handerrre Skrevet 12. februar 2011 Del Skrevet 12. februar 2011 (endret) Hei! Opplevde noe underlig idag igår, kort fortalt: > slo på pc. > startet en "deep scan" på recuva. > gikk fra pcen i 10 min og kom tilbake til at den var frøset mens den kjørte recuva + windows update ville restarte pcen min i løpet av 10 min. > slo av pcen (holdt inne knappen) > slo den på igjen, men før den bootet fikk jeg dette(!!!) som gikk fra 0/9193 til 9193/9193. > pcen bootet og jeg startet en full scan med MBAM, ingenting ble funnet. > scannet med ComboFix for å være på den sikre siden. (tror ikke noe ble funnet, men kan ikke nok om det til å si noe sikkert). Men noe jeg la merke til var det jeg har merket i fet skrift i loggen under. Kan ikke huske å ha sett det i en ComboFix logg før.. + hvis du ser bildet så er "fontcache" noe av det jeg har merket i loggen. Så lurer på om det er noen som kan se gjennom loggen etter malware og evt. vet hvorfor dette skjedde ? ComboFix logg: ComboFix 11-02-11.01 - NAVN 11.02.2011 18:42:08.12.1 - x86 Microsoft® Windows Vista™ Home Premium 6.0.6002.2.1252.47.1033.18.2047.1096 [GMT 1:00] Kjører fra: c:\users\NAVN\Desktop\ComboFix.exe SP: Windows Defender *Enabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . ((((((((((((((((((((((((((( Filer Opprettet Fra 2011-01-11 til 2011-02-11 ))))))))))))))))))))))))))))))))) . 2011-02-11 17:47 . 2011-02-11 17:48 -------- d-----w- c:\users\NAVN\AppData\Local\temp 2011-02-11 17:47 . 2011-02-11 17:47 -------- d-----w- c:\users\Public\AppData\Local\temp 2011-02-11 17:47 . 2011-02-11 17:47 -------- d-----w- c:\users\Default\AppData\Local\temp 2011-02-10 13:51 . 2011-01-20 16:37 638336 ----a-w- c:\windows\system32\drivers\dxgkrnl.sys 2011-02-05 17:33 . 2011-02-05 22:36 -------- d-----w- c:\users\NAVN\AppData\Roaming\vlc 2011-02-05 17:32 . 2011-02-05 17:32 -------- d-----w- c:\program files\VideoLAN 2011-02-05 16:26 . 2011-02-05 16:26 -------- d-----w- c:\windows\system32\Macromed 2011-02-04 21:38 . 2011-02-04 21:38 -------- d-----w- c:\users\NAVN\AppData\Roaming\LibreOffice 2011-02-04 21:33 . 2011-02-04 21:36 -------- d-----w- c:\program files\LibreOffice 3 2011-02-03 19:45 . 2011-02-03 19:45 -------- d-----w- c:\users\NAVN\AppData\Roaming\Stardock 2011-02-03 19:45 . 2011-02-03 19:45 -------- dc-h--w- c:\programdata\{A3A26C56-02C3-4F76-A033-12EE2FB52AE6} 2011-02-03 19:45 . 2011-02-03 19:45 -------- d-----w- c:\program files\Stardock 2011-02-03 19:45 . 2011-02-03 19:45 -------- d-----w- c:\users\NAVN\AppData\Local\PackageAware 2011-01-22 17:31 . 2011-02-01 16:47 -------- d-----w- c:\users\NAVN\AppData\Roaming\skypePM 2011-01-22 17:29 . 2011-01-22 17:29 -------- d-----w- c:\program files\Common Files\Skype 2011-01-22 17:29 . 2011-02-05 22:51 -------- d-----r- c:\program files\Skype 2011-01-22 17:29 . 2011-02-01 20:31 -------- d-----w- c:\users\NAVN\AppData\Roaming\Skype 2011-01-22 17:29 . 2011-01-22 17:29 -------- d-----w- c:\programdata\Skype . (((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-12-28 15:55 . 2011-01-12 12:52 413696 ----a-w- c:\windows\system32\odbc32.dll 2010-12-20 17:09 . 2010-10-21 15:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-12-20 17:08 . 2010-10-21 15:09 20952 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-12-14 14:49 . 2011-01-12 12:51 1169408 ----a-w- c:\windows\system32\sdclt.exe . (((((((((((((((((((((((((((((((( Oppstartspunkter I Registeret ))))))))))))))))))))))))))))))))))))))))))))) . . *Merk* tomme oppføringer & gyldige standardoppføringer vises ikke REGEDIT4 [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SugarSyncBackedUp] @="{0C4A258A-3F3B-4FFF-80A7-9B3BEC139472}" [HKEY_CLASSES_ROOT\CLSID\{0C4A258A-3F3B-4FFF-80A7-9B3BEC139472}] 2010-11-18 02:29 319488 ----a-w- c:\program files\SugarSync\SugarSyncShellExt.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SugarSyncPending] @="{62CCD8E3-9C21-41E1-B55E-1E26DFC68511}" [HKEY_CLASSES_ROOT\CLSID\{62CCD8E3-9C21-41E1-B55E-1E26DFC68511}] 2010-11-18 02:29 319488 ----a-w- c:\program files\SugarSync\SugarSyncShellExt.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SugarSyncRoot] @="{A759AFF6-5851-457D-A540-F4ECED148351}" [HKEY_CLASSES_ROOT\CLSID\{A759AFF6-5851-457D-A540-F4ECED148351}] 2010-11-18 02:29 319488 ----a-w- c:\program files\SugarSync\SugarSyncShellExt.dll [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\SugarSyncShared] @="{1574C9EF-7D58-488F-B358-8B78C1538F51}" [HKEY_CLASSES_ROOT\CLSID\{1574C9EF-7D58-488F-B358-8B78C1538F51}] 2010-11-18 02:29 319488 ----a-w- c:\program files\SugarSync\SugarSyncShellExt.dll [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "msnmsgr"="c:\program files\Windows Live\Messenger\msnmsgr.exe" [2010-09-22 4240760] "Google Update"="c:\users\NAVN\AppData\Local\Google\Update\GoogleUpdate.exe" [2010-10-28 136176] "SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2010-10-25 2424560] "Steam"="c:\program files\Steam\steam.exe" [2010-11-29 1242448] "SugarSync"="c:\program files\SugarSync\SugarSyncManager.exe" [2010-11-18 14790656] "WMPNSCFG"="c:\program files\Windows Media Player\WMPNSCFG.exe" [2008-01-19 202240] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552] c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\ Evernote Clipper.lnk - c:\windows\Installer\{F761359C-9CED-45AE-9A51-9D6605CD55C4}\Evernote.ico [2010-11-27 293950] [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "EnableUIADesktopToggle"= 0 (0x0) [hkey_local_machine\software\microsoft\windows\currentversion\explorer\SharedTaskScheduler] "{1984DD45-52CF-49cd-AB77-18F378FEA264}"= "c:\program files\Stardock\Fences\FencesMenu.dll" [2010-06-22 202088] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32] "aux"=wdmaud.drv R1 MpKsl2045ee2a;MpKsl2045ee2a;c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{1F7E3B23-CF15-40FB-8E2E-42A41CDF4D67}\MpKsl2045ee2a.sys [x] R1 MpKslda97dc0e;MpKslda97dc0e;c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{AE3C9FC2-DB0E-4ED7-B683-C52AC1260EC3}\MpKslda97dc0e.sys [x] R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\Microsoft.NET\Framework\v4.0.30319\WPF\WPFFontCache_v0400.exe [2010-03-18 753504] S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV.SYS [2010-02-17 12872] S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2010-05-10 67656] --- Andre tjenester/drivere lastet i minnet --- *NewlyCreated* - MPKSLD786911B *Deregistered* - MpKsld786911b *Deregistered* - MpNWMon *Deregistered* - NisDrv [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache . . ------- Tilleggsskanning ------- . IE: Add to Evernote 4.0 - c:\program files\Evernote\Evernote\EvernoteIE.dll/204 IE: {{A95fe080-8f5d-11d2-a20b-00aa003c157a} - res://c:\program files\Evernote\Evernote\EvernoteIE.dll/204 FF - ProfilePath - c:\users\NAVN\AppData\Roaming\Mozilla\Firefox\Profiles\54mne1v7.default\ FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd} FF - Ext: Java Console: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\Microsoft.NET\Framework\v3.5\Windows Presentation Foundation\DotNetAssistantExtension FF - Ext: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - %profile%\extensions\{20a82645-c095-46ed-80e3-08825760534b} FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232} FF - Ext: Adblock Plus: {d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} - %profile%\extensions\{d10d0bf8-f5b5-c8b4-a8b2-2b9879e08c5d} FF - Ext: WOT: {a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} - %profile%\extensions\{a0d7ccb3-214d-498b-b4aa-0e8fda9a7bf7} FF - Ext: Screengrab: {02450954-cdd9-410f-b1da-db804e18c671} - %profile%\extensions\{02450954-cdd9-410f-b1da-db804e18c671} . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2011-02-11 18:48 Windows 6.0.6002 Service Pack 2 NTFS skanner skjulte prosesser ... skanner skjulte autostart-oppføringer ... skanner skjulte filer ... skanning vellykket skjulte filer: 0 ************************************************************************** . --------------------- DLL'er Lastet Av Kjørende Prosesser --------------------- - - - - - - - > 'Explorer.exe'(3860) c:\program files\Stardock\Fences\FencesMenu.dll c:\program files\stardock\fences\DesktopDock.dll . Tidspunkt ferdig: 2011-02-11 18:50:51 ComboFix-quarantined-files.txt 2011-02-11 17:50 ComboFix2.txt 2011-01-01 16:01 Pre-Run: 58 156 634 112 bytes free Post-Run: 58 044 211 200 bytes free - - End Of File - - 885B0DA9642FC691FD2602F0A48DCF68 Må bare nevne dette; vet dette er andre posten min på sånn to dager her, men til mitt forsvar var den forrige for min brors pc Endret 12. februar 2011 av handerrre Lenke til kommentar
norbat Skrevet 12. februar 2011 Del Skrevet 12. februar 2011 (endret) Det er ikke noe uvanlig med de oppføringene du har uthevet. De er knyttet til Microsoft Malware Protection. Fontcache-oppføringen handler om å optimaliserer ytelsen til applikasjoner ved å mellomlagre brukte fonter. Det er ikke noe spor etter malware i loggen din. Hvis du ikke har et antivirusprogram installert, kan Microsoft Security Essentials være et godt valg Endret 12. februar 2011 av norbat 1 Lenke til kommentar
handerrre Skrevet 12. februar 2011 Forfatter Del Skrevet 12. februar 2011 (endret) -snip- Ok, tusen takk. Jepp har MSE, men måtte avinstallere det for å kjøre ComboFix. Noe i loggen som kan vise en indikasjon på hvorfor jeg fikk den svarte skjermen (den i bildet) før pcen bootet? Endret 12. februar 2011 av handerrre Lenke til kommentar
norbat Skrevet 12. februar 2011 Del Skrevet 12. februar 2011 Jeg vil anta at det har vært en oppdatering e.l opp mot fontcache-tjenesten. Jeg regner med at pc'n booter normalt nå? Lenke til kommentar
handerrre Skrevet 12. februar 2011 Forfatter Del Skrevet 12. februar 2011 (endret) Jepp det gjør den. Var bare et engangstilfelle tydeligvis Men når den gikk fra 0/9193 til 9193/9193 er jeg ikke så sikker på at det bare gjaldt fontcachen Fikk ikke sett skikkelig siden det gikk så fort. Endret 12. februar 2011 av handerrre Lenke til kommentar
norbat Skrevet 12. februar 2011 Del Skrevet 12. februar 2011 Tror ikke du trenger å bekymre deg for dette 1 Lenke til kommentar
handerrre Skrevet 12. februar 2011 Forfatter Del Skrevet 12. februar 2011 Hehe, jeg har vel en tendens til å bli "litt" paranoid Tusen takk for hjelpen! Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå