V?rbris Skrevet 3. februar 2009 Del Skrevet 3. februar 2009 (endret) Hei Får tidvis beskjed fra Malwarebyte,s om at en prossess vil kjøre. Dette betegnes som trojan fake.alert og er i fil ~mpa.exe Når jeg kjører malwarebyte,s manuelt finner den ingen ting. Ikke heller Avira antivir premium finner noe, dette er ett kjøpeprogram. Bruker også dr.web som ett manuelt program og dette har heller ikke funnet noe. Har i tillegg kjørt F-secure blacklight, nolop, anticoolwwwebsearch, vundofix og windows malicious software remover uten å finne noe. Maskinen var litt rar da jeg restartet den i morges noen vinduer dukket opp. Har kjørt highjackthis og får dette: ( beklager at jeg ikke kan legge dette inn skjult ) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 11:57, on 2009-02-03 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\NERO 6\InCD\InCDsrv.exe C:\WINDOWS\system32\Ati2evxx.exe C:\WINDOWS\system32\spoolsv.exe C:\Programfiler\Avira\AntiVir PersonalEdition Premium\sched.exe C:\WINDOWS\Explorer.EXE C:\Programfiler\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE C:\Programfiler\Analog Devices\SoundMAX\Smax4.exe C:\Programfiler\Analog Devices\Core\smax4pnp.exe C:\Programfiler\Avira\AntiVir PersonalEdition Premium\avgnt.exe D:\Malwarebytes\Malwarebytes' Anti-Malware\mbamgui.exe C:\WINDOWS\system32\ctfmon.exe C:\Programfiler\ATI Technologies\ATI.ACE\Core-Static\ccc.exe C:\DOCUME~1\Eier\LOKALE~1\Temp\a.exe C:\Programfiler\Avira\AntiVir PersonalEdition Premium\avguard.exe C:\Programfiler\Avira\AntiVir PersonalEdition Premium\avesvc.exe C:\Programfiler\Java\jre6\bin\jqs.exe D:\Malwarebytes\Malwarebytes' Anti-Malware\mbamservice.exe C:\WINDOWS\system32\svchost.exe C:\Programfiler\Avira\AntiVir PersonalEdition Premium\avmailc.exe C:\Programfiler\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE C:\Programfiler\Avira\AntiVir PersonalEdition Premium\avcenter.exe C:\Programfiler\Avira\AntiVir PersonalEdition Premium\avscan.exe D:\div antivirus\Highjackthis\ulfjoh01.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.no/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programfiler\Fellesfiler\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - D:\Canon MP510\Easy-WebPrint\EWPBrowseLoader.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre6\bin\ssv.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programfiler\Java\jre6\bin\jp2ssv.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programfiler\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Canon MP510\Easy-WebPrint\Toolband.dll O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot O4 - HKLM\..\Run: [startCCC] C:\Programfiler\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe O4 - HKLM\..\Run: [soundMAX] "C:\Programfiler\Analog Devices\SoundMAX\Smax4.exe" /tray O4 - HKLM\..\Run: [soundMAXPnP] C:\Programfiler\Analog Devices\Core\smax4pnp.exe O4 - HKLM\..\Run: [avgnt] "C:\Programfiler\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "D:\Malwarebytes\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\Eier\LOKALE~1\Temp\a.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETTVERKSTJENESTE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\DOCUME~1\Eier\MINEDO~1\office\Office12\EXCEL.EXE/3000 O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\DOCUME~1\Eier\MINEDO~1\office\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O15 - Trusted Zone: http://www.runaware.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupd...b?1226813877171 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1227015707796 O23 - Service: Avira AntiVir Premium MailGuard (AntiVirMailService) - Avira GmbH - C:\Programfiler\Avira\AntiVir PersonalEdition Premium\avmailc.exe O23 - Service: Avira AntiVir Premium Scheduler (AntiVirScheduler) - Avira GmbH - C:\Programfiler\Avira\AntiVir PersonalEdition Premium\sched.exe O23 - Service: Avira AntiVir Premium Guard (AntiVirService) - Avira GmbH - C:\Programfiler\Avira\AntiVir PersonalEdition Premium\avguard.exe O23 - Service: Avira AntiVir Premium WebGuard (antivirwebservice) - Avira GmbH - C:\Programfiler\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe O23 - Service: Avira AntiVir Premium MailGuard helper service (AVEService) - Avira GmbH - C:\Programfiler\Avira\AntiVir PersonalEdition Premium\avesvc.exe O23 - Service: InCD Helper (InCDsrv) - Nero AG - D:\NERO 6\InCD\InCDsrv.exe O23 - Service: InCD Helper (read only) (InCDsrvR) - Nero AG - C:\Programfiler\Ahead\InCD\InCDsrv.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programfiler\Java\jre6\bin\jqs.exe O23 - Service: MBAMService - Malwarebytes Corporation - D:\Malwarebytes\Malwarebytes' Anti-Malware\mbamservice.exe -- End of file - 6741 bytes På highjackthis nettsted hvor analysering av loggfil får jeg dette: Logfile of Trend Micro HijackThis v2.0.2 This should be the newest version. Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v7.00 (7.00.6000.16762) This should be the newest version. Boot mode: Normal Safe This entry was classified from our visitors as good. C:\WINDOWS\System32\smss.exe Very safe This entry was classified from our visitors as good. C:\WINDOWS\system32\winlogon.exe Very safe This entry was classified from our visitors as good. C:\WINDOWS\system32\services.exe Safe This entry was classified from our visitors as good. C:\WINDOWS\system32\lsass.exe Very safe This entry was classified from our visitors as good. C:\WINDOWS\system32\Ati2evxx.exe Very safe This entry was classified from our visitors as good. C:\WINDOWS\system32\svchost.exe Safe This entry was classified from our visitors as good. C:\WINDOWS\System32\svchost.exe Very safe This entry was classified from our visitors as good. D:\NERO 6\InCD\InCDsrv.exe Possibly nasty! According to our database this process runs normally in c:\programme\ahead\incd\! Check if you know this process and arrange a viruscheck where required. C:\WINDOWS\system32\Ati2evxx.exe Very safe This entry was classified from our visitors as good. C:\WINDOWS\system32\spoolsv.exe Safe This entry was classified from our visitors as good. C:\Programfiler\Avira\AntiVir PersonalEdition Premium\sched.exe Possibly nasty! According to our database this process runs normally in c:\programme\antivir.*\! Check if you know this process and arrange a viruscheck where required. Antivir Scheduler C:\WINDOWS\Explorer.EXE Very safe This entry was classified from our visitors as good. C:\Programfiler\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE ATI related process C:\Programfiler\Analog Devices\SoundMAX\Smax4.exe Soundkartentreiber C:\Programfiler\Analog Devices\Core\smax4pnp.exe SoundMax Sound driver C:\Programfiler\Avira\AntiVir PersonalEdition Premium\avgnt.exe Part of AntiVir D:\Malwarebytes\Malwarebytes' Anti-Malware\mbamgui.exe Safe (4.78 / 5.00) C:\WINDOWS\system32\ctfmon.exe Very safe This entry was classified from our visitors as good. C:\Programfiler\ATI Technologies\ATI.ACE\Core-Static\ccc.exe ATI Core Component C:\DOCUME~1\Eier\LOKALE~1\Temp\a.exe Neutral (3.32 / 5.00) C:\Programfiler\Avira\AntiVir PersonalEdition Premium\avguard.exe Part of AntiVir C:\Programfiler\Avira\AntiVir PersonalEdition Premium\avesvc.exe Part of AVWin C:\Programfiler\Java\jre6\bin\jqs.exe Safe (4 / 5.00) D:\Malwarebytes\Malwarebytes' Anti-Malware\mbamservice.exe Safe (4.74 / 5.00) C:\WINDOWS\system32\svchost.exe Safe This entry was classified from our visitors as good. C:\Programfiler\Avira\AntiVir PersonalEdition Premium\avmailc.exe Part of AVWin C:\Programfiler\Avira\AntiVir PersonalEdition Premium\AVWEBGRD.EXE Safe (4.49 / 5.00) C:\Programfiler\Avira\AntiVir PersonalEdition Premium\avcenter.exe Possibly nasty! According to our database this process runs normally in c:\programme\antivir personaledition.*\! Check if you know this process and arrange a viruscheck where required. AntiVir PersonalEdition C:\Programfiler\Avira\AntiVir PersonalEdition Premium\avscan.exe Possibly nasty! According to our database this process runs normally in c:\programme\antivir.*\! Check if you know this process and arrange a viruscheck where required. Part of Antivir D:\div antivirus\Highjackthis\ulfjoh01.exe This is a unknown process. R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.no/ This page has been identified as safe. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 Safe This entry was classified from our visitors as good. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 Safe This page has been identified as safe. R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 Safe This entry was classified from our visitors as good. R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 Safe This page has been identified as safe. R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger Very safe This entry was classified from our visitors as good. O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programfiler\Fellesfiler\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll Safe (4.08 / 5.00) O2 - BHO: Canon Easy Web Print Helper - {68F9551E-0411-48E4-9AAF-4BC42A6A46BE} - D:\Canon MP510\Easy-WebPrint\EWPBrowseLoader.dll EWPBrowseLoader.dll - Canon Easy-WebPrint, http://www.canoneasywebprint.com/en/inde x.htm O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre6\bin\ssv.dll SUN Java O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programfiler\Java\jre6\bin\jp2ssv.dll jp2ssv.dll - Sun_Java, http://java.sun.com/javase/downloads/ind ex.jsp browser plugin O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programfiler\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll jqs_plugin.dll - Java Quick Starter, https://jdk6.dev.java.net/testQS.html O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - D:\Canon MP510\Easy-WebPrint\Toolband.dll Toolband.dll - Canon EasyWebPrint, http://www.canoneasywebprint.com/en/inde x.htm O4 - HKLM\..\Run: [JMB36X IDE Setup] C:\WINDOWS\JM\JMInsIDE.exe Safe Safe (3.93 / 5.00) O4 - HKLM\..\Run: [36X Raid Configurer] C:\WINDOWS\system32\xRaidSetup.exe boot Safe Safe (3.93 / 5.00) O4 - HKLM\..\Run: [JMB36X Configure] C:\WINDOWS\system32\JMRaidSetup.exe boot Safe JMicron Raid Driver O4 - HKLM\..\Run: [startCCC] C:\Programfiler\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe ATI Core Component O4 - HKLM\..\Run: [soundMAX] "C:\Programfiler\Analog Devices\SoundMAX\Smax4.exe" /tray System Tray icon for SoundMax integrated sound. Sound properties can be accessed through the Start Menu or Control Panel O4 - HKLM\..\Run: [soundMAXPnP] C:\Programfiler\Analog Devices\Core\smax4pnp.exe SoundMax integrated sound. Required if you have custom settings for your sound, such as effects and environments O4 - HKLM\..\Run: [avgnt] "C:\Programfiler\Avira\AntiVir PersonalEdition Premium\avgnt.exe" /min AntiVir® PersonalEdition Classic - System Tray icon and control program O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "D:\Malwarebytes\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray Safe (4.78 / 5.00) O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe Safe This entry was classified from our visitors as good. O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\Eier\LOKALE~1\Temp\a.exe Nasty (2.66 / 5.00) O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE') Office related O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETTVERKSTJENESTE') Office related Der er ett par punkter hvor det stilles spørsmal og det er nettopp det Malwarebyte,s reagerer på tror jeg: C:\DOCUME~1\Eier\LOKALE~1\Temp\a.exe Neutral (3.32 / 5.00) O4 - HKCU\..\Run: [MSFox] C:\DOCUME~1\Eier\LOKALE~1\Temp\a.exe Nasty (2.66 / 5.00) Ellers er det bare denne: D:\div antivirus\Highjackthis\ulfjoh01.exe This is a unknown process. Og det er jo highjackthis Kan noen av dere se noe galt i denne loggen? OBS. Fikk nå i ettertid beskjed via Avira om denne: ~mpa.exe Med valg om ignore, delete, eller deny acess - hvor jeg valgte delete. Ser ut som noe ligger på maskinen og vil laste ned noe? Har slettet alle gjennoppretningstidspunkter til jeg er sikker på at jeg ikke har noe galt på maskinen. Endret 3. februar 2009 av ulfjoh01 Lenke til kommentar
raWrz Skrevet 3. februar 2009 Del Skrevet 3. februar 2009 hei Last ned Combofix (av sUBs), og legg det på Skrivebordet. Kjør combofix.exe, og følg veiledningen. Du vil under oppstart av combofix bli anbefalt å installere gjenopprettingskonsollen (om du ikke har den installert fra før). Det sier du ja til. Du må ikke klikke på vinduet mens programmet kjører. Dette kan føre til at programmet fryser. Hva gjør ComboFix: - ComboFix er et multifix-program som er laget for å fjerne en hel del kjente infeksjoner, samt lager en logg/rapport som viser filer/prosesser/registeroppføringer som ligger på PC-en. Loggen kan avgjøre om det fortsatt ligger noe på PC-en som skal fjernes. Det kreves da at noen med erfaring kan lese loggen og fortelle hvordan man skal gå videre. PS: Combofix vil blant ramse opp alle filer som har blitt opprettet den siste måneden, og kan i enkelte tilfeller også fortelle fullt navn og annen informasjon som kan betraktes som sensitiv. Av den grunn bør du gå gjennom loggen og se om du finner informasjon du ikke vil dele med alle, og sensurere det. Post loggfilen fra Combofix (c:\combofix.txt) Lenke til kommentar
V?rbris Skrevet 3. februar 2009 Forfatter Del Skrevet 3. februar 2009 (endret) Får stadige advarsler nå fra Avira men filen vil ikke la seg slette. Den ligger under documents and settings-eier-lokale innstillinger-temp inneholder filene: WPDNSE ~tmpb ~DFC19.tmp a.vir - denne har jeg greit å slette med fileASSASIN hos malwarebytes Endret 3. februar 2009 av ulfjoh01 Lenke til kommentar
V?rbris Skrevet 3. februar 2009 Forfatter Del Skrevet 3. februar 2009 hei Last ned Combofix (av sUBs), og legg det på Skrivebordet. Kjør combofix.exe, og følg veiledningen. Du vil under oppstart av combofix bli anbefalt å installere gjenopprettingskonsollen (om du ikke har den installert fra før). Det sier du ja til. Du må ikke klikke på vinduet mens programmet kjører. Dette kan føre til at programmet fryser. Hva gjør ComboFix: - ComboFix er et multifix-program som er laget for å fjerne en hel del kjente infeksjoner, samt lager en logg/rapport som viser filer/prosesser/registeroppføringer som ligger på PC-en. Loggen kan avgjøre om det fortsatt ligger noe på PC-en som skal fjernes. Det kreves da at noen med erfaring kan lese loggen og fortelle hvordan man skal gå videre. PS: Combofix vil blant ramse opp alle filer som har blitt opprettet den siste måneden, og kan i enkelte tilfeller også fortelle fullt navn og annen informasjon som kan betraktes som sensitiv. Av den grunn bør du gå gjennom loggen og se om du finner informasjon du ikke vil dele med alle, og sensurere det. Post loggfilen fra Combofix (c:\combofix.txt) Skal gjøre det, men gjenoppretningskonsolllen sier jeg ikke ja til. Gjorde det her i Januar da jeg kjørte dette programmet og mistet kontkten med dvd brenneren, den lå oppført i lista på tillagt hardware, men jeg fant den ikke under min datamaskin, der var den borte. Brukte mye tid på å rette dette opp, måtte slette gjennopprettingskonsollen manuelt og det er risikabelt. Lenke til kommentar
V?rbris Skrevet 3. februar 2009 Forfatter Del Skrevet 3. februar 2009 (endret) Har kjørt combofix, og legger her ut logg. Må tilføre at jeg greide å slette ovennevte filer med ccleaner - registerkjøring, da dukket de opp og jeg slettet dem uten å ta kopi. Før dette dukket det også opp en advarsel om mulig virus på maskinen nede på venstre side, der ble jeg overført til en mettside som reklamerte for ett suspekt antivirusprogram. Alt dette er borte nå, Avira ser ut til å funkere normalt uten advarsler. Logg combofix ( vet ikke hvordan jeg legger dette i skjult spoiler ). ComboFix 09-02-02.04 - Eier 2009-02-03 14:20:42.1 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1044.18.2047.1622 [GMT 1:00] Kjører fra: c:\documents and settings\Eier\Skrivebord\ComboFix.exe AV: Avira AntiVir PersonalEdition *On-access scanning disabled* (Updated) * Opprettet nytt gjenopprettingspunkt ADVARSEL -DENNE MASKINEN HAR IKKE GJENOPPRETTINGSKONSOLLEN INSTALLERT !! . ((((((((((((((((((((((((((( Filer Opprettet Fra 2009-01-03 til 2009-02-03 ))))))))))))))))))))))))))))))))) . 2009-02-03 14:11 . 2009-02-03 14:11 <DIR> dr-h----- c:\documents and settings\Eier\Siste 2009-02-01 22:44 . 2009-02-01 22:44 <DIR> d-------- c:\documents and settings\Eier\Programdata\Windows Search 2009-02-01 22:43 . 2009-02-01 22:43 <DIR> d-------- c:\windows\system32\GroupPolicy 2009-02-01 22:43 . 2009-02-02 03:06 <DIR> d-------- c:\programfiler\Windows Desktop Search 2009-01-28 15:35 . 2009-01-28 15:35 410,984 --a------ c:\windows\system32\deploytk.dll 2009-01-22 16:10 . 2009-01-22 16:10 <DIR> d-------- c:\windows\Sun 2009-01-19 11:17 . 2009-01-19 19:43 <DIR> d-------- C:\musikk 2009-01-13 10:18 . 2009-01-13 10:19 <DIR> d--hs---- C:\RECYCLER(6) 2009-01-13 09:33 . 2009-01-13 10:20 <DIR> d--hs---- C:\RECYCLER(5) 2009-01-13 09:27 . 2009-01-13 10:20 <DIR> d--hs---- C:\RECYCLER(4) 2009-01-12 14:26 . 2009-01-13 10:20 <DIR> d--hs---- C:\RECYCLER(3) 2009-01-11 08:05 . 2009-01-13 10:20 <DIR> d--hs---- C:\RECYCLER(2) 2009-01-03 03:00 . 2009-01-03 03:00 <DIR> d-------- c:\programfiler\Microsoft CAPICOM 2.1.0.2 . (((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-02-03 08:43 --------- d-----w c:\documents and settings\Eier\Programdata\uTorrent 2009-02-01 21:27 --------- d-----w c:\programfiler\Microsoft office 2007 21.11.08 2009-01-31 15:41 --------- d-----w c:\documents and settings\Eier\Programdata\LimeWire 2009-01-31 13:01 --------- d-----w c:\documents and settings\All Users\Programdata\Microsoft Help 2009-01-28 14:35 --------- d-----w c:\programfiler\Java 2009-01-22 09:27 --------- d-----w c:\documents and settings\Eier\Programdata\Canon 2009-01-21 14:59 --------- d-----w c:\documents and settings\Eier\Programdata\U3 2009-01-14 15:11 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys 2009-01-14 15:11 15,504 ----a-w c:\windows\system32\drivers\mbam.sys 2009-01-02 10:58 --------- d-----w c:\programfiler\Canon 2009-01-02 10:53 --------- d-----w c:\documents and settings\Eier\Programdata\ScanSoft 2009-01-02 10:53 --------- d-----w c:\documents and settings\All Users\Programdata\ScanSoft 2009-01-02 10:53 --------- d-----w c:\documents and settings\All Users\Programdata\InstallShield 2009-01-02 10:52 --------- d-----w c:\programfiler\Fellesfiler\ScanSoft Shared 2009-01-02 10:52 --------- d-----w c:\programfiler\Fellesfiler\InstallShield 2009-01-02 10:51 --------- d--h--w c:\programfiler\InstallShield Installation Information 2009-01-02 10:50 --------- d-----w c:\programfiler\Fellesfiler\CANON 2009-01-02 10:48 --------- d--h--w c:\programfiler\CanonBJ 2009-01-02 10:48 --------- d--h--w c:\documents and settings\All Users\Programdata\CanonBJ 2008-12-28 22:48 2,330,643 ----a-w c:\windows\system32\x264vfw.dll 2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys 2008-12-08 11:53 57,344 ----a-w c:\windows\system32\ff_vfw.dll 2008-12-07 18:08 795,648 ----a-w c:\windows\system32\xvidcore.dll 2008-12-07 18:08 130,048 ----a-w c:\windows\system32\xvidvfw.dll 2008-11-13 09:30 143,360 ----a-w c:\windows\system32\xRaidAPI.dll 2008-11-13 09:30 1,953,792 ----a-w c:\windows\system32\xRaidSetup.exe 2006-06-23 06:48 32,768 ----a-r c:\windows\inf\UpdateUSB.exe . (((((((((((((((((((((((((((((((( Oppstartspunkter I Registeret ))))))))))))))))))))))))))))))))))))))))))))) . . *Merk* tomme oppføringer & gyldige standardoppføringer vises ikke REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "JMB36X IDE Setup"="c:\windows\JM\JMInsIDE.exe" [2006-10-30 36864] "36X Raid Configurer"="c:\windows\system32\xRaidSetup.exe" [2008-11-13 1953792] "JMB36X Configure"="c:\windows\system32\JMRaidSetup.exe" [2006-10-30 1953792] "StartCCC"="c:\programfiler\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112] "SoundMAXPnP"="c:\programfiler\Analog Devices\Core\smax4pnp.exe" [2006-12-18 868352] "avgnt"="c:\programfiler\Avira\AntiVir PersonalEdition Premium\avgnt.exe" [2008-11-18 266497] "Malwarebytes' Anti-Malware"="d:\malwarebytes\Malwarebytes' Anti-Malware\mbamgui.exe" [2009-01-14 399504] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "msacm.l3fhg"= mp3fhg.acm "msacm.divxa32"= divxa32.acm "VIDC.X264"= x264vfw.dll "VIDC.HFYU"= huffyuv.dll "vidc.i263"= i263_32.drv [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher] --a------ 2008-06-12 01:38 34672 d:\adobe reader 9\Reader\reader_sl.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck] --a------ 2006-01-12 15:40 155648 c:\windows\system32\NeroCheck.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OpwareSE4] --a------ 2006-03-21 13:19 69632 d:\canon mp510\OpWareSE4.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate] -ra------ 2003-09-30 00:14 155648 c:\programfiler\Fellesfiler\ScanSoft Shared\SSBkgdUpdate\SSBkgdUpdate.exe [HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched] --a------ 2009-01-28 15:35 136600 c:\programfiler\Java\jre6\bin\jusched.exe [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "d:\\utorrent\\utorrent.exe"= "c:\\Documents and Settings\\Eier\\Mine dokumenter\\office\\Office12\\OUTLOOK.EXE"= "d:\\Malwarebytes\\Malwarebytes' Anti-Malware\\mbam.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\IcmpSettings] "AllowInboundEchoRequest"= 1 (0x1) R2 AntiVirMailService;Avira AntiVir Premium MailGuard;c:\programfiler\Avira\AntiVir PersonalEdition Premium\avmailc.exe [2008-11-18 164097] R2 antivirwebservice;Avira AntiVir Premium WebGuard;c:\programfiler\Avira\AntiVir PersonalEdition Premium\avwebgrd.exe [2008-11-18 258305] R2 AVEService;Avira AntiVir Premium MailGuard helper service;c:\programfiler\Avira\AntiVir PersonalEdition Premium\avesvc.exe [2008-11-18 41217] R2 MBAMService;MBAMService;d:\malwarebytes\Malwarebytes' Anti-Malware\mbamservice.exe [2008-11-18 170640] R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2008-11-18 15504] S3 ADM851X;ADM851X USB To Fast Ethernet Adapter;c:\windows\system32\drivers\ADM851X.sys [2008-11-13 22144] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{13a18b68-c7a5-11dd-a029-001bfc862c3b}] \Shell\AutoRun\command - G:\LaunchU3.exe -a . Innholdet i mappen 'Scheduled Tasks' (planlagte oppgaver) 2009-02-03 c:\windows\Tasks\Malwarebytes' Scheduled Scan for Eier.job - d:\malwarebytes\Malwarebytes' Anti-Malware\mbam.exe [2009-01-14 16:11] 2009-02-03 c:\windows\Tasks\Malwarebytes' Scheduled Update for Eier.job - d:\malwarebytes\Malwarebytes' Anti-Malware\mbam.exe [2009-01-14 16:11] . . ------- Tilleggsskanning ------- . uStart Page = hxxp://www.google.no/ IE: E&ksporter til Microsoft Excel - c:\docume~1\Eier\MINEDO~1\office\Office12\EXCEL.EXE/3000 LSP: avsda.dll Trusted Zone: runaware.com\www . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-02-03 14:21:30 Windows 5.1.2600 Service Pack 3 NTFS skanner skjulte prosesser ... skanner skjulte autostart-oppføringer ... skanner skjulte filer ... skanning vellykket skjulte filer: 0 ************************************************************************** . --------------------- DLL'er Lastet Av Kjørende Prosesser --------------------- - - - - - - - > 'winlogon.exe'(676) c:\windows\system32\Ati2evxx.dll - - - - - - - > 'lsass.exe'(732) c:\windows\system32\avsda.dll . Tidspunkt ferdig: 2009-02-03 14:22:40 ComboFix-quarantined-files.txt 2009-02-03 13:22:38 Pre-Run: 132,867,624,960 byte ledig Post-Run: 132,856,729,600 byte ledig 138 --- E O F --- 2009-01-14 04:43:29 Har også kjørt highjackthis og fått analysert loggen på highjackthis sin nettside. De punkter den stilte spørsmål ved ovenfor er nå borte, ser ut som det er i orden hvis noen ikke finner noe i combofixloggen. Av en eller annen grunn mister jeg autokjør funksjonen på min dvd brenner når jeg har brukt combofix, dette skjedde nå også og det dukker opp en ny link til innternett eksplorer på skrivebordet. Endret 3. februar 2009 av ulfjoh01 Lenke til kommentar
raWrz Skrevet 3. februar 2009 Del Skrevet 3. februar 2009 combofix loggen ser fin ut 1."Logg combofix (vet ikke hvordan jeg legger dette i skjult spoiler)" du legger loggene i spoiler slik: [spoiler*] LOGG [/spoiler*] uten * 2. slike nettsider som analyserer loggene for deg burde du ikke stole blindt på 3. det med at dvd brenneren kobler seg ut etter combofix har jeg aldri hørt om :-/ hvis du hvet hva sags brenner det er kunne du prøvd og innstalere nye drivere Lenke til kommentar
V?rbris Skrevet 4. februar 2009 Forfatter Del Skrevet 4. februar 2009 (endret) Har ikke hatt flere problemer, faktisk tok ccleaner med register rensen og fjernet disse filer som hverken Avira eller Malwarebyte,s fikk fjernet. DVD spilleren er der, men autokjør funksjonen funker ikke lengre. DVS: Hvis jeg tidligere la inn ei tom cd/dvd plate så startet Nero brenneprogram automatisk, dette skjer ikke lengre. Hvis jeg la inn ei brent dvd plate startet windows mediaplayer automatisk dette skjer ikke lengre. Det har hendt tidligere ett par ganger at selve dvd enheten ikke var oppført under min datamaskin selv om den lå inne under tilkoblede enheter. Får ikke gjort noe med dette nå, da jeg hadde koblet ut gjennoppretningsenheten under forsøk på å få fjernet disse plagsomme filer. Har tidligere erfart at dette må gjøres, hvis ikke vil disse virus? filer dukke opp igjen hvis jeg må bruke gjenoppretning. Jeg kan manuelt legge diverse funksjoner under autokjør og det har jeg gjort, men det funker ikke, får se om det går seg til etterhvert. Endret 4. februar 2009 av ulfjoh01 Lenke til kommentar
snippsat Skrevet 4. februar 2009 Del Skrevet 4. februar 2009 (endret) DVD spilleren er der, men autokjør funksjonen funker ikke lengre. DVS: Hvis jeg tidligere la inn ei tom cd/dvd plate så startet Nero brenneprogram automatisk, dette skjer ikke lengre. Start->kjør->gpedit.msc Administative maler->system Se høyere side nå "deaktivere autokjør" Har tidligere erfart at dette må gjøres, hvis ikke vil disse virus? filer dukke opp igjen hvis jeg må bruke gjenoppretning Dette ordner combofix Du kan fjerne combofix ved å skrive combofix /u fra kjør-vinduet. Denne kommandoen gjør at filer i karantene og backups blir slette. Systemgjenopprettingsmappa nullstilt etc. Når det gjelder malware ser det som sakt bra ut. Sjekk om software er oppdatert Secunia Surf trygt. Endret 4. februar 2009 av SNIPPSAT Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå