fortborte Skrevet 14. januar 2009 Del Skrevet 14. januar 2009 jeg tror det hele startet da norton plutselig ikke ville kjøre sikkerhetskopiering lenger. skulle ha vært mistenksom allerede da, jeg vet. jeg brukte allikevel maskinen helt frem til den for ca en uke siden ikke ville laste http-sider lenger, bare https, og da veldig veldig tregt. begynte å bruke den bærbare men lot den stasjonære bli stående på (ikke tilkoblet internett) ettersom den har en lei historie med ikke å boote uten problemer, så jeg turde ikke slå den av i frykt for å miste den en fjerde gang. (tror ikke dette har med virus/trojanere å gjøre, dette har vært et problem for meg lenge før det. harddisk-kræsj tre ganger på tre år ) anyways. lastet ned de tre anbefalte programmene og la de inn på den infiserte maskinen og kjørte de. var ikke klar over at maskinen måtte være i sikkermodus så den første loggen fra mbam er etter den første skanningen ved vanlig oppstart. mbam-logg etter vanlig oppstart Malwarebytes' Anti-Malware 1.30 Database versjon: 1306 Windows 5.1.2600 Service Pack 3 14.01.2009 14:34:33 mbam-log-2009-01-14 (14-34-33).txt Skanntype: Rask Skann Objekter skannet: 47522 Tid tilbakelagt: 3 minute(s), 44 second(s) Minneprosesser infisert: 1 Minnemoduler infisert: 1 Registernøkler infisert: 3 Registerverdier infisert: 1 Registerfiler infisert: 1 Mapper infisert: 1 Filer infisert: 8 Minneprosesser infisert: C:\Programfiler\RelevantKnowledge\rlvknlg.exe (Spyware.Marketscore) -> Failed to unload process. Minnemoduler infisert: C:\Programfiler\RelevantKnowledge\rlls.dll (Spyware.Marketscore) -> Delete on reboot. Registernøkler infisert: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\relevantknowledge (Spyware.Marketscore) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_ONESTEP_SEARCH_SERVICE (Adware.OneStepSearch) -> Quarantined and deleted successfully. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OneStep Search Service (Adware.OneStepSearch) -> Quarantined and deleted successfully. Registerverdier infisert: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\relevantknowledge (Spyware.Marketscore) -> Quarantined and deleted successfully. Registerfiler infisert: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs (Spyware.Marketscore) -> Data: c:\programfiler\relevantknowledge\rlai.dll -> Quarantined and deleted successfully. Mapper infisert: C:\Programfiler\RelevantKnowledge (Spyware.Marketscore) -> Delete on reboot. Filer infisert: C:\Programfiler\RelevantKnowledge\rlai.dll (Spyware.Marketscore) -> Delete on reboot. C:\Programfiler\RelevantKnowledge\rlls.dll (Spyware.Marketscore) -> Delete on reboot. C:\Programfiler\RelevantKnowledge\rloci.bin (Spyware.Marketscore) -> Quarantined and deleted successfully. C:\Programfiler\RelevantKnowledge\rlph.dll (Spyware.Marketscore) -> Quarantined and deleted successfully. C:\Programfiler\RelevantKnowledge\rlservice.exe (Spyware.Marketscore) -> Quarantined and deleted successfully. C:\Programfiler\RelevantKnowledge\rlvknlg.exe (Spyware.Marketscore) -> Delete on reboot. C:\Programfiler\RelevantKnowledge\rlxf.dll (Spyware.Marketscore) -> Quarantined and deleted successfully. C:\Programfiler\RelevantKnowledge\sporder.dll (Spyware.Marketscore) -> Quarantined and deleted successfully. den fant saker, fjernet merkede, så kjørte jeg igjen i sikkermodus og de følgende tre logger er derfra. setter veldig stor pris på all hjelp! mbam-logg etter skann i sikkermodus Malwarebytes' Anti-Malware 1.30 Database versjon: 1306 Windows 5.1.2600 Service Pack 3 14.01.2009 14:50:04 mbam-log-2009-01-14 (14-50-04).txt Skanntype: Rask Skann Objekter skannet: 45480 Tid tilbakelagt: 2 minute(s), 10 second(s) Minneprosesser infisert: 0 Minnemoduler infisert: 0 Registernøkler infisert: 0 Registerverdier infisert: 0 Registerfiler infisert: 0 Mapper infisert: 0 Filer infisert: 0 Minneprosesser infisert: (Ingen mistenkelige filer funnet) Minnemoduler infisert: (Ingen mistenkelige filer funnet) Registernøkler infisert: (Ingen mistenkelige filer funnet) Registerverdier infisert: (Ingen mistenkelige filer funnet) Registerfiler infisert: (Ingen mistenkelige filer funnet) Mapper infisert: (Ingen mistenkelige filer funnet) Filer infisert: (Ingen mistenkelige filer funnet) combofix-logg ComboFix 09-01-13.04 - Bente 2009-01-14 15:28:05.2 - NTFSx86 MINIMAL Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1044.18.1535.1273 [GMT 1:00] Kjører fra: c:\documents and settings\Bente\Skrivebord\ComboFix.exe AV: F-Secure Anti-Virus 2009 9.00 *On-access scanning disabled* (Outdated) AV: Norton 360 Online *On-access scanning disabled* (Outdated) FW: Norton 360 Online *disabled* ADVARSEL -DENNE MASKINEN HAR IKKE GJENOPPRETTINGSKONSOLLEN INSTALLERT !! . ((((((((((((((((((((((((((( Filer Opprettet Fra 2008-12-14 til 2009-01-14 ))))))))))))))))))))))))))))))))) . 2009-01-14 14:27 . 2009-01-14 14:27 <DIR> d-------- c:\programfiler\Malwarebytes' Anti-Malware 2009-01-14 14:27 . 2009-01-14 14:27 <DIR> d-------- c:\documents and settings\Bente\Programdata\Malwarebytes 2009-01-14 14:27 . 2009-01-14 14:27 <DIR> d-------- c:\documents and settings\All Users\Programdata\Malwarebytes 2009-01-14 14:27 . 2008-10-22 16:10 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys 2009-01-14 14:27 . 2008-10-22 16:10 15,504 --a------ c:\windows\system32\drivers\mbam.sys 2009-01-10 21:37 . 2009-01-10 21:37 <DIR> d-------- c:\documents and settings\Bente\Programdata\F-Secure 2009-01-10 21:33 . 2008-10-14 14:01 79,904 --a------ c:\windows\system32\drivers\fsdfw.sys 2009-01-10 21:32 . 2009-01-10 21:34 <DIR> d-------- c:\programfiler\F-Secure Internet Security 2009-01-10 21:32 . 2009-01-10 21:32 <DIR> d-------- c:\documents and settings\All Users\Programdata\fssg 2009-01-10 21:31 . 2009-01-10 21:33 <DIR> d-------- c:\documents and settings\All Users\Programdata\f-secure 2009-01-10 13:48 . 2009-01-10 13:48 <DIR> d-------- c:\programfiler\Lavasoft 2009-01-10 13:48 . 2009-01-10 13:49 <DIR> d-------- c:\documents and settings\All Users\Programdata\Lavasoft 2009-01-10 13:47 . 2009-01-10 13:47 <DIR> d-------- c:\programfiler\Fellesfiler\Wise Installation Wizard 2009-01-10 13:44 . 2009-01-10 13:44 <DIR> d-------- c:\programfiler\Trend Micro 2008-12-31 06:20 . 2008-12-31 06:20 <DIR> d-------- c:\windows\system32\Lang 2008-12-31 06:20 . 2008-12-31 06:20 940,794 --a------ c:\windows\system32\LoopyMusic.wav 2008-12-31 06:20 . 2008-12-31 06:20 146,650 --a------ c:\windows\system32\BuzzingBee.wav . (((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-13 08:27 --------- d-----w c:\programfiler\Norton 360 Online 2009-01-13 08:05 --------- d-----w c:\programfiler\Fellesfiler\Symantec Shared 2009-01-06 17:57 --------- d-----w c:\documents and settings\Bente\Programdata\MailWasher 2009-01-06 04:32 --------- d-----w c:\programfiler\Mozilla Thunderbird 2009-01-06 01:29 806 ----a-w c:\windows\system32\drivers\SYMEVENT.INF 2009-01-06 01:29 60,808 ----a-w c:\windows\system32\S32EVNT1.DLL 2009-01-06 01:29 124,464 ----a-w c:\windows\system32\drivers\SYMEVENT.SYS 2009-01-06 01:29 10,635 ----a-w c:\windows\system32\drivers\SYMEVENT.CAT 2009-01-06 01:29 --------- d-----w c:\programfiler\Symantec 2009-01-05 00:05 --------- d-----w c:\documents and settings\All Users\Programdata\Symantec 2008-12-31 06:22 --------- d-----w c:\documents and settings\Bente\Programdata\OpenOffice.org2 2008-12-07 15:31 --------- d-----w c:\programfiler\wings3d_0.99.04a 2008-09-12 07:16 174,421,776 ----a-w c:\documents and settings\Bente\DJ_AIO_NonNetwork_NOB.exe 2008-07-10 21:22 93,767,048 ----a-w c:\programfiler\n360.exe 2008-07-08 10:50 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale innstillinger\Logg\History.IE5\MSHist012008063020080707\index.dat 2008-07-08 10:50 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale innstillinger\Logg\History.IE5\MSHist012008070820080709\index.dat . (((((((((((((((((((((((((((((((( Oppstartspunkter I Registeret ))))))))))))))))))))))))))))))))))))))))))))) . . *Merk* tomme oppføringer & gyldige standardoppføringer vises ikke REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "MsnMsgr"="c:\programfiler\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184] "MSMSGS"="c:\programfiler\Messenger\msmsgs.exe" [2008-04-14 1695232] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LogMeIn GUI"="c:\programfiler\LogMeIn\x86\LogMeInSystray.exe" [2008-02-28 63048] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-10-22 7700480] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-10-22 86016] "QuickTime Task"="c:\programfiler\QuickTime\qttask.exe" [2008-05-27 413696] "SunJavaUpdateSched"="c:\programfiler\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784] "ccApp"="c:\programfiler\Fellesfiler\Symantec Shared\ccApp.exe" [2007-01-10 115816] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "Symantec PIF AlertEng"="c:\programfiler\Fellesfiler\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" [2008-01-29 583048] "HP Software Update"="c:\programfiler\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152] "Recordpad"="c:\programfiler\NCH Swift Sound\Recordpad\recordpad.exe" [2008-09-16 577540] "Adobe Reader Speed Launcher"="c:\programfiler\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672] "F-Secure Manager"="c:\programfiler\F-Secure Internet Security\Common\FSM32.EXE" [2008-10-14 182936] "F-Secure TNB"="c:\programfiler\F-Secure Internet Security\FSGUI\TNBUtil.exe" [2008-10-14 957024] "SoundMan"="SOUNDMAN.EXE" [2004-12-22 c:\windows\SOUNDMAN.EXE] "nwiz"="nwiz.exe" [2006-10-22 c:\windows\system32\nwiz.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\Bente\Start-meny\Programmer\Oppstart\ Adobe Gamma.lnk - c:\programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe [2005-03-16 113664] c:\documents and settings\All Users\Start-meny\Programmer\Oppstart\ HP Digital Imaging Monitor.lnk - c:\programfiler\HP\Digital Imaging\bin\hpqtra08.exe [2007-03-11 210520] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit] 2008-05-28 11:32 87352 c:\windows\system32\LMIinit.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus] "DisableMonitoring"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile] "EnableFirewall"= 0 (0x0) [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Programfiler\\Windows Live\\Messenger\\msnmsgr.exe"= "c:\\Programfiler\\Windows Live\\Messenger\\livecall.exe"= "c:\\Programfiler\\SecondLife\\SecondLife.exe"= R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2009-01-10 79904] S1 F-Secure HIPS;F-Secure HIPS Driver;c:\programfiler\F-Secure Internet Security\HIPS\drivers\fshs.sys [2009-01-10 66720] S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\programfiler\Fellesfiler\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2008-09-02 99376] S3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\programfiler\F-Secure Internet Security\Anti-Virus\minifilter\fsgk.sys [2009-01-10 72288] S3 FSORSPClient;F-Secure ORSP Client;c:\programfiler\F-Secure Internet Security\ORSP Client\fsorsp.exe [2009-01-10 55904] S4 F-Secure Filter;F-Secure File System Filter;c:\programfiler\F-Secure Internet Security\Anti-Virus\win2k\fsfilter.sys [2009-01-10 39776] S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\programfiler\F-Secure Internet Security\Anti-Virus\win2k\fsrec.sys [2009-01-10 25184] S4 LMIInfo;LogMeIn Kernel Information Provider;c:\programfiler\LogMeIn\x86\rainfo.sys [2008-02-28 12856] S4 LMIRfsClientNP;LMIRfsClientNP; [x] S4 LMIRfsDriver;LogMeIn Remote File System Driver;c:\windows\system32\drivers\LMIRfsDriver.sys [2008-07-07 45848] --- Andre tjenester/drivere lastet i minnet --- *NewlyCreated* - COMHOST [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . Innholdet i mappen 'Scheduled Tasks' (planlagte oppgaver) 2009-01-03 c:\windows\Tasks\AppleSoftwareUpdate.job - c:\programfiler\Apple Software Update\SoftwareUpdate.exe [2008-04-11 16:57] . . ------- Tilleggsskanning ------- . LSP: c:\programfiler\F-Secure Internet Security\FSPS\program\FSLSP.DLL FF - ProfilePath - c:\documents and settings\Bente\Programdata\Mozilla\Firefox\Profiles\skivw0ev.default\ FF - prefs.js: browser.startup.homepage - about:blank FF - plugin: c:\programfiler\Mozilla Firefox\plugins\NpFv41629.dll ---- FIREFOX POLICIES ---- c:\programfiler\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".no"); . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-14 15:29:55 Windows 5.1.2600 Service Pack 3 NTFS skanner skjulte prosesser ... skanner skjulte autostart-oppføringer ... skanner skjulte filer ... ************************************************************************** . --------------------- DLL'er Lastet Av Kjørende Prosesser --------------------- - - - - - - - > 'winlogon.exe'(204) c:\windows\system32\LMIinit.dll c:\windows\system32\LMIRfsClientNP.dll . Tidspunkt ferdig: 2009-01-14 15:32:11 ComboFix-quarantined-files.txt 2009-01-14 14:30:54 ComboFix2.txt 2009-01-14 14:23:05 Pre-Run: 112 229 617 664 byte ledig Post-Run: 112,215,805,952 byte ledig 143 --- E O F --- 2008-11-13 23:02:23 hjt-logg Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:26:51, on 14.01.2009 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16735) Boot mode: Safe mode Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\Programfiler\Lavasoft\Ad-Aware\aawservice.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\ctfmon.exe C:\Programfiler\Trend Micro\HijackThis\test.exe R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Programfiler\HP\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: HP Print Clips - {053F9267-DC04-4294-A72C-58F732D338C0} - C:\Programfiler\HP\Smart Web Printing\hpswp_framework.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programfiler\Fellesfiler\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: (no name) - {1E8A6170-7264-4D0F-BEAE-D42A53123C75} - C:\Programfiler\Fellesfiler\Symantec Shared\coShared\Browser\1.5\NppBho.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.6.0_07\bin\ssv.dll O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file) O3 - Toolbar: Norton-verktøylinjen - {90222687-F593-4738-B738-FBEE9C7B26DF} - C:\Programfiler\Fellesfiler\Symantec Shared\coShared\Browser\1.5\UIBHO.dll O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programfiler\LogMeIn\x86\LogMeInSystray.exe" O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programfiler\Java\jre1.6.0_07\bin\jusched.exe" O4 - HKLM\..\Run: [ccApp] "C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Programfiler\Fellesfiler\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Programfiler\Fellesfiler\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll" O4 - HKLM\..\Run: [HP Software Update] C:\Programfiler\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Recordpad] "C:\Programfiler\NCH Swift Sound\Recordpad\recordpad.exe" -logon O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programfiler\Adobe\Reader 9.0\Reader\Reader_sl.exe" O4 - HKLM\..\Run: [F-Secure Manager] "C:\Programfiler\F-Secure Internet Security\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Programfiler\F-Secure Internet Security\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - S-1-5-18 Startup: Adobe Gamma.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe (User 'SYSTEM') O4 - .DEFAULT Startup: Adobe Gamma.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe (User 'Default user') O4 - Startup: Adobe Gamma.lnk = C:\Programfiler\Fellesfiler\Adobe\Calibration\Adobe Gamma Loader.exe O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programfiler\HP\Digital Imaging\bin\hpqtra08.exe O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_07\bin\ssv.dll O9 - Extra button: HP Utklippsbok - {58ECB495-38F0-49cb-A538-10282ABF65E7} - C:\Programfiler\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: HP Smart valgmetode - {700259D7-1666-479a-93B1-3250410481E8} - C:\Programfiler\HP\Smart Web Printing\hpswp_extensions.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Programfiler\Lavasoft\Ad-Aware\aawservice.exe O23 - Service: Adobe LM Service - Adobe Systems - C:\Programfiler\Fellesfiler\Adobe Systems Shared\Service\Adobelmsvc.exe O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccSvcHst.exe O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccSvcHst.exe O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\VAScanner\comHost.exe O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Programfiler\F-Secure Internet Security\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Programfiler\F-Secure Internet Security\FSAUA\program\fsaua.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Programfiler\F-Secure Internet Security\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Programfiler\F-Secure Internet Security\Common\FSMA32.EXE O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Programfiler\F-Secure Internet Security\ORSP Client\fsorsp.exe O23 - Service: LiveUpdate - Symantec Corporation - C:\PROGRA~1\Symantec\LIVEUP~1\LUCOMS~1.EXE O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccSvcHst.exe O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Symantec Core LC - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\CCPD-LC\symlcsvc.exe -- End of file - 7699 bytes Lenke til kommentar
snippsat Skrevet 14. januar 2009 Del Skrevet 14. januar 2009 (endret) Har du både f-scure og norton antivirus innstallert må du fjerne 1 av dem. Kun et anitvirus på systemet,kan godt være det som har lagd problemer for deg. Ellers så ser det bra ut. Endret 14. januar 2009 av SNIPPSAT Lenke til kommentar
fortborte Skrevet 14. januar 2009 Forfatter Del Skrevet 14. januar 2009 (endret) Har du både f-scure og norton antivirus innstallert må du fjerne 1 av dem.Kun et anitvirus på systemet,kan godt være det som har lagd problemer for deg. Ellers så ser det bra ut. takk for tilbakemelding til vanlig har jeg bare norton. installerte f-secure etter tips fra venner, så det har vært på maskinen bare et par-tre dager nå. burde ha visst at jeg skulle ha avinstallert norton først... jeg vet at det fremdeles er uhumskheter der. før jeg kjørte mbam, combofix og hjt ga norton beskjed om to tilfeller av den samme trojaneren i windows\installer (risikonavn: downloader, filnavn: aeee3d.msi og aeee43.msi) og de ligger der fremdeles Endret 14. januar 2009 av fortborte Lenke til kommentar
snippsat Skrevet 14. januar 2009 Del Skrevet 14. januar 2009 filnavn: aeee3d.msi og aeee43.msi) og de ligger der fremdeles Ja du får søke igjen når du har fjernet et antivirus. Finner den de filene tar du med korrekt plassering. Vanligvis skal antivirus greie og fjerne det den finner,viss ikke tar vi det bare manuelt. Dem gjør sansyneligvis ingen skade eller så hadde combofix fanget det opp. Lenke til kommentar
fortborte Skrevet 14. januar 2009 Forfatter Del Skrevet 14. januar 2009 etter et nytt søk med norton etter å ha fjernet f-secure finner den ikke disse to trojanerne lenger, selv om de fremdeles ligger der. jeg kan se dem. men norton gir meg nå beskjed om at det ligger et reklameprogram på maskinen. jeg har kjørt ad-aware men får ikke oppdatert ettersom jeg ikke tør koble maskinen til nettet. første gang norton ga meg beskjed om disse to filene i windows\installer-mappen som var trojanere stod det at de truslene ikke kunne løses på vanlig måte eller noe og da jeg klikket på "løs nå" ville norton koble seg til nettet, hvilket jeg da ikke har turt å gjøre. det var jo på den måten dette mølet kom seg inn på ...så hva kan jeg gjøre videre nå? Lenke til kommentar
norbat Skrevet 14. januar 2009 Del Skrevet 14. januar 2009 Du skal koble deg til nett og oppdatere Malwarebytes. Kjør deretter en ny rask skann (fra normalt tilstand, ikke sikker modus) Lenke til kommentar
fortborte Skrevet 14. januar 2009 Forfatter Del Skrevet 14. januar 2009 takk for tilbakemelding ok, gjort dette og her er loggen. sier den ikke fant noe. Malwarebytes' Anti-Malware 1.32 Databaseversjon: 1653 Windows 5.1.2600 Service Pack 3 14.01.2009 19:45:56 mbam-log-2009-01-14 (19-45-56).txt Skanntype: Rask Skann Objekter skannet: 52984 Tid tilbakelagt: 3 minute(s), 27 second(s) Minneprosesser infisert: 0 Minnemoduler infisert: 0 Registernøkler infisert: 0 Registerverdier infisert: 0 Registerfiler infisert: 0 Mapper infisert: 0 Filer infisert: 0 Minneprosesser infisert: (Ingen mistenkelige filer funnet) Minnemoduler infisert: (Ingen mistenkelige filer funnet) Registernøkler infisert: (Ingen mistenkelige filer funnet) Registerverdier infisert: (Ingen mistenkelige filer funnet) Registerfiler infisert: (Ingen mistenkelige filer funnet) Mapper infisert: (Ingen mistenkelige filer funnet) Filer infisert: (Ingen mistenkelige filer funnet) men ettersom norton pekte ut to mistenkelige filer som trojanere mer enn en gang tidligere og disse filene fremdeles er tilstede på maskinen så er jeg vel ikke trygg riktig ennå? Lenke til kommentar
norbat Skrevet 14. januar 2009 Del Skrevet 14. januar 2009 Du kan laste opp filene på Virustotal, og se hva de mener om filene. Lenke til kommentar
fortborte Skrevet 14. januar 2009 Forfatter Del Skrevet 14. januar 2009 dette var resultatet på virustotal (internett fungerte som normalt igjen - yay!): for fil aeee43.msi Antivirus Version Last Update Result a-squared 4.0.0.73 2009.01.14 - AhnLab-V3 2009.1.15.0 2009.01.14 - AntiVir 7.9.0.54 2009.01.14 - Authentium 5.1.0.4 2009.01.14 - Avast 4.8.1281.0 2009.01.14 Win32:Adware-gen AVG 8.0.0.229 2009.01.14 Generic10.DBL BitDefender 7.2 2009.01.14 Trojan.Generic.303172 CAT-QuickHeal 10.00 2009.01.14 - ClamAV 0.94.1 2009.01.14 - Comodo 931 2009.01.14 - DrWeb 4.44.0.09170 2009.01.14 DLOADER.Trojan eSafe 7.0.17.0 2009.01.14 Suspicious File eTrust-Vet 31.6.6307 2009.01.14 - F-Prot 4.4.4.56 2009.01.14 - F-Secure 8.0.14470.0 2009.01.14 - Fortinet 3.117.0.0 2009.01.14 - GData 19 2009.01.14 Trojan.Generic.303172 Ikarus T3.1.1.45.0 2009.01.14 - K7AntiVirus 7.10.584 2009.01.09 - Kaspersky 7.0.0.125 2009.01.14 Heur.Downloader McAfee 5495 2009.01.14 - McAfee+Artemis 5495 2009.01.14 - Microsoft 1.4205 2009.01.14 BrowserModifier:Win32/OneStepSearch NOD32 3766 2009.01.14 - Norman 5.93.01 2009.01.13 - nProtect 2009.1.8.0 2009.01.14 Application.Generic.20730 Panda 9.5.1.2 2009.01.14 Adware/Relevant PCTools 4.4.2.0 2009.01.14 - Prevx1 V2 2009.01.14 - Rising 21.12.22.00 2009.01.14 Trojan.Win32.Loader.i SecureWeb-Gateway 6.7.6 2009.01.14 Ad-Spyware.Relevant.I Sophos 4.37.0 2009.01.14 - Sunbelt 3.2.1831.2 2009.01.09 - Symantec 10 2009.01.14 Downloader TheHacker 6.3.1.4.219 2009.01.14 - TrendMicro 8.700.0.1004 2009.01.14 - VBA32 3.12.8.10 2009.01.13 AdWare.Win32.Relevant.i ViRobot 2009.1.14.1559 2009.01.14 - VirusBuster 4.5.11.0 2009.01.14 - Additional information File size: 1594880 bytes MD5...: b3a2cf34093cd86ce6c28847c171a7b7 SHA1..: 1975eac553e367eb2282f44d07df1ecacfd0426c SHA256: 285101729fc85ec914ee27c29b176632a87d64a4c50ab0a8f1fd7aa674ae2f29 SHA512: c2b82caaaa5aa3c3c0b5d545d51a89c26000e78c0b977193861b301f8ae91a03 371e84622398210bd7c8b45685e7a40aa18ce46547a2df5eeea59b1e3d9cf9c9 ssdeep: 24576:r4ekrdPWAuYJOUFFZzNvrdf5LG+igTzW9pIH4ysm8AjeGzZ9:r4eWdPWAu YJO4rNZf5y+nTK+Y9S PEiD..: - TrID..: File type identification Microsoft Windows Installer (92.7%) Windows SDK Setup Transform Script (6.3%) Generic OLE2 / Multistream Compound File (0.8%) for fil aeee3d.msi Antivirus Version Last Update Result a-squared 4.0.0.73 2009.01.14 - AhnLab-V3 2009.1.15.0 2009.01.14 - AntiVir 7.9.0.54 2009.01.14 - Authentium 5.1.0.4 2009.01.14 - Avast 4.8.1281.0 2009.01.14 Win32:Adware-gen AVG 8.0.0.229 2009.01.14 Generic10.DBL BitDefender 7.2 2009.01.14 Trojan.Generic.303172 CAT-QuickHeal 10.00 2009.01.14 - ClamAV 0.94.1 2009.01.14 - Comodo 931 2009.01.14 - DrWeb 4.44.0.09170 2009.01.14 DLOADER.Trojan eSafe 7.0.17.0 2009.01.14 Suspicious File eTrust-Vet 31.6.6307 2009.01.14 - F-Prot 4.4.4.56 2009.01.14 - F-Secure 8.0.14470.0 2009.01.14 - Fortinet 3.117.0.0 2009.01.14 - GData 19 2009.01.14 Trojan.Generic.303172 Ikarus T3.1.1.45.0 2009.01.14 - K7AntiVirus 7.10.584 2009.01.09 - Kaspersky 7.0.0.125 2009.01.14 Heur.Downloader McAfee 5495 2009.01.14 - McAfee+Artemis 5495 2009.01.14 - Microsoft 1.4205 2009.01.14 BrowserModifier:Win32/OneStepSearch NOD32 3766 2009.01.14 - Norman 5.93.01 2009.01.13 - nProtect 2009.1.8.0 2009.01.14 Application.Generic.20730 Panda 9.5.1.2 2009.01.14 Adware/Relevant PCTools 4.4.2.0 2009.01.14 - Prevx1 V2 2009.01.14 - Rising 21.12.22.00 2009.01.14 Trojan.Win32.Loader.i SecureWeb-Gateway 6.7.6 2009.01.14 Ad-Spyware.Relevant.I Sophos 4.37.0 2009.01.14 - Sunbelt 3.2.1831.2 2009.01.09 - Symantec 10 2009.01.14 Downloader TheHacker 6.3.1.4.219 2009.01.14 - TrendMicro 8.700.0.1004 2009.01.14 - VBA32 3.12.8.10 2009.01.13 AdWare.Win32.Relevant.i ViRobot 2009.1.14.1559 2009.01.14 - VirusBuster 4.5.11.0 2009.01.14 - Additional information File size: 1594880 bytes MD5...: 982f5f07898c82e022df05a86699802b SHA1..: e967290d7979b37ca6502d0277d58c30dde6be16 SHA256: 69152c12fb53061927efd1c157947e7740a9b428e2327d80be363e6352d6ac0b SHA512: b126795e145711b2f74c17f56bfae0b55e939386fe035e7787201f7973e07236 b54d5789ceeda14c19bf93d60cd9e2a661ad87a3e6e774864782cf03a53b51e3 ssdeep: 24576:C4elrdPVAuYJOUFFZzNvrdf5LG+igTzW9pIH4Rsm8AdeGzZ9:C4eddPVAu YJO4rNZf5y+nTK+Y+g PEiD..: - TrID..: File type identification Microsoft Windows Installer (92.7%) Windows SDK Setup Transform Script (6.3%) Generic OLE2 / Multistream Compound File (0.8%) beklager formateringen på resultatene. håper de er leselige likevel. Lenke til kommentar
norbat Skrevet 14. januar 2009 Del Skrevet 14. januar 2009 Høyreklikk på filene og velg slett Lenke til kommentar
fortborte Skrevet 14. januar 2009 Forfatter Del Skrevet 14. januar 2009 Høyreklikk på filene og velg slett er det virkelig så enkelt? hehe, føler meg litt dum nå slettet begge to og tømte papirkurven, restartet og de har ikke dukket opp igjen. men går jeg inn i legg til/fjern programmer-listen min så finner jeg to oppføringer der jeg er usikker på. vel det første googlet jeg og kom frem til er en spyware/reklamesak. "relevant knowledge". det andre heter bare "1989". ikke har jeg bevisst installert noe program som heter det. men jeg tenker litt... før jeg slettet de to .msi-filene lot jeg musepilen hvile over navnene og på den ene kom det frem bl.a. "emne: 1989". snodig? er det trygt å forsøke å fjerne "relevant knowledge" evt også "1989" gjennom "legg til/fjern programmer? gitt at de lar seg fjerne så klart. jeg vil bare si at jeg setter stor pris på hjelpen! Lenke til kommentar
norbat Skrevet 14. januar 2009 Del Skrevet 14. januar 2009 (endret) Uansett hva disse to er, så kan du slette dem. Du vil antakelig ikke savne dem Virustotal mener det er adware, noe som er svært sannsynlig. Endret 14. januar 2009 av norbat Lenke til kommentar
fortborte Skrevet 14. januar 2009 Forfatter Del Skrevet 14. januar 2009 Uansett hva disse to er, så kan du slette dem. Du vil antakelig ikke savne dem Virustotal mener det er adware, noe som er svært sannsynlig. fikk slettet "relevant knowledge" uten problemer. restartet og har ikke dukket opp igjen. "1989", derimot, lar seg ikke rikke uten videre. forsøker jeg å fjerne den via legg til/fjern programmer vil den koble seg til nettet. ettersom jeg ennå ikke har den maskinen tilkoblet (kun for å gjøre det jeg er tipset om her) så stopper det opp og jeg får følgende beskjed: the feature you are trying to use is on a network resource that is unavailable. click ok to try again, or enter an alternate path to a folder containing the installation package "1989.msi" in the box below. stien peker til en mappe kalt "filesubmit" og den ligger ikke der skal jeg koble maskinen til internett og forsøke å fjerne igjen? switcher fremdeles mellom mine to maskiner, har ikke trådløst internett så bare en kan være oppkoblet av gangen. ser frem til å kunne bruke den stasjonære igjen Lenke til kommentar
fortborte Skrevet 16. januar 2009 Forfatter Del Skrevet 16. januar 2009 dersom ingen skriker høyt om mistenkelige ting som fremdeles viser seg i loggene mine så må jeg innrømme jeg føler meg veldig fristet til å koble maskinen min på nett igjen for å oppdatere norton og alle sikkerhetsprogrammer og sånt, kjøre en skann til og så begynne å bruke maskinen igjen... Lenke til kommentar
fortborte Skrevet 21. januar 2009 Forfatter Del Skrevet 21. januar 2009 drøyde det noen dager før jeg turde å rope hurra og snurre meg rundt i stua men nå ser det ut til at alt er i orden igjen tusen hjertelig takk for all hjelp jeg har fått her inne! setter umåtelig stor pris på det og vet ikke hva jeg skulle gjort uten! takker og bukker! Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå