Ethernet Skrevet 1. desember 2008 Del Skrevet 1. desember 2008 (endret) Hei. Har maskina til en venninne av svigermor her. Utrolig treig, prøvd sikkermodus og da er den kjapp, scannet med online scannere. SpyBot, Malwarebytes, Ad-aware, Combofix og hijackthis. Sistnevnte fant jeg to registernøkler som var infisert og fikset de, men intet bedre ble det. Her er loggene: HiJackThis: Klikk for å se/fjerne innholdet nedenfor Malwarebytes' Anti-Malware 1.30 Database versjon: 1442 Windows 5.1.2600 Service Pack 3 01.12.2008 21:54:11 mbam-log-2008-12-01 (21-54-11).txt Skanntype: Rask Skann Objekter skannet: 53535 Tid tilbakelagt: 37 minute(s), 48 second(s) Minneprosesser infisert: 0 Minnemoduler infisert: 0 Registernøkler infisert: 2 Registerverdier infisert: 0 Registerfiler infisert: 0 Mapper infisert: 0 Filer infisert: 0 Minneprosesser infisert: (Ingen mistenkelige filer funnet) Minnemoduler infisert: (Ingen mistenkelige filer funnet) Registernøkler infisert: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a072ec12-a40b-41dd-9a1a-cdb848b70f3c} (Rogue.Installer) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bd4f7a6d-0107-4bdf-b72b-021b717b06ce} (Trojan.FakeAlert) -> Quarantined and deleted successfully. Registerverdier infisert: (Ingen mistenkelige filer funnet) Registerfiler infisert: (Ingen mistenkelige filer funnet) Mapper infisert: (Ingen mistenkelige filer funnet) Filer infisert: (Ingen mistenkelige filer funnet) Combofix Klikk for å se/fjerne innholdet nedenfor ComboFix 08-11-30.02 - Gr 2008-12-01 21:26:21.1 - NTFSx86 Kjører fra: c:\documents and settings\Gr\Skrivebord\ComboFix.exe ADVARSEL -DENNE MASKINEN HAR IKKE GJENOPPRETTINGSKONSOLLEN INSTALLERT !! . ((((((((((((((((((((((((((( Filer Opprettet Fra 2008-11-01 til 2008-12-01 ))))))))))))))))))))))))))))))))) . 2008-12-01 21:12 . 2008-12-01 21:12 <DIR> d-------- c:\programfiler\Malwarebytes' Anti-Malware 2008-12-01 21:12 . 2008-12-01 21:12 <DIR> d-------- c:\documents and settings\Gr\Programdata\Malwarebytes 2008-12-01 21:12 . 2008-12-01 21:12 <DIR> d-------- c:\documents and settings\All Users\Programdata\Malwarebytes 2008-12-01 21:12 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2008-12-01 21:12 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2008-11-30 22:36 . 2008-11-30 22:36 <DIR> dr-h----- c:\documents and settings\Gr\Siste . (((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-11-30 21:57 --------- d-----w c:\programfiler\SPAMfighter 2008-11-30 21:39 --------- d-----w c:\programfiler\Yahoo! 2008-11-30 21:38 --------- d-----w c:\documents and settings\All Users\Programdata\Spybot - Search & Destroy 2008-11-30 21:37 --------- d-----w c:\programfiler\Fellesfiler\Real 2008-11-30 21:25 --------- d-----w c:\documents and settings\Gr\Programdata\AVG7 2008-08-28 21:37 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale innstillinger\Logg\History.IE5\MSHist012008082820080829\index.dat . (((((((((((((((((((((((((((((((( Oppstartspunkter I Registeret ))))))))))))))))))))))))))))))))))))))))))))) . . *Merk* tomme oppføringer & gyldige standardoppføringer vises ikke REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "updateMgr"="c:\programfiler\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Broadcom Wireless Manager UI"="c:\windows\system32\WLTRAY" [X] "CtrlVol"="c:\program files\Launch Manager\CtrlVol.exe" [2003-09-16 20480] "Wbutton"="c:\program files\Launch Manager\Wbutton.exe" [2005-04-18 81920] "SynTPLpr"="c:\programfiler\Synaptics\SynTP\SynTPLpr.exe" [2005-03-18 98393] "SynTPEnh"="c:\programfiler\Synaptics\SynTP\SynTPEnh.exe" [2005-03-18 688217] "SunJavaUpdateSched"="c:\programfiler\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "lxbumon.exe"="c:\programfiler\Lexmark 6200 Series\lxbumon.exe" [2005-01-18 196608] "LogMeIn GUI"="c:\programfiler\LogMeIn\LogMeInSystray.exe" [2006-07-21 303856] "LMgrVolOSD"="c:\program files\Launch Manager\OSD.exe" [2005-03-16 204800] "LMgrOSD"="c:\program files\Launch Manager\OSDCtrl.exe" [2004-10-11 245760] "LaunchAp"="c:\program files\Launch Manager\LaunchAp.exe" [2005-03-30 32768] "HotkeyApp"="c:\program files\Launch Manager\HotkeyApp.exe" [2005-05-02 57344] "FaxCenterServer"="c:\programfiler\Lexmark Fax Solutions\fm3032.exe" [2004-11-22 299008] "EzPrint"="c:\programfiler\Lexmark 6200 Series\ezprint.exe" [2004-09-17 61440] "AVG7_CC"="c:\progra~1\Grisoft\AVG7\avgcc.exe" [2008-10-17 590848] "ATIPTA"="c:\programfiler\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2005-04-05 339968] "LXBUCATS"="c:\windows\System32\spool\DRIVERS\W32X86\3\LXBUtime.dll" [2004-11-02 69632] "SPAMfighter Agent"="c:\programfiler\SPAMfighter\SFAgent.exe" [2008-07-29 321672] "AppleSyncNotifier"="c:\programfiler\Fellesfiler\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe" [2008-07-22 116040] "QuickTime Task"="c:\programfiler\QuickTime\QTTask.exe" [2008-05-27 413696] "SoundMan"="SOUNDMAN.EXE" [2005-03-24 c:\windows\SOUNDMAN.EXE] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] "AVG7_Run"="c:\progra~1\Grisoft\AVG7\avgw.exe" [2007-10-23 219136] c:\documents and settings\All Users\Start-meny\Programmer\Oppstart\ Hurtigstart for Adobe Reader.lnk - c:\programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 29696] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit] 2006-07-21 12:15 11496 c:\windows\system32\LMIinit.dll [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2001-07-09 09:50 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\swg] --a------ 2007-07-12 20:23 68856 c:\programfiler\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\Programfiler\\MSN Messenger\\msnmsgr.exe"= "c:\\Programfiler\\MSN Messenger\\livecall.exe"= "c:\\Programfiler\\Grisoft\\AVG7\\avginet.exe"= "c:\\Programfiler\\Grisoft\\AVG7\\avgamsvr.exe"= "c:\\Programfiler\\Grisoft\\AVG7\\avgcc.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programfiler\\Bonjour\\mDNSResponder.exe"= "c:\\Programfiler\\iTunes\\iTunes.exe"= R1 Hotkey;Hotkey;c:\windows\system32\drivers\Hotkey.sys [2006-05-07 9867] R2 LMIInfo;LogMeIn Kernel Information Provider;\??\c:\programfiler\LogMeIn\RaInfo.sys [2006-05-02 11112] R3 HSFHWATI;HSFHWATI;c:\windows\system32\DRIVERS\HSFHWATI.sys [2006-05-07 200192] R3 MBAMSwissArmy;MBAMSwissArmy;\??\c:\windows\system32\drivers\mbamswissarmy.sys [2008-12-01 38496] R3 USBAAPL;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl.sys [2008-08-28 32000] S1 mailKmd;mailKmd; [] S1 Wbutton;Wbutton;c:\windows\system32\drivers\Wbutton.sys [] *Newly Created Service* - MBAMSWISSARMY *Newly Created Service* - PROCEXP90 . Innholdet i mappen 'Scheduled Tasks' (planlagte oppgaver) 2008-08-15 c:\windows\Tasks\1-Click Maintenance.job - c:\programfiler\TuneUp Utilities 2006\SystemOptimizer.exe [] 2008-08-28 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programfiler\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57] 2008-12-01 c:\windows\Tasks\Se etter oppdateringer for Windows Live Toolbar.job - c:\programfiler\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20] . - - - - TOMME PEKERE FJERNET - - - - Notify-__c00895E4 - c:\windows\system32\__c00895E4.dat Notify-__c008E1F4 - c:\windows\system32\__c008E1F4.dat Notify-__c00B25D4 - c:\windows\system32\__c00B25D4.dat Notify-__c00E9F01 - c:\windows\system32\__c00E9F01.dat Notify-__c00F0DEC - c:\windows\system32\__c00F0DEC.dat . ------- Tilleggsskanning ------- . FireFox -: Profile - c:\documents and settings\Gr\Programdata\Mozilla\Firefox\Profiles\x5ydh685.default\ FireFox -: prefs.js - SEARCH.DEFAULTURL - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q= . . ------- Filassosiasjoner ------- . . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-12-01 21:40:02 Windows 5.1.2600 Service Pack 3 NTFS skanner skjulte prosesser ... skanner skjulte autostart-oppføringer ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run CtrlVol = c:\program files\Launch Manager\CtrlVol.exe?????T??????|x??|????q??|?j?wQj?w????????,??? ???|???????????\??????|????????h?????@??T?????????????s???????s???sx??s@??????????????|h??sl??????????s?????????????????C?sc"?sx??s???????w??@?N'?s?>9?-6@??>9???????? LXBUCATS = rundll32 c:\windows\System32\spool\DRIVERS\W32X86\3\LXBUtime.dll,_RunDLLEntry@16??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????? skanner skjulte filer ... skanning vellykket skjulte filer: 0 ************************************************************************** . --------------------- DLL'er Lastet Av Kjørende Prosesser --------------------- - - - - - - - > 'winlogon.exe'(684) c:\windows\system32\Ati2evxx.dll c:\windows\system32\LMIinit.dll c:\windows\System32\BCMLogon.dll . Tidspunkt ferdig: 2008-12-01 21:45:18 ComboFix-quarantined-files.txt 2008-12-01 20:45:12 Pre-Run: 17 687 662 592 byte ledig Post-Run: 17,688,743,936 byte ledig 131 --- E O F --- 2008-10-27 19:03:38 MBAM Klikk for å se/fjerne innholdet nedenfor Malwarebytes' Anti-Malware 1.30 Database versjon: 1442 Windows 5.1.2600 Service Pack 3 01.12.2008 21:54:11 mbam-log-2008-12-01 (21-54-11).txt Skanntype: Rask Skann Objekter skannet: 53535 Tid tilbakelagt: 37 minute(s), 48 second(s) Minneprosesser infisert: 0 Minnemoduler infisert: 0 Registernøkler infisert: 2 Registerverdier infisert: 0 Registerfiler infisert: 0 Mapper infisert: 0 Filer infisert: 0 Minneprosesser infisert: (Ingen mistenkelige filer funnet) Minnemoduler infisert: (Ingen mistenkelige filer funnet) Registernøkler infisert: HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{a072ec12-a40b-41dd-9a1a-cdb848b70f3c} (Rogue.Installer) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{bd4f7a6d-0107-4bdf-b72b-021b717b06ce} (Trojan.FakeAlert) -> Quarantined and deleted successfully. Registerverdier infisert: (Ingen mistenkelige filer funnet) Registerfiler infisert: (Ingen mistenkelige filer funnet) Mapper infisert: (Ingen mistenkelige filer funnet) Filer infisert: (Ingen mistenkelige filer funnet) Jeg finner ingen feil her, men er ikke særlig god på de loggene. Som jeg sa, den i hijackthis som ble oppdaget,fikset jeg. Takk Endret 1. desember 2008 av Ethernet Lenke til kommentar
norbat Skrevet 1. desember 2008 Del Skrevet 1. desember 2008 Loggene ser greie ut. Du kunne kanskje slått av div. program fra å starte opp sammen med windows: Start->kjør skriv: msconfig Gå til arkfanen Oppstart. Fjern merket framfor de programmene som ikke behøver å starte opp sammen med windows. Hvor mye minne er det på maskinen? Lenke til kommentar
Ethernet Skrevet 1. desember 2008 Forfatter Del Skrevet 1. desember 2008 Etter hva jeg kan se er det 256 MB. Ja, så klart er det lite, men så treig skal ikke en PC være. Og den har visstnok ikke vært slik før. Men denne her: LXBUCATS = rundll32 C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\LXBUtime.dll,_RunDLLEntry@16 Den er ikke skummel? Lenke til kommentar
norbat Skrevet 1. desember 2008 Del Skrevet 1. desember 2008 Ikke hvis man kan stole på Lexmark Ville nok ha fjernet noen prog. fra oppstarten og puttet i 1gb minne. Pc'er bli normalt tregere og det er dessverre ikke unormalt at pc'er med 256mb kan bli svært treg. Lenke til kommentar
Ethernet Skrevet 1. desember 2008 Forfatter Del Skrevet 1. desember 2008 Har fjernet en del nå. Skal kjøre SDfix (?) og. Lenke til kommentar
norbat Skrevet 1. desember 2008 Del Skrevet 1. desember 2008 Nei, du behøver ikke det. Når pc'n er treg, ser du om det er noen prosesser som bruker mye cpu evt. minne? Høyreklikk på oppgavelinja og velg oppgavebehandling). Se under arkfanen Prosesser. Lenke til kommentar
Ethernet Skrevet 1. desember 2008 Forfatter Del Skrevet 1. desember 2008 Har sjekket. Ligger stort sett på under 10% Lenke til kommentar
norbat Skrevet 1. desember 2008 Del Skrevet 1. desember 2008 Tror nok en minneoppgradering ville ha gjort susen Lenke til kommentar
Ethernet Skrevet 1. desember 2008 Forfatter Del Skrevet 1. desember 2008 ja, takk uansett Lenke til kommentar
r2d290 Skrevet 2. desember 2008 Del Skrevet 2. desember 2008 Combofix må avinstalleres. Gå til Start > Kjør Skriv følgende i boksen: ComboFix /u PS: legg merke til mellomrommet mellom X og /u Du skal nå ha noe som tilsvarer bildet nedenfor: Trykk Enter. Denne kommandoen vil: Fjerne følgende:ComboFix og dets tilhørende filer og mapper. VundoFix backups, hvis de eksisterer. Mappen C:\Deckard, hvis den eksisterer Mappen C:\OtMoveIt, hvis den eksisterer [*] Nullstille klokke-instillingene. [*] Skjule filetternavn hvis det er nødvendig. [*] Skjule System/Skjulte filer og mapper hvis det er nødvendig. [*] Nullstille systemgjennoprettingspunkter. Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå