Trojan W32, keylogger

[norbat]

Gjør det, og legg ut en ny HJT-logg

Fortell også hvordan du synes pc'n kjører

[hautainn]

Gjør det, og legg ut en ny HJT-logg

Fortell også hvordan du synes pc'n kjører

8269390[/snapback]

 

Litt bedre enn i går kveld men fortsatt litt delay hvis du skjønner, dette er uansett en bærbar pc, Dell Latitude | D620. Ikke store greier altså.

[norbat]

Nja, Dell D620 kan da være ok saker det.

 

De infeksjonene du hadde skulle i allefall være borte, så det du kan gjøre er evt. å sjekke om pc'n trenger en diskdefragmentering (tilbehør->systemverktøy->diskdefragmentering).

 

Pc'n din er også satt i et domene (jobb/skole?), noe som sikkert kan påvirke ytelsen litt.

 

Hvis du har hentet CCleaner og kjørt en rens, kan du også kjøre 'Saker' noen ganger slik at du får fjernet noen registeroppføringer som ikke har særlig nytte lengre.

 

Hvis du satte på 'vis skjulte filer og mapper' bør du slå på denne igjen slik at du ikke ved et uhell sletter viktige filer.

 

En siste HJT-logg kan være på sin plass

[hautainn]

SUPERAntiSpyware Scan Log

Generated 03/29/2007 at 10:44 PM

 

Application Version : 3.6.1000

 

Core Rules Database Version : 3208

Trace Rules Database Version: 1218

 

Scan type : Complete Scan

Total Scan Time : 00:30:23

 

Memory items scanned : 482

Memory threats detected : 0

Registry items scanned : 5469

Registry threats detected : 0

File items scanned : 29704

File threats detected : 0

 

Logfile of HijackThis v1.99.1

Scan saved at 22:45, on 07-03-29

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Programfiler\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\SCardSvr.exe

C:\Programfiler\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\Programfiler\Fellesfiler\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Norman\Bin\Zanda.exe

C:\Norman\Nvc\bin\nvcoas.exe

C:\Norman\bin\NJEEVES.EXE

C:\Norman\Nvc\BIN\NVCSCHED.EXE

C:\Norman\Nvc\BIN\nipsvc.exe

C:\WINDOWS\System32\alg.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\stsystra.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Programfiler\Java\jre1.5.0_06\bin\jusched.exe

C:\Norman\bin\ZLH.EXE

C:\Programfiler\Microsoft IntelliPoint\ipoint.exe

C:\Programfiler\Windows Defender\MSASCui.exe

C:\Norman\Nvc\BIN\NIP.EXE

C:\Norman\Nvc\bin\cclaw.exe

C:\Programfiler\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programfiler\MSN Messenger\usnsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Programfiler\Mozilla Firefox\firefox.exe

C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Documents and Settings\sebastian-rosten.l\Skrivebord\HijackThis.exe

C:\WINDOWS\system32\notepad.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

O1 - Hosts: STOPzilla***

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.5.0_10\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programfiler\Fellesfiler\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [sigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_06\bin\jusched.exe

O4 - HKLM\..\Run: [Norman ZANDA] C:\Norman\bin\ZLH.EXE /LOAD /SPLASH

O4 - HKLM\..\Run: [intelliPoint] "C:\Programfiler\Microsoft IntelliPoint\ipoint.exe"

O4 - HKLM\..\Run: [Windows Defender] "C:\Programfiler\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Programfiler\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - Global Startup: Hurtigstart for Adobe Reader.lnk = C:\Programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_10\bin\ssv.dll

O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://intranett.ntvgs.no/

O16 - DPF: DirectEdit - https://www.its-learning.com//file/DirectEdit.CAB

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.safety.live.com/resource/d...lscbase8460.cab

O16 - DPF: {F5131C24-E56D-11CF-B78A-444553540000} (Ikonic Menu Control) - http://intranett.ntvgs.no/meny/Activex/ikcntrls.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = ntvgs.no

O17 - HKLM\Software\..\Telephony: DomainName = ntvgs.no

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = ntvgs.no

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = ntvgs.no

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Programfiler\SUPERAntiSpyware\SASWINLO.dll

O20 - Winlogon Notify: igfxcui - C:\WINDOWS\SYSTEM32\igfxdev.dll

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Programfiler\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programfiler\iPod\bin\iPodService.exe

O23 - Service: Norman API-hooking helper (NipSvc) - Unknown owner - C:\Norman\Nvc\BIN\nipsvc.exe

O23 - Service: Norman NJeeves - Unknown owner - C:\Norman\bin\NJEEVES.EXE

O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\Bin\Zanda.exe

O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\Norman\Nvc\bin\nvcoas.exe

O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman Data Defense Systems - C:\Norman\Nvc\BIN\NVCSCHED.EXE

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - Unknown owner - %ProgramFiles%\WinPcap\rpcapd.exe" -d -f "%ProgramFiles%\WinPcap\rpcapd.ini (file missing)

 

 

Skal jeg nå:

Kjør HJT, sett merke framfor følgende linjer og klikk 'Fix checked':

O1 - Hosts: STOPzilla***

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O23 - Service: System Locate Notification - Unknown owner - C:\WINDOWS\svchost.exe (file missing)

 

Edit:

Det er en skole pc ja. Har CCleaner, bruker det ganske jevnt.

Endret 29. mars 2007 av hautainn

[norbat]

Ja, kjør HJT og følg anvisningen. Sjekk etterpå om 01-linja er borte fra HJT-loggen. Hvis den fortsatt er der, kan vi ta det manuelt.

 

Trenger ikke å se flere logger. Anser pc'n din fri for spyware og annet smuss.

 

Ha en fortsatt trygg surfing

[hautainn]

Ja, kjør HJT og følg anvisningen. Sjekk etterpå om 01-linja er borte fra HJT-loggen. Hvis den fortsatt er der, kan vi ta det manuelt.

 

Trenger ikke å se flere logger. Anser pc'n din fri for spyware og annet smuss.

 

Ha en fortsatt trygg surfing 

8269881[/snapback]

For det første, tusen takk Er veldig takknemmelig for din hjelp!

For det andre, det virker som om dette er noe du virkelig kan, du har mye kunnskaper

 

Helt til slutt;

01 STOPzilla er borte Hijackthis fant ikke O23 - Service: System Locate Notification - Unknown owner - C:\WINDOWS\svchost.exe denne gangen.

Skal jeg aktivere det jeg deaktiverte i services.msc?

[norbat]

Satte du tjenesten 'System Locate Notification' også til deaktivert i oppstartstype?

8269294[/snapback]

 

F. Deaktiverte System Event Notification. Beklager skal gjøre på nytt.

8269340[/snapback]

 

Hvis du mener System Event Notification , som du ved en glipp deaktiverte, så ja, den setter du tilbake slik den var.

[hautainn]

Det er gjort

 

Men kan bare glemme:

MASEL (Event Log Audit)

System Locate Notification

 

Altså de forblir deaktivert?

[norbat]

System Locate Notification, med påfølgende C:\WINDOWS\svchost.exe er i de aller fleste tilfeller trojanere og derfor skal ikke dette være på pc'n. Svchost.exe-filen ble også fjerne ved combofix-scannen.

 

Når det gjelder MASEL, mangler denne tjenesten programfilen, Evl.exe og det at du har deaktivert den vil da i utg.pkt ikke ha noen betydning.