Hjelp fjerne malware (med logger)-oppdatert

[Stian V.H]

Hei!

 

Hjelper til med å fjerne malware på en pc,kan noen se over loggene som jeg legger ut.

 

Ser det bra ut?

 

 

Malwarebytes log:

------------------

Malwarebytes' Anti-Malware 1.41

 

Database version: 3053

 

Windows 5.1.2600 Service Pack 3 (Safe Mode)

 

 

 

29.10.2009 15:37:37

 

mbam-log-2009-10-29 (15-37-37).txt

 

 

 

Scan type: Quick Scan

 

Objects scanned: 137721

 

Time elapsed: 9 minute(s), 51 second(s)

 

 

 

Memory Processes Infected: 0

 

Memory Modules Infected: 1

 

Registry Keys Infected: 2

 

Registry Values Infected: 1

 

Registry Data Items Infected: 0

 

Folders Infected: 0

 

Files Infected: 5

 

 

 

Memory Processes Infected:

 

(No malicious items detected)

 

 

 

Memory Modules Infected:

 

C:\WINDOWS\system32\lsp.dll (Search.Hijacker) -> Delete on reboot.

 

 

 

Registry Keys Infected:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{c277b942-1f68-486b-8f95-6e486a13f148} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

 

HKEY_CLASSES_ROOT\CLSID\{c277b942-1f68-486b-8f95-6e486a13f148} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

 

 

 

Registry Values Infected:

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\system tool (Trojan.Downloader) -> Quarantined and deleted successfully.

 

 

 

Registry Data Items Infected:

 

(No malicious items detected)

 

 

 

Folders Infected:

 

(No malicious items detected)

 

 

 

Files Infected:

 

C:\WINDOWS\system32\iehelper.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.

 

C:\WINDOWS\system32\lsp.dll (Search.Hijacker) -> Delete on reboot.

 

C:\Program Files\urttss\ifvqsysguard.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

 

C:\WINDOWS\Temp\294723.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

 

C:\WINDOWS\syssvc.exe (Trojan.FakeAlert) -> Quarantined and deleted successfully.

 

 

---------------------

 

 

 

 

 

 

Combofix log:

 

ComboFix 09-10-28.08 - Arne og Birgit 29.10.2009 16:19.1.1 - NTFSx86

 

Microsoft Windows XP Professional 5.1.2600.3.1252.47.1033.18.759.531 [GMT 1:00]

 

Kjører fra: c:\documents and settings\Arne og Birgit\Desktop\ComboFix.exe

 

AV: avast! antivirus 4.8.1351 [VPS 091022-0] *On-access scanning disabled* (Outdated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

 

.

 

 

 

((((((((((((((((((((((((((( Filer Opprettet Fra 2009-09-28 til 2009-10-29 )))))))))))))))))))))))))))))))))

 

.

 

 

 

2009-10-29 15:09 . 2009-10-29 15:09 -------- d-----w- c:\documents and settings\Arne og Birgit\Local Settings\Application Data\Ahead

 

2009-10-29 14:53 . 2009-10-29 14:53 -------- d-----w- c:\documents and settings\Administrator\Application Data\SUPERAntiSpyware.com

 

2009-10-29 14:25 . 2009-10-29 14:25 -------- d-----w- c:\documents and settings\Administrator\Application Data\Malwarebytes

 

2009-10-29 14:25 . 2009-10-29 14:25 -------- d-sh--w- c:\documents and settings\Administrator\IETldCache

 

2009-10-27 18:04 . 2009-10-29 14:37 -------- d-----w- c:\program files\urttss

 

2009-10-27 17:28 . 2009-10-27 17:28 41984 --sha-r- c:\windows\system32\Npcgord.dll

 

2009-10-09 13:38 . 2009-10-09 13:38 -------- d-----w- c:\documents and settings\Arne\Application Data\Ahead

 

2009-10-09 13:38 . 2009-10-09 13:38 -------- d-----w- c:\documents and settings\Arne\Local Settings\Application Data\Ahead

 

2009-10-09 13:38 . 2009-10-09 13:38 -------- d-----w- c:\documents and settings\All Users\Application Data\LightScribe

 

2009-10-09 13:34 . 2009-10-09 13:34 -------- d-----w- c:\documents and settings\Arne\Application Data\SUPERAntiSpyware.com

 

2009-10-09 13:30 . 2009-10-09 13:30 -------- d-----w- c:\program files\Common Files\LightScribe

 

2009-10-09 13:28 . 2009-10-09 13:29 -------- d-----w- c:\program files\Common Files\Ahead

 

2009-10-09 13:28 . 2009-10-09 13:28 -------- d-----w- c:\program files\Nero

 

2009-10-09 13:28 . 2009-10-09 13:28 -------- d-----w- c:\documents and settings\All Users\Application Data\Nero

 

 

 

.

 

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

 

.

 

2009-10-29 15:14 . 2009-08-26 15:38 -------- d-----w- c:\program files\SUPERAntiSpyware

 

2009-10-29 14:25 . 2009-08-26 15:43 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

 

2009-09-11 14:18 . 2003-03-31 12:00 136192 ----a-w- c:\windows\system32\msv1_0.dll

 

2009-09-10 13:54 . 2009-08-26 15:43 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

 

2009-09-10 13:53 . 2009-08-26 15:43 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

 

2009-09-04 21:03 . 2003-03-31 12:00 58880 ----a-w- c:\windows\system32\msasn1.dll

 

2009-09-01 19:56 . 2009-09-01 19:56 664 ----a-w- c:\windows\system32\d3d9caps.dat

 

2009-08-31 18:22 . 2009-08-31 18:22 -------- d-----w- c:\program files\Common Files\Adobe

 

2009-08-31 15:23 . 2009-08-31 15:23 13104 ----a-w- c:\documents and settings\Arne\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

 

2009-08-31 15:15 . 2009-08-31 15:15 13104 ----a-w- c:\documents and settings\Birgit\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

 

2009-08-31 13:48 . 2009-08-26 14:24 -------- d-----w- c:\program files\Java

 

2009-08-31 13:47 . 2009-08-26 14:33 -------- d--h--w- c:\program files\InstallShield Installation Information

 

2009-08-31 13:47 . 2009-08-31 13:47 -------- d-----w- c:\program files\Buypass

 

2009-08-31 13:46 . 2009-08-26 14:33 -------- d-----w- c:\program files\Common Files\InstallShield

 

2009-08-29 08:08 . 2004-01-21 14:16 916480 ----a-w- c:\windows\system32\wininet.dll

 

2009-08-26 16:46 . 2009-08-26 16:46 411368 ----a-w- c:\windows\system32\deploytk.dll

 

2009-08-26 16:44 . 2009-08-26 16:43 102859 ----a-w- c:\windows\HPFins09.dat

 

2009-08-26 16:19 . 2009-08-26 16:19 13104 ----a-w- c:\documents and settings\Arne og Birgit\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

 

2009-08-26 14:20 . 2009-08-26 14:20 21640 ----a-w- c:\windows\system32\emptyregdb.dat

 

2009-08-26 08:00 . 2003-03-31 12:00 247326 ----a-w- c:\windows\system32\strmdll.dll

 

2009-08-17 16:10 . 2009-08-26 15:35 1279456 ----a-w- c:\windows\system32\aswBoot.exe

 

2009-08-17 16:06 . 2009-08-26 15:35 93392 ----a-w- c:\windows\system32\drivers\aswmon.sys

 

2009-08-17 16:06 . 2009-08-26 15:35 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys

 

2009-08-17 16:05 . 2009-08-26 15:35 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys

 

2009-08-17 16:04 . 2009-08-26 15:35 51376 ----a-w- c:\windows\system32\drivers\aswTdi.sys

 

2009-08-17 16:04 . 2009-08-26 15:35 23152 ----a-w- c:\windows\system32\drivers\aswRdr.sys

 

2009-08-17 16:03 . 2009-08-26 15:35 26944 ----a-w- c:\windows\system32\drivers\aavmker4.sys

 

2009-08-17 16:02 . 2009-08-26 15:35 97480 ----a-w- c:\windows\system32\AvastSS.scr

 

2009-08-06 18:24 . 2009-08-26 15:02 327896 ----a-w- c:\windows\system32\wucltui.dll

 

2009-08-06 18:24 . 2008-10-16 12:12 209632 ----a-w- c:\windows\system32\wuweb.dll

 

2009-08-06 18:24 . 2009-08-26 15:02 35552 ----a-w- c:\windows\system32\wups.dll

 

2009-08-06 18:24 . 2008-10-16 12:09 44768 ----a-w- c:\windows\system32\wups2.dll

 

2009-08-06 18:24 . 2009-08-26 14:19 53472 ----a-w- c:\windows\system32\wuauclt.exe

 

2009-08-06 18:24 . 2003-03-31 12:00 96480 ----a-w- c:\windows\system32\cdm.dll

 

2009-08-06 18:23 . 2009-08-26 15:02 575704 ----a-w- c:\windows\system32\wuapi.dll

 

2009-08-06 18:23 . 2009-08-26 14:19 1929952 ----a-w- c:\windows\system32\wuaueng.dll

 

2009-08-05 09:01 . 2003-03-31 12:00 204800 ----a-w- c:\windows\system32\mswebdvd.dll

 

2009-08-04 18:44 . 2003-03-31 12:00 2189184 ----a-w- c:\windows\system32\ntoskrnl.exe

 

2009-08-04 14:20 . 2002-08-29 01:04 2066048 ----a-w- c:\windows\system32\ntkrnlpa.exe

 

.

 

 

 

(((((((((((((((((((((((((((((((( Oppstartspunkter I Registeret )))))))))))))))))))))))))))))))))))))))))))))

 

.

 

.

 

*Merk* tomme oppføringer & gyldige standardoppføringer vises ikke

 

REGEDIT4

 

 

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

 

"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-10-29 2000112]

 

"MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232]

 

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program files\Common Files\Ahead\Lib\NMBgMonitor.exe" [2006-12-23 143360]

 

 

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

 

"IgfxTray"="c:\windows\System32\igfxtray.exe" [2003-10-02 155648]

 

"HotKeysCmds"="c:\windows\System32\hkcmd.exe" [2003-10-02 118784]

 

"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-08-17 81000]

 

"NeroFilterCheck"="c:\program files\Common Files\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

 

"Malwarebytes Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]

 

 

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

 

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

 

 

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

 

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

 

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

 

2009-10-29 15:14 548352 ----a-w- c:\program files\SUPERAntiSpyware\SASWINLO.DLL

 

 

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

 

"%windir%\\system32\\sessmgr.exe"=

 

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

 

"c:\\Program Files\\Messenger\\msmsgs.exe"=

 

 

 

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [26.08.2009 16:35 114768]

 

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [05.08.2009 15:06 9968]

 

R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [05.08.2009 15:06 74480]

 

R3 OMNUSB;Omnikey AG CardMan 2020 USB Smart Card Reader;c:\windows\system32\drivers\sccmusbm.sys [26.08.2009 16:12 23936]

 

R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [05.08.2009 15:06 7408]

 

 

 

--- Andre tjenester/drivere lastet i minnet ---

 

 

 

*NewlyCreated* - CLASSPNP_2

 

*NewlyCreated* - MBR

 

*NewlyCreated* - PCIIDEX_2

 

*NewlyCreated* - SASDIFSV

 

*Deregistered* - CLASSPNP_2

 

*Deregistered* - mbr

 

*Deregistered* - PCIIDEX_2

 

.

 

Innholdet i mappen 'Scheduled Tasks' (planlagte oppgaver)

 

.

 

.

 

------- Tilleggsskanning -------

 

.

 

uStart Page = hxxp://www.sol.no/

 

.

 

 

 

**************************************************************************

 

 

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

 

Rootkit scan 2009-10-29 16:26

 

Windows 5.1.2600 Service Pack 3 NTFS

 

 

 

skanner skjulte prosesser ...

 

 

 

skanner skjulte autostart-oppføringer ...

 

 

 

skanner skjulte filer ...

 

 

 

skanning vellykket

 

skjulte filer: 0

 

 

 

**************************************************************************

 

.

 

--------------------- DLL'er Lastet Av Kjørende Prosesser ---------------------

 

 

 

- - - - - - - > 'explorer.exe'(500)

 

c:\windows\system32\WININET.dll

 

c:\program files\Common Files\Ahead\Lib\NeroSearchBar.dll

 

c:\program files\Common Files\Ahead\Lib\MFC71U.DLL

 

c:\program files\Common Files\Ahead\Lib\BCGCBPRO800u.dll

 

c:\windows\system32\ieframe.dll

 

c:\windows\system32\webcheck.dll

 

.

 

Tidspunkt ferdig: 2009-10-29 16:28

 

ComboFix-quarantined-files.txt 2009-10-29 15:27

 

 

 

Pre-Run: 8 474 443 776 bytes free

 

Post-Run: 9 157 931 008 byte ledig

 

 

 

WindowsXP-KB310994-SP2-Pro-BootDisk-NOR.exe

 

[boot loader]

 

timeout=2

 

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

 

[operating systems]

 

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

 

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

 

 

 

- - End Of File - - 2865D6EC58825B75EF2CA4B88B38DF3C

 

 

 

 

 

Mvh Stian.V.H

Endret 4. november 2009 av Stian V.H

[norbat]

Hva ligger i følgende mappe: c:\program files\urttss?

 

(Slå på "Vis skjulte filer og mapper" samt sørg for å se "beskyttede operativsystemfiler" slik at du evt. kan se om det ligger noen skjulte filer der)

[snippsat]

Scann denne filen her virustotal

c:\windows\system32\Npcgord.dll

 

Du må ha på skjulte filer,for og se filen.

 

Kontrolpanel->mappealternativer->vis->

Sett hake på "vis skjulte filer og mapper"

Fjern hake på "skjul beskyttede oprativsystem filer"

 

Har du kjennskap til denne mappen?

c:\program files\urttss

Sjekk hva den inneholder.

 

Scann igjen med MBAM og sjekk at den ikke finner noe nå.

Endret 29. oktober 2009 av SNIPPSAT

[Stian V.H]

Hva ligger i følgende mappe: c:\program files\urttss?

 

(Slå på "Vis skjulte filer og mapper" samt sørg for å se "beskyttede operativsystemfiler" slik at du evt. kan se om det ligger noen skjulte filer der)

 

 

Scann denne filen her virustotal

c:\windows\system32\Npcgord.dll

 

Du må ha på skjulte filer,for og se filen.

 

Kontrolpanel->mappealternativer->vis->

Sett hake på "vis skjulte filer og mapper"

Fjern hake på "skjul beskyttede oprativsystem filer"

 

Har du kjennskap til denne mappen?

c:\program files\urttss

Sjekk hva den inneholder.

 

Scann igjen med MBAM og sjekk at den ikke finner noe nå.

 

 

Skal sjekke ut å gjøre dette,oppdatering i tråden kommer tidligst på søndag (når jeg får mulighet til å se på pc-en)da pc-en det er snakk om er mamma`s og mannen hennes sin og den står hos dem.

[Stian V.H]

Mappen c:\program files\urttss var tom.

 

Filen c:\windows\system32\Npcgord.dll var på 0byte når jeg sendte den til Virustotal,både via Internet explorer og via E-mail,stod at filen var på 0byte.

Men når jeg holder musepekeren over filen inne i system32 mappen så står det at den er på 41,0kb,er det ikonet som er på 41,0kb?

 

Ved ny scanning med Mbam så ble ingen mistenkelige filer funnet.

PC-en kjører ok,ingen mistenkelig oppførsel.

 

 

Mvh Stian.V.H

[norbat]

Fjern mappa urttss og endre filendelsen på fila Npcgord.dll -> Npcgord.dll.vir

 

Avinstaller deretter combofix ved å skrive combofix /uninstall fra kjør-felget (start->kjør)

[Stian V.H]

Tusen takk for hjelp!

 

Mvh Stian.V.H

[Stian V.H]

Fikk slettet mappen urttss,så det er i boks.

 

 

Men fikk ikke endret navnet på filen Npcgord.dll til navnet Npcgord.dll.vir.

Enten så kom det opp at mappen var skrivebeskyttet,disken kan være full eller at jeg ikke har tilgang.

Fikk ikke fjernet haken slik at den ikke skulle være skrivebeskyttet heller,da kom det bare opp feilmeldinger som nevnt lenger opp i denne posten..

Prøvde å endre filnavnet til og med i sikkerthetsmodus som administrator men det gikk ikke..

 

Noen tips til hvordan jeg kan få endret navnet på filen?

 

Mvh Stian.V.H