Mystical Skrevet 20. april 2008 Del Skrevet 20. april 2008 Hei Jeg har kjørt gjennom flere forskjellige virus- og spywareprogrammer på en pc som har blitt infisert av et "msn virus". Dette er et virus som har infisert PC-en ved at eieren har trykket på en link som gir seg ut for å være rettet mot en bildemappe. I tillegg virker det som PC-en er infisert av et virus som autogenererer meldinger til en mengde kontakter på facebook. Vet ikke om det er noen som har kjennskap til dette? Men jeg har nå, som sakt, kjørt gjennom en del virusprogrammer. I den forbindelse har jeg også laget en hijacthis logg, og lurte på om noen fagkyndige kunne se på loggen om det er noen flere kritiske filer? Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:38, on 2008-04-20 Platform: Windows XP SP2 (WinNT 5.01.2600) MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe D:\Programmer installert\Avast4\aswUpdSv.exe D:\Programmer installert\Avast4\ashServ.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\system32\spoolsv.exe C:\Acer\eManager\anbmServ.exe C:\WINDOWS\system32\igfxtray.exe C:\WINDOWS\system32\hkcmd.exe C:\WINDOWS\system32\igfxpers.exe C:\Programfiler\Fellesfiler\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe D:\Programmer installert\AVG Anti-Spyware 7.5\guard.exe C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe C:\WINDOWS\RTHDCPL.EXE C:\Programfiler\Acer\Acer Arcade\PCMService.exe C:\Programfiler\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe C:\acer\epm\epm-dm.exe C:\WINDOWS\system32\CTSvcCDA.EXE C:\Programfiler\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE C:\Programfiler\Acer\eRecovery\Monitor.exe C:\Programfiler\Java\jre1.6.0_03\bin\jusched.exe D:\PROGRA~2\Avast4\ashDisp.exe D:\Programmer installert\Daemon Tools\daemon.exe C:\Programfiler\Macrogaming\SweetIM\SweetIM.exe D:\Programmer installert\iTunes\iTunesHelper.exe C:\Programfiler\Windows Live\Messenger\MsnMsgr.Exe C:\Programfiler\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLService.exe C:\WINDOWS\system32\ctfmon.exe C:\Programfiler\CyberLink\Shared Files\RichVideo.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\system32\MsPMSPSv.exe C:\Programfiler\Acer\Acer Arcade\Kernel\TV\CLSched.exe D:\Programmer installert\Avast4\ashMaiSv.exe D:\Programmer installert\Avast4\ashWebSv.exe C:\Programfiler\iPod\bin\iPodService.exe C:\WINDOWS\System32\svchost.exe C:\PROGRA~1\MOZILL~1\FIREFOX.EXE C:\Programfiler\Java\jre1.6.0_03\bin\jucheck.exe C:\Programfiler\Internet Explorer\IEXPLORE.EXE C:\Programfiler\Fellesfiler\Microsoft Shared\Windows Live\WLLoginProxy.exe C:\Documents and Settings\Marit L. Fosshaug\Skrivebord\test.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://runonce.msn.com/?v=msgrv75 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://global.acer.com/ R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger R3 - URLSearchHook: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programfiler\Macrogaming\SweetIMBarForIE\toolbar.dll O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Programmer installert\adobe 7.0\ActiveX\AcroIEHelper.dll O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - C:\Programfiler\Macrogaming\SweetIMBarForIE\toolbar.dll O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll O2 - BHO: Påloggingshjelp for Windows Live - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programfiler\Fellesfiler\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O3 - Toolbar: SweetIM For Internet Explorer - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - C:\Programfiler\Macrogaming\SweetIMBarForIE\toolbar.dll O4 - HKLM\..\Run: [LaunchApp] Alaunch O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe O4 - HKLM\..\Run: [High Definition Audio Property Page Shortcut] HDAShCut.exe O4 - HKLM\..\Run: [AzMixerSel] C:\Programfiler\Realtek\InstallShield\AzMixerSel.exe O4 - HKLM\..\Run: [synTPLpr] C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe O4 - HKLM\..\Run: [synTPEnh] C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [iMJPMIG8.1] "C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32 O4 - HKLM\..\Run: [MSPY2002] C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe /SYNC O4 - HKLM\..\Run: [PHIME2002ASync] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC O4 - HKLM\..\Run: [PHIME2002A] C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [PCMService] "C:\Programfiler\Acer\Acer Arcade\PCMService.exe" O4 - HKLM\..\Run: [EPM-DM] c:\acer\epm\epm-dm.exe O4 - HKLM\..\Run: [ePowerManagement] C:\Acer\ePM\ePM.exe boot O4 - HKLM\..\Run: [LManager] C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE O4 - HKLM\..\Run: [eRecoveryService] C:\Programfiler\Acer\eRecovery\Monitor.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programfiler\Java\jre1.6.0_03\bin\jusched.exe" O4 - HKLM\..\Run: [avast!] D:\PROGRA~2\Avast4\ashDisp.exe O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Programmer installert\Daemon Tools\daemon.exe" -lang 1033 O4 - HKLM\..\Run: [sweetIM] C:\Programfiler\Macrogaming\SweetIM\SweetIM.exe O4 - HKLM\..\Run: [QuickTime Task] "D:\programmer installert\olympus master\QTTask.exe" -atboottime O4 - HKLM\..\Run: [iTunesHelper] "D:\Programmer installert\iTunes\iTunesHelper.exe" O4 - HKLM\..\Run: [!AVG Anti-Spyware] "D:\Programmer installert\AVG Anti-Spyware 7.5\avgas.exe" /minimized O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [MsnMsgr] "C:\Programfiler\Windows Live\Messenger\MsnMsgr.Exe" /background O4 - HKCU\..\Run: [sweetIM] C:\Programfiler\Macrogaming\SweetIM\SweetIM.exe O4 - HKCU\..\Run: [skype] "D:\Programmer installert\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [sUPERAntiSpyware] D:\Programmer installert\SuperAntiSpyware\SUPERAntiSpyware.exe O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE') O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETTVERKSTJENESTE') O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Global Startup: Hurtigstart for Adobe Reader.lnk = D:\Programmer installert\adobe 7.0\Reader\reader_sl.exe O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll O9 - Extra button: Oppslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe O12 - Plugin for .spop: C:\Programfiler\Internet Explorer\Plugins\NPDocBox.dll O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx1.hotmail.com/mail/w2/resources/MSNPUpld.cab O16 - DPF: {5CD4310E-88FB-43C1-BE24-5F3FA9C5C9D1} (KooPlayer Control) - http://www.tvlution.com/KooPlayer.ocx O16 - DPF: {BDBDE413-7B1C-4C68-A8FF-C5B2B4090876} (F-Secure Online Scanner 3.3) - http://support.f-secure.com/ols/fscax.cab O16 - DPF: {DEB21AD3-FDA4-42F6-B57D-EE696A675EE8} (IP-Uploader Control) - http://asp06.photoprintit.de/microsite/406...geUploader3.cab O20 - Winlogon Notify: !SASWinLogon - D:\Programmer installert\SuperAntiSpyware\SASWINLO.dll O23 - Service: Notebook Manager Service (anbmService) - OSA Technologies Inc. - C:\Acer\eManager\anbmServ.exe O23 - Service: Apple Mobile Device - Apple, Inc. - C:\Programfiler\Fellesfiler\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - D:\Programmer installert\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - D:\Programmer installert\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - D:\Programmer installert\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - D:\Programmer installert\Avast4\ashWebSv.exe O23 - Service: AVG Anti-Spyware Guard - GRISOFT s.r.o. - D:\Programmer installert\AVG Anti-Spyware 7.5\guard.exe O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - C:\Programfiler\Acer\Acer Arcade\Kernel\TV\CLCapSvc.exe O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - C:\Programfiler\Acer\Acer Arcade\Kernel\TV\CLSched.exe O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE O23 - Service: CyberLink Media Library Service - Cyberlink - C:\Programfiler\Acer\Acer Arcade\Kernel\CLML_NTService\CLMLServer.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programfiler\Fellesfiler\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: iPod-tjeneste (iPod Service) - Apple Inc. - C:\Programfiler\iPod\bin\iPodService.exe O23 - Service: PsExec (PSEXESVC) - Unknown owner - C:\WINDOWS\PSEXESVC.EXE (file missing) O23 - Service: Cyberlink RichVideo Service(CRVS) (RichVideo) - Unknown owner - C:\Programfiler\CyberLink\Shared Files\RichVideo.exe -- End of file - 9864 bytes - Lars Marius Lenke til kommentar
Mystical Skrevet 20. april 2008 Forfatter Del Skrevet 20. april 2008 Ettersom det kan være relevant for den videre fremdrift, kan jeg legge til at jeg har kjørt gjennom følgende programmer; CCleaner, SUPERAntiSpyware, ComboFix, AVG Anti-Spyware, Ad-Aware SE Personal, Trend micro online scan, samt en annen online virusscan jeg ikke husker navnet på i farten. - Lars Marius Lenke til kommentar
norbat Skrevet 20. april 2008 Del Skrevet 20. april 2008 (endret) 1. Bytt passord på msn-kontoen 2. Loggen viser ingen opplagte infeksjoner. Kunne du ha postet combofix-loggen Endret 20. april 2008 av norbat Lenke til kommentar
Mystical Skrevet 20. april 2008 Forfatter Del Skrevet 20. april 2008 Jeg kjørt gjennom ComboFix først en gang hvor programmet genererte en logg. Litt senere, etter på kjørt gjennom noen andre programmer, så kjørte jeg gjennom ComboFix en gang til. Da restartet PC-en nærmest uten videre mot slutten av programmets fremdrift. Gjennom restarten så sjekket systemet enkelte stasjoner for feil og "korrigerte" enkelte feil som den gav utrykk for å ha funnet. Vet ikke helt hva som skjedde da, men ble litt skeptisk til programmet og videre bruk av det. Men jeg kan poste loggen som ComboFix genererte etter første gjennomgang (den andre gangen restartet som sakt bare PC-en): ComboFix 08-04-18.3 - xxx 2008-04-20 17:31:40.1 - FAT32x86 Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1044.18.458 [GMT 2:00] Running from: C:\Documents and Settings\xxx\Skrivebord\ComboFix.exe * Created a new restore point WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !! . ((((((((((((((((((((((((( Files Created from 2008-03-20 to 2008-04-20 ))))))))))))))))))))))))))))))) . 2008-04-20 15:34 . 2008-04-20 15:34 <DIR> d-------- C:\Documents and Settings\xxx\.housecall6.6 2008-04-19 19:28 . 2008-04-19 19:28 <DIR> d-------- C:\Documents and Settings\xxx\Programdata\SUPERAntiSpyware.com 2008-04-19 19:28 . 2008-04-19 19:28 <DIR> d-------- C:\Documents and Settings\All Users\Programdata\SUPERAntiSpyware.com 2008-04-19 19:26 . 2008-04-19 19:26 <DIR> d-------- C:\Programfiler\Fellesfiler\Wise Installation Wizard 2008-04-19 19:23 . 2008-04-19 19:24 <DIR> dr-h----- C:\Documents and Settings\xxx\Siste 2008-04-17 14:35 . 2008-04-17 14:35 <DIR> d-------- C:\WINDOWS\system32\LogFiles 2008-04-15 20:45 . 2008-04-15 20:45 <DIR> d--h----- C:\Documents and Settings\All Users\Programdata\CanonBJ 2008-04-10 16:09 . 2008-04-10 16:09 <DIR> d-------- C:\Documents and Settings\xxx\Programdata\Lavasoft 2008-04-05 10:57 . 2008-04-20 08:40 54,156 --ah----- C:\WINDOWS\QTFont.qfn 2008-04-05 10:57 . 2008-04-05 10:57 1,409 --a------ C:\WINDOWS\QTFont.for 2008-04-05 10:56 . 2008-04-05 10:56 <DIR> d-------- C:\Programfiler\iPod 2008-03-29 10:57 . 2008-03-29 10:57 <DIR> d-------- C:\Programfiler\Safari 2008-03-28 23:37 . 2008-03-28 23:37 90,112 --a------ C:\WINDOWS\system32\QuickTimeVR.qtx 2008-03-28 23:37 . 2008-03-28 23:37 57,344 --a------ C:\WINDOWS\system32\QuickTime.qts . (((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2008-03-20 08:11 1,845,248 ----a-w C:\WINDOWS\system32\win32k.sys 2008-03-20 08:11 1,845,248 ----a-w C:\WINDOWS\system32\dllcache\win32k.sys 2008-03-02 08:43 --------- d-sh--w C:\Programfiler\Fellesfiler\WindowsLiveInstaller 2008-03-02 08:43 --------- d-----w C:\Programfiler\Windows Live 2008-03-02 08:43 --------- d-----w C:\Documents and Settings\All Users\Programdata\WLInstaller 2008-02-20 06:52 282,624 ----a-w C:\WINDOWS\system32\gdi32.dll 2008-02-20 06:52 282,624 ----a-w C:\WINDOWS\system32\dllcache\gdi32.dll 2008-02-20 05:39 45,568 ----a-w C:\WINDOWS\system32\dnsrslvr.dll 2008-02-20 05:39 45,568 ----a-w C:\WINDOWS\system32\dllcache\dnsrslvr.dll 2008-02-20 05:39 148,992 ----a-w C:\WINDOWS\system32\dllcache\dnsapi.dll 2008-02-16 22:35 3,080,704 ----a-w C:\WINDOWS\system32\dllcache\mshtml.dll 2008-02-15 09:23 18,432 ----a-w C:\WINDOWS\system32\dllcache\iedw.exe 2008-01-29 10:02 107,368 ----a-w C:\WINDOWS\system32\GEARAspi.dll . ((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))))))))))))))))))))))))))))))))))))))))))) . . *Note* empty entries & legit default entries are not shown REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 20:00 15360] "MsnMsgr"="C:\Programfiler\Windows Live\Messenger\MsnMsgr.exe" [2007-10-18 11:34 5724184] "SweetIM"="C:\Programfiler\Macrogaming\SweetIM\SweetIM.exe" [2006-01-01 19:57 40960] "Skype"="D:\Programmer installert\Skype\Phone\Skype.exe" [2006-02-23 16:37 19544104] "SUPERAntiSpyware"="D:\Programmer installert\SuperAntiSpyware\SUPERAntiSpyware.exe" [2008-02-29 16:03 1481968] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "LaunchApp"="Alaunch" [] "IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2005-06-07 20:02 94208] "HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2005-06-07 19:59 77824] "Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2005-06-07 20:03 114688] "High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2005-01-07 17:07 61952 C:\WINDOWS\system32\HdAShCut.exe] "AzMixerSel"="C:\Programfiler\Realtek\InstallShield\AzMixerSel.exe" [2005-06-11 19:51 53248] "SynTPLpr"="C:\Programfiler\Synaptics\SynTP\SynTPLpr.exe" [2004-10-08 14:44 98394] "SynTPEnh"="C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe" [2004-10-08 14:43 688218] "IMJPMIG8.1"="C:\WINDOWS\IME\imjp8_1\IMJPMIG.exe" [2004-08-04 20:00 208952] "MSPY2002"="C:\WINDOWS\system32\IME\PINTLGNT\ImScInst.exe" [2004-08-04 20:00 59392] "PHIME2002ASync"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 20:00 455168] "PHIME2002A"="C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.exe" [2004-08-04 20:00 455168] "RTHDCPL"="RTHDCPL.EXE" [2005-08-09 15:17 14743552 C:\WINDOWS\RTHDCPL.EXE] "PCMService"="C:\Programfiler\Acer\Acer Arcade\PCMService.exe" [2005-08-11 11:48 143360] "EPM-DM"="c:\acer\epm\epm-dm.exe" [2005-08-11 19:21 200704] "ePowerManagement"="C:\Acer\ePM\ePM.exe" [2005-03-15 10:03 2893824] "LManager"="C:\PROGRA~1\LAUNCH~1\QtZgAcer.EXE" [2005-08-19 01:28 462848] "eRecoveryService"="C:\Programfiler\Acer\eRecovery\Monitor.exe" [2005-08-18 19:38 352256] "SunJavaUpdateSched"="C:\Programfiler\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496] "avast!"="D:\PROGRA~2\Avast4\ashDisp.exe" [2008-03-29 19:37 79224] "DAEMON Tools-1033"="D:\Programmer installert\Daemon Tools\daemon.exe" [2002-06-22 15:04 73728] "SweetIM"="C:\Programfiler\Macrogaming\SweetIM\SweetIM.exe" [2006-01-01 19:57 40960] "QuickTime Task"="D:\programmer installert\olympus master\QTTask.exe" [2008-03-28 23:37 413696] "iTunesHelper"="D:\Programmer installert\iTunes\iTunesHelper.exe" [2008-03-30 10:36 267048] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 20:00 15360] C:\Documents and Settings\All Users\Start-meny\Programmer\Oppstart\ Hurtigstart for Adobe Reader.lnk - D:\Programmer installert\adobe 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks] "{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= D:\Programmer installert\SuperAntiSpyware\SASSEH.DLL [2006-12-20 12:55 77824] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon] D:\Programmer installert\SuperAntiSpyware\SASWINLO.dll 2007-04-19 12:41 294912 D:\Programmer installert\SuperAntiSpyware\SASWINLO.dll [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "C:\\Programfiler\\Acer\\Acer Arcade\\PCMService.exe"= "C:\\Programfiler\\Messenger\\msmsgs.exe"= "D:\\Programmer installert\\LimeWire\\LimeWire\\LimeWire.exe"= "D:\\Programmer installert\\HTML-Kit\\Bin\\HTMLKit.exe"= "D:\\Programmer installert\\DC++\\DCPlusPlus.exe"= "C:\\Programfiler\\Internet Explorer\\iexplore.exe"= "C:\\Programfiler\\Windows Live\\Messenger\\msnmsgr.exe"= "C:\\Programfiler\\Windows Live\\Messenger\\livecall.exe"= "D:\\Programmer installert\\iTunes\\iTunes.exe"= "D:\\Programmer installert\\Skype\\Phone\\Skype.exe"= R0 Stlth317;Stlth317;C:\WINDOWS\system32\DRIVERS\stlth317.sys [2002-08-07 16:00] R1 aswSP;avast! Self Protection;C:\WINDOWS\system32\drivers\aswSP.sys [2008-03-29 19:31] R2 aswFsBlk;aswFsBlk;C:\WINDOWS\system32\DRIVERS\aswFsBlk.sys [2008-03-29 19:35] R2 EpmPsd;Acer EPM Power Scheme Driver;C:\WINDOWS\system32\drivers\epm-psd.sys [2004-07-19 13:10] R2 EpmShd;Acer EPM System Hardware Driver;C:\WINDOWS\system32\drivers\epm-shd.sys [2005-04-07 18:08] R2 int15.sys;int15.sys;C:\Programfiler\Acer\eRecovery\int15.sys [2005-01-13 14:46] R2 osaio;osaio;C:\WINDOWS\system32\drivers\osaio.sys [2005-06-30 16:58] R2 osanbm;osanbm;C:\WINDOWS\system32\drivers\osanbm.sys [2005-01-14 15:57] S3 cxbu0wdm;CardMan 3x21;C:\WINDOWS\system32\DRIVERS\cxbu0wdm.sys [2006-07-11 09:03] S3 w300bus;Sony Ericsson W300 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\w300bus.sys [2006-03-13 16:49] S3 w300mdfl;Sony Ericsson W300 USB WMC Modem Filter;C:\WINDOWS\system32\DRIVERS\w300mdfl.sys [2006-03-13 16:50] S3 w300mdm;Sony Ericsson W300 USB WMC Modem Driver;C:\WINDOWS\system32\DRIVERS\w300mdm.sys [2006-03-13 16:50] S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\w300mgmt.sys [2006-03-13 16:50] S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;C:\WINDOWS\system32\DRIVERS\w300obex.sys [2006-03-13 16:50] [HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{4408d3a4-cf9e-11da-aba8-0013ce7d7d88}] \Shell\Auto\command - RavMon.exe \Shell\AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL RavMon.exe *Newly Created Service* - CATCHME *Newly Created Service* - INT15.SYS . Contents of the 'Scheduled Tasks' folder "2008-04-19 08:47:04 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job" - C:\Programfiler\Apple Software Update\SoftwareUpdate.exe . ************************************************************************** catchme 0.3.1353 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-04-20 17:32:55 Windows 5.1.2600 Service Pack 2 FAT NTAPI scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . Completion time: 2008-04-20 17:33:16 ComboFix-quarantined-files.txt 2008-04-20 15:33:14 Pre-Run: 31,622,529,024 byte ledig Post-Run: 31,914,164,224 byte ledig 134 --- E O F --- 2008-04-09 20:40:46 - Lars Marius Lenke til kommentar
norbat Skrevet 20. april 2008 Del Skrevet 20. april 2008 Fortsatt lite å se til noen infeksjoner. Bytt i allefall passord og se om problemet fortsetter. Lenke til kommentar
Mystical Skrevet 20. april 2008 Forfatter Del Skrevet 20. april 2008 Men det høres jo ikke annet en bra ut. Takk for hjelpen norbat. Men det er evt. ikke noen som har kjennskap til noe virus som gjør at det autogenereres og sendes ut meldinger fra en konto på facebook og til forskjellige kontakter? Så sant det ikke er synelig noen potensielle infeksjoner, så skal vel heller ikke dette være noe videre problem. Men dette er ikke noe problem jeg har kunnet finne noe om på nettet, så derfor hadde det vært interessant å høre om det er noen som vet hva dette er for noen form for virus. - Lars M. Lenke til kommentar
Ueland Skrevet 20. april 2008 Del Skrevet 20. april 2008 En fugl hvisket til meg at "facebook-virus" kom av såkalte applikasjoner man har installert på facebook-profilen sin, og at noen av disse tar og spammer ned Facebook med spam, for å se om det er tilfelle er det enkleste å bare fjerne alt av ekstraprogrammer å se om ikke det får ting til å gi seg. Lenke til kommentar
Mystical Skrevet 25. april 2008 Forfatter Del Skrevet 25. april 2008 (endret) Kommer en litt sen replay til den tråden jeg startet. Men den facebook profilen det er snakk om her har ikke hatt installert noen ekstra applikasjoner. Uansett så har det ikke vært noe "spameaktiviteter" etter at jeg kjørte gjennom virusskanningen på PC-en. Men som jeg omtalte tidligere i denne tåden så oppstod det en merkelig handling ene gangen jeg kjørte gjennom ComboFix. Et resultat av dette er bl.a. at det ikke er mulig å laste ned noe med firefox browseren. Da dukker det opp en feilmelding som dette eksemplet: "Klarte ikke lagre C:\"brukernavnet på PC-en"\LOKALE~1\Temp\j0xtfk.doc, fordi en ukjent feil oppstod. Forsøk å lagre et annet sted". Et annet problem er bl.a. når jeg åpner ulike underkategorier i "Hjelp og støtte" i windows. Da får jeg beskjed om at det har oppstått en feil i skriptet på denne siden. Dette er da en skriptfeil som er rettet mot internet explorer og lyder som følger: Linje: 98 Tegn: 4 Feil: xmldoc.documentElement er null eller ikke et objekt Kode: 0 URL: ms-its:C:\WINDOWS\Help\sysdm.chm::/sysdm_advancd_program_exception_reporting.htm Avsluttet med et spørsmål om jeg vil fortsette å kjøre skripetet på den akutelle siden. Jeg vet ikke om disse problemene sider dere noe, men det har i alle fall dukket opp forskjellige problemer rundt om kring på systemet. Så spørsmålet er om det er noen som har et tips til hva jeg kan/bør gjør for å rette opp i disse problemene. - Lars Marius Endret 25. april 2008 av Mystical Lenke til kommentar
snippsat Skrevet 25. april 2008 Del Skrevet 25. april 2008 (endret) Nei dette sier ikke så mye Mystical. Du komme med nøyaktig info. For og gi mere info om feil. Start->kjør->eventvwr.msc Process monitor kan brukes denne logger alt som skjer når du starter noe. Kan ta mere om bruk av denne senere. http://technet.microsoft.com/en-us/sysinte...s/bb896645.aspx Gjøre dette viss du ikke har gjort det. Du kan fjerne combofix ved å skrive combofix /u fra kjør-vinduet. Denne kommandoen gjør at filer i karantene og backups blir slette. Systemgjenopprettingsmappa nullstilt etc. Last ned kjør CCleaner 'Valg'->'Avansert'. Fjern avkryssingen framfor: "bare slett midlertidige filer som er eldere enn 48 t. Kjør register-renser og"svar ja til og reparere" Endret 25. april 2008 av SNIPPSAT Lenke til kommentar
Mystical Skrevet 25. april 2008 Forfatter Del Skrevet 25. april 2008 Jeg har nå fulgt din anbefaling rundt avinstallering av combofix og kjørt gjennom prosedyrene vedrørende CCleaner. Programmet gav utrykk for at det fant og rettet ulike problemer. Men de samme problemene, som jeg har oppdaget, og ser ut til å stå i relasjon til browserene på PC-en (explorer og firefox) er fortsatt til stede. Men hva anbefaler du i forhold til kommandoen Start->kjør->eventvwr.msc (dendelseslisten). Er det noe spesefikt jeg bør se etter/poste? (Bare si fra at jeg ikke har fått kikket nærmere på linken: http://technet.microsoft.com/en-us/sysinte...s/bb896645.aspx. Men skal sette meg inn i den informasjonen) Takk så langt SNIPPSAT - Lars M. Lenke til kommentar
snippsat Skrevet 25. april 2008 Del Skrevet 25. april 2008 (endret) Linken virker ikke. Tenke på noe sånt som på bildet. Se både system og program fanen etter feil. Ikon på høyere side kan du kopiere feilen og lime inn i notisblokk. Endret 25. april 2008 av SNIPPSAT Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå