tobler0ne Skrevet 3. juni 2012 Del Skrevet 3. juni 2012 Laptopen til broderen på 10 år har visst fått en trojaner og var sikkert full av andre malwares som forventet. MBAM Hurtigsøk: Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Databaseversjon: v2012.06.03.06 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 8.0.7601.17514 Simon :: SIMON-PC [administrator] 03.06.2012 20:44:23 mbam-log-2012-06-03 (20-44-23).txt Skanntype: Hurtigsøk Aktiverte skanningsinnstillinger: Minne | Oppstart | Register | Filsystem | Heuristikk/Ekstra | Heuristikk/Shuriken | PUP | PUM Deaktiverte skanninnstillinger: P2P Objekter skannet: 201825 Tid tilbakelagt: 3 minutt(er), 21 sekund(er) Minneprosesser oppdaget: 0 (Ingen skadelige objekter funnet) Minnemoduler oppdaget: 0 (Ingen skadelige objekter funnet) Registernøkler oppdaget: 0 (Ingen skadelige objekter funnet) Registerverdier oppdaget: 0 (Ingen skadelige objekter funnet) Registerfiler oppdaget: 0 (Ingen skadelige objekter funnet) Mapper oppdaget: 0 (Ingen skadelige objekter funnet) Filer oppdaget 4 C:\Users\Simon\AppData\Local\Temp\ICReinstall_PDFCreatorSetup (1).exe (Adware.Agent) -> Satt i karantene og slettet vellykket. C:\Users\Simon\AppData\Local\Temp\ICReinstall_PDFReaderSetup_V3.exe (PUP.Adware.InstallCore) -> Satt i karantene og slettet vellykket. C:\Users\Simon\Downloads\PDFCreatorSetup.exe (PUP.Adware.InstallCore) -> Satt i karantene og slettet vellykket. C:\Users\Simon\Downloads\PDFReaderSetup_V3.exe (PUP.Adware.InstallCore) -> Satt i karantene og slettet vellykket. (klar) MBAM Full skann: Malwarebytes Anti-Malware 1.61.0.1400 www.malwarebytes.org Databaseversjon: v2012.06.03.06 Windows 7 Service Pack 1 x64 NTFS Internet Explorer 8.0.7601.17514 Simon :: SIMON-PC [administrator] 03.06.2012 20:54:12 mbam-log-2012-06-03 (20-54-12).txt Skanntype: Full skann Aktiverte skanningsinnstillinger: Minne | Oppstart | Register | Filsystem | Heuristikk/Ekstra | Heuristikk/Shuriken | PUP | PUM Deaktiverte skanninnstillinger: P2P Objekter skannet: 364931 Tid tilbakelagt: 54 minutt(er), 41 sekund(er) Minneprosesser oppdaget: 0 (Ingen skadelige objekter funnet) Minnemoduler oppdaget: 0 (Ingen skadelige objekter funnet) Registernøkler oppdaget: 1 HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Adlsoft Uncompressor (Adware.Agent) -> Satt i karantene og slettet vellykket. Registerverdier oppdaget: 0 (Ingen skadelige objekter funnet) Registerfiler oppdaget: 0 (Ingen skadelige objekter funnet) Mapper oppdaget: 0 (Ingen skadelige objekter funnet) Filer oppdaget 1 C:\Users\Simon\Adlsoft Uncompressor\Uninstall\Uninstall.exe (Adware.Agent) -> Satt i karantene og slettet vellykket. (klar) CF: ComboFix 12-06-03.04 - Simon 03.06.2012 22:27:05.1.4 - x64 Microsoft Windows 7 Home Premium 6.1.7601.1.1252.47.1044.18.3835.2362 [GMT 2:00] Kjører fra: C:\Users\Simon\Desktop\ComboFix.exe AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0} SP: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D} SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} * Opprettet nytt gjenopprettingspunkt ((((((((((((((((((((((((((((((((((((((( Andre slettinger ))))))))))))))))))))))))))))))))))))))))))))))))) Infisert kopi av C:\Windows\SysWow64\userinit.exe ble funnet og desinfisert Gjenopprettet kopi fra - C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_de3024012ff21116\userinit.exe ((((((((((((((((((((((((((( Filer Opprettet Fra 2012-05-03 til 2012-06-03 ))))))))))))))))))))))))))))))))) 2012-06-03 20:34:54 . 2012-06-03 20:34:54 -------- d-----w- C:\Users\Default\AppData\Local\temp 2012-06-03 18:43:33 . 2012-06-03 18:43:33 -------- d-----w- C:\Users\Simon\AppData\Roaming\Malwarebytes 2012-06-03 18:43:19 . 2012-06-03 20:18:36 -------- d-----w- C:\ProgramData\Malwarebytes 2012-06-03 18:43:18 . 2012-06-03 18:43:21 -------- d-----w- C:\Program Files (x86)\Malwarebytes' Anti-Malware 2012-06-03 18:43:18 . 2012-04-04 13:56:40 24904 ----a-w- C:\Windows\system32\drivers\mbam.sys 2012-05-29 16:57:15 . 2012-05-29 16:57:15 -------- d-----w- C:\$AVG 2012-05-11 17:46:51 . 2012-05-11 17:46:51 -------- d-----w- C:\Users\Simon\AppData\Local\Chromium 2012-05-11 17:26:09 . 2008-10-10 02:52:38 452440 ----a-w- C:\Windows\SysWow64\d3dx10_40.dll 2012-05-11 17:26:09 . 2008-10-10 02:52:38 2036576 ----a-w- C:\Windows\SysWow64\D3DCompiler_40.dll 2012-05-11 17:26:06 . 2008-10-10 02:52:38 4379984 ----a-w- C:\Windows\SysWow64\D3DX9_40.dll 2012-05-11 17:26:04 . 2007-04-04 16:53:42 81768 ----a-w- C:\Windows\SysWow64\xinput1_3.dll 2012-05-11 17:25:25 . 2012-06-03 19:07:30 -------- d-----w- C:\Program Files (x86)\Heroes of Newerth 2012-05-11 15:12:56 . 2012-03-03 06:35:38 1544704 ----a-w- C:\Windows\system32\DWrite.dll 2012-05-11 15:12:56 . 2012-03-03 05:31:19 1077248 ----a-w- C:\Windows\SysWow64\DWrite.dll 2012-05-11 15:12:53 . 2012-03-31 06:05:57 5559664 ----a-w- C:\Windows\system32\ntoskrnl.exe 2012-05-11 15:12:52 . 2012-03-31 03:10:03 3146240 ----a-w- C:\Windows\system32\win32k.sys 2012-05-11 15:12:51 . 2012-03-31 04:39:37 3968368 ----a-w- C:\Windows\SysWow64\ntkrnlpa.exe 2012-05-11 15:12:49 . 2012-03-31 04:39:37 3913072 ----a-w- C:\Windows\SysWow64\ntoskrnl.exe 2012-05-11 15:12:33 . 2012-03-17 07:58:57 75120 ----a-w- C:\Windows\system32\drivers\partmgr.sys 2012-05-11 15:12:25 . 2012-03-30 11:35:47 1918320 ----a-w- C:\Windows\system32\drivers\tcpip.sys 2012-05-11 15:12:22 . 2012-03-31 05:40:32 1367552 ----a-w- C:\Program Files\Common Files\Microsoft Shared\ink\journal.dll 2012-05-11 15:12:22 . 2012-03-31 04:29:48 936960 ----a-w- C:\Program Files (x86)\Common Files\Microsoft Shared\ink\journal.dll . (((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) PCen måtte visstnok gjøre en restart under ComboFix. Er den clean nå eller trengs videre handlinger? Lenke til kommentar
Dr.Geek Skrevet 5. juni 2012 Del Skrevet 5. juni 2012 (endret) Hai. Loggen av CB er ikke fullstendig! Scan med Combofix engang til og post loggen. Malwarebytes Log er greit men CB melder igjen en infisert systemfile. Vi burde sjekke denne PCen grundiger. Det første du gjør er å brenne deg en såkalt rescue CD, boote PCen med den og gjennomføre en fullscan: 1. http://www.f-secure....moval/rescue-cd eller http://freedrweb.com/livecd/?lng=en (Slett alle funn untatt systemfiler(!) og post log) Etterpå booter du normalt igjen og scanner med disse: 2. HitmanPro http://www.surfright.nl/en/hitmanpro (Export scanlog to xml file) 3. http://public.avast....erek/aswMBR.htm (Bare post log, ikke fix noe) Etter disse scan gjennomfør dette: http://win-experts.c...-sfc-windows-7/ Endret 5. juni 2012 av TheGenius Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå