vajlent Posted January 28, 2009 Posted January 28, 2009 (edited) ********************************************* 2009-02-01: Tråden är låst. Tycker du att den är felaktigt låst, var god kontakta Malou ********************************************* Har testat Eset Smart Security 4.0 lite grundligt & provade just Sysinspector funktionen. Då varnar den för Rootkit. Bifogar en dump på hur det ser ut: Är detta något man bör vara orolig över & köra ytterligare tester på? Riskleveln ligger ju trots allt på 9. Tacksam för hjälp som vanligt. //vajlent. Edited February 1, 2009 by Malou Tråden låst då problemet är löst.
e-son Posted January 28, 2009 Posted January 28, 2009 Undersöka det, bör du absolut göra! Skulle dock inte förvåna mig om det visar sig vara Daemon Tool!
vajlent Posted January 28, 2009 Author Posted January 28, 2009 Undersöka det, bör du absolut göra! Skulle dock inte förvåna mig om det visar sig vara Daemon Tool! Jasså? Har du erfarenhet av just detta oxå men hur ska jag gå tillväga?
e-son Posted January 28, 2009 Posted January 28, 2009 Jasså? Har du erfarenhet av just detta oxå men hur ska jag gå tillväga? Dra ner något/några rootkit-scanners... gmer anses väl vara ett av dom bättre, men det finns fler och kanske mer etablerade om du googlar lite! http://www.gmer.net/index.php
e-son Posted January 28, 2009 Posted January 28, 2009 Jag hitta några till, i gömmorna, att roa sig med! http://www.sophos.com/products/free-tools/...ti-rootkit.html http://vil.nai.com/vil/stinger/rkstinger.aspx http://www.antirootkit.com/software/IceSword.htm http://www.f-secure.com/security_center/ http://www.trendmicro.com/download/rbuster.asp http://www.antirootkit.com/software/RootKit-Unhooker.htm
vajlent Posted January 28, 2009 Author Posted January 28, 2009 Dra ner något/några rootkit-scanners... gmer anses väl vara ett av dom bättre, men det finns fler och kanske mer etablerade om du googlar lite!http://www.gmer.net/index.php Ok, ska testa detta. Återkommer....
Guest Malou Posted January 28, 2009 Posted January 28, 2009 Hej vajlent! Du kan även prova nedanstående procedur. Skriv ut nedanstående eller kopiera det till ett textdokument och spara det till skrivbordet: Läs/Följ instruktionerna mycket noga: Hämta hem Avenger från nedanstående länk: http://swandog46.geekstogo.com/avenger.exe 1: Spara ner den till skrivbordet 2: Starta Avenger genom att dubbelklicka på den. (För Vista-användare: Högerklicka och välj Kör som Administratör:) kärmdumpen är klickbar för större format: 3: Bocka i rutan Scan for rootkits om den inte redan är ibockad. 4: Klicka på Execute för att starta det. 5: Datorn startar nu om (Kan eventuellt starta om två gånger). 6: Efter en liten stund så dyker en text-logga upp, om inte så finns den att hitta här => (C:\avenger.txt) 7: Kopiera och Klistra in Avenger-loggan hit till din tråd. 8: Gör en ny TM HJT-logga, kopiera in även den => Trend Micro HiJack This (Nerladdning/Instruktioner): 9: Berätta/Tala om hur datorn mår. MVH/Malou
vajlent Posted January 28, 2009 Author Posted January 28, 2009 Jag har testat lite olika men bara Gmer funkade att starta upp. Fick dock en blåskärm av det, men ska testa igen senare. Malou, jag kör enligt din beskrivning och återkommer om ett tag igen.
vajlent Posted January 28, 2009 Author Posted January 28, 2009 Ok, här kommer Avenger loggan: Logfile of The Avenger Version 2.0, © by Swandog46 http://swandog46.geekstogo.com Platform: Windows Vista ******************* Script file opened successfully. Script file read successfully. Backups directory opened successfully at C:\Avenger ******************* Beginning to process script file: Rootkit scan active. No rootkits found! Completed script processing. ******************* Finished! Terminate.
vajlent Posted January 28, 2009 Author Posted January 28, 2009 Och här kommer TM HJT loggan: Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 19:29:28, on Wed 28-Jan-2009 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v8.00 (8.00.6001.18372) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\system32\taskeng.exe C:\Program Files\Sony\VAIO Update 4\VAIOUpdt.exe C:\Windows\system32\conime.exe C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\sony\VAIO Camera Utility\VCUServe.exe C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe C:\Program Files\sony\AppMonUtil\AppMonUtility.exe C:\Program Files\ESET\ESET Smart Security\egui.exe C:\Program Files\Windows Live\Messenger\msnmsgr.exe C:\Windows\System32\mobsync.exe C:\Program Files\Personal\bin\Personal.exe C:\Program Files\Trend Micro\HijackThis\Vajlent.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://se.msn.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [VAIOCameraUtility] "C:\Program Files\Sony\VAIO Camera Utility\VCUServe.exe" O4 - HKLM\..\Run: [iAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe" O4 - HKLM\..\Run: [AppMon Utility] "C:\Program Files\Sony\AppMonUtil\AppMonUtility.exe" @@@Start O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background O4 - Global Startup: Personal.lnk = C:\Program Files\Personal\bin\Personal.exe O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html O8 - Extra context menu item: Append to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000 O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll O13 - Gopher Prefix: O15 - Trusted Zone: http://*.mcafee.com O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...506/mcfscan.cab O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe O23 - Service: IviRegMgr - Unknown owner - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe (file missing) O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AvLib\MSCSPTISRV.exe O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AvLib\PACSPTISVR.exe O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel® Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AvLib\SPTISRV.exe O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\stacsv.exe O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\sony\VAIO Event Service\VESMgr.exe O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\VMISrv.exe O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\VmGateway.exe O23 - Service: VAIO Media Content Collection (VAIOMediaPlatform-UCLS-AppServer) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\UCLS.exe O23 - Service: VAIO Media Content Collection (HTTP) (VAIOMediaPlatform-UCLS-HTTP) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe O23 - Service: VAIO Media Content Collection (UPnP) (VAIOMediaPlatform-UCLS-UPnP) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe -- End of file - 10129 bytes
Guest Malou Posted January 28, 2009 Posted January 28, 2009 (edited) Hej vajlent! Avenger hittar inga Rootkits och din TM HJT-logga ser ren och fin ut MVH/Malou Edited January 29, 2009 by Malou Redigerat en felstavning
vajlent Posted January 29, 2009 Author Posted January 29, 2009 Det låter bra. Men datorn har varit lite seg måste jag nog säga ändå! Det tar lång tid att öppna flikar osv i IE8 RC.1 vilket det inte gjorde innan. Upplevde tom att RC.1:an var märkbart snabbare men crashar & fryser dock lika ofta som dom övriga versionerna. Har oxå förstått att Eset Smart Security 4 Beta versionen jag hade inte alls fungerade som den skulle, och eller var aktiv. Snarare utan min vetskap har den säkert släppt igenom saker som jag annars hade haft koll på. Men, men... Jag ger Comodo en chans nu med Internet Security versionen. Är mån om ett fullgott skydd & vad jag förstått ska CIS erbjuda detta!? Jag återkommer om det uppstår mer problem. Tack.
Guest Malou Posted January 29, 2009 Posted January 29, 2009 Hej vajlent! Ang webbläsaren IE8 kan jag inte uttala mig om trots att jag själv har den (tyvärr). IE8 används enbart då där är säkerhetsuppdaterigar från Windows Update. Använder uteslutande FireFox. Datorns seghet kan bero på många olika faktorer. För lite RAM minnen. Du kanske behöver göra en diskdefrgmentering. Du kanske har en massa onödiga program som autostartar i samband med att datorn startar upp. Eset Smart Security 4 Beta kan kanske orsaka seghet. Men vågar inte uttala mig om detta. Vågar heller inte uttala mig om huruvida den är tillförlitlig eller inte. Men som du säger att du skall ge CIS (Comodo Internet Security) en chans låter bra. Den tar knappt några resurser av datorns kapasitet och tar liten plats i övrigt. Du är välkommen tillbaka närhelst du så önskar MVH/Malou
vajlent Posted January 31, 2009 Author Posted January 31, 2009 Jag fått fram det som ska vara ett misstänkt root-kit. Det ska finnas i C:\Windows\System32\Drivers\ och benämmningen är avdz0d9k.SYS Men frågan är ju nu bara hur jag kommer åt det? Om det ens går att få bort det. Tacksam för ytterligare hjälp.
Guest Malou Posted January 31, 2009 Posted January 31, 2009 Hej Vajlent! Gör en scanning med nedanstående scanner så får vi se vad den säger för något. Gå till nedanstående sida: http://www.virustotal.com/ 1: Kopiera/Klistra in följande filnamn i text-fältet bredvid Bläddra-knappen (ELLER använd Bläddra-knappen och navigera dig fram enligt nedanstående sökväg/sökvägar) C:\Windows\System32\Drivers\avdz0d9k.SYS 2: Klicka på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). 3: Klistra in resultatet från de olika antivirusprogrammen (inkl. filstorlek) här till din tråd (dock ej Övrig information) MVH/Malou
vajlent Posted February 1, 2009 Author Posted February 1, 2009 När jag bläddrar efter filen hittas den inte. Och jag kan inte klistra in något i fältet heller?
Guest Malou Posted February 1, 2009 Posted February 1, 2009 Hej vajlent! Lite märkligt ändå för Avenger hittar ingen root-kit. Vilket program är det som hittar detta root-kit? Vi tar nedanstående verktyg till hjälp så får vi se om filen hittas. Nedanstående verktyg åtgärdar inget gör enbart en genomsökning. Om där hittas något i loggan så får vi åtgärda manuellt. Hämta hem RSIT från nedanstående länk http://images.malwareremoval.com/random/RSIT.exe 1: Spara den till skrivbordet 2: Dubbelklicka på verktyget för att starta RSIT (För Vista => Högerklicka på verktyget och välj => Kör som Admin) 3: Då den scannat klart produceras en textfil (log.txt) i Anteckningar automatiskt. Om där mot förmodan inte dyker upp en textfil finns den att hitta här => I mappen C:\rsit => log.txt <= 4: Kopiera in den loggan hit till din tråd MVH/Malou
Guest Malou Posted February 1, 2009 Posted February 1, 2009 Hej Vajlent! Enligt information som jag fått så tillhör => C:\Windows\System32\Drivers\avdz0d9k.SYS <= Daemon Tools. Om du har => Daemon Tools <= så är filen ok. MVH/Malou
JoWa Posted February 1, 2009 Posted February 1, 2009 Daemon Tools currently uses rootkit technology to hide from other applications and the operating system itself. http://en.wikipedia.org/wiki/Daemon_Tools#Blacklisting
e-son Posted February 1, 2009 Posted February 1, 2009 Hej Vajlent!Enligt information som jag fått så tillhör => C:\Windows\System32\Drivers\avdz0d9k.SYS <= Daemon Tools. Om du har => Daemon Tools <= så är filen ok. MVH/Malou Kan inte låta bli att triumfera lite.... men bara liiite! http://www.alltomxp.se/forum/index.php?s=&...st&p=108371
vajlent Posted February 1, 2009 Author Posted February 1, 2009 Hej Vajlent!Enligt information som jag fått så tillhör => C:\Windows\System32\Drivers\avdz0d9k.SYS <= Daemon Tools. Om du har => Daemon Tools <= så är filen ok. MVH/Malou Jo men stämmer, Daemon Tools har jag. Så då behöver jag inte tänka mer på detta?!
Guest Malou Posted February 1, 2009 Posted February 1, 2009 Kan inte låta bli att triumfera lite.... men bara liiite! http://www.alltomxp.se/forum/index.php?s=&...st&p=108371 Det gör du rätt i e-son att triumfera Läste inte ens övrigas inlägg då jag riktar in mig på/samt 100% koncentration på trådskaparens eventuella problem/infektioner etc..... MVH/Malou
Guest Malou Posted February 1, 2009 Posted February 1, 2009 Hej Vajlent! Jo men stämmer, Daemon Tools har jag.Så då behöver jag inte tänka mer på detta?! Du behöver inte tänka på denna något mer i nuläge MVH/Malou
vajlent Posted February 1, 2009 Author Posted February 1, 2009 Ja, triumfera du med alla rätt! Är det ok om jag tar upp ett nytt fall av rootkit/trojan i denna tråden, eller måste jag öppna en ny? Det är så att min flickväns mamma har fått lite problem men detta.
Recommended Posts