Hjelp meg å les logg fra MAMB og ComboFix?

tradhtare · 19. mars 2009

Hei!

Har en lillebror som trykka på en av disse populære msn-linkene og maskina ble infisert.

Jeg fjerna en god del ting ved hjelp av superantispyware og avast, men maskina var fortsatt infisert.

"Mine dokumenter" ble til stadighet åpnet, bakgrunnen besto av en "warning", og det lå et rødt kryss nede til høyre på startlinjen med en advarsel om at maskinen var infisert. Nå har jeg kjørt mamb og combofix i henhold til veiledningen, og etter at jeg kjørte mamb, så sluttet "mine dokumenter" å åpne seg, og begge andre nevnte ting forsvant. Men jeg legger ut loggene likevel, slik at dere som kan dette, får sjekket det ut.

På forhånd tusen hjertelig takk for hjelp.

Logg fra MAMB:

Malwarebytes' Anti-Malware 1.34

Databaseversjon: 1868

Windows 5.1.2600 Service Pack 3

19.03.2009 12:10:18

mbam-log-2009-03-19 (12-10-18).txt

Skanntype: Rask Skann

Objekter skannet: 83267

Tid tilbakelagt: 4 minute(s), 0 second(s)

Minneprosesser infisert: 1

Minnemoduler infisert: 0

Registernøkler infisert: 1

Registerverdier infisert: 7

Registerfiler infisert: 10

Mapper infisert: 0

Filer infisert: 9

Minneprosesser infisert:

C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> Unloaded process successfully.

Minnemoduler infisert:

(Ingen mistenkelige filer funnet)

Registernøkler infisert:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.

Registerverdier infisert:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\qhonoyamuzageya (Trojan.Agent) -> Delete on reboot.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.host-domain-lookup.com (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\www.mysearchnow.com (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Framework Windows (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Registerfiler infisert:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\activedesktop\NoChangingWallpaper (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoSetActiveDesktop (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoActiveDesktopChanges (Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Mapper infisert:

(Ingen mistenkelige filer funnet)

Filer infisert:

C:\WINDOWS\Drujob.dll (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\system32\ntdll64.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Mamma\Lokale innstillinger\temp\gos470.tmp (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\warning.gif (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\ahtn.htm (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\frmwrk32.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\Documents and Settings\Mamma\Lokale innstillinger\temp\ntdll64.dll (Trojan.FakeAlert) -> Delete on reboot.

C:\Documents and Settings\Mamma\Lokale innstillinger\temp\mousehook.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\win32hlp.cnf (Trojan.Agent) -> Quarantined and deleted successfully.

Logg fra combofix:

ComboFix 09-03-18.01 - *navn* 2009-03-19 12:28:56.4 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1044.18.1014.628 [GMT 1:00]

Kjører fra: c:\documents and settings\navn\Skrivebord\ComboFix.exe

AV: avast! antivirus 4.8.1335 [VPS 090318-0] *On-access scanning enabled* (Updated)

* Opprettet nytt gjenopprettingspunkt

ADVARSEL -DENNE MASKINEN HAR IKKE GJENOPPRETTINGSKONSOLLEN INSTALLERT !!

.

((((((((((((((((((((((((((((((((((((((( Andre slettinger )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\303369.exe

c:\windows\system32\init32.exe

c:\windows\system32\ovfsthepvcxmqqpxwyyakmibdysbqpmydrifof.dll

c:\windows\system32\ovfsthlxewqonpyffthelnbufxbxyxjkuobbve.dll

c:\windows\system32\ovfsthvkogoqwwkyrsvctlrnemtqqkjtqiqeeu.dll

c:\windows\system32\plekcdyu.ini

c:\windows\system32\test.ttt

c:\windows\system32\uniq.tll

.

((((((((((((((((((((((((((((((((((((((( Drivere/Tjenester )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_ovfsthucxrmobvrmpxnspyxfptmsklvdqsyril

((((((((((((((((((((((((((( Filer Opprettet Fra 2009-02-19 til 2009-03-19 )))))))))))))))))))))))))))))))))

.

2009-03-19 11:51 . 2009-03-19 11:51 <DIR> d-------- c:\documents and settings\navn\Programdata\Malwarebytes

2009-03-18 18:10 . 2009-03-18 18:10 0 --a------ c:\windows\system32\drivers\ovfsth.sys

2009-03-18 15:57 . 2009-03-18 15:57 40,448 --a------ c:\windows\system32\KuzSmall.exe

2009-03-18 15:42 . 2009-03-18 15:42 104,960 --a------ c:\windows\system32\dllcache\userinit.exe

2009-03-18 15:32 . 2009-03-19 12:18 43 --a------ c:\windows\system32\ovfsthlbwyylngmdrjaohkbjyjvhdanqllwlrn.dat

2009-03-18 15:27 . 2009-03-19 12:19 14,988 --a------ c:\windows\system32\ovfsthenkobweqdeuthaymhijoxwoncetjwxvt.dat

2009-03-18 13:59 . 2009-03-18 13:59 <DIR> d-------- c:\documents and settings\navn\Programdata\SUPERAntiSpyware.com

2009-03-16 16:07 . 2009-03-16 16:09 <DIR> d-------- C:\My Documents

2009-03-16 16:07 . 2009-03-16 16:07 83 --a------ c:\windows\appletfile.props

2009-03-16 14:17 . 2009-03-16 14:18 <DIR> d-------- c:\documents and settings\Mamma\Programdata\mIRC

2009-03-07 15:30 . 2009-03-17 21:57 <DIR> d-------- c:\programfiler\Steam

2009-02-24 22:53 . 2009-02-24 22:53 56 --ah----- c:\windows\system32\ezsidmv.dat

2009-02-23 15:39 . 2009-02-23 15:39 <DIR> d-------- c:\documents and settings\navn\Programdata\WebcamMax

2009-02-23 14:35 . 2008-03-11 14:14 941,784 --a------ c:\windows\system32\drivers\CAMTHWDM.sys

2009-02-23 14:17 . 2009-03-16 22:15 <DIR> d-------- c:\documents and settings\navn

2009-02-21 22:29 . 2009-02-22 22:25 <DIR> d-------- c:\documents and settings\Mamma\Programdata\LimeWire

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-19 11:19 --------- d-----w c:\documents and settings\navn\Programdata\OpenOffice.org2

2009-03-19 10:51 --------- d-----w c:\programfiler\Malwarebytes' Anti-Malware

2009-03-18 22:35 --------- d-----w c:\programfiler\Fellesfiler\Symantec Shared

2009-03-18 18:29 --------- d-----w c:\documents and settings\All Users\Programdata\Mode Rule 64 Inter

2009-03-18 14:42 104,960 ----a-w c:\windows\system32\userinit.exe

2009-03-16 13:17 --------- d-----w c:\programfiler\mIRC

2009-03-11 13:28 --------- d-----w c:\documents and settings\Mamma\Programdata\OpenOffice.org2

2009-02-27 23:50 --------- d-----w c:\documents and settings\navn\Programdata\OpenOffice.org2

2009-02-26 19:44 --------- d-----w c:\programfiler\Fellesfiler\logishrd

2009-02-21 21:29 --------- d-----w c:\programfiler\LimeWire

2009-02-21 17:47 --------- d-----w c:\programfiler\Windows Live

2009-02-17 09:19 --------- d-----w c:\programfiler\SUPERAntiSpyware

2009-02-11 09:19 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-11 09:19 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-02-09 14:08 1,846,784 ----a-w c:\windows\system32\win32k.sys

2009-02-09 14:08 1,846,784 ------w c:\windows\system32\dllcache\win32k.sys

2009-02-09 12:35 --------- d-----w c:\documents and settings\Mamma\Programdata\Skype

2009-02-06 18:59 308,104 ----a-w c:\windows\WLXPGSS.SCR

2009-02-06 17:52 49,504 ----a-w c:\windows\system32\sirenacm.dll

2009-01-30 16:26 --------- d-----w c:\documents and settings\navn\Programdata\Apple Computer

2009-01-23 21:31 --------- d-----w c:\documents and settings\Mamma\Programdata\Apple Computer

2009-01-19 16:28 --------- d-----w c:\documents and settings\navn\Programdata\Apple Computer

2009-01-19 16:24 34 ----a-w c:\documents and settings\navn\jagex_runescape_preferences.dat

2009-01-16 20:31 3,594,752 ------w c:\windows\system32\dllcache\mshtml.dll

2009-01-09 15:20 410,984 ----a-w c:\windows\system32\deploytk.dll

2008-12-19 09:13 70,656 ------w c:\windows\system32\dllcache\ie4uinit.exe

2008-12-19 09:10 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe

2008-12-19 05:25 634,024 ------w c:\windows\system32\dllcache\iexplore.exe

2008-12-19 05:23 161,792 ------w c:\windows\system32\dllcache\ieakui.dll

2007-02-09 15:20 557,056 ----a-w c:\documents and settings\navn\GoToAssist_phone__317_en.exe

2008-10-27 22:12 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokale innstillinger\Logg\History.IE5\MSHist012008102720081028\index.dat

.

------- Sigcheck -------

2004-08-04 12:00 24576 025d58a521e0063b92adebd84f147e68 c:\windows\$NtServicePackUninstall$\userinit.exe

2008-04-14 17:23 26112 5ee32955c86d583627f8d37350c1e145 c:\windows\ServicePackFiles\i386\userinit.exe

2009-03-18 15:42 104960 72602ff46cec6ee130d80f52deb3df75 c:\windows\system32\userinit.exe

2009-03-18 15:42 104960 72602ff46cec6ee130d80f52deb3df75 c:\windows\system32\dllcache\userinit.exe

.

(((((((((((((((((((((((((((((((( Oppstartspunkter I Registeret )))))))))))))))))))))))))))))))))))))))))))))

.

*Merk* tomme oppføringer & gyldige standardoppføringer vises ikke

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"MsnMsgr"="c:\programfiler\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885400]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-04-06 94208]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-04-06 77824]

"Persistence"="c:\windows\system32\igfxpers.exe" [2005-04-06 114688]

"DVDLauncher"="c:\programfiler\filer\CyberLink\PowerDVD\DVDLauncher.exe" [2005-02-23 53248]

"DMXLauncher"="c:\programfiler\Dell\Media Experience\DMXLauncher.exe" [2005-01-27 86016]

"dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-12-06 127035]

"ISUSPM Startup"="c:\progra~1\FELLES~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2004-07-27 221184]

"ISUSScheduler"="c:\programfiler\Fellesfiler\InstallShield\UpdateService\issch.exe" [2005-02-16 81920]

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-02-05 81000]

"SSBkgdUpdate"="c:\programfiler\Fellesfiler\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]

"PaperPort PTD"="c:\programfiler\ScanSoft\PaperPort\pptd40nt.exe" [2007-01-29 30248]

"IndexSearch"="c:\programfiler\ScanSoft\PaperPort\IndexSearch.exe" [2007-01-29 46632]

"PPort11reminder"="c:\programfiler\ScanSoft\PaperPort\Ereg\Ereg.exe" [2007-02-01 255528]

"BrMfcWnd"="c:\programfiler\Brother\Brmfcmon\BrMfcWnd.exe" [2007-03-12 663552]

"ControlCenter3"="c:\programfiler\Brother\ControlCenter3\brctrcen.exe" [2007-01-26 65536]

"D-Link AirPlus G"="c:\programfiler\D-Link\AirPlus G\AirGCFG.exe" [2004-07-09 1249280]

"ANIWZCS2Service"="c:\programfiler\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2004-04-14 45056]

"SunJavaUpdateSched"="c:\programfiler\Java\jre6\bin\jusched.exe" [2009-01-09 136600]

"QuickTime Task"="c:\programfiler\QuickTime\qttask.exe" [2008-09-06 413696]

"iTunesHelper"="c:\programfiler\iTunes\iTunesHelper.exe" [2008-10-01 289576]

"Adobe Reader Speed Launcher"="c:\programfiler\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"SigmatelSysTrayApp"="stsystra.exe" [2005-03-23 c:\windows\stsystra.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\navn\Start-meny\Programmer\Oppstart\

OpenOffice.org 2.1.lnk - c:\programfiler\OpenOffice.org 2.1\program\quickstart.exe [2006-11-27 393216]

c:\documents and settings\navn\Start-meny\Programmer\Oppstart\

OpenOffice.org 2.1.lnk - c:\programfiler\OpenOffice.org 2.1\program\quickstart.exe [2006-11-27 393216]

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoSetActiveDesktop"= 1 (0x1)

"NoActiveDesktopChanges"= 1 (0x1)

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programfiler\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2009-02-17 10:19 356352 c:\programfiler\SUPERAntiSpyware\SASWINLO.DLL

[HKLM\~\startupfolder\C:^Documents and Settings^Mamma^Start-meny^Programmer^Oppstart^OpenOffice.org 2.1.lnk]

path=c:\documents and settings\Mamma\Start-meny\Programmer\Oppstart\OpenOffice.org 2.1.lnk

backup=c:\windows\pss\OpenOffice.org 2.1.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

--a------ 2008-10-01 17:57 289576 c:\programfiler\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\msnmsgr]

--a------ 2009-02-06 18:52 3885400 c:\programfiler\Windows Live\Messenger\msnmsgr.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Telenorhjelpen]

--a------ 2008-02-07 14:35 189120 c:\programfiler\Telenor\Telenorhjelpen\Telenor.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"navapsvc"=2 (0x2)

"Automatisk LiveUpdate-planlegging"=2 (0x2)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Programfiler\\LimeWire\\LimeWire.exe"=

"c:\\Programfiler\\Telenor\\Telenorhjelpen\\Telenor.exe"=

"c:\\Programfiler\\Alwil Software\\Avast4\\ashAvast.exe"=

"c:\\Programfiler\\Outlook Express\\msimn.exe"=

"c:\\Programfiler\\Mozilla Firefox\\firefox.exe"=

"c:\\Programfiler\\mIRC\\mirc.exe"=

"c:\\Documents and Settings\\navn\\Skrivebord\\mirc.exe"=

"c:\\Programfiler\\Bonjour\\mDNSResponder.exe"=

"c:\\Programfiler\\iTunes\\iTunes.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Programfiler\\BitComet\\BitComet.exe"=

"c:\\Programfiler\\Spotify\\spotify.exe"=

"c:\\Programfiler\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Programfiler\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"c:\\Programfiler\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3724:TCP"= 3724:TCP:Blizzard Downloader: 3724

"20333:TCP"= 20333:TCP:BitComet 20333 TCP

"20333:UDP"= 20333:UDP:BitComet 20333 UDP

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-07-25 114768]

R1 SASDIFSV;SASDIFSV;c:\programfiler\SUPERAntiSpyware\sasdifsv.sys [2008-05-28 8944]

R1 SASKUTIL;SASKUTIL;c:\programfiler\SUPERAntiSpyware\SASKUTIL.SYS [2008-05-28 55024]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-07-25 20560]

R2 NwSapAgent;SAP Agent;c:\windows\system32\svchost.exe -k netsvcs [2004-09-28 14336]

R2 SeaPort;SeaPort;c:\programfiler\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2009-01-14 226656]

S3 SASENUM;SASENUM;c:\programfiler\SUPERAntiSpyware\SASENUM.SYS [2008-05-28 7408]

S3 USBAAPL;Apple Mobile USB Driver;c:\windows\system32\drivers\usbaapl.sys [2008-10-20 32000]

.

Innholdet i mappen 'Scheduled Tasks' (planlagte oppgaver)

2009-03-12 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\programfiler\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

- - - - TOMME PEKERE FJERNET - - - -

HKCU-Run-fragmeal - c:\docume~1\navn\PROGRA~1\TONSMA~1\deaftick.exe

HKCU-Run-SpybotSD TeaTimer - c:\programfiler\Spybot - Search & Destroy\TeaTimer.exe

.

------- Tilleggsskanning -------

.

uStart Page = hxxp://www.yahoo.com

mStart Page = hxxp://www.yahoo.com

uInternet Connection Wizard,ShellNext = hxxp://www1.euro.dell.com/content/default.aspx?c=no&l=no&s=gen

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://www.google.com/keyword/%s

IE: &D&ownload &with BitComet - c:\programfiler\BitComet\BitComet.exe/AddLink.htm

IE: &D&ownload all video with BitComet - c:\programfiler\BitComet\BitComet.exe/AddVideo.htm

IE: &D&ownload all with BitComet - c:\programfiler\BitComet\BitComet.exe/AddAllLink.htm

IE: Add to Windows &Live Favorites - http://favorites.live.com/quickadd.aspx

FF - ProfilePath - c:\documents and settings\navn\Programdata\Mozilla\Firefox\Profiles\wmza16es.default\

FF - component: c:\documents and settings\navn\Programdata\Mozilla\Firefox\Profiles\wmza16es.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\components\IBitCometExtension.dll

FF - component: c:\programfiler\Mozilla Firefox\extensions\{B13721C7-F507-4982-B2E5-502A71474FED}\components\NPComponent.dll

FF - plugin: c:\programfiler\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX POLICIES ----

c:\programfiler\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".no");

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-19 12:32:44

Windows 5.1.2600 Service Pack 3 NTFS

skanner skjulte prosesser ...

skanner skjulte autostart-oppføringer ...

skanner skjulte filer ...

skanning vellykket

skjulte filer: 0

**************************************************************************

.

--------------------- DLL'er Lastet Av Kjørende Prosesser ---------------------

- - - - - - - > 'winlogon.exe'(856)

c:\programfiler\SUPERAntiSpyware\SASWINLO.DLL

.

Tidspunkt ferdig: 2009-03-19 12:34:28

ComboFix-quarantined-files.txt 2009-03-19 11:34:25

ComboFix2.txt 2008-07-25 11:11:21

Pre-Run: 24,963,612,672 byte ledig

Post-Run: 25,579,704,320 byte ledig

212 --- E O F --- 2009-03-15 02:01:49

raWrz · 19. mars 2009

Gå til http://virusscan.jotti.org , trykk på Browse, og last opp følgende fil til analyse:

C:\windows\system32\drivers\CAMTHWDM.sys

c:\windows\system32\ezsidmv.dat

c:\windows\system32\KuzSmall.exe

glemte denne: c:\windows\appletfile.props

Deretter trykker du på Submit. Godta at filen blir scannet. Til slutt kopierer du resultatet, og limer det inn i din neste post, så jeg kan se på den, og vurdere hva som må gjøres videre.

Endret 19. mars 2009 av Submit

tradhtare · 19. mars 2009

Tusen takk for svar, men nå når jeg slå på pc'en for å gjøre det du tipsa meg om, så kommer jeg meg ikke så langt.

Nå har den begynt å tulle med noe som ikke har vært et problem med tidligere.

Det er en stasjonær familie-pc, og vi har forskjellige brukere på denne. Når jeg så trykker på den brukeren jeg skal innpå(som jeg gjorde tidligere i dag også), skriver passordet og trykker enter, så kommer det nytt skjermbilde og beskjed om at den laster innstillinger, som vanlig - men så plutselig står det "logger av - lagrer innstillinger", og så er det tilbake til skjermbildet der jeg kan velge mellom alle brukerne.

Dette har jeg aldri opplevd før.

Wtf do I do now?

norbat · 19. mars 2009

Combofix-loggen vise at userinit.exe-fila antakelig er korrupt, så du må bytte ut c:\windows\system32\userinit.exe med userinit.exe-fila som ligger i c:\windows\ServicePackFiles\i386\userinit.exe

Får du startet pc'n i sikker modus (tapp F8 under oppstart, velg sikker modus).

Hvis, så bruker du utforsker til å endre filendelse på userinit-fila som ligger i system32-mappa.

Deretter blar du deg fram til i386-mappa og kopier userinit-fila derfra og limer den inn i system32-mappa.

tradhtare · 19. mars 2009

Og det er trygt for meg å knote rundt der, uten at jeg vet hva jeg driver med?

Holder de instruksene jeg har fått med deg, til å guide meg gjennom det?

norbat · 19. mars 2009

Jada, det er trygt. Problemet er antakelig har om du kommer deg inn i sikker modus og forsøker å endre filendelsen på userinit, vil det automatisk lages en ny userinit.exe-fil. Uanset, prøv bare å kopiere userinit-fila som ligger i i386-mappa og lim den inn i system32-mappa og se om det går. Hvis, restart pc'n og prøv å logge inn som vanlig.

Hvis dette ikke går, må vi lage oss en boot-cd slik at vi kan erstatte userinit på en annen måte.

tradhtare · 19. mars 2009

Okei, takk.

Da prøver jeg.

tradhtare · 19. mars 2009

Okei, kom meg inn i sikkermodus, men når jeg valgte administrator, så havnet jeg til et helt svart skjermbilde der det står sikkermodus i alle fire hjørner, musa er der, uten timeglass, og helt oppe på midten står det:

Microsoft® WindowsXP® (Build 2600.xpsp_sp3_gdr.080814-1236: Service Pack 3)

Prøvd å trykke esc, og enter, uten noen reaksjon fra pc'en.

norbat · 19. mars 2009

Hva skjer om du nå trykker ctrl+alt+del, får du mulighet til å starte oppgavebehandling?

Hvis ikke, virker det som om dette ikke vil fungere. Da må du gjøre følgende:

1. Last ned følgende fil og legg den på skrivebordet: rc.iso

2. Finn fram en blank cd som du kan brenne til og sett den i cd-rommet (antar den kan brenne cd'er)

3. Brenn ISO-fila med CD/DVD brenneprogrammet du bruker. Hvis du ikke har, kan du bruke ImgBurn:

a) Last ned og installer ImgBurn

b) Legg en blank cd/DVD i brenneren

c) Velg Image (ISO-fila du lastet ned)

d) Klikk på "Write"-knappen

4. Du har nå laget en bootbar cd som du kan starte pc'n med: La cd stå i pc'n, restart pc og velg å starte fra cd....

Hvis du ikke får noe valg om å starte fra cd-rom el., må du ut i bios og endre bootrekkefølgen. Det kan vi komme tilbake til hvis det blir nødvendig.

5. Når cd kjører, vil du få et blått vindu med teksten 'Windows Setup' oppe i venstre hjørne....

I vinduet som kommer opp deretter, trykker du på tasten R for å kjøre en "repair a Windows XP installation using Recovery Console"

6. I neste skjermbilde, velger du hvilken windows-installasjon du vil logge inn på. Antakelig er det bare ett valg, trykk 1

7. Du vil nå stå i prompt: C:\WINDOWS>

8. Skriv: copy c:\windows\ServicePackFiles\i386\userinit.exe c:\windows\system32\userinit.exe

9. Restart pc'n

Endret 19. mars 2009 av norbat

tradhtare · 19. mars 2009

Takk for at du tar deg tid.

Jeg må snart løpe på quiz, men jeg skal sjekke innom i tolvtiden i kveld også, for jeg må få fiksa pc'en fortest mulig!

Jeg klarte å starte oppgavebehandling.

Da regner jeg med du skal gi meg andre instrukser enn de ovenfor?

norbat · 19. mars 2009

I oppgavebehandlingen velger du arkfanen Programmer. Klikk Ny oppgave..., skriv: cmd.exe

Du vil nå få opp et sort vindu.

Fra ledetekst skriv følgende:

copy c:\windows\ServicePackFiles\i386\userinit.exe c:\windows\system32\userinit.exe

Restart pc'n og se om du nå ikke får logget deg inn normalt.

Hvis det er problemer, så må du kjører gjennom det som står over ang. rc.iso osv...

Endret 19. mars 2009 av norbat

tradhtare · 19. mars 2009

Der gikk det vettu.

Hva gjør jeg nå?

Skal jeg gjøre det han som svarte før deg ba meg gjøre, eller noe annet?

norbat · 19. mars 2009

Hvis du sier at du nå får logget deg inn som normalt, så gjøre du det som ble nevnt ang. sjekk av div. filer på virustotal.

Deretter gir du tilbakemelding på om det ble funnet noe på noen av filene + at du kjører combofix på nytt og poster loggen.

tradhtare · 20. mars 2009

Nå vil ikke combofix samarbeide.

Jeg kjører combofix, og den blåe ruta dukker oppe, men etter det er det ingenting som skjer.

Det går ikke an å krysse vekk ruta, avslutte oppgaven, eller å starte f.eks internett.

Hele dataen blir mongo og jeg må bare slå den av ved å holde inne knappen til den slukker.

Her er resultatene fra virusscan:

File: CAMTHWDM.sys

Status:

OK

c:\windows\system32\ezsidmv.dat - denne finner jeg ikke.

File: KuzSmall.exe

Status:

INFECTED/MALWARE

Found TR/Dldr.Agent.bmhl

Found SHeur2.WQC

Found Trojan.DownLoad.28462

Found Trojan-Downloader.Win32.Agent.bmhl

Found Trojan.Win32.Hiloti

Found Trojan-Downloader.Win32.Agent.bmhl

Found Win32/TrojanDownloader.Small.OHD

File: appletfile.props

Status:

OK

norbat · 20. mars 2009

Start pc'n i sikker modus og kjør combofix derfra.

tradhtare · 20. mars 2009

Nå kjører den.

Kommer tilbake med logg.

tradhtare · 20. mars 2009

Ny combofixlogg:

ComboFix 09-03-18.01 - navn 2009-03-20 10:59:16.5 - NTFSx86 MINIMAL

Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1044.18.1014.806 [GMT 1:00]

Kjører fra: c:\documents and settings\navn\Skrivebord\ComboFix.exe

AV: avast! antivirus 4.8.1335 [VPS 090319-0] *On-access scanning disabled* (Updated)

ADVARSEL -DENNE MASKINEN HAR IKKE GJENOPPRETTINGSKONSOLLEN INSTALLERT !!

.

((((((((((((((((((((((((((((((((((((((( Andre slettinger )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\init32.exe

c:\windows\system32\win32hlp.cnf

.

((((((((((((((((((((((((((( Filer Opprettet Fra 2009-02-20 til 2009-03-20 )))))))))))))))))))))))))))))))))

.

2009-03-19 19:59 . 2008-04-14 17:23 26,112 --a------ c:\windows\system32\userinit.exe

2009-03-19 19:30 . 2009-03-19 19:31 <DIR> d-------- c:\documents and settings\Administrator