Recommended Posts

*********************************************

2009-02-01:

Tråden är låst.

Tycker du att den är felaktigt låst, var god kontakta

Malou

*********************************************

Har testat Eset Smart Security 4.0 lite grundligt & provade just Sysinspector funktionen.

Då varnar den för Rootkit.

Bifogar en dump på hur det ser ut:

Är detta något man bör vara orolig över & köra ytterligare tester på?

Riskleveln ligger ju trots allt på 9.

Tacksam för hjälp som vanligt.

//vajlent.

Edited by Malou
Tråden låst då problemet är löst.
Link to comment
Share on other sites

Hej vajlent!

Du kan även prova nedanstående procedur.

Skriv ut nedanstående eller kopiera det till ett textdokument och spara det till skrivbordet:

Läs/Följ instruktionerna mycket noga:

Hämta hem Avenger från nedanstående länk:

http://swandog46.geekstogo.com/avenger.exe

1: Spara ner den till skrivbordet

2: Starta Avenger genom att dubbelklicka på den.

(För Vista-användare: Högerklicka och välj Kör som Administratör:)

kärmdumpen är klickbar för större format:

t_DrSNQgZdv.gif

3: Bocka i rutan Scan for rootkits om den inte redan är ibockad.

4: Klicka på Execute för att starta det.

5: Datorn startar nu om (Kan eventuellt starta om två gånger).

6: Efter en liten stund så dyker en text-logga upp, om inte så finns den att hitta här => (C:\avenger.txt)

7: Kopiera och Klistra in Avenger-loggan hit till din tråd.

8: Gör en ny TM HJT-logga, kopiera in även den

=> Trend Micro HiJack This (Nerladdning/Instruktioner):

9: Berätta/Tala om hur datorn mår.

MVH/Malou

Link to comment
Share on other sites

Ok, här kommer Avenger loggan:

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows Vista

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

Completed script processing.

*******************

Finished! Terminate.

Link to comment
Share on other sites

Och här kommer TM HJT loggan:

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:29:28, on Wed 28-Jan-2009

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v8.00 (8.00.6001.18372)

Boot mode: Normal

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Program Files\Sony\VAIO Update 4\VAIOUpdt.exe

C:\Windows\system32\conime.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\sony\VAIO Camera Utility\VCUServe.exe

C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe

C:\Program Files\sony\AppMonUtil\AppMonUtility.exe

C:\Program Files\ESET\ESET Smart Security\egui.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Windows\System32\mobsync.exe

C:\Program Files\Personal\bin\Personal.exe

C:\Program Files\Trend Micro\HijackThis\Vajlent.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://se.msn.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre6\bin\ssv.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Adobe PDF Conversion Toolbar Helper - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O2 - BHO: SmartSelect - {F4971EE7-DAA0-4053-9964-665D8EE6A077} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [VAIOCameraUtility] "C:\Program Files\Sony\VAIO Camera Utility\VCUServe.exe"

O4 - HKLM\..\Run: [iAAnotif] "C:\Program Files\Intel\Intel Matrix Storage Manager\Iaanotif.exe"

O4 - HKLM\..\Run: [AppMon Utility] "C:\Program Files\Sony\AppMonUtil\AppMonUtility.exe" @@@Start

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET Smart Security\egui.exe" /hide /waitservice

O4 - HKCU\..\Run: [msnmsgr] "C:\Program Files\Windows Live\Messenger\msnmsgr.exe" /background

O4 - Global Startup: Personal.lnk = C:\Program Files\Personal\bin\Personal.exe

O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O8 - Extra context menu item: Append to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppend.html

O8 - Extra context menu item: Convert Link Target to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

O8 - Extra context menu item: Convert to Adobe PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIECapture.html

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre6\bin\ssv.dll

O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~1\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search & Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll

O13 - Gopher Prefix:

O15 - Trusted Zone: http://*.mcafee.com

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O16 - DPF: {EF791A6B-FC12-4C68-99EF-FB9E207A39E6} (McFreeScan Class) - http://download.mcafee.com/molbin/iss-loc/...506/mcfscan.cab

O23 - Service: ESET HTTP Server (EhttpSrv) - ESET - C:\Program Files\ESET\ESET Smart Security\EHttpSrv.exe

O23 - Service: ESET Service (ekrn) - ESET - C:\Program Files\ESET\ESET Smart Security\ekrn.exe

O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel® Corporation - C:\Program Files\Intel\WiFi\bin\EvtEng.exe

O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Intel® Matrix Storage Event Monitor (IAANTMON) - Intel Corporation - C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: IviRegMgr - Unknown owner - C:\Program Files\Common Files\InterVideo\RegMgr\iviRegMgr.exe (file missing)

O23 - Service: MSCSPTISRV - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AvLib\MSCSPTISRV.exe

O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe

O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AvLib\PACSPTISVR.exe

O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel® Corporation - C:\Program Files\Common Files\Intel\WirelessCommon\RegSrvc.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AvLib\SPTISRV.exe

O23 - Service: SigmaTel Audio Service (STacSV) - IDT, Inc. - C:\Windows\system32\stacsv.exe

O23 - Service: TOSHIBA Bluetooth Service - TOSHIBA CORPORATION - C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe

O23 - Service: @%SystemRoot%\System32\TuneUpDefragService.exe,-1 (TuneUp.Defrag) - TuneUp Software - C:\Windows\System32\TuneUpDefragService.exe

O23 - Service: @%SystemRoot%\System32\TUProgSt.exe,-1 (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\Windows\System32\TUProgSt.exe

O23 - Service: VAIO Entertainment TV Device Arbitration Service - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCs\VzHardwareResourceManager\VzHardwareResourceManager.exe

O23 - Service: VAIO Event Service - Sony Corporation - C:\Program Files\sony\VAIO Event Service\VESMgr.exe

O23 - Service: VAIO Media Integrated Server (VAIOMediaPlatform-IntegratedServer-AppServer) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\VMISrv.exe

O23 - Service: VAIO Media Integrated Server (HTTP) (VAIOMediaPlatform-IntegratedServer-HTTP) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe

O23 - Service: VAIO Media Integrated Server (UPnP) (VAIOMediaPlatform-IntegratedServer-UPnP) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe

O23 - Service: VAIO Media Gateway Server (VAIOMediaPlatform-Mobile-Gateway) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\VmGateway.exe

O23 - Service: VAIO Media Content Collection (VAIOMediaPlatform-UCLS-AppServer) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\UCLS.exe

O23 - Service: VAIO Media Content Collection (HTTP) (VAIOMediaPlatform-UCLS-HTTP) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\SV_Httpd.exe

O23 - Service: VAIO Media Content Collection (UPnP) (VAIOMediaPlatform-UCLS-UPnP) - Sony Corporation - C:\Program Files\sony\VAIO Media Integrated Server\Platform\UPnPFramework.exe

O23 - Service: VAIO Entertainment UPnP Client Adapter (Vcsw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VCSW\VCSW.exe

O23 - Service: VAIO Entertainment Database Service (VzCdbSvc) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe

O23 - Service: VAIO Entertainment File Import Service (VzFw) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzFw.exe

O23 - Service: XAudioService - Conexant Systems, Inc. - C:\Windows\system32\DRIVERS\xaudio.exe

--

End of file - 10129 bytes

Link to comment
Share on other sites

Hej vajlent!

Avenger hittar inga Rootkits och din TM HJT-logga ser ren och fin ut ;)

MVH/Malou

Edited by Malou
Redigerat en felstavning
Link to comment
Share on other sites

Det låter bra.

Men datorn har varit lite seg måste jag nog säga ändå!

Det tar lång tid att öppna flikar osv i IE8 RC.1 vilket det inte gjorde innan.

Upplevde tom att RC.1:an var märkbart snabbare men crashar & fryser dock

lika ofta som dom övriga versionerna.

Har oxå förstått att Eset Smart Security 4 Beta versionen jag hade inte alls

fungerade som den skulle, och eller var aktiv.

Snarare utan min vetskap har den säkert släppt igenom saker som jag annars

hade haft koll på.

Men, men...

Jag ger Comodo en chans nu med Internet Security versionen.

Är mån om ett fullgott skydd & vad jag förstått ska CIS erbjuda detta!?

Jag återkommer om det uppstår mer problem.

Tack.

Link to comment
Share on other sites

Hej vajlent!

Ang webbläsaren IE8 kan jag inte uttala mig om trots att jag själv har den (tyvärr). IE8 används enbart då där är säkerhetsuppdaterigar från Windows Update.

Använder uteslutande FireFox.

Datorns seghet kan bero på många olika faktorer.

För lite RAM minnen.

Du kanske behöver göra en diskdefrgmentering.

Du kanske har en massa onödiga program som autostartar i samband med att datorn startar upp.

Eset Smart Security 4 Beta kan kanske orsaka seghet. Men vågar inte uttala mig om detta. Vågar heller inte uttala mig om huruvida den är tillförlitlig eller inte.

Men som du säger att du skall ge CIS (Comodo Internet Security) en chans låter bra. Den tar knappt några resurser av datorns kapasitet och tar liten plats i övrigt.

Du är välkommen tillbaka närhelst du så önskar ;)

MVH/Malou

Link to comment
Share on other sites

Jag fått fram det som ska vara ett misstänkt root-kit.

Det ska finnas i C:\Windows\System32\Drivers\ och benämmningen är avdz0d9k.SYS

Men frågan är ju nu bara hur jag kommer åt det?

Om det ens går att få bort det.

Tacksam för ytterligare hjälp.

Link to comment
Share on other sites

Hej Vajlent!

Gör en scanning med nedanstående scanner så får vi se vad den säger för något.

Gå till nedanstående sida:

http://www.virustotal.com/

t_LgwChUDoT.gif

1: Kopiera/Klistra in följande filnamn i text-fältet bredvid Bläddra-knappen

(ELLER använd Bläddra-knappen och navigera dig fram enligt nedanstående sökväg/sökvägar)

C:\Windows\System32\Drivers\avdz0d9k.SYS

t_SyNnkiqad.gif

2: Klicka på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd).

3: Klistra in resultatet från de olika antivirusprogrammen (inkl. filstorlek) här till din tråd (dock ej Övrig information)

MVH/Malou

Link to comment
Share on other sites

Hej vajlent!

Lite märkligt ändå för Avenger hittar ingen root-kit. Vilket program är det som hittar detta root-kit?

Vi tar nedanstående verktyg till hjälp så får vi se om filen hittas.

Nedanstående verktyg åtgärdar inget gör enbart en genomsökning. Om där hittas något i loggan så får vi åtgärda manuellt.

Hämta hem RSIT från nedanstående länk

http://images.malwareremoval.com/random/RSIT.exe

1: Spara den till skrivbordet

2: Dubbelklicka på verktyget för att starta RSIT

(För Vista => Högerklicka på verktyget och välj => Kör som Admin)

3: Då den scannat klart produceras en textfil (log.txt) i Anteckningar automatiskt. Om där mot förmodan inte dyker upp en textfil finns den att hitta här => I mappen C:\rsit => log.txt <=

4: Kopiera in den loggan hit till din tråd

MVH/Malou

Link to comment
Share on other sites

Hej Vajlent!

Enligt information som jag fått så tillhör => C:\Windows\System32\Drivers\avdz0d9k.SYS <= Daemon Tools.

Om du har => Daemon Tools <= så är filen ok.

MVH/Malou

Link to comment
Share on other sites

Hej Vajlent!

Enligt information som jag fått så tillhör => C:\Windows\System32\Drivers\avdz0d9k.SYS <= Daemon Tools.

Om du har => Daemon Tools <= så är filen ok.

MVH/Malou

Jo men stämmer, Daemon Tools har jag.

Så då behöver jag inte tänka mer på detta?! :D

Link to comment
Share on other sites

Hej Vajlent!

Jo men stämmer, Daemon Tools har jag.

Så då behöver jag inte tänka mer på detta?! :D

Du behöver inte tänka på denna något mer i nuläge ;)

MVH/Malou

Link to comment
Share on other sites

Guest
This topic is now closed to further replies.
 Share