[LØST] To spm fra combo-logg

[r2d290]

Hva skal gjøres med følgende linjer i bold?:

 

 

Find3Mraport

2005-06-28 23:55 8 --sh--r C:\WINDOWS\system32\585F007234.sys

 

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-06-28 17:21:32

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

CtrlVol = C:\Programfiler\Launch Manager\CtrlVol.exe??????X??????|x??|????q??|?j?wQj?w????????,??? ???????????????`??????|????????l?????@??H?????????????s???????s???sx??s@??????????????|h??sp??????????s?????????????????C?sc"?sx??s???????w??@?N'?sl>9?=5@?x>9????????

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

 

 

Kan dere ellers se om dette ser greit ut? Gjort alt jeg kan for å rese opp denne maskinen...

Tidligere SAS (ble to stk, da den første scan ble avbrutt):

http://www.pastebin.no/9563

http://www.pastebin.no/9559

 

SDFix: http://www.pastebin.no/9871

 

Combofix: http://www.pastebin.no/9909

 

HijackThis: http://www.pastebin.no/9910

Endret 29. juni 2008 av r2d290

[snippsat]

2005-06-28 23:55 8 --sh--r C:\WINDOWS\system32\585F007234.sys

Denne filen ble lagd likt med denne.

C:\WINDOWS\system32\KGyGaAvL.sys

 

Da er vi på sporet "KGyGaAvL.sys" blir generet av Dr. Divx.

Som et ledd i registrasjonen generer den "585F007234.sys"

Den skal ikke slettes da får nok Dr. Divx problemer med registrasjonen.

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

CtrlVol = C:\Programfiler\Launch Manager\CtrlVol.exe??????X??????|x??|????q??|?j?wQj?w????????,??? ???????????????`??????|????????l?????@??H?????????????s???????s???sx??s@??????????????|h??sp??????????s?????????????????C?sc"?sx??s???????w??@?N'?sl>9?=5@?x>9????????

Ja var lang den.

Spørsmålet er vel om "CtrlVol.exe" virker.

Som du ser lengere opp i loggen ser den grei ut.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CtrlVol"="C:\Programfiler\Launch Manager\CtrlVol.exe" [2003-09-16 14:28 20480]

 

Det er volumkontroll brukt mest på acer pcer.

Virker den tro jeg du ikke trenger og tenke mer på det.

 

Ellers ser det greit ut.

 

Som oppgave kan du finne ut av dette.

Det er 2 tjenster som kjører fra program som er slette.

Finn ut hvilken tjenster og fjern dem.

Endret 29. juni 2008 av SNIPPSAT

[r2d290]

Yay, liker oppgaver

 

BearShare du mener, sant?

 

Da blir det vel slik?

 

registry::

[-HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BearShare]

 

 

Hva gjør egentlig den bindestreken i starten, og bindestreken i slutten av f.eks

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Cjiv"=- ? Hva skjer Hvis jeg ikke tar med bindestreken?

 

 

edit: du sier to tjenester? da må jeg finne en til, right?

edit2: har noen en oversikt over hva alle de forskjellige HKEY_CURRENT_USER, HKEY_LOCAL_MACHINE\, HKLM, osv. betyr?

Og: hvordan kan jeg egentlig vite om et register har et tilhørende program? I den øverste bolken er det jo filer opprettet siste måned, og i den andre bolken er det forandringer utført de siste tre månedene, men utenom dét, ser jeg ingen plasser der jeg kan se hvilke programmer som er installert på maskinen (utenom å se på registeret), men hvordan kan jeg da vite om et register er igjen uten at programmet er installert?

 

(grunnen til at jeg fant BearShare som en av de registrene som ikke hadde noe program, var tilfeldig fordi jeg frarådet brukeren å bruke bearshare, men han sa han hadde avinstallert det...

Endret 29. juni 2008 av r2d290

[snippsat]

Tips tjenster eller services,023 hijackthis.

 

BearShare er grei og fjerne den.

For dette ber man at det gjøres fra "legg til eller fjern programmer"

Er det et problem kan den fjernes på måten du bruker over.

Endret 29. juni 2008 av SNIPPSAT

[r2d290]

Ahh, takk

 

edit: men igjen, hva skal jeg sammenlikne O23-linjene med? hvor er oversikten over alle programmer som er/ikke er installert? Kommer alle disse programmene også opp i HijackThis? Så jeg kan sammenlikne om alle O23-linjene finnes en annen plass i loggen?

 

 

(til det ovenfor: Brukeren har alerede (for lenge siden) avinstallert bearshare... så bør nok fjerne registeret til den... Men bearshare var altså ikke en av de to du tenkte på?

Endret 29. juni 2008 av r2d290

[r2d290]

var kanskje

 

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing)

og

O23 - Service: NMIndexingService - Unknown owner - C:\Programfiler\Fellesfiler\Ahead\Lib\NMIndexingService.exe (file missing)

 

du mente?

Endret 29. juni 2008 av r2d290

[snippsat]

Tips (file missing) tjensten kjører men det er ingen fil tilknyttet.

Denne har blitt borte når programmet er blitt fjernet.

 

Husk logger fra 64bit system gjelder ikke dette.

Her er ikke hijackthis helt oppdatert og det står (file missing)på

nesten all 023.

 

O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\system32\Ati2evxx.exe (file missing)

og

O23 - Service: NMIndexingService - Unknown owner - C:\Programfiler\Fellesfiler\Ahead\Lib\NMIndexingService.exe (file missing)

Ja da var det og få fjernet den dem da.

Fix cheked virker ikke her.

Endret 29. juni 2008 av SNIPPSAT

[r2d290]

Takker for hjelpen og tolmodigheten

 

Lærte jeg litt nytt idag også

[snippsat]

Ja er vel ikke helt ferdig,det var åssen du har tenkt og fjerne dem.

[r2d290]

Åja (tenkte først bare å fikse med o23, men da kommer den kanskje tilbake eller no ved restart?

 

O23-linjer ja... Da blir vel det noe SC stop, og SC delete et eller annet fra start->kjør?

 

edit: og da var det vel sånn at hvis det sto noe i en parantes (noe det ikke gjør i disse), så var det innholdet i parantesen som skulle stoppes, men nå skal jeg stoppe det som står på slutten (altså Ati2evxx.exe)?

Endret 29. juni 2008 av r2d290

[snippsat]

Ja nesten.

Start->kjør->cmd

 

sc stop Ati HotKey Poller

sc delete Ati HotKey Poller

 

sc stop NMIndexingService

sc delete NMIndexingService

 

Dette fjerner tjenesten helt.

Alternativ er dette.

 

Start->kjør->services.msc

Finne tjensten og deaktivere.

Endret 29. juni 2008 av SNIPPSAT

[r2d290]

...ellers fant jeg nettopp ut at man kan bruke HijackThis: "You can click on Config, then Misc Tools, and then press the Delete an NT service.. button. When it opens you should then enter the service name and press OK."

 

Men tror jeg foretrekker den første...

Endret 29. juni 2008 av r2d290

[snippsat]

"You can click on Config, then Misc Tools, and then press the Delete an NT service.. button. When it opens you should then enter the service name and press OK."

Stemmer den er der og,ja litt info om tjenster var vel greit.

[r2d290]

Det var helt supert

 

Og likte veldig godt måten du la opp til at jeg måtte tenke litt selv. Mye bedre enn at du bare skrev innlegg #11 med en gang. Da hadde jeg nok bare glemt det to dager etterpå

 

 

 

Takk igjen