[LØST] Hjelp til fjærning av trojaner/virus

marama · 14. august 2008

Kjørte denne combofix... ble nesten færdi, da begynte ene spywareprogrammet å starte opp så combofixen hengte seg..

vet ikke om det har noe å si for resultatet på det andre forsøket , men her er loggene..

ComboFix 08-08-13.05 - Stig Øyvind 2008-08-14 20:11:39.2 - NTFSx86

Running from: C:\Documents and Settings\Stig Øyvind\Skrivebord\ComboFix.exe

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

---- Previous Run -------

.

C:\Documents and Settings\Stig Øyvind\Cookies.\stig øyvind@adserver[1].txt

C:\Documents and Settings\Stig Øyvind\Cookies.\stig øyvind@adtrgt[2].txt

C:\Documents and Settings\Stig Øyvind\Cookies.\stig øyvind@cubics[2].txt

C:\Documents and Settings\Stig Øyvind\Cookies.\stig øyvind@ebay[2].txt

C:\Documents and Settings\Stig Øyvind\Cookies.\stig ø[email protected][1].txt

C:\Documents and Settings\Stig Øyvind\Cookies.\stig øyvind@tradedoubler[1].txt

C:\WINDOWS\system32\__c00105A4.dat

C:\WINDOWS\system32\__c00AA777.dat

C:\WINDOWS\system32\~.exe

.

((((((((((((((((((((((((( Files Created from 2008-07-14 to 2008-08-14 )))))))))))))))))))))))))))))))

.

2008-08-14 20:11 . 2008-08-14 20:11 <DIR> d-------- C:\327882R2FWJFW

2008-08-14 19:55 . 2008-08-14 19:55 <DIR> d-------- C:\WINDOWS\system32\xircom

2008-08-14 19:55 . 2008-08-14 19:55 <DIR> d-------- C:\Programfiler\microsoft frontpage

2008-08-14 19:19 . 2008-08-14 19:19 <DIR> d-------- C:\Documents and Settings\All Users\Programdata\SUPERAntiSpyware.com

2008-08-14 19:18 . 2008-08-14 20:05 <DIR> d-------- C:\Programfiler\SUPERAntiSpyware

2008-08-14 19:18 . 2008-08-14 20:05 <DIR> d-------- C:\Documents and Settings\Stig Øyvind\Programdata\SUPERAntiSpyware.com

2008-08-14 19:16 . 2008-08-14 19:16 6,467,096 --a------ C:\Programfiler\SUPERAntiSpyware.exe

2008-08-14 19:01 . 2008-08-14 20:06 <DIR> d-a------ C:\Documents and Settings\All Users\Programdata\TEMP

2008-08-14 19:00 . 2008-08-14 19:00 13,559,336 --a------ C:\Programfiler\sdsetup.exe

2008-08-14 13:51 . 2008-08-14 19:19 <DIR> dr-h----- C:\Documents and Settings\Stig Øyvind\Siste

2008-08-14 02:06 . 2008-08-14 02:07 1,374 --a------ C:\WINDOWS\imsins.BAK

2008-08-14 01:02 . 2008-08-14 01:02 <DIR> d-------- C:\Programfiler\CCleaner

2008-08-14 01:00 . 2008-08-14 01:00 2,922,072 --a------ C:\Programfiler\ccsetup210.exe

2008-08-13 21:46 . 2008-05-01 16:34 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll

2008-08-12 01:36 . 2008-08-14 19:16 <DIR> d--h----- C:\$AVG8.VAULT$

2008-08-12 01:19 . 2008-08-14 09:33 <DIR> d-------- C:\WINDOWS\system32\drivers\Avg

2008-08-12 01:19 . 2008-08-12 01:19 96,520 --a------ C:\WINDOWS\system32\drivers\avgldx86.sys

2008-08-12 01:19 . 2008-08-12 01:19 10,520 --a------ C:\WINDOWS\system32\avgrsstx.dll

2008-08-12 01:18 . 2008-08-12 01:18 <DIR> d-------- C:\Programfiler\AVG

2008-08-12 01:18 . 2008-08-12 10:55 <DIR> d-------- C:\Documents and Settings\All Users\Programdata\avg8

2008-08-12 01:07 . 2008-08-12 01:09 <DIR> d-------- C:\Documents and Settings\All Users\Programdata\Lavasoft

2008-08-12 01:00 . 2008-08-12 01:05 19,153,264 --a------ C:\Programfiler\aaw2008.exe

2008-08-12 00:58 . 2008-08-12 01:12 48,367,896 --a------ C:\Programfiler\avg_free_stf_en_8_138a1332.exe

2008-08-11 14:13 . 2008-08-11 14:13 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-08-11 14:13 . 2008-08-11 14:13 1,409 --a------ C:\WINDOWS\QTFont.for

2008-08-06 21:52 . 2008-08-13 12:42 244 --ah----- C:\sqmnoopt19.sqm

2008-08-06 21:52 . 2008-08-13 12:42 232 --ah----- C:\sqmdata19.sqm

2008-08-05 17:58 . 2008-08-13 12:41 244 --ah----- C:\sqmnoopt18.sqm

2008-08-05 17:58 . 2008-08-13 12:41 232 --ah----- C:\sqmdata18.sqm

2008-08-05 11:09 . 2008-08-13 11:50 244 --ah----- C:\sqmnoopt17.sqm

2008-08-05 11:09 . 2008-08-13 11:50 232 --ah----- C:\sqmdata17.sqm

2008-08-01 23:44 . 2008-08-13 11:44 244 --ah----- C:\sqmnoopt16.sqm

2008-08-01 23:44 . 2008-08-13 11:44 232 --ah----- C:\sqmdata16.sqm

2008-07-30 21:42 . 2008-08-13 02:08 244 --ah----- C:\sqmnoopt15.sqm

2008-07-30 21:42 . 2008-08-13 02:08 232 --ah----- C:\sqmdata15.sqm

2008-07-28 15:38 . 2008-08-13 01:27 244 --ah----- C:\sqmnoopt14.sqm

2008-07-28 15:38 . 2008-08-13 01:27 232 --ah----- C:\sqmdata14.sqm

2008-07-22 16:05 . 2008-08-13 00:29 244 --ah----- C:\sqmnoopt13.sqm

2008-07-22 16:05 . 2008-08-13 00:29 232 --ah----- C:\sqmdata13.sqm

2008-07-21 18:48 . 2008-08-12 14:02 244 --ah----- C:\sqmnoopt12.sqm

2008-07-21 18:48 . 2008-08-12 14:02 232 --ah----- C:\sqmdata12.sqm

2008-07-20 23:39 . 2008-08-12 10:15 244 --ah----- C:\sqmnoopt11.sqm

2008-07-20 23:39 . 2008-08-12 10:15 232 --ah----- C:\sqmdata11.sqm

2008-07-20 23:33 . 2008-08-12 00:26 244 --ah----- C:\sqmnoopt10.sqm

2008-07-20 23:33 . 2008-08-12 00:26 232 --ah----- C:\sqmdata10.sqm

2008-07-18 23:55 . 2008-08-11 14:21 244 --ah----- C:\sqmnoopt09.sqm

2008-07-18 23:55 . 2008-08-11 14:21 232 --ah----- C:\sqmdata09.sqm

2008-07-18 21:39 . 2008-08-11 12:56 244 --ah----- C:\sqmnoopt08.sqm

2008-07-18 21:39 . 2008-08-11 12:56 232 --ah----- C:\sqmdata08.sqm

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-14 18:05 --------- d-----w C:\Programfiler\Fellesfiler\Wise Installation Wizard

2008-07-07 20:23 253,952 ----a-w C:\WINDOWS\system32\es.dll

2008-06-24 16:31 74,240 ----a-w C:\WINDOWS\system32\mscms.dll

2008-06-23 16:16 666,624 ----a-w C:\WINDOWS\system32\wininet.dll

2008-06-20 17:37 246,784 ----a-w C:\WINDOWS\system32\mswsock.dll

2008-06-20 10:44 360,960 ----a-w C:\WINDOWS\system32\drivers\tcpip.sys

2008-06-20 10:44 138,368 ----a-w C:\WINDOWS\system32\drivers\afd.sys

2008-06-20 09:32 225,920 ----a-w C:\WINDOWS\system32\drivers\tcpip6.sys

2008-06-14 18:00 272,256 ------w C:\WINDOWS\system32\drivers\bthport.sys

2008-04-12 21:02 1,495,112 ----a-w C:\Programfiler\install_flash_player.exe

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:03 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SynTPEnh"="C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe" [2006-08-11 18:56 794714]

"SMSERIAL"="C:\WINDOWS\sm56hlpr.exe" [1963-01-01 00:00 565248]

"QuickTime Task"="C:\Programfiler\QuickTime\qttask.exe" [2007-10-24 17:43 286720]

"SunJavaUpdateSched"="C:\Programfiler\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]

"Adobe Reader Speed Launcher"="C:\Programfiler\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-01-11 22:16 39792]

"HP Software Update"="C:\Programfiler\HP\HP Software Update\HPWuSchd2.exe" [2004-09-13 15:49 49152]

"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-08-12 01:18 1232152]

"VTTimer"="VTTimer.exe" [2006-08-03 14:53 53248 C:\WINDOWS\system32\VTTimer.exe]

C:\Documents and Settings\All Users\Start-meny\Programmer\Oppstart\

HP Digital Imaging Monitor.lnk - C:\Programfiler\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 19:28:24 258048]

HP Image Zone Hurtigstart.lnk - C:\Programfiler\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-04 19:50:52 53248]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=avgrsstx.dll

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run-]

"AdVantage"="C:\Programfiler\AdVantage\AdVantage.exe"

"DAEMON Tools"="C:\Programfiler\DAEMON Tools\daemon.exe" -lang 1033

"ctfmon.exe"=C:\WINDOWS\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"S3Trayp"=S3trayp.exe

"HDAudDeck"=C:\Programfiler\VIA\VIAudioi\HDADeck\HDeck.exe 1

"Adobe Reader Speed Launcher"="C:\Programfiler\Adobe\Reader 8.0\Reader\Reader_sl.exe"

"NeroFilterCheck"=C:\Programfiler\Fellesfiler\Ahead\Lib\NeroCheck.exe

"SunJavaUpdateSched"="C:\Programfiler\Java\jre1.6.0_02\bin\jusched.exe"

"GrooveMonitor"="C:\Programfiler\Microsoft Office\Office12\GrooveMonitor.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"UpdatesDisableNotify"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programfiler\\MSN Messenger\\msnmsgr.exe"=

"C:\\Programfiler\\MSN Messenger\\livecall.exe"=

"C:\\Programfiler\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"C:\\Programfiler\\Microsoft Office\\Office12\\GROOVE.EXE"=

"C:\\Programfiler\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"C:\\Programfiler\\AVG\\AVG8\\avgupd.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-08-12 01:19]

R2 avg8wd;AVG Free8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-08-12 01:18]

R2 UxTuneUp;TuneUp Theme Extension;C:\WINDOWS\System32\svchost.exe [2004-08-04 01:03]

R3 S3GIGP;S3GIGP;C:\WINDOWS\system32\DRIVERS\S3gIGPm.sys [2006-09-12 10:43]

R3 SIS163u;SiS163 USB Wireless LAN Adapter Driver;C:\WINDOWS\system32\DRIVERS\sis163u.sys [2006-07-03 17:11]

S3 cxbu0wdm;CardMan 3x21;C:\WINDOWS\system32\DRIVERS\cxbu0wdm.sys [2008-01-15 12:39]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

Contents of the 'Scheduled Tasks' folder

2008-07-04 C:\WINDOWS\Tasks\1-Click Maintenance.job

- C:\Programfiler\TuneUp Utilities 2007\SystemOptimizer.exe [2007-08-02 19:35]

2008-08-09 C:\WINDOWS\Tasks\WebReg psc 1600 series.job

- C:\Programfiler\HP\Digital Imaging\bin\hpqwrg.exe [2004-11-04 20:12]

.

- - - - ORPHANS REMOVED - - - -

Notify-__c00105A4 - C:\WINDOWS\system32\__c00105A4.dat

Notify-WgaLogon - (no file)

.

------- Supplementary Scan -------

.

R0 -: HKCU-Main,Start Page = hxxp://www.startsiden.no/

O8 -: E&xport to Microsoft Excel - C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-14 20:14:11

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe

-> C:\Programfiler\SUPERAntiSpyware\SASWINLO.dll

.

Completion time: 2008-08-14 20:15:54

ComboFix-quarantined-files.txt 2008-08-14 18:15:42

Pre-Run: 29,764,689,920 byte ledig

Post-Run: 29,758,713,856 byte ledig

170 --- E O F --- 2008-08-14 00:07:28

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:31:24, on 14.08.2008

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\VTTimer.exe

C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe

C:\Programfiler\Java\jre1.6.0_03\bin\jusched.exe

C:\Programfiler\HP\HP Software Update\HPWuSchd2.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programfiler\HP\Digital Imaging\bin\hpqtra08.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Programfiler\HP\Digital Imaging\bin\hpqgalry.exe

C:\Programfiler\Java\jre1.6.0_03\bin\jucheck.exe

C:\WINDOWS\explorer.exe

C:\WINDOWS\system32\notepad.exe

C:\Programfiler\AVG\AVG8\avgrsx.exe

C:\Programfiler\Internet Explorer\IEXPLORE.EXE

C:\Programfiler\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.startsiden.no/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

O2 - BHO: Koblingshjelpeprogram for Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Fellesfiler\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programfiler\AVG\AVG8\avgssie.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\PROGRA~1\MICROS~1\Office12\GRA8E1~1.DLL

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [VTTimer] VTTimer.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Programfiler\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [sMSERIAL] C:\WINDOWS\sm56hlpr.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Programfiler\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programfiler\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [HP Software Update] "C:\Programfiler\HP\HP Software Update\HPWuSchd2.exe"

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'LOKAL TJENESTE')

O4 - HKUS\S-1-5-19\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'LOKAL TJENESTE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'NETTVERKSTJENESTE')

O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y "%SystemRoot%\System32\syssetub.dll" "%SystemRoot%\System32\syssetup.dll" (User 'Default user')

O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programfiler\HP\Digital Imaging\bin\hpqtra08.exe

O4 - Global Startup: HP Image Zone Hurtigstart.lnk = C:\Programfiler\HP\Digital Imaging\bin\hpqthb08.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~1\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~1\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~1\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe (file missing)

O16 - DPF: {2BC66F54-93A8-11D3-BEB6-00105AA9B6AE} (Symantec AntiVirus scanner) - http://security.symantec.com/sscv6/SharedC...bin/AvSniff.cab

O16 - DPF: {644E432F-49D3-41A1-8DD5-E099162EEEC5} (Symantec RuFSI Utility Class) - http://security.symantec.com/sscv6/SharedC...n/bin/cabsa.cab

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\PROGRA~1\MICROS~1\Office12\GR99D3~1.DLL

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programfiler\AVG\AVG8\avgpp.dll

O20 - AppInit_DLLs: avgrsstx.dll

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: NMIndexingService - Nero AG - C:\Programfiler\Fellesfiler\Ahead\Lib\NMIndexingService.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--

End of file - 5849 bytes

Leger til denne fra avg

AVG 8.0 Anti-Virus command line scanner

Program version 8.0.134, engine 8.0.0

Virus Database: Version 270.6.3/1610 2008-08-13

C:\Documents and Settings\LocalService\Lokale innstillinger\Programdata\Microsoft\Windows\UsrClass.dat Locked file. Not tested.

C:\Documents and Settings\LocalService\Lokale innstillinger\Programdata\Microsoft\Windows\UsrClass.dat.LOG Locked file. Not tested.

C:\Documents and Settings\LocalService\NTUSER.DAT Locked file. Not tested.

C:\Documents and Settings\LocalService\ntuser.dat.LOG Locked file. Not tested.

C:\Documents and Settings\NetworkService\Lokale innstillinger\Programdata\Microsoft\Windows\UsrClass.dat Locked file. Not tested.

C:\Documents and Settings\NetworkService\Lokale innstillinger\Programdata\Microsoft\Windows\UsrClass.dat.LOG Locked file. Not tested.

C:\Documents and Settings\NetworkService\NTUSER.DAT Locked file. Not tested.

C:\Documents and Settings\NetworkService\ntuser.dat.LOG Locked file. Not tested.

C:\Documents and Settings\Stig Øyvind\Lokale innstillinger\Programdata\Microsoft\Windows\UsrClass.dat Locked file. Not tested.

C:\Documents and Settings\Stig Øyvind\Lokale innstillinger\Programdata\Microsoft\Windows\UsrClass.dat.LOG Locked file. Not tested.

C:\Documents and Settings\Stig Øyvind\Lokale innstillinger\Temporary Internet Files\Content.IE5\TKLTAGB1\iam[1].exe Trojan horse Downloader.Generic7.XTX Object was moved to Virus Vault.

C:\Documents and Settings\Stig Øyvind\NTUSER.DAT Locked file. Not tested.

C:\Documents and Settings\Stig Øyvind\ntuser.dat.LOG Locked file. Not tested.

------------------------------------------------------------

Objects scanned : 373306

Found infections : 1

Found PUPs : 0

Healed infections : 1

Healed PUPs : 0

Warnings : 0

------------------------------------------------------------

Endret 17. august 2008 av marama

norbat · 14. august 2008

Loggene viser ingen infeksjoner. Plages du fortsatt med trojanere?

marama · 14. august 2008

når jeg kjørte denne combofix første gangen. kom det opp reklamesider mens den jobbet.

ikke kommet opp noen de siste timene...

men synes att nettet er en del tregere enn normalt..

liten ting som jeg synes er merkelig, skal prøve å forklare..hmm

når jeg søker på explorer, den linjen som ligger nede på sjermen, som forteller adressen som søkes, + den blåstreken som forteller hvor langt den har kommet i prosessen.

Den står konstant å søker åpner siden 1-2 elementer gjenstår, fullført... dette skjer hvert eneste sekund.

siden er selfølgelig færdiglastet.

norbat · 14. august 2008

Last ned CCleaner.

Start programmet. Gå til 'Valg'->'Avansert'. Fjern avkryssingen framfor: "Bare slett midlertidige filer som er eldre enn 48 timer" Klikk på 'Renser' og deretter 'Kjør CCleaner'.

Når du sier explorer, mener du Internett Explorer (nettleseren) ?

Hvis, så kan du nullstille IE og se om ikke det kan ordne dette:

Verktøy->Alternativ for Internett -> Avansert -> Tilbakestill ...

marama · 14. august 2008

Mente internett explorer ja..

da søkte jeg igjennom maskinen med virus+spywareprogram med resultat 0 infected files:)

og kjørte ccleaner...

nå står det bare Fullført på internett explorer linjen nederst..

så da må jeg takke for all hjelp + læring, syntes faktisk att jeg har lært litt i dag,heh

så får bare håpe att det ikke var noe phising stash som var på maskina mi, da koder/passord/kort + kontoinformasjon har blitt brukt daglig de siste 14 dager..

Takk norbat!

norbat · 14. august 2008

r2d290 · 15. august 2008

to små ting til på slutten:

Du bør oppdatere Java

Det er viktig å bruke den seneste versjonen av Java, siden tidligere versjoner kan inneholde sikkerhetshull som vil øke sansynligheten for at du

blir infisert igjen. Det ser ut til at din verjson av Java er utdatert

Oppdatere Java:

Trykk på følgende link, og last ned nyeste versjon av Java (Ikke beta):http://java.sun.com/javase/downloads/index.jsp

[*]Gå til Start > Kontrollpanel > Legg til/fjern programmer.

[*]Søk i listen over alle tidligere versjoner av Java (JRE, J2SE Runtime, J2RE osv.... )

Alle disse versjonene bør ha dette bildet foran:

Velg alle du finner, og trykk på Fjern

[*]Deretter installerer du den Java-versjonen som du lastet ned i starten.

Fortell hvordan det gikk med oppdateringen, da problemer med oppdatering kan indikere flere malware på systemet ditt.

Combofix må avinstalleres.

Gå til Start > Kjør

Skriv følgende i boksen:

combofix /u

PS: legg merke til mellomrommet mellom X og /u

Trykk Enter.

Denne kommandoen vil:

Fjerne følgende:
- ComboFix og dets tilhørende filer og mapper.
  VundoFix backups, hvis de eksisterer.
  Mappen C:\Deckard, hvis den eksisterer
  Mappen C:\OtMoveIt, hvis den eksisterer
[*] Nullstille klokke-instillingene.

[*] Skjule filetternavn hvis det er nødvendig.

[*] Skjule System/Skjulte filer og mapper hvis det er nødvendig.

[*] Nullstille systemgjennoprettingspunkter.

Du kan avinstallere HijackThis:

Start HijackThis, velg None of the above, just start the program.

Så trykker du på Config>>Misc Tools>>Uninstall HijackThis & exit>>Ja/Yes. Programmet er nå avinstallert.

Husk å holde AVG oppdatert.

-Surf trygt-

marama · 15. august 2008

Da er de to programmene avinnstalert..

men skjønte ikke helt hva jeg skulle laste ned og hvordan på denne java siden..

norbat · 15. august 2008

Da bruker du denne linken: http://java.com/en/download/index.jsp. Klikk på den 'blå knappen': Free Java Download

marama · 15. august 2008

da var java lastet ned å installert.. klarte ikke å fjerne ett java icon på kontrollpanelet.tror det bare var iconet. lastet ned den nye, da la java seg på det iconet jeg ikke fikk fjernet.. regner med att det ikke er noe problem.

så ett sprm til..

kjørte nå ett søk med AVG

fant denne

C: /Programfiler/Spyware doctor/klg.dat INFECTION Trojan horse BackDoor.Hupigon4.ZSN

fjernet Spydoctor, da forsvant infeksjonen.. googlet litt å fant ut att det sannsynligvis var noe AVG reagerte på i Spydoctors system, som kunne skje når to eller flere virusprogramm var aktive på samme maskin.. stemmer dette? så det er sannsynligvis ikke noe å bekymre seg over?

norbat · 16. august 2008

Når AVG reagerer slik på en ren fil, så kalles det en falsk positiv. Ofte så blir slikt ordnet etter en stund når, i dette tilfellet, AVG oppdaterer sine virusdefinisjoner. Noen bekymring er ikke dette verdt

r2d290 · 16. august 2008

Dersom du mener at problemet med maskinen din er løst, kan du endre emnetittelen din, ved å trykke på i førsteposten din, og velge full endring. Øverst der emnetittelen din er, skriver du:

[LØST]

foran emnetittelen din.

Eks: [LØST] Har fått virus på maskinen

Dette vil være med på å holde forumet mer oversiktlig for supporterne, samt at nye folk som får samme problemet lettere vil finne en passende tråd å se i.

-Surf trygt-

marama · 16. august 2008

Løst og løst.. trojanern er borte....

synes fortsatt att det går litt tregt på nett, innemellom hakker skjermen ganske så mye når jeg scroller meg nedover, som om det mangler skjermkort. tror kanskje det kan være noe som ikke skal være dær..

AVG poppet opp for en time siden med en virus infeksjon win32/Heur.

nå nettopp poppet det opp en ny melding fra AVG

You are not protected, please check the following components: Update manager:A .Bin file is missing..

føler att ikke alt er som det skal..

skal jeg prøve å kjøre Combofix + Hijackthis igjen?

eller er det noe annet jeg kan gjøre?

norbat · 16. august 2008

Ja, post gjerne en combofix-logg så ser vi om det er noe der som bør fjernes.

Har du forsøkt å oppdatere avg?

marama · 16. august 2008

oppdaterte tidligere i dag.. gikk fint..

prøvde nå nettopp. update failed: A.Bin fil is missing

skal jeg kjøre denne combofixen i sikkermodus? gjorde ikke det sist

marama · 16. august 2008

Combofix

ComboFix 08-08-15.04 - Stig Øyvind 2008-08-17 1:04:36.3 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1044.18.150 [GMT 2:00]

Running from: C:\Documents and Settings\Stig Øyvind\Skrivebord\ComboFix.exe

* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

C:\Documents and Settings\Stig Øyvind\Cookies\stig øyvind@adserver[1].txt

C:\Documents and Settings\Stig Øyvind\Cookies\stig øyvind@cubics[2].txt

C:\Documents and Settings\Stig Øyvind\Cookies\stig ø[email protected][1].txt

C:\Documents and Settings\Stig Øyvind\Cookies\stig øyvind@paypal[2].txt

C:\Documents and Settings\Stig Øyvind\Cookies\stig øyvind@revsci[2].txt

C:\Documents and Settings\Stig Øyvind\Cookies\stig øyvind@tradedoubler[2].txt

C:\WINDOWS\system32\__c0077A25.dat

C:\WINDOWS\system32\__c00E1D64.dat

C:\WINDOWS\system32\~.exe

.

((((((((((((((((((((((((( Files Created from 2008-07-16 to 2008-08-16 )))))))))))))))))))))))))))))))

.

2008-08-16 00:58 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl

2008-08-16 00:56 . 2008-08-16 00:56 <DIR> d-------- C:\Programfiler\Fellesfiler\Java

2008-08-15 00:17 . 2008-08-15 00:17 <DIR> d-------- C:\Programfiler\Google

2008-08-14 20:30 . 2008-08-14 20:30 <DIR> d-------- C:\Programfiler\Trend Micro

2008-08-14 20:29 . 2008-08-14 20:29 812,344 --a------ C:\Programfiler\HJTInstall.exe