Jump to content

Troligen infekterad dator. Hjälp med en kontroll av systemet.


Recommended Posts

*********************************************

2008-12-09:

Tråden är nu låst eftersom problemet är löst

Tycker du att den är felaktigt låst, var god kontakta

Malou

*********************************************

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:18:57, on 2008-11-17

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

Running processes:

C:Windowssystem32taskeng.exe

C:Windowssystem32Dwm.exe

C:WindowsExplorer.EXE

C:Program FilesTeliaTelias sakerhetstjansterCommonFSM32.EXE

c:Program FilesATI TechnologiesATI.ACECore-StaticMOM.EXE

C:Program FilesTeliaTelias sakerhetstjansterFSGUIfsguidll.exe

C:Windowssystem32conime.exe

C:Program FilesATI TechnologiesATI.ACECore-StaticCCC.exe

C:WindowsSystem32wsqmcons.exe

C:Windowssystem32SearchFilterHost.exe

C:Program FilesTrend MicroHijackThismargrehte.exe.exe

R1 - HKCUSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCUSoftwareMicrosoftInternet ExplorerMain,Start Page = about:blank

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLMSoftwareMicrosoftInternet ExplorerMain,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLMSoftwareMicrosoftInternet ExplorerMain,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCUSoftwareMicrosoftInternet ExplorerToolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Länkhjälp till Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:Program FilesCommon FilesAdobeAcrobatActiveXAcroIEHelper.dll

O4 - HKLM..Run: [Windows Defender] %ProgramFiles%Windows DefenderMSASCui.exe -hide

O4 - HKLM..Run: [F-Secure Manager] "C:Program FilesTeliaTelias sakerhetstjansterCommonFSM32.EXE" /splash

O4 - HKLM..Run: [F-Secure TNB] "C:Program FilesTeliaTelias sakerhetstjansterFSGUITNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM..Run: [LXDBCATS] rundll32 C:Windowssystem32spoolDRIVERSW32X863LXDBtime.dll,_RunDLLEntry@16

O4 - HKCU..Run: [startCCC] c:Program FilesATI TechnologiesATI.ACECore-StaticCLIStart.exe

O4 - HKUSS-1-5-19..Run: [sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User 'LOKAL TJÄNST')

O4 - HKUSS-1-5-19..Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKAL TJÄNST')

O4 - HKUSS-1-5-20..Run: [sidebar] %ProgramFiles%Windows SidebarSidebar.exe /detectMem (User 'NÄTVERKSTJÄNST')

O13 - Gopher Prefix:

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:Windowssystem32Ati2evxx.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:Program FilesTeliaTelias sakerhetstjansterAnti-Virusfsgk32st.exe

O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:Program FilesTeliaTelias sakerhetstjansterFSAUAprogramfsaua.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:Program FilesTeliaTelias sakerhetstjansterFWESProgramfsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:Program FilesTeliaTelias sakerhetstjansterCommonFSMA32.EXE

O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:Program FilesTeliaTelias sakerhetstjansterORSP Clientfsorsp.exe

O23 - Service: lxdb_device -   - C:Windowssystem32lxdbcoms.exe

O23 - Service: Fujitsu Siemens Computers Diagnostic Testhandler (TestHandler) - Fujitsu Siemens Computers - C:firststepsOnlineDiagnosticTestManagerTestHandler.exe

--

End of file - 3816 bytes

Link to comment
Share on other sites

Blev fel, skulle vara en hijack o en anti-malwarelogga och försökte igen men då var antiloggan för stor, verkar vara en hel del fel i registret och nu vågar jag inte försöka igen med "windows live on care" kan jag använda "tweaknow"eller är det bäst att låta det vara som det är ???

Link to comment
Share on other sites

Blev fel, skulle vara en hijack o en anti-malwarelogga och försökte igen men då var antiloggan för stor, verkar vara en hel del fel i registret och nu vågar jag inte försöka igen med "windows live on care" kan jag använda "tweaknow"eller är det bäst att låta det vara som det är ???

Gör ingenting själv, utan invänta Malou's instruktioner så hjälper hon dej!!!

Link to comment
Share on other sites

Hej margrehte!

verkar vara en hel del fel i registret

Vilket program gäller detta som visare på fel i registret?

nu vågar jag inte försöka igen med "windows live on care" kan jag använda "tweaknow"eller är det bäst att låta det vara som det är

Låt bli att använda detta "Windows live On care" tills vidare  ;)

Se till att Windows Defender är avaktiverad/avstängd.

Börja med att starta om datorn gå sedan vidare med nedanstående.

1: Uppdatera Malwarebytes Anti-Malware

2: Starta programmet => välj Utför snabb scanning

3: Klicka på knappen Scanna

4: Scanningen kommer nu att ta en stund

5: När programmet scannat klart klicka Ok och sedan Visa resultat

6: Bocka för allt och klicka på Remove Selected

7: Då borttagningen är klar kommer en textfil i Anteckningar att öppnas upp med en logg. Kopiera/klistra in den loggan hit till din tråd.

8: Gör en ny TM HJT-logga kopiera in den hit så får vi se hur den ser ut.

MVH/Malou

Link to comment
Share on other sites

Tack ! Jag körde med anti-malware (med defender av) som hitta 40 infekterade filer men det sparades inte i anteckningar bara i logga som jag inte kunde avbilda,nu visar den inga hot,fundera på om jag skall köra den i felsäkert läge ??? i hälsa och prestandeloggarna är det massor av gula och röda varningar,står att det beror antingen på hot eller att systemet är instabilt, när det lyckades med "windows live on care" förra omformateringen så hittade den inga hot utan bara 87 fel i registret.Är några veckor sen jag omformatera samtidigt som jag prata med datorsupporten (fujitsu) i telefon så vet att allt gick rätt till och ändå varit så här sen datorn vart ny för ett år sen, supporthjälpen dator/nätet/microsoft/datatekniker är toppen med trevlig personal men har tyvärr bara löst kortvarigt varför jag vänt mej till "alltomvista" där jag både kan söka på problem/få tips och support. m

Link to comment
Share on other sites

Loggnamn:      Application

Källa:        Microsoft-Windows-User Profiles Service

Datum:        2008-11-17 12:22:45

Händelse-ID:  1530

Aktivitetskategori:Ingen

Nivå:          Varning

Nyckelord:    Klassiskt

Användare:    SYSTEM

Dator:        maya-dator

Beskrivning:

Windows har upptäckt att din registerfil fortfarande används av andra program eller servrar. Filen tas nu bort ur minnet. Programmen eller tjänsterna som använder registerfilen kanske inte fungerar korrekt efter detta.

INFORMATION -

1 user registry handles leaked from RegistryUserS-1-5-21-1971384997-3928163939-2083455133-1000_Classes:

Process 892 (DeviceHarddiskVolume2WindowsSystem32svchost.exe) has opened key REGISTRYUSERS-1-5-21-1971384997-3928163939-2083455133-1000_CLASSES

Händelsens XML-data:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

  <System>

    <Provider Name="Microsoft-Windows-User Profiles Service" Guid="{89B1E9F0-5AFF-44A6-9B44-0A07A7CE5845}" EventSourceName="profsvc" />

    <EventID Qualifiers="32768">1530</EventID>

    <Version>0</Version>

    <Level>3</Level>

    <Task>0</Task>

    <Opcode>0</Opcode>

    <Keywords>0x80000000000000</Keywords>

    <TimeCreated SystemTime="2008-11-17T11:22:45.000Z" />

    <EventRecordID>1661</EventRecordID>

    <Correlation />

    <Execution ProcessID="0" ThreadID="0" />

    <Channel>Application</Channel>

    <Computer>maya-dator</Computer>

    <Security UserID="S-1-5-18" />

  </System>

  <EventData Name="EVENT_HIVE_LEAK">

    <Data Name="Detail">1 user registry handles leaked from RegistryUserS-1-5-21-1971384997-3928163939-2083455133-1000_Classes:

Process 892 (DeviceHarddiskVolume2WindowsSystem32svchost.exe) has opened key REGISTRYUSERS-1-5-21-1971384997-3928163939-2083455133-1000_CLASSES

</Data>

  </EventData>

</Event>

Link to comment
Share on other sites

Loggnamn:      System

Källa:        Microsoft-Windows-HttpEvent

Datum:        2008-11-17 11:44:39

Händelse-ID:  15016

Aktivitetskategori:Ingen

Nivå:          Fel

Nyckelord:    Klassiskt

Användare:    Saknas

Dator:        maya-dator

Beskrivning:

Det gick inte att starta säkerhetspaketet Kerberos för autentisering på serversidan. Felkoden finns i datafältet.

Händelsens XML-data:

<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">

  <System>

    <Provider Name="Microsoft-Windows-HttpEvent" Guid="{7b6bc78c-898b-4170-bbf8-1a469ea43fc5}" EventSourceName="HTTP" />

    <EventID Qualifiers="49152">15016</EventID>

    <Version>0</Version>

    <Level>2</Level>

    <Task>0</Task>

    <Opcode>0</Opcode>

    <Keywords>0x80000000000000</Keywords>

    <TimeCreated SystemTime="2008-11-17T10:44:39.177Z" />

    <EventRecordID>63120</EventRecordID>

    <Correlation />

    <Execution ProcessID="4" ThreadID="64" />

    <Channel>System</Channel>

    <Computer>maya-dator</Computer>

    <Security />

  </System>

  <EventData>

    <Data Name="DeviceObject">DeviceHttpReqQueue</Data>

    <Data Name="SecurityPackage">Kerberos</Data>

    <Binary>000004000200300000000000A83A00C00000000000000000000000000000000000000000000000000E030980</Binary>

  </EventData>

</Event>

Link to comment
Share on other sites

Hej margrehte!

supporthjälpen dator/nätet/microsoft/datatekniker är toppen med trevlig personal men har tyvärr bara löst kortvarigt varför jag vänt mej till "alltomvista" där jag både kan söka på problem/få tips och support. m

Du är välkommen  ;) ;)

Jag körde med anti-malware (med defender av) som hitta 40 infekterade filer men det sparades inte i anteckningar bara i logga som jag inte kunde avbilda,nu visar den inga hot,fundera på om jag skall köra den i felsäkert läge

I felsäkert läge behöver du inte köra den.

Härligt att höra att den numera inte visar på några otrevligheter. Rapporten/loggan kan du hitta om du öppnar programmet => klicka på fliken Loggar => här väljer du att öppna den senast scannade loggan => markera hela textfilen => välj kopiera och sedan klistrar in här i ditt svar.

Är några veckor sen jag omformatera

Ok.

Tyckte du nämnde i en annan tråd för bara några dagar sedan att du gjort en ny omformatering samt nyinstallation  ???

"windows live on care" har du möjlighet att kopiera in den rapporten hit så kanske vi kan försöka att se vad som felar?

MVH/Malou

Link to comment
Share on other sites

Jag omformaterade dator`n i torsdags och väldigt instabil fram till idag då det är mest gula varningar, loggan från "windows live on care" är borta, kollade anti-malware igen och enda jag kan göra med loggan är att skriva ut. Efter omformatering finns direkt i loggboken (din registerfil används av andra program eller servrar och plockas bort ur minnet(postat i denna tråd),kan det vara F-SECURE som avses ??? Malou! har du någon kommentar till loggarna jag postat här ???

Link to comment
Share on other sites

Hej margrehte!

Jag omformaterade dator`n i torsdags och väldigt instabil fram till idag då det är mest gula varningar,

Ok.

Hur gick du tillväga då du formaterade?

Har du någon installations-skiva med Operativsystemet på?

Gjorde du en fullständig formatering som det sig bör?

Med ovanstående menar jag då inte att du enbart gjorde en reparation eller en ominstallation över det befintliga systemet.

Den loggan du har postat från vilket eventuellt program kommer den?

Eller är den från systemets loggbok?

Det gick inte att starta säkerhetspaketet Kerberos för autentisering på serversidan.

Det här är jag väldigt undrande över. Vad är detta för säkerhetspaket?

MVH/Malou

Link to comment
Share on other sites

Jag omformaterar medelst F8 återställ datorn till fabriksinställningar och då tömmer den hela disken, funderat på att köpa en skiva med VISTA där SP1 ingår ifall det skulle innebära mindre strul ? Norman antivirus ,Nero och ATI+CCC fanns i datorn vid köp så fundera om det kan vara Norman som avses i systemets logga och som jag inte aktiverat men nu tagit bort ??? jag har inte aktiverat ATI eller CCC/ Mediaplayer så datorn försöker själv starta dom likaså kolla jag systemåterställning och där stod på några återställningspunkter att notepad inte svarat och avinstallerats, kollade notpad och notepad funka bra. Ville höra kommentar om loggarna och sen kan vi stänga tråden för datorn är som den är och funkar så länge som det inte kommer Virus och annat otyg i den. G

Link to comment
Share on other sites

Hej margrehte!

Loggarna du har postat säger mig inte något tyvärr  ???

Kan vara en god ide som du säger att införskaffa en separat installations-skiva med Vista SP1. Detta skall förhoppningsvis ge mindre strul  ;)

MVH/Malou

Link to comment
Share on other sites

Tack för svar Malou. Gogglade på Kerberos och det var ju säkerhetspaket för mail som jag inte heller använder pga strul. Satte F-secure på att söka igenom webbtrafik nu för att se om det minskar risken att få in otyg i datorn. Nu postar jag inte mer i denna tråd men hoppas jag får återkomma vid behov.m

Link to comment
Share on other sites

Hej margrehte!

Varsegod!

Gogglade på Kerberos och det var ju säkerhetspaket för mail som jag inte heller använder pga strul. Satte F-secure på att söka igenom webbtrafik nu för att se om det minskar risken att få in otyg i datorn.

Ok så det var ett speciellt säkerhetspaket för ett speciellt ändamål då hänger jag med bättre  ;) Om du inte använder detta så avaktivera/avinstallera och använd istället ditt F-Secure som då också innehåller mailskydd/webbsideskydd etc....

Nu postar jag inte mer i denna tråd men hoppas jag får återkomma vid behov.m

Självklart så får du återkomma  ;)

MVH/Malou

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
×
×
  • Create New...