kjør en ny rask skann. Endret 25. november 2008 av norbat Lenke til kommentar
Grokster Skrevet 25. november 2008 Del Skrevet 25. november 2008 (endret) en enkel fiks finnes her i form av en bat fil. http://www.internetinspiration.co.uk/roguefix.htm#uninstall kan være lurt å installere spywareblaster også for å hindre spyware på din maskin å starte: http://www.javacoolsoftware.com/spywareblaster.html Endret 25. november 2008 av Grokster Lenke til kommentar
monkaponka Skrevet 25. november 2008 Forfatter Del Skrevet 25. november 2008 Det hjalp ikke å forandre navnet, timeglasset står i 1 sekund å så blir det stille........Når jeg åpner oppgavebehandling under prosesser så står den der men i null%. Har begynt på lista, skal begynne å lage en boot cd som siste "oppgave" De andre har ikke hjulpet , det som er forandret er at jeg nå har fått starte i vanlig modus. Fikk forandret en masse dll filer, men det var en som var i bruk (sikkert av det %&¤%#:¤ programmet)Dette var en DAT fil. Lenke til kommentar
norbat Skrevet 25. november 2008 Del Skrevet 25. november 2008 Hvis du fikk kjøre SDFix (som er en bat-fil), så burde den ha fjernet en del knyttet til antivirus 2009. Se om du ikke får kjørt combofix (last evt. ned ny). Det er henvist til en annen bat-fil over (rougefix). Kjør den og se om du ikke får kjørt Combofix etterpå. Lenke til kommentar
monkaponka Skrevet 25. november 2008 Forfatter Del Skrevet 25. november 2008 roguefix var det som skulle til for å komme videre, nå fikk jeg starte MBAM Takk alle sammen så langt. Nå prøver jeg den opprinelige lista Lenke til kommentar
norbat Skrevet 25. november 2008 Del Skrevet 25. november 2008 (endret) Flott (takk, Grokster, da vet vi at roguefix er brukbar til denne infeksjonen) Da er det MBAM og combofix-logger vi venter på Endret 25. november 2008 av norbat Lenke til kommentar
monkaponka Skrevet 25. november 2008 Forfatter Del Skrevet 25. november 2008 mbam_log_2008_11_25__22_38_56_.txt mbam_log_2008_11_25__22_12_35_.txt her er 2 MBAM logger Lenke til kommentar
norbat Skrevet 25. november 2008 Del Skrevet 25. november 2008 Trenger da en combofix-logg for å se om det ligger noe mer igjen Lenke til kommentar
monkaponka Skrevet 25. november 2008 Forfatter Del Skrevet 25. november 2008 har litt problemer med combofix ,vil ikke starte. Prøver igjen i morra. Takk igjen så langt. Lenke til kommentar
norbat Skrevet 25. november 2008 Del Skrevet 25. november 2008 Det gjør du Da fjerner du den combofixen du har lastet ned og henter ny. Lenke til kommentar
monkaponka Skrevet 26. november 2008 Forfatter Del Skrevet 26. november 2008 hallo igjen, nå fikk jeg kjørt combofix. Her er loggen: Klikk for å se/fjerne innholdet nedenfor ComboFix 08-11-26.03 - xxxxxxx 2008-11-26 9:11:49.2 - NTFSx86 NETWORKMicrosoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.1036 [GMT 1:00] Running from: c:\documents and settings\xxxxxx\Desktop\ComboFix.exe . ((((((((((((((((((((((((((((((((((((((( Other Deletions ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\windows\temp\59484.exe . ---- Previous Run ------- . C:\tmp.tmp c:\windows\jazefeme.dll c:\windows\system32\abakabis.vir.ini c:\windows\system32\aginazor.vir.ini c:\windows\system32\atavozop.vir.ini c:\windows\system32\ekomulab.vir.ini c:\windows\system32\ezilakaf.vir.ini c:\windows\system32\fakalize.dll.vir c:\windows\system32\fupafeyo.dll.vir c:\windows\system32\guteheso.dll.vir c:\windows\system32\guvebehu.dll.vir c:\windows\system32\ikezutit.vir.ini c:\windows\system32\izogelah.vir.ini c:\windows\system32\jajagedu.dll.vir c:\windows\system32\jotejazo.dll.vir c:\windows\system32\lipituwo.dll.vir c:\windows\system32\mabubula.dll.vir c:\windows\system32\mohiwofe.dll.vir c:\windows\system32\muvasevo.dll.vir c:\windows\system32\niwebazi.dll.vir c:\windows\system32\nogiduzu.dll.vir c:\windows\system32\ohegoruj.vir.ini c:\windows\system32\osehetug.vir.ini c:\windows\system32\osituzov.vir.ini c:\windows\system32\owuyuhop.ini c:\windows\system32\owuyuhop.vir.ini c:\windows\system32\oyefapuf.vir.ini c:\windows\system32\pohuyuwo.dll.vir c:\windows\system32\pozovata.dll.vir c:\windows\system32\rezafovo.dll.vir c:\windows\system32\rimuzoma.dll.vir c:\windows\system32\rivabago.dll.vir c:\windows\system32\rozaniga.dll.vir c:\windows\system32\sibakaba.dll.vir c:\windows\system32\subarako.dll.vir c:\windows\system32\TDSSosvd.dat c:\windows\system32\tituzeki.dll.vir c:\windows\system32\udajiwiw.vir.ini c:\windows\system32\udegajaj.vir.ini c:\windows\system32\ulovosiw.vir.ini c:\windows\system32\utujefev.vir.ini c:\windows\system32\uyoyariz.vir.ini c:\windows\system32\voduhuta.dll.vir c:\windows\system32\vozutiso.dll.vir c:\windows\system32\vuwevoje.dll.vir c:\windows\system32\wiwijadu.dll.vir c:\windows\system32\yemulaza.dll.vir c:\windows\system32\zirayoyu.dll.vir c:\windows\system32\zisizaru.dll.vir c:\windows\Temp\17265531.exe c:\windows\Temp\91171.exe C:\xcrashdump.dat . ((((((((((((((((((((((((((((((((((((((( Drivers/Services ))))))))))))))))))))))))))))))))))))))))))))))))) . -------\Legacy_TDSSSERV.SYS -------\Service_TDSSserv.sys ((((((((((((((((((((((((( Files Created from 2008-10-26 to 2008-11-26 ))))))))))))))))))))))))))))))) . 2008-11-25 21:52 . 2008-11-25 21:52 <DIR> d-------- c:\documents and settings\Parfymelle\Application Data\Malwarebytes 2008-11-25 21:40 . 2004-08-04 14:00 4,224 --a------ c:\windows\system32\drivers\beep.sys 2008-11-25 21:40 . 2004-08-04 14:00 4,224 --a------ c:\windows\system32\dllcache\beep.sys 2008-11-25 14:21 . 2008-11-25 14:21 <DIR> d-------- c:\program files\Common Files\Wise Installation Wizard 2008-11-25 12:42 . 2008-11-25 22:46 <DIR> d-------- c:\program files\Spyware Terminator 2008-11-25 12:42 . 2008-11-25 12:42 <DIR> d-------- c:\program files\Crawler 2008-11-25 10:39 . 2008-11-25 10:39 100,352 --a------ c:\windows\system32\drivers\lktiafamgbj.sys 2008-11-25 01:23 . 2008-11-25 01:23 68,096 --a------ c:\windows\system32\drivers\rtfafvrq6ur.sys 2008-11-24 22:41 . 2008-11-24 22:41 <DIR> d-------- c:\documents and settings\s-p 2008-11-24 22:20 . 2008-11-25 09:17 <DIR> d-------- c:\program files\Malwarebytes' Anti-Malware 2008-11-24 22:20 . 2008-11-24 22:20 <DIR> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes 2008-11-24 22:20 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-11-24 22:20 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-11-24 15:48 . 2008-11-24 15:48 0 --a------ c:\windows\nsreg.dat 2008-11-21 10:16 . 2006-02-23 11:43 165,404 --a------ c:\windows\hplj1320.hi1 2008-11-21 10:16 . 2006-02-23 11:43 12,172 --a------ c:\windows\hplj1320.bu1 2008-11-17 13:00 . 2008-11-17 13:00 0 --ahs---- c:\windows\system32\yototiri.dll.vir 2008-11-17 13:00 . 2008-11-17 13:00 0 --ahs---- c:\windows\system32\ponimero.dll.vir 2008-11-17 13:00 . 2008-11-17 13:00 0 --ahs---- c:\windows\system32\jewukiwa.dll.vir 2008-11-17 13:00 . 2008-11-17 13:00 0 --ahs---- c:\windows\system32\givudoze.dll.vir 2008-10-30 13:45 . 2008-11-20 09:28 25,088 --a------ c:\windows\system32\__c00A3DD3.dat.ren 2008-10-29 09:52 . 2008-10-29 09:52 75,305 --a------ c:\windows\system32\__c006A7D0.0xe 2008-10-28 09:44 . 2008-10-28 09:44 75,305 --a------ c:\windows\system32\__c00E14D7.0xe 2008-10-27 09:38 . 2008-10-27 09:38 75,305 --a------ c:\windows\system32\__c003EC57.0xe 2008-10-26 08:45 . 2008-10-26 08:45 75,305 --a------ c:\windows\system32\__c00D2F41.0xe . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-26 08:05 --------- d-----w c:\documents and settings\xxxxxxx\Application Data\OpenOffice.org2 2008-11-26 08:04 69,120 --s---r c:\windows\system32\drivers\yg63it2uwdy.sys 2008-11-25 20:01 69,120 --s---r c:\windows\system32\drivers\thdhv6qwgho.sys 2008-11-17 12:00 --------- d-----w c:\documents and settings\Parfymelle\Application Data\F-Secure . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2004-08-04 15360] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-12 68856] "updateMgr"="c:\program files\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472] "H/PC Connection Agent"="c:\program files\Microsoft ActiveSync\wcescomm.exe" [2006-11-13 1289000] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Subst_Super"="subst s:" [X] "IgfxTray"="c:\windows\system32\igfxtray.exe" [2003-03-11 155648] "HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2003-03-11 114688] "DrvLsnr"="c:\program files\Analog Devices\SoundMAX\DrvLsnr.exe" [2002-05-28 69632] "srmclean"="c:\cpqs\Scom\srmclean.exe" [2001-07-24 36864] "SetRefresh"="c:\program files\Compaq\SetRefresh\SetRefresh.exe" [2002-08-07 485376] "VbdPos"="c:\vbdpos\vbdpos.exe" [2008-05-07 15121408] "StatusClient 2.6"="c:\program files\Hewlett-Packard\Toolbox\StatusClient\StatusClient.exe" [2004-02-27 61440] "TomcatStartup 2.5"="c:\program files\Hewlett-Packard\Toolbox\hpbpsttp.exe" [2004-05-20 188416] "HPLJ Config"="c:\program files\Hewlett-Packard\hp LaserJet 1160_1320 series\SetConfig.exe" [2003-03-31 28672] "HP Software Update"="c:\program files\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152] "SunJavaUpdateSched"="c:\program files\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 144784] "F-Secure Manager"="c:\program files\F-Secure\Common\FSM32.EXE" [2008-02-15 182936] "F-Secure TNB"="c:\program files\F-Secure\FSGUI\TNBUtil.exe" [2008-02-15 895584] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360] c:\documents and settings\Parfymelle\Start Menu\Programs\Startup\ OpenOffice.org 2.4.lnk - c:\program files\OpenOffice.org 2.4\program\quickstart.exe [2008-05-30 393216] c:\documents and settings\All Users\Start Menu\Programs\Startup\ Hurtigstart for Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696] Microsoft Office.lnk - c:\program files\Microsoft Office\Office\OSA9.EXE [1999-02-17 65588] Pocket Controller-Bridge.lnk - c:\programfiler\Soft Object Technologies Inc\Pocket Controller-Bridge\PCBridge.exe [2006-12-29 307200] VbdMgrTray.lnk - c:\vestfold butikkdata as\VBDMgrTray\bin\VbdMgrTray.exe [2008-01-15 65536] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PCANotify] 2004-11-01 11:50 8704 c:\windows\system32\PCANotify.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "MSACM.CEGSM"= mobilev.acm [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\6prrspcfswf.sys] @="\??\c:\windows\system32\drivers\6prrspcfswf.sys" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bszzkfiw6ky.sys] @="\??\c:\windows\system32\drivers\bszzkfiw6ky.sys" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\clhtsjpgclh.sys] @="\??\c:\windows\system32\drivers\clhtsjpgclh.sys" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ncjyjyucvfe.sys] @="\??\c:\windows\system32\drivers\ncjyjyucvfe.sys" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rtfafvrq6ur.sys] @="\??\c:\windows\system32\drivers\rtfafvrq6ur.sys" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\thdhv6qwgho.sys] @="\??\c:\windows\system32\drivers\thdhv6qwgho.sys" [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\yg63it2uwdy.sys] @="\??\c:\windows\system32\drivers\yg63it2uwdy.sys" [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "UpdatesDisableNotify"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\VBDPOSSERVER\\FFE.EXE"= "c:\\Program Files\\Symantec\\pcAnywhere\\awhost32.exe"= "c:\program files\Microsoft ActiveSync\rapimgr.exe"= c:\program files\Microsoft ActiveSync\rapimgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync RAPI Manager "c:\program files\Microsoft ActiveSync\wcescomm.exe"= c:\program files\Microsoft ActiveSync\wcescomm.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Connection Manager "c:\program files\Microsoft ActiveSync\WCESMgr.exe"= c:\program files\Microsoft ActiveSync\WCESMgr.exe:169.254.2.0/255.255.255.0:Enabled:ActiveSync Application "c:\\Program Files\\F-Secure\\FSAUA\\program\\fsaua.exe"= "c:\\WINDOWS\\system32\\taskmgr.exe"= "c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpSvc.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "26675:TCP"= 26675:TCP:169.254.2.0/255.255.255.0:Enabled:ActiveSync Service R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2008-03-21 60256] R3 elomoufiltr;ELO TouchSystems-SRV2;c:\windows\system32\DRIVERS\elofiltr.sys [2006-01-18 18944] R3 EloUsb;ELO TouchSystems-SRV;c:\windows\system32\DRIVERS\EloUsb.sys [2006-01-18 49664] S1 F-Secure HIPS;F-Secure HIPS;\??\c:\program files\F-Secure\HIPS\fshs.sys [2008-03-21 70752] S2 6prrspcfswf.sys;6prrspcfswf.sys;\??\c:\windows\system32\drivers\6prrspcfswf.sys [] S2 bszzkfiw6ky.sys;bszzkfiw6ky.sys;\??\c:\windows\system32\drivers\bszzkfiw6ky.sys [] S2 clhtsjpgclh.sys;clhtsjpgclh.sys;\??\c:\windows\system32\drivers\clhtsjpgclh.sys [] S2 FlashFilerService;FlashFiler Service 2,1100 Release (D7);c:\vbdposserver\ffsrvice.exe [2004-04-05 1241088] S2 ncjyjyucvfe.sys;ncjyjyucvfe.sys;\??\c:\windows\system32\drivers\ncjyjyucvfe.sys [] S2 omvba6vrdsl.sys;omvba6vrdsl.sys;\??\c:\windows\system32\drivers\omvba6vrdsl.sys [] S2 RSSUPIO;RSSUPIO;c:\windows\system32\drivers\RSSUPIO.sys [2006-01-18 9536] S2 rtfafvrq6ur.sys;rtfafvrq6ur.sys;\??\c:\windows\system32\drivers\rtfafvrq6ur.sys [2008-11-25 68096] S2 thdhv6qwgho.sys;thdhv6qwgho.sys;\??\c:\windows\system32\drivers\thdhv6qwgho.sys [2004-08-04 69120] S2 VBDManager;VBD Manager;c:\vestfold butikkdata as\VBDManager\bin\VBDManager.exe [2008-01-15 28672] S2 yg63it2uwdy.sys;yg63it2uwdy.sys;\??\c:\windows\system32\drivers\yg63it2uwdy.sys [2004-08-04 69120] S3 CscNUps;CscNUps;c:\windows\system32\drivers\CscNUps.sys [2006-01-18 18216] S3 F-Secure Gatekeeper;F-Secure Gatekeeper;\??\c:\program files\F-Secure\Anti-Virus\minifilter\fsgk.sys [2008-03-21 62048] S3 msloop;Microsoft Loopback Adapter Driver;c:\windows\system32\DRIVERS\loop.sys [2006-01-15 4992] S4 F-Secure Filter;F-Secure File System Filter;\??\c:\program files\F-Secure\Anti-Virus\Win2K\FSfilter.sys [2008-03-21 39776] S4 F-Secure Recognizer;F-Secure File System Recognizer;\??\c:\program files\F-Secure\Anti-Virus\Win2K\FSrec.sys [2008-03-21 25184] . - - - - ORPHANS REMOVED - - - - BHO-{1c741248-8fba-48ad-ab1d-f9e7565e0b5b} - c:\windows\waruworu.dll HKLM-Run-Malwarebytes Anti-Malware (reboot) - c:\programfiler\Malwarebytes' Anti-Malware\mbam.exe HKLM-Run-CPM4ac6b760 - c:\windows\system32\wivehezo.dll HKLM-Run-mirumajege - c:\windows\gavedewu.dll HKLM-Run-PROMon.exe - (no file) HKLM-RunOnce-tdss - c:\windows\TEMP\59484.exe . ------- Supplementary Scan ------- . FireFox -: Profile - c:\documents and settings\xxxxxxx\Application Data\Mozilla\Firefox\Profiles\oj7i1p1d.default\ FF -: plugin - c:\program files\Adobe\Acrobat 7.0\Reader\browser\nppdf32.dll . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-11-26 09:14:08 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-11-26 9:15:37 ComboFix-quarantined-files.txt 2008-11-26 08:14:56 Pre-Run: 30,793,981,952 bytes free Post-Run: 30,789,001,216 byte ledig 220 Lenke til kommentar
norbat Skrevet 26. november 2008 Del Skrevet 26. november 2008 Åpne notisblokk, kopier inn det som står under i fet skrift, lagre fila på skrivebordet som CFScript.txt Dra og slipp fila over Combofix-iconet. Combofix vil starte igjen File:: c:\windows\system32\drivers\lktiafamgbj.sys c:\windows\system32\drivers\rtfafvrq6ur.sys c:\windows\system32\yototiri.dll.vir c:\windows\system32\ponimero.dll.vir c:\windows\system32\jewukiwa.dll.vir c:\windows\system32\givudoze.dll.vir c:\windows\system32\__c00A3DD3.dat.ren c:\windows\system32\__c006A7D0.0xe c:\windows\system32\__c00E14D7.0xe c:\windows\system32\__c003EC57.0xe c:\windows\system32\__c00D2F41.0xe c:\windows\system32\drivers\yg63it2uwdy.sys c:\windows\system32\drivers\thdhv6qwgho.sys Registry:: [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\6prrspcfswf.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\bszzkfiw6ky.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\clhtsjpgclh.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ncjyjyucvfe.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\rtfafvrq6ur.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\thdhv6qwgho.sys] [-HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\yg63it2uwdy.sys] Driver:: 6prrspcfswf.sys bszzkfiw6ky.sys clhtsjpgclh.sys ncjyjyucvfe.sys omvba6vrdsl.sys rtfafvrq6ur.sys thdhv6qwgho.sys yg63it2uwdy.sys Post loggen. Oppdater MBAM og kjør en rask skann. Post også den loggen om den finner noe. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå