r2d290 Skrevet 28. juni 2008 Del Skrevet 28. juni 2008 (endret) Hva skal gjøres med følgende linjer i bold?: Find3Mraport 2005-06-28 23:55 8 --sh--r C:\WINDOWS\system32\585F007234.sys ************************************************************************** catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2008-06-28 17:21:32 Windows 5.1.2600 Service Pack 2 NTFS scanning hidden processes ... scanning hidden autostart entries ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run CtrlVol = C:\Programfiler\Launch Manager\CtrlVol.exe??????X??????|x??|????q??|?j?wQj?w????????,??? ???????????????`??????|????????l?????@??H?????????????s???????s???sx??s@??????????????|h??sp??????????s?????????????????C?sc"?sx??s???????w??@?N'?sl>9?=5@?x>9???????? scanning hidden files ... scan completed successfully hidden files: 0 Kan dere ellers se om dette ser greit ut? Gjort alt jeg kan for å rese opp denne maskinen... Tidligere SAS (ble to stk, da den første scan ble avbrutt): http://www.pastebin.no/9563 http://www.pastebin.no/9559 SDFix: http://www.pastebin.no/9871 Combofix: http://www.pastebin.no/9909 HijackThis: http://www.pastebin.no/9910 Endret 29. juni 2008 av r2d290 Lenke til kommentar
snippsat Skrevet 29. juni 2008 Del Skrevet 29. juni 2008 (endret) 2005-06-28 23:55 8 --sh--r C:\WINDOWS\system32\585F007234.sys Denne filen ble lagd likt med denne. C:\WINDOWS\system32\KGyGaAvL.sys Da er vi på sporet "KGyGaAvL.sys" blir generet av Dr. Divx. Som et ledd i registrasjonen generer den "585F007234.sys" Den skal ikke slettes da får nok Dr. Divx problemer med registrasjonen. HKLM\Software\Microsoft\Windows\CurrentVersion\RunCtrlVol = C:\Programfiler\Launch Manager\CtrlVol.exe??????X??????|x??|????q??|?j?wQj?w????????,??? ???????????????`??????|????????l?????@??H?????????????s???????s???sx??s@??????????????|h??sp??????????s?????????????????C?sc"?sx??s???????w??@?N'?sl>9?=5@?x>9???????? Ja var lang den. Spørsmålet er vel om "CtrlVol.exe" virker. Som du ser lengere opp i loggen ser den grei ut. [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "CtrlVol"="C:\Programfiler\Launch Manager\CtrlVol.exe" [2003-09-16 14:28 20480] Det er volumkontroll brukt mest på acer pcer. Virker den tro jeg du ikke trenger og tenke mer på det. Ellers ser det greit ut. Som oppgave kan du finne ut av dette. Det er 2 tjenster som kjører fra program som er slette. Finn ut hvilken tjenster og fjern dem. Endret 29. juni 2008 av SNIPPSAT Lenke til kommentar
r2d290 Skrevet 29. juni 2008 Forfatter Del Skrevet 29. juni 2008 (endret) Yay, liker oppgaver BearShare du mener, sant? Da blir det vel slik? registry:: [-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare] Hva gjør egentlig den bindestreken i starten, og bindestreken i slutten av f.eks [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Cjiv"=- ? Hva skjer Hvis jeg ikke tar med bindestreken? edit: du sier to tjenester? da må jeg finne en til, right? edit2: har noen en oversikt over hva alle de forskjellige HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE\, HKLM, osv. betyr? Og: hvordan kan jeg egentlig vite om et register har et tilhørende program? I den øverste bolken er det jo filer opprettet siste måned, og i den andre bolken er det forandringer utført de siste tre månedene, men utenom dét, ser jeg ingen plasser der jeg kan se hvilke programmer som er installert på maskinen (utenom å se på registeret), men hvordan kan jeg da vite om et register er igjen uten at programmet er installert? (grunnen til at jeg fant BearShare som en av de registrene som ikke hadde noe program, var tilfeldig fordi jeg frarådet brukeren å bruke bearshare, men han sa han hadde avinstallert det... Endret 29. juni 2008 av r2d290 Lenke til kommentar
snippsat Skrevet 29. juni 2008 Del Skrevet 29. juni 2008 (endret) Tips tjenster eller services,023 hijackthis. BearShare er grei og fjerne den. For dette ber man at det gjøres fra "legg til eller fjern programmer" Er det et problem kan den fjernes på måten du bruker over. Endret 29. juni 2008 av SNIPPSAT Lenke til kommentar
r2d290 Skrevet 29. juni 2008 Forfatter Del Skrevet 29. juni 2008 (endret) Ahh, takk edit: men igjen, hva skal jeg sammenlikne O23-linjene med? hvor er oversikten over alle programmer som er/ikke er installert? Kommer alle disse programmene også opp i HijackThis? Så jeg kan sammenlikne om alle O23-linjene finnes en annen plass i loggen? (til det ovenfor: Brukeren har alerede (for lenge siden) avinstallert bearshare... så bør nok fjerne registeret til den... Men bearshare var altså ikke en av de to du tenkte på? Endret 29. juni 2008 av r2d290 Lenke til kommentar
r2d290 Skrevet 29. juni 2008 Forfatter Del Skrevet 29. juni 2008 (endret) var kanskje O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing) og O23 - Service: NMIndexingService - Unknown owner - C:\Programfiler\Fellesfiler\Ahead\Lib\NMIndexingService.exe (file missing) du mente? Endret 29. juni 2008 av r2d290 Lenke til kommentar
snippsat Skrevet 29. juni 2008 Del Skrevet 29. juni 2008 (endret) Tips (file missing) tjensten kjører men det er ingen fil tilknyttet. Denne har blitt borte når programmet er blitt fjernet. Husk logger fra 64bit system gjelder ikke dette. Her er ikke hijackthis helt oppdatert og det står (file missing)på nesten all 023. O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing)og O23 - Service: NMIndexingService - Unknown owner - C:\Programfiler\Fellesfiler\Ahead\Lib\NMIndexingService.exe (file missing) Ja da var det og få fjernet den dem da. Fix cheked virker ikke her. Endret 29. juni 2008 av SNIPPSAT Lenke til kommentar
r2d290 Skrevet 29. juni 2008 Forfatter Del Skrevet 29. juni 2008 Takker for hjelpen og tolmodigheten Lærte jeg litt nytt idag også Lenke til kommentar
snippsat Skrevet 29. juni 2008 Del Skrevet 29. juni 2008 Ja er vel ikke helt ferdig,det var åssen du har tenkt og fjerne dem. Lenke til kommentar
r2d290 Skrevet 29. juni 2008 Forfatter Del Skrevet 29. juni 2008 (endret) Åja (tenkte først bare å fikse med o23, men da kommer den kanskje tilbake eller no ved restart? O23-linjer ja... Da blir vel det noe SC stop, og SC delete et eller annet fra start->kjør? edit: og da var det vel sånn at hvis det sto noe i en parantes (noe det ikke gjør i disse), så var det innholdet i parantesen som skulle stoppes, men nå skal jeg stoppe det som står på slutten (altså Ati2evxx.exe)? Endret 29. juni 2008 av r2d290 Lenke til kommentar
snippsat Skrevet 29. juni 2008 Del Skrevet 29. juni 2008 (endret) Ja nesten. Start->kjør->cmd sc stop Ati HotKey Poller sc delete Ati HotKey Poller sc stop NMIndexingService sc delete NMIndexingService Dette fjerner tjenesten helt. Alternativ er dette. Start->kjør->services.msc Finne tjensten og deaktivere. Endret 29. juni 2008 av SNIPPSAT Lenke til kommentar
r2d290 Skrevet 29. juni 2008 Forfatter Del Skrevet 29. juni 2008 (endret) ...ellers fant jeg nettopp ut at man kan bruke HijackThis: "You can click on Config, then Misc Tools, and then press the Delete an NT service.. button. When it opens you should then enter the service name and press OK." Men tror jeg foretrekker den første... Endret 29. juni 2008 av r2d290 Lenke til kommentar
snippsat Skrevet 29. juni 2008 Del Skrevet 29. juni 2008 "You can click on Config, then Misc Tools, and then press the Delete an NT service.. button. When it opens you should then enter the service name and press OK." Stemmer den er der og,ja litt info om tjenster var vel greit. Lenke til kommentar
r2d290 Skrevet 29. juni 2008 Forfatter Del Skrevet 29. juni 2008 Det var helt supert Og likte veldig godt måten du la opp til at jeg måtte tenke litt selv. Mye bedre enn at du bare skrev innlegg #11 med en gang. Da hadde jeg nok bare glemt det to dager etterpå Takk igjen Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå