Rootproblem ?

Rolas · Mars 30, 2009

*********************************************

2009-06-06:

Tråden är låst då problemet är löst.

Tycker du att den är felaktigt låst, var god kontakta

*********************************************

Hej

Jag har tidigare fått rådet att köra en rootkitscanning från ngn i detta forum . Jag har kört Rootkitrevaeler. Efter scanning redovisas 15 disrepanser. För att radera en del av felen hänvisas till ett program som heter RegDelNull och ett annat som heter RegHide. Jag har läst instruktioner men får det inte att funggera . Det är oklart för mig om man ska köra RegHide först och sedan RegDelNull. Jag lyckas scanna med RegDelNull programmet men inte att radera registernycklar med " embeddeded nulls."

Det känns lite vanskligt att radera i registret så en ytterligare fundering är om ska hur ska dessa registernycklar återställas ? Ska de finns normalt ?

Jag har kört med andra rootkits scanners , F_secure Blacklight , samt det i antivirusprogrammet f-secure inbyggda rootscaningsfunktionen. Inget av dessa rootscanningsprogram finner någonting och inga raderingar görs .

Tacksam för synpunkter på detta

Rolas

Mars 30, 2009

Hej Rolas!

Var någonstans i forumet har du fått detta råd?

Misstänker du att du har fått in eventuella otyg i systemet?

Flaggar ditt skyddsprogram upp för något otrevligt?

Om ja, vad för något?

Kan ditt skyddsprogram åtgärda det eventuellt upphittade?

Vi börjar med den sedvanliga proceduren

För att kunna hjälpa dig på bästa sätt och för att komma igång med att rensa rent från diverse otyg/otrevligheter så rekommenderar vi att du läser/följer nedanstående instruktioner mycket noga:

=> Trend Micro HiJack This (Nerladdning/Instruktioner):

Då du döpt om filen gör en ny TM HJT-logga kopiera in den hit till din tråd så får vi se hur det ser ut.

OBS: Starta ingen ny tråd i ämnet utan fortsätt posta här i din tråd

MVH/Malou

Rolas · Mars 30, 2009

Hej Malou !

Tack för svar. Svar på frågor

1. Var någonstans i forumet har du fått detta råd?

Av ngn som hade en "pirat"- symbol " son" ngnting . Är inte helt säker på detta har inte lagt det specifikt på minnet.

2. Flaggar ditt skyddsprogram upp för något otrevligt?

Nej F-secure rapporterar inget.

3. Ja datorn tar ca 7-8 sekunder ibland mer innan starsidan dyker upp , oavsett om jag väljer EI/ eller Firefox.

Starsidan laddas ner konstigt , dvs det börjar med vad jag tror är ramar som sedan fylls med färg och innehåll. Men ser sommahimlen från skrivbordet en stund innan starsidan är färdig.

Jag ska läsa igenom instuktionerna och göra de åtgärder som du föreslagit , det tar dock en del tid så jag ber att få återkomma när jag gjort det färdigt.

Vill du se en loggfil från Rootkit scanningen ?

mvh /Rolas

Hej Rolas!
Misstänker du att du har fått in eventuella otyg i systemet?

Om ja, vad för något?

Kan ditt skyddsprogram åtgärda det eventuellt upphittade?

Vi börjar med den sedvanliga proceduren

För att kunna hjälpa dig på bästa sätt och för att komma igång med att rensa rent från diverse otyg/otrevligheter så rekommenderar vi att du läser/följer nedanstående instruktioner mycket noga:

=> Trend Micro HiJack This (Nerladdning/Instruktioner):

Då du döpt om filen gör en ny TM HJT-logga kopiera in den hit till din tråd så får vi se hur det ser ut.

OBS: Starta ingen ny tråd i ämnet utan fortsätt posta här i din tråd

MVH/Malou

Mars 30, 2009

Hej Rolas!

Varsegod

1. Var någonstans i forumet har du fått detta råd?
Av ngn som hade en "pirat"- symbol " son" ngnting . Är inte helt säker på detta har inte lagt det specifikt på minnet.

2. Flaggar ditt skyddsprogram upp för något otrevligt?

Nej F-secure rapporterar inget.

3. Ja datorn tar ca 7-8 sekunder ibland mer innan starsidan dyker upp , oavsett om jag väljer EI/ eller Firefox.

Starsidan laddas ner konstigt , dvs det börjar med vad jag tror är ramar som sedan fylls med färg och innehåll. Men ser sommahimlen från skrivbordet en stund innan starsidan är färdig.

Ok tack för svar då vet jag lite mer.

Jag ska läsa igenom instuktionerna och göra de åtgärder som du föreslagit , det tar dock en del tid så jag ber att få återkomma när jag gjort det färdigt.
Vill du se en loggfil från Rootkit scanningen ?

Ta den tid du behöver vi har inte bråttom

Ja tack kopiera gärna in scanningsresultatet direkt in i ditt inlägg från Rootkitscanningen så får jag se vad den visar på.

MVH/Malou

Rolas · Mars 30, 2009

Hej igen

Ja då har jag gjort enligt de instuktuioner som du givit dvs , kört CCleaner, Hijck eller vad det hette samt gjort en logfil från scanningen som heter Rolas_log.

Jaf har också kört F.securs Blacklight, som vanligt utan att den rapporterar ngt.

Dessutom bifogar jag en textfil från den senaste scanningen med Rootkit Revaeler. Antal diskrepanser ahr ökat från 15 till 23 enligt den senaste scanningem. Jag har under mellantiden fått mail från en elak rackare som heter LARCIK , och jag misstänker att han sänder ngt slags kod som gör att antal fel ökar .

Tacksam för synpunkter och ev förslag på åtgärder.

mvh/Rolas

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:05:47, on 2009-03-30

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Telia\Telias sakerhetstjanster\Common\FSM32.EXE

C:\Program\Multimedia Card Reader\shwicon2k.exe

C:\program\scansoft\paperp~1\pptd40nt.exe

C:\Program\SPAMfighter\SFAgent.exe

C:\Program\Telia\Supportassistent\bin\sprtcmd.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program\Java\jre6\bin\jusched.exe

C:\Program\Windows Defender\MSASCui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Messenger\msmsgs.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\Mamut ASA\Mamut Teamwork\Mamut Teamwork.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\FSGK32.EXE

C:\Program\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSMB32.EXE

C:\Program\SPAMfighter\sfus.exe

C:\Program\Telia\Supportassistent\bin\sprtsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FCH32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Common\FAMEH32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsqh.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fssm32.exe

C:\Program\Telia\Telias sakerhetstjanster\FSGUI\fsguidll.exe

C:\Program\Telia\Telias sakerhetstjanster\FSAUA\program\fsaua.exe

C:\Program\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

C:\Program\Telia\Telias sakerhetstjanster\FSAUA\program\fsus.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsav32.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Telia\Telias sakerhetstjanster\FSGUI\scanwizard.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://telia.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [skyTel] SkyTel.EXE

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\Telia\Telias sakerhetstjanster\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program\Telia\Telias sakerhetstjanster\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Program\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon

O4 - HKLM\..\Run: [sunkist2k] C:\Program\Multimedia Card Reader\shwicon2k.exe

O4 - HKLM\..\Run: [PaperPort PTD] c:\program\scansoft\paperp~1\pptd40nt.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sPAMfighter Agent] "C:\Program\SPAMfighter\SFAgent.exe" update delay 60

O4 - HKLM\..\Run: [Telia] "C:\Program\Telia\Supportassistent\bin\sprtcmd.exe" /P Telia

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe -CheckReg

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Windows Defender] "C:\Program\Windows Defender\MSASCui.exe" -hide

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Mamut Teamwork.lnk = ?

O4 - Global Startup: BankID säkerhetsprogram.lnk = C:\Program\Personal\bin\Personal.exe

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O15 - Trusted Zone: http://safety.live.com

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/...lscbase5483.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/...b?1237295296046

O16 - DPF: {B9F79165-A264-4C4A-A211-133A5E8D647F} (F-Secure Health Check 1.1) - http://support.f-secure.com/enu/home/onlin.../fshc/fscax.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwa...ash/swflash.cab

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\FSAUA\program\fsaua.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\ORSP Client\fsorsp.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: NMIndexingService - Unknown owner - C:\Program\Delade filer\Ahead\Lib\NMIndexingService.exe (file missing)

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: SPAMfighter Update Service - SPAMfighter ApS - C:\Program\SPAMfighter\sfus.exe

O23 - Service: SupportSoft Sprocket Service (telia) (sprtsvc_telia) - SupportSoft, Inc. - C:\Program\Telia\Supportassistent\bin\sprtsvc.exe

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Program\Delade filer\SupportSoft\bin\ssrc.exe

--

End of file - 7994 bytes

********************************************************************************

HKLM\SECURITY\Policy\Secrets\SAC* 2009-03-17 12:58 0 bytes Key name contains embedded nulls (*)

HKLM\SECURITY\Policy\Secrets\SAI* 2009-03-17 12:58 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\blue.Shortcut\ 2009-03-27 20:24 15 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Classes\blue.Shortcut\shell\open\command\ 2009-03-27 20:24 15 bytes Data mismatch between Windows API and raw hive data.

HKLM\SOFTWARE\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32* 2009-03-27 17:54 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{604BB98A-A94F-4a5c-A67C-D8D3582C741C}\InprocServer32* 2009-03-27 17:54 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{684373FB-9CD8-4e47-B990-5A4466C16034}\InprocServer32* 2009-03-27 17:54 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{74554CCD-F60F-4708-AD98-D0152D08C8B9}\InprocServer32* 2009-03-27 17:54 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{7EB537F9-A916-4339-B91B-DED8E83632C0}\InprocServer32* 2009-03-27 17:54 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{948395E8-7A56-4fb1-843B-3E52D94DB145}\InprocServer32* 2009-03-27 17:54 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{AC3ED30B-6F1A-4bfc-A4F6-2EBDCCD34C19}\InprocServer32* 2009-03-27 17:54 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{DE5654CA-EB84-4df9-915B-37E957082D6D}\InprocServer32* 2009-03-27 17:54 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{E39C35E8-7488-4926-92B2-2F94619AC1A5}\InprocServer32* 2009-03-27 17:54 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{EACAFCE5-B0E2-4288-8073-C02FF9619B6F}\InprocServer32* 2009-03-27 17:54 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{F8F02ADD-7366-4186-9488-C21CB8B3DCEC}\InprocServer32* 2009-03-27 17:54 0 bytes Key name contains embedded nulls (*)

HKLM\SOFTWARE\Classes\CLSID\{FEE45DE2-A467-4bf9-BF2D-1411304BCD84}\InprocServer32* 2009-03-27 17:54 0 bytes Key name contains embedded nulls (*)

C:\Documents and Settings\All Users\Application Data\SupportSoft\Telia\SYSTEM\data\BIT92.tmp 2009-03-30 20:10 0 bytes Visible in Windows API, but not in MFT or directory index.

C:\Documents and Settings\RL\Lokala inställningar\Application Data\SupportSoft\Telia\RL\data\BIT93.tmp 2009-03-30 20:11 0 bytes Visible in Windows API, but not in MFT or directory index.

C:\WINDOWS\Temp\AVP807.tmp 2009-03-30 20:22 0 bytes Visible in Windows API, but not in MFT or directory index.

C:\WINDOWS\Temp\AVP808.tmp 2009-03-30 20:22 0 bytes Visible in Windows API, but not in MFT or directory index.

C:\WINDOWS\Temp\AVP809.tmp 2009-03-30 20:22 0 bytes Visible in Windows API, but not in MFT or directory index.

C:\WINDOWS\Temp\AVP80A.tmp 2009-03-30 20:22 0 bytes Visible in Windows API, but not in MFT or directory index.

M: 1601-01-01 02:00 0 bytes Error mounting volume

********************************************************************************

Hej Rolas!
Varsegod

Ok tack för svar då vet jag lite mer.

Ta den tid du behöver vi har inte bråttom

Ja tack kopiera gärna in scanningsresultatet direkt in i ditt inlägg från Rootkitscanningen så får jag se vad den visar på.

MVH/Malou

Redigerad Mars 30, 2009 av Malou
Inlägget redigerat med att ladda ner/öppna/kopiera/klistra in loggarna

Mars 30, 2009

Hej Rolas!

Av säkerhetsskäl Vänligen lägg inte loggar eller annat som bifogade filer/inom taggar eller liknande. Våra privata datorer riskerar att utsättas för otyg om vi skall behöva sitta och ladda ner dessa bifogade filer/öppna upp dem hos oss för att sedan klistra in dem i inläggen. Dessutom så gör detta att det ger oss extra jobb som vi då istället kan lägga på att ge support.

Ser att du inte döpt om filen som jag bad om.

C:\Program\Trend Micro\HijackThis\HijackThis.exe

Hur kan det komma sig?

Döp om filen HiJack This.exe

Vänligen Läs/Följ information/instruktioner m.m som finns att hitta på nedanstående sida:

=> Trend Micro HiJack This (Nerladdning/Instruktioner):

Då du döpt om filen gör en ny TM HJT-logga kopiera in den hit till din tråd så får vi se hur det ser ut.

OBS: Starta ingen ny tråd i ämnet utan fortsätt posta här i din tråd

MVH/Malou

Mars 30, 2009

Hej igen Rolas!

Vi gör en scanning med Avenger och ser vad den har att säga.

Steg 1:

Skriv ut nedanstående eller kopiera det till ett textdokument och spara det till skrivbordet:

Läs/Följ instruktionerna mycket noga:

Hämta hem Avenger från nedanstående länk:

http://swandog46.geekstogo.com/avenger.exe

1: Spara ner den till skrivbordet

2: Starta Avenger genom att dubbelklicka på den.

(För Vista-användare: Högerklicka och välj Kör som Administratör:)

kärmdumpen är klickbar för större format:

3: Bocka i rutan Scan for rootkits om den inte redan är ibockad.

4: Klicka på Execute för att starta det.

5: Datorn startar nu om (Kan eventuellt starta om två gånger).

6: Efter en liten stund så dyker en text-logga upp, om inte så finns den att hitta här => (C:\avenger.txt)

7: Kopiera och Klistra in Avenger-loggan hit till din tråd.

8: Gör en ny TM HJT-logga, kopiera in även den

9: Berätta/Tala om hur datorn mår.

MVH/Malou

Rolas · Mars 30, 2009

Avenger finner inget ! Se bif txt fil, sänder också en ny TJ fil .

Ingen förändring för datorn .

Har du ngn kommentar till programmen regDelNull och RegHide, de programmen säger sig kunna lösa problemet men jag vet inte hur man kör dem .

Mvh/´Rolas

Hej igen Rolas!
Vi gör en scanning med Avenger och ser vad den har att säga.

Steg 1:

Skriv ut nedanstående eller kopiera det till ett textdokument och spara det till skrivbordet:

Läs/Följ instruktionerna mycket noga:

Hämta hem Avenger från nedanstående länk:

http://swandog46.geekstogo.com/avenger.exe

1: Spara ner den till skrivbordet

2: Starta Avenger genom att dubbelklicka på den.

(För Vista-användare: Högerklicka och välj Kör som Administratör:)

kärmdumpen är klickbar för större format:

3: Bocka i rutan Scan for rootkits om den inte redan är ibockad.

4: Klicka på Execute för att starta det.

5: Datorn startar nu om (Kan eventuellt starta om två gånger).

6: Efter en liten stund så dyker en text-logga upp, om inte så finns den att hitta här => (C:\avenger.txt)

7: Kopiera och Klistra in Avenger-loggan hit till din tråd.

8: Gör en ny TM HJT-logga, kopiera in även den

9: Berätta/Tala om hur datorn mår.

MVH/Malou

Redigerad Mars 30, 2009 av Malou
Redigerat bort bifogade filer

Mars 30, 2009

Hej Rolas!

Har du ngn kommentar till programmen regDelNull och RegHide, de programmen säger sig kunna lösa problemet men jag vet inte hur man kör dem .

Tyvärr så har jag inga kunskaper ang detta program. Och den loggan som du skickade med säger mig inte så vidare mycket tyvärr.

Avenger finner inget ! Se bif txt fil, sänder också en ny TJ fil .

Som jag tidigare skrev i mitt inlägg ang bifogade filer så laddar jag inte ner dem hit till min privata dator. Lägger med informationen här igen.

Av säkerhetsskäl Vänligen lägg inte loggar eller annat som bifogade filer/inom taggar eller liknande. Våra privata datorer riskerar att utsättas för otyg om vi skall behöva sitta och ladda ner dessa bifogade filer/öppna upp dem hos oss för att sedan klistra in dem i inläggen. Dessutom så gör detta att det ger oss extra jobb som vi då istället kan lägga på att ge support.

Kopiera in dina loggar direkt i ditt inlägg så vi kan gå vidare. Tack.

MVH/Malou

Rolas · Mars 31, 2009

Hej Malou !

Förlåt om jag gjort fel med de bifogade filerna men eftersom det finns en funktion när man svarar , där man laddar upp bifogade filer så trodde jag att det var meningen att den skulle användas för detta ändamål. Det var inte menigen att orsaka dig merarbete.

Tyvärr verkar det vara problem för samtliga rootscannerprogram som jag provat , ingen av dem hittar dessa koder. Det sägs också i handledningen till RegDelNull-programmet att det är det enda program som klarar det. Men jag tänkte att det kanske finns "vassare program" numera RegDelNull-programmet har copyright 2005-2006 och är väl utvecklad då.

Jag vill passa på att tacka dig för ditt engagemang och försöken att lösa problemet. Om du skulle hitta ngt program/åtgärd framöver så hör gärna av dig.

Jag får kontakta www.sysinternals.com och söka vidare instruktioner hur man kör programmen RegDelNull och Reghide.

Med vänlig hälsning

Rolas

Hej Rolas!
Tyvärr så har jag inga kunskaper ang detta program. Och den loggan som du skickade med säger mig inte så vidare mycket tyvärr.

Som jag tidigare skrev i mitt inlägg ang bifogade filer så laddar jag inte ner dem hit till min privata dator. Lägger med informationen här igen.

Av säkerhetsskäl Vänligen lägg inte loggar eller annat som bifogade filer/inom taggar eller liknande. Våra privata datorer riskerar att utsättas för otyg om vi skall behöva sitta och ladda ner dessa bifogade filer/öppna upp dem hos oss för att sedan klistra in dem i inläggen. Dessutom så gör detta att det ger oss extra jobb som vi då istället kan lägga på att ge support.

Kopiera in dina loggar direkt i ditt inlägg så vi kan gå vidare. Tack.

MVH/Malou

Mars 31, 2009

Hej Rolas!

Varsegod och tack själv för att vi får hjälpa

Förlåt om jag gjort fel med de bifogade filerna men eftersom det finns en funktion när man svarar , där man laddar upp bifogade filer så trodde jag att det var meningen att den skulle användas för detta ändamål. Det var inte menigen att orsaka dig merarbete.

Ingen fara

Egentligen så har du inte gjort något fel så sett för den funktionen är ju till för att kunna bifoga eventuella filer m.m. Men då det gäller Loggar då är det av stor vikt att de kopieras/klistras in direkt i inlägget. Risken för att våra privata datorer smittas minimeras samt att vi då slipper merarbete Dessutom så underlättar det för oss som hjälper att direkt kunna läsa av loggarna då de ligger öppet.

Jag får kontakta www.sysinternals.com och söka vidare instruktioner hur man kör programmen RegDelNull och Reghide.

Jag håller tummarna för att du kan få bättre hjälp där med hur du skall använda detta program.

Tyvärr verkar det vara problem för samtliga rootscannerprogram som jag provat , ingen av dem hittar dessa koder. Det sägs också i handledningen till RegDelNull-programmet att det är det enda program som klarar det. Men jag tänkte att det kanske finns "vassare program" numera RegDelNull-programmet har copyright 2005-2006 och är väl utvecklad då.

Något problem tror jag dock inte att där är. Anledningen kan vara/är att alla olika verktyg/program hittar olika saker och definierar dem på olika sätt. Att de går ut med att RegDeNull är det enda programmet som klarar av att hitta tycker jag är lite väl starkt sagt. Finns inget verktyg/program som klarar allt.

Visst finns där vassare verktyg/program men bör dock inte användas i onödan om där inte finns någon anledning.

Om du har döpt om filen i TM HJT som jag bad om så gör gärna en ny scanniing och kopiera in loggan direkt i ditt inlägg så får jag se om jag kan hitta något som eventuellt behöver åtgärdas.

MVH/malou

Rolas · Mars 31, 2009

Hej Malou !

Jag har gjort en ny scanning och nedan kommer logfilen . ( Hoppas jag gjort rätt nu ) Snällt om du ser igenom den och berättar om det är ngt onormalt.

Jag har också virrat runt i ett gigantiskt forum hos Sysinternals och vad jag jag kan förstå då är det inte ngn direkt fara med dessa "embedded nulls" eftersom de vanligen inte innehåller ngt. Men det finn ju annat i registernycklarna som är fel.

Med vänlig hälsning / Rolas

Logfile for Rolas R1

Scan saved at 19:16:26, on 2009-03-31

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Telia\Telias sakerhetstjanster\Common\FSM32.EXE

C:\Program\Multimedia Card Reader\shwicon2k.exe

C:\program\scansoft\paperp~1\pptd40nt.exe

C:\Program\Telia\Supportassistent\bin\sprtcmd.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\RTHDCPL.EXE

C:\Program\Java\jre6\bin\jusched.exe

C:\Program\Windows Defender\MSASCui.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Messenger\msmsgs.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\Mamut ASA\Mamut Teamwork\Mamut Teamwork.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\FSGK32.EXE

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSMB32.EXE

C:\WINDOWS\system32\nvsvc32.exe

C:\Program\Telia\Supportassistent\bin\sprtsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FCH32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Common\FAMEH32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsqh.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fssm32.exe

C:\Program\Telia\Telias sakerhetstjanster\FSAUA\program\fsaua.exe

C:\Program\Telia\Telias sakerhetstjanster\FSGUI\fsguidll.exe

C:\Program\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

C:\Program\Telia\Telias sakerhetstjanster\FSAUA\program\fsus.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsav32.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\Program\Telia\Telias sakerhetstjanster\FSGUI\scanwizard.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Trend Micro\Rolas\Rolas.exe