Pop up faktura - Platte International

[holmium]

Problem:

Pop up fra noe som kalles Platte International, det poper opp en faktura som kommer 7-8 ganger. Adressefeltet sier c:\"div tall""div tegn", disse er forskjellige fra gang til gang og lar seg ikke finne ved søk på maskinen.

Ip er logget og benyttes som referanse for skyldig beløp. Hva er dette og hvordan blir jeg kvitt det?

 

Vet ikke hvordan det har kommet, muligens vet nedlasting av en fotballkamp eller divx-avspiller.

 

Har prøvd Norton 360, Ad-aware (freeware) og Spybot uten hell. Har nå prøvd Malware, for se om det gjør susen.

-----------------------------------------

Malwarebytes' Anti-Malware 1.36

Databaseversjon: 2071

Windows 6.0.6001 Service Pack 1

 

03.05.2009 22:36:27

mbam-log-2009-05-03 (22-36-27).txt

 

Skanntype: Rask Skann

Objekter skannet: 74924

Tid tilbakelagt: 9 minute(s), 13 second(s)

 

Minneprosesser infisert: 2

Minnemoduler infisert: 1

Registernøkler infisert: 7

Registerverdier infisert: 1

Registerfiler infisert: 0

Mapper infisert: 0

Filer infisert: 5

 

Minneprosesser infisert:

C:\Windows\System32\pm_proc1.exe (Trojan.Agent) -> Failed to unload process.

c:\Windows\System32\pm_proc2.exe (Trojan.Agent) -> Failed to unload process.

 

Minnemoduler infisert:

C:\Windows\System32\pm_dll.dll (Trojan.BHO) -> Delete on reboot.

 

Registernøkler infisert:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{d810b78a-d010-44df-8445-ac58086b600e} (Trojan.BHO.H) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{d810b78a-d010-44df-8445-ac58086b600e} (Trojan.BHO.H) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{d810b78a-d010-44df-8445-ac58086b600e} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\TypeLib\{31a55ff6-32a4-4ae2-95fe-7891637f3dae} (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{c056b0ec-6369-452b-9879-b95a1beb0f16} (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\Interface\{d760db63-50ba-43b5-9916-29577df6c959} (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{9901d610-a360-4325-b787-d13bbf4f2a1c} (Trojan.Agent) -> Quarantined and deleted successfully.

 

Registerverdier infisert:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\plsi (Trojan.Agent) -> Quarantined and deleted successfully.

 

Registerfiler infisert:

(Ingen mistenkelige filer funnet)

 

Mapper infisert:

(Ingen mistenkelige filer funnet)

 

Filer infisert:

C:\Windows\System32\pm_dll.dll (Trojan.BHO.H) -> Delete on reboot.

C:\A (Trojan.Agent) -> Delete on reboot.

C:\Windows\System32\pm_proc1.exe (Trojan.Agent) -> Delete on reboot.

C:\Windows\System32\pm_proc2.exe (Trojan.Agent) -> Delete on reboot.

C:\Windows\System32\pm_ax.ocx (Trojan.Agent) -> Quarantined and deleted successfully.

 

--------------------------

Den andre logen kommer ikke opp, virker som den ikke blir tildelt et navn.

--------------

[hdata]

For det første så skal ikke en faktura være en pop up, den skal leveres til deg personlig. I form av brevpost, eller e-post. Er adressen som du selv sier "c:\"div tall""div tegn"" kan du med god sikkerhet si at fakturaen kommer fra et program og/eller filer som ligger lokalt på din PC.

 

Etter å ha sett loggen du har lagt inn her kan jeg jo skjønne at du får litt uheldige operasjoner på PC'en din...

Kan tippe det er denne fila som lager fakturaen:

C:\A (Trojan.Agent)

Står "Delete on reboot" på de siste der, så antar du har restartet PC'en? Og at det har hjulpet litt?

 

Har du ikke startet PC'en på nytt etter dette anbefaler jeg deg å gjøre det

Endret 4. mai 2009 av hdata

[holmium]

Takk for svar.

 

Har restartet og maskinen har vært på en time etter restart i går og ca en time i dag. So far so good. Har pleid å komme med jevne mellomrom noen ganger pr dag. Kjører nå full systemscan.

[hdata]

Da går det nok greit til slutt

Fant forøvrig dette, etter kjapt søk på google

 

http://michaelpollitt.com/wordpress/?p=177

Endret 4. mai 2009 av hdata

[Tosha0007]

Oppdater MBAM og køyr nytt søk.

 

Last ned Combofix (av sUBs), og legg det på Skrivebordet.

 

Kjør combofix.exe, og følg veiledningen.

• Du vil under oppstart av combofix bli anbefalt å installere gjenopprettingskonsollen (om du ikke har den installert fra før). Det sier du ja til.
  
• Du må ikke klikke på vinduet mens programmet kjører. Dette kan føre til at programmet fryser.
  

Hva gjør ComboFix:

 

- ComboFix er et multifix-program som er laget for å fjerne en hel del kjente infeksjoner, samt lager en logg/rapport som viser filer/prosesser/registeroppføringer som ligger på PC-en. Loggen kan avgjøre om det fortsatt ligger noe på PC-en som skal fjernes. Det kreves da at noen med erfaring kan lese loggen og fortelle hvordan man skal gå videre.

 

PS: Combofix vil blant ramse opp alle filer som har blitt opprettet den siste måneden, og kan i enkelte tilfeller også fortelle fullt navn og annen informasjon som kan betraktes som sensitiv. Av den grunn bør du gå gjennom loggen og se om du finner informasjon du ikke vil dele med alle, og sensurere det.

 

Post loggfilen fra Combofix (c:\combofix.txt)

Endret 4. mai 2009 av tosha0007