xhark Skrevet 10. januar 2011 Del Skrevet 10. januar 2011 Over natta har det kommet opp ulike Ntuser.dat filer på flere steder, Desktop filer,mapper på min datamaskin er skjulte og ingen tilgang, kan dette være virus? Har scannet med mbam og combofix, men da jeg er fremmed med disse resultatloggene, så er jeg usikker om der er noe som ikke stemmer. Noen råd for å få fjernet evt. malware/virus? Combofix.txt mbam-log-2011-01-10 (12-40-36).txt Lenke til kommentar
r2d290 Skrevet 10. januar 2011 Del Skrevet 10. januar 2011 Legg merke til at alle instruksjonene som blir gitt i denne tråden er skreddersydd for denne maskinen, og at verktøyene som blir brukt her, kan forårsake skade på en annen maskin med andre typer infeksjoner. Hvis du tror du har det samme problemet, bør du følge veiledningen til norbat, og poste loggene i en ny tråd. Hallo Jeg er r2d290, og jeg skal være med på å hjelpe deg med å fjerne alle infeksjoner du måtte ha på PC-en. Det kommer til å bli gitt en rekke instruksjoner som må bli fulgt i den rekkefølgen vi skriver dem i. Ikke prøv å fjerne problemet på egenhånd. Når vi først er i gang med en prosess er det viktig at den blir gjort "uten avbrytelser". Hvis det er en instruksjon du ikke forstår, du er usikker på noe, eller det skjer noe uventet, må du ikke gjette/gå videre, men skrive en post på forumet der du spør om det du lurer på. Ikke start flere tråder (hverken her på diskusjon.no eller på andre forum). Dette vil bare forvirre oss som driver support. Det kan hende at opperasjonen vil gå i flere ledd, og det kan hende det tar litt tid før du får svar, men vi gir oss ikke hvis ikke du gjør det. Ikke gi opp og formater PC-en (selvom noen sier at det er det eneste som hjelper). Det er svært usansynlig at man må formatere grunnet virus. I noen tilfeller hender det at tråder går oss hus forbi, så hvis du ikke har fått svar innen 24 timer kan det være lurt å skrive en liten "purre-post" så tråden din havner øverst på lista. Hvis du følger disse instruksjonene, skal vi nok få fikset problemet med maskinen. Jeg analyserer loggene dine nå, og vil komme tilbake med respons så snart jeg kan... PS: Det kan hende at sikkerhetsprogrammene dine gir advarsler på noen av verktøyene vi ber deg om å bruke. Sikkerhetsprogrammene kan ikke vite om verktøyene har gode eller dårlige hensikter. Verktøyene blir brukt av profesjonelle rundt om i hele verden, så du kan stole på at programmene er trygge. Lenke til kommentar
r2d290 Skrevet 10. januar 2011 Del Skrevet 10. januar 2011 (endret) Heisann Før vi fortsetter trenger jeg svar på et spørsmål. MBAM fjernet følgende filer: c:\Users\gerhardsen\AppData\Local\Temp\wz0138\superantispyware professional 4.47.1000 final\keygen.exe c:\Users\gerhardsen\AppData\Local\Temp\wze6e4\superantispyware professional 4.47.1000 final\keygen.exe c:\Users\gerhardsen\AppData\Local\Temp\wzf48b\superantispyware professional 4.47.1000 final\keygen.exe Følgende program ser ut til å ha blitt installert på PC-en din i går kveld: c:\program files\SUPERAntiSpyware Nå er ikke jeg blant de som ikke gir support dersom det er piratkopiert programvare på PC-en, men dersom dette ser ut til å påvirke sikkerheten på PC-en, sier jeg ifra. Det er i seg selv ikke noe galt med programmet SUPERAntiSpyware, og det blir brukt mye her på forumet. Merk deg at gratisversjonen av SUPERAntiSpyware gjør en utmerket jobb når det gjelder fjerning av spyware og en del annen malware. Vennligst svar på følgende spørsmål dersom du ønsker videre hjelp: Har du bevisst installert programmet? Har du bevisst brukt et program (keygen) for å få brukt fullversjonen av SUPERAntiSpyware? Har du noen idé på hvorfor det har blitt lagt 3 keygens på pc-en din, lagt inne i en Temp-mappe med undermappe med tilfeldige bokstaver? Merker du noen problemer nå, etter at Combofix og MBAM fjernet noen filer? Mye indikerer på at det var nettopp installasjonen av dette programmet som har vært kilden til problemene dine. Endret 10. januar 2011 av r2d290 Lenke til kommentar
r2d290 Skrevet 10. januar 2011 Del Skrevet 10. januar 2011 En ting til forresten: I følge veiledningen (ref. øverste link i signaturen min) skal ComboFix.exe ligge på Skrivebordet. Du kjører ComboFix fra "c:\users\Gerhardsen\Downloads\ComboFix.exe" Vennligst flytt ComboFix.exe til Skrivebordet, og gi tilbakemelding når det er gjort. Lenke til kommentar
xhark Skrevet 10. januar 2011 Forfatter Del Skrevet 10. januar 2011 Heisann Før vi fortsetter trenger jeg svar på et spørsmål. MBAM fjernet følgende filer: c:\Users\gerhardsen\AppData\Local\Temp\wz0138\superantispyware professional 4.47.1000 final\keygen.exe c:\Users\gerhardsen\AppData\Local\Temp\wze6e4\superantispyware professional 4.47.1000 final\keygen.exe c:\Users\gerhardsen\AppData\Local\Temp\wzf48b\superantispyware professional 4.47.1000 final\keygen.exe Følgende program ser ut til å ha blitt installert på PC-en din i går kveld: c:\program files\SUPERAntiSpyware Nå er ikke jeg blant de som ikke gir support dersom det er piratkopiert programvare på PC-en, men dersom dette ser ut til å påvirke sikkerheten på PC-en, sier jeg ifra. Det er i seg selv ikke noe galt med programmet SUPERAntiSpyware, og det blir brukt mye her på forumet. Merk deg at gratisversjonen av SUPERAntiSpyware gjør en utmerket jobb når det gjelder fjerning av spyware og en del annen malware. Vennligst svar på følgende spørsmål dersom du ønsker videre hjelp: Har du bevisst installert programmet? Har du bevisst brukt et program (keygen) for å få brukt fullversjonen av SUPERAntiSpyware? Har du noen idé på hvorfor det har blitt lagt 3 keygens på pc-en din, lagt inne i en Temp-mappe med undermappe med tilfeldige bokstaver? Merker du noen problemer nå, etter at Combofix og MBAM fjernet noen filer? Mye indikerer på at det var nettopp installasjonen av dette programmet som har vært kilden til problemene dine. - Problemet oppsto før det tidspunktet. Etter å ha lest forum med lignende problemer, fikk jeg tips om dette programmet og skulle prøve det. Dette var bare en Trial- versjon og ingen Keygen ble brukt. Når det gjelder 3 keygen, vet jeg ikke hvordan har blitt til og jeg merker ingen forskjell etter å ha kjørt Combofix og MBAM. Har også sjekket på regedit og fant en Key "SAM", er dette normalt? Lenke til kommentar
xhark Skrevet 10. januar 2011 Forfatter Del Skrevet 10. januar 2011 Combofix er nå flyttet til skrivebord. Lenke til kommentar
r2d290 Skrevet 10. januar 2011 Del Skrevet 10. januar 2011 Jada, SAM er en av registerstrukturene: http://support.microsoft.com/kb/256986 Jeg får vel beklage for beskyldningene da Var bare litt merkelig sammenfall. Bla deg frem til mappen c:\Users\gerhardsen\AppData\Local\Temp og slett INNHOLDET i denne mappen (Ikke selve mappen). Har desverre ikke tid til å hjele deg noe mer nå. Forhåpentligvis kommer det noen andre å ser på det i løpet av kvelden, hvis ikke skal jeg se mer på det i morgen =) Lenke til kommentar
xhark Skrevet 10. januar 2011 Forfatter Del Skrevet 10. januar 2011 Ingen problem, skal prøve på det nå så får jeg si takk så langt:) Lenke til kommentar
xhark Skrevet 10. januar 2011 Forfatter Del Skrevet 10. januar 2011 Fikk sletta alle unntatt 2; SASEC4.tmp og FXSAPIDebugLogFile, skal disse være her eller skal de også slettes? Lenke til kommentar
r2d290 Skrevet 10. januar 2011 Del Skrevet 10. januar 2011 (endret) Du kan godt laste de opp på http://www.virustotal.com/ poste resultatet på dem. Endret 10. januar 2011 av r2d290 Lenke til kommentar
xhark Skrevet 10. januar 2011 Forfatter Del Skrevet 10. januar 2011 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is goodware. 0 VT Community user(s) with a total of 0 reputation credit(s) say(s) this sample is malware. File name: SASEC4.tmp Submission date: 2011-01-10 20:32:02 (UTC) Current status: queued (#14) queued analysing finished Result: 0/ 40 (0.0%) VT Community not reviewed Safety score: - Compact Print results Antivirus Version Last Update Result AhnLab-V3 2011.01.10.00 2011.01.09 - AntiVir 7.11.1.80 2011.01.10 - Antiy-AVL 2.0.3.7 2011.01.10 - Avast 4.8.1351.0 2011.01.10 - Avast5 5.0.677.0 2011.01.10 - AVG 9.0.0.851 2011.01.10 - BitDefender 7.2 2011.01.10 - CAT-QuickHeal 11.00 2011.01.10 - ClamAV 0.96.4.0 2011.01.10 - Command 5.2.11.5 2011.01.10 - Comodo 7353 2011.01.10 - DrWeb 5.0.2.03300 2011.01.10 - Emsisoft 5.1.0.1 2011.01.10 - eSafe 7.0.17.0 2011.01.10 - eTrust-Vet 36.1.8091 2011.01.10 - F-Prot 4.6.2.117 2011.01.10 - F-Secure 9.0.16160.0 2011.01.10 - Fortinet 4.2.254.0 2011.01.10 - Ikarus T3.1.1.90.0 2011.01.10 - Jiangmin 13.0.900 2011.01.10 - K7AntiVirus 9.75.3497 2011.01.10 - Kaspersky 7.0.0.125 2011.01.10 - McAfee 5.400.0.1158 2011.01.10 - McAfee-GW-Edition 2010.1C 2011.01.10 - Microsoft 1.6402 2011.01.10 - NOD32 5775 2011.01.10 - Norman 6.06.12 2011.01.10 - Panda 10.0.2.7 2011.01.10 - PCTools 7.0.3.5 2011.01.10 - Prevx 3.0 2011.01.10 - Rising 22.82.00.03 2011.01.10 - Sophos 4.61.0 2011.01.10 - SUPERAntiSpyware 4.40.0.1006 2011.01.10 - TheHacker 6.7.0.1.112 2011.01.09 - TrendMicro 9.120.0.1004 2011.01.10 - TrendMicro-HouseCall 9.120.0.1004 2011.01.10 - VBA32 3.12.14.2 2011.01.06 - VIPRE 8021 2011.01.10 - ViRobot 2011.1.10.4246 2011.01.10 - VirusBuster 13.6.138.1 2011.01.10 - Additional information Show all MD5 : d617404d119b1db10366692447d8a648 SHA1 : d90dd40f7232fd4ef00e8f297825551d34a1960d SHA256: b5841af81ab07e1c1cccac9747b712fe7ba9df5bab6c5e6d4cb9716f49d6c85a ssdeep: 768:/8my6yD8mjMLkZedqVV8t1w1GLdgqAlDLq3IKXTtGbBBVF98MTbH8:/jmgmekVRoGqAl/q3 VXTEbrp80bH File size : 61440 bytes First seen: 2007-10-28 11:43:16 Last seen : 2011-01-10 20:32:02 TrID: DirectShow filter (50.8%) Windows OCX File (31.1%) Win32 Executable MS Visual C++ (generic) (9.5%) Windows Screen Saver (3.3%) Win32 Executable Generic (2.1%) sigcheck: publisher....: SUPERAntiSpyware.com copyright....: © Copyright 2006-2007 SUPERAdBlocker.com and SUPERAntiSpyware.com product......: SUPERAntiSpyware Context Menu Extension description..: SUPERAntiSpyware Context Menu Extension original name: SASCTXMN.DLL internal name: SASCTXMN.DLL file version.: 1, 0, 0, 1004 comments.....: n/a signers......: - signing date.: - verified.....: Unsigned PEInfo: PE structure information [[ basic data ]] entrypointaddress: 0x788A timedatestamp....: 0x45E487FD (Tue Feb 27 19:35:25 2007) machinetype......: 0x14c (I386) [[ 5 section(s) ]] name, viradd, virsiz, rawdsiz, ntropy, md5 .text, 0x1000, 0x7A40, 0x8000, 6.34, 8ce765474cd8f249e5e0b982c8db7e64 .rdata, 0x9000, 0x1C04, 0x2000, 5.02, 12ff54050e3f9d802dc6763f3112d9a4 .data, 0xB000, 0x380, 0x1000, 0.25, 0c1adfa60ffeca28afdac97c80dcd93b .rsrc, 0xC000, 0x13B8, 0x2000, 3.35, b25afec0245ff97bb4c509f4cb6638ce .reloc, 0xE000, 0xA48, 0x1000, 4.49, 5d03e5a67fcf35d3c6042e42e8b02a2d [[ 8 import(s) ]] KERNEL32.dll: lstrcpynA, LeaveCriticalSection, InterlockedIncrement, EnterCriticalSection, InterlockedDecrement, IsDBCSLeadByte, GetModuleFileNameA, FreeLibrary, SizeofResource, LoadResource, FindResourceA, LoadLibraryExA, lstrcpyA, RaiseException, FlushInstructionCache, GetCurrentProcess, GetCurrentThreadId, DisableThreadLibraryCalls, lstrcatA, lstrlenW, WideCharToMultiByte, MultiByteToWideChar, GetVersionExA, GetThreadLocale, lstrcmpiA, InterlockedExchange, lstrlenA, GetProcessHeap, HeapFree, GetLastError, DeleteCriticalSection, GetModuleHandleA, InitializeCriticalSection, GetLocaleInfoA, GetACP, HeapSize, DebugBreak, HeapReAlloc, ExitProcess, QueryPerformanceCounter, GetTickCount, GetCurrentProcessId, HeapAlloc, GetSystemTimeAsFileTime, VirtualProtect, VirtualAlloc, GetSystemInfo, VirtualQuery, RtlUnwind USER32.dll: RegisterClassExA, GetClassInfoExA, LoadCursorA, CreateWindowExA, wsprintfA, GetParent, SetFocus, ShowWindow, GetFocus, IsChild, GetClientRect, EndPaint, GetKeyState, InvalidateRect, CallWindowProcA, GetWindowLongA, SetWindowLongA, IntersectRect, EqualRect, OffsetRect, SetWindowRgn, SetWindowPos, UnionRect, PtInRect, DestroyWindow, DefWindowProcA, UnregisterClassA, InsertMenuA, InsertMenuItemA, FindWindowA, IsWindow, SendMessageA, CharNextA, BeginPaint, MessageBoxA GDI32.dll: TextOutA, Rectangle, SelectClipRgn, CreateRectRgn, GetClipRgn, CreateRectRgnIndirect, SetTextAlign ADVAPI32.dll: RegSetValueExA, RegEnumKeyExA, RegQueryInfoKeyA, RegDeleteKeyA, RegDeleteValueA, RegCloseKey, RegCreateKeyExA, RegOpenKeyExA SHELL32.dll: DragQueryFileA ole32.dll: CoCreateInstance, StringFromGUID2, OleSaveToStream, WriteClassStm, OleLoadFromStream, OleRegGetMiscStatus, CreateOleAdviseHolder, OleRegGetUserType, OleRegEnumVerbs, ReleaseStgMedium, CoTaskMemRealloc, CoTaskMemFree, CoTaskMemAlloc OLEAUT32.dll: -, -, -, -, -, -, -, -, -, -, -, -, -, - SHLWAPI.dll: PathFindExtensionA [[ 4 export(s) ]] DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServer VT Community 0 This file has never been reviewed by any VT Community member. Be the first one to comment on it! VirusTotal Team - Det ser ut som det er superantispyware sine filer - men syns dette er rart siden problemet var her før det kom på banen:/ Har sletta programmet, men der er tydeligvis flere "skjulte" filer her? Når jeg nå gikk inn på temp mappen så var også de filene jeg sletta her tidligere, kommet tilbake. Lenke til kommentar
r2d290 Skrevet 11. januar 2011 Del Skrevet 11. januar 2011 (endret) Hmm, trodde jeg postet dette tidligere, men det har tydeligvis ikke kommet med: Jeg klarer desverre ikke å identifisere problemet. Forhåpentligvis kommer en av de andre som er litt mer erfarne enn meg hit, og bistår litt. Jeg har i allefall satt deg igang =) For å gjøre det klart for videre hjelp kan du poste en ny oppdatert ComboFix-logg, samt skrive spesifikt hva slags problemer du merker med pc-en nå =) Endret 22. januar 2011 av r2d290 Lenke til kommentar
r2d290 Skrevet 22. januar 2011 Del Skrevet 22. januar 2011 Du har ikke svart på tråden på en stund nå. Jeg har derfor satt tråden til "LØST" inntil du ønsker å gjenoppta tråden. Hvis du ønsker å gjennoppta tråden, vennligst gi tilbakemelding i tråden med nye logger og oppdatering av problemene Mvh. r2d290 -Forumveileder Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå