[LÖST] Borttagning av rootkit: glaide32.sys

[Gäst yassin_2999]

*********************************************

2009-04-13:

Tråden är låst då problemet är löst.

Tycker du att den är felaktigt låst, var god kontakta

Malou

*********************************************

Hej på er!

Blev drabbad idag för någon timme sedan av någon slags backdoor rootkit som heter: glaide32.sys och lägger sig på: C:\WINDOWS\system32\drivers\glaide32.sys

Det började med att jag fick upp Windows Error - Ingen Disk...bla bla bla.

Då tänkte jag att det var pga av att jag hade uppdaterat ett mediaprogram. Efter 2 omstarter så märkte jag att alla mina hårdiskar förutom C: och alla kortläser bara försvann. Då misstänkte jag ohyra. Körde en snabbscan med Anti-Malware och den hittade trojan på platsen: C:\WINDOWS\system32\drivers\glaide32.sys

Då ville programmet att datorn skall startas om så att filen blir borttagen. Efter omstarten så ville inte XP ladda. PC:n bara startades om. Då gick jag in på Vista OS:et och nu kör jag en full scan på både XP och Vista hårddisken.

Jag kollade från Vista OS:et om filen glaide32.sys hade blivit borttagen men det hade den inte, så jag tog bort den manuellt. (Shift + Delete)

Jag återkommer med en HJT-logg så fort Anti-Malware är klart och jag kommer in i XP-delen.

Uppdaterad: Kommer inte in i XP-hårddisken, inte ens i felsäkertläge. Finns det något sett att få det fixat via Vista delen??

Uppdaterad info 2: LÅNG LEVE NORTON INTERNET SECURITY 2009 NIS tog bort den genom sökningen från Vista-delen. Nu är inne i XP-delen. Symantec....ni är bäst

Fråga: Hur kan man få sådant s k i t om man inte ens var ute på några sajter??? Man blir så irriterad

Jag ändrar status till LÖST eftersom åtgärden var en "Clean Install" av XP.

-----------------------------------------------------------------------

Loggen från Anti-Malware

Malwarebytes' Anti-Malware 1.36

Databasversion: 1952

Windows 5.1.2600 Service Pack 3

2009-04-08 19:50:38

mbam-log-2009-04-08 (19-50-38).txt

Skanningstyp: Snabb skanning

Antal skannade objekt: 70346

Förfluten tid: 3 minute(s), 22 second(s)

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 1

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

Infekterade registernycklar:

(Inga illasinnade poster hittades)

Infekterade registervärden:

(Inga illasinnade poster hittades)

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

Infekterade mappar:

(Inga illasinnade poster hittades)

Infekterade filer:

C:\WINDOWS\system32\drivers\glaide32.sys (Trojan.Agent) -> Delete on reboot.

-----------------------------------------------------------------------

Redigerad April 13, 2009 av Malou
Tråden är låst då problemet är löst:

[Sunshine]

Här en länk:

http://www.baidumsg.com/Howtoremove/Howtoremove_48651.html

Hoppas att det går bra!

[boxxen]

eller kanske http://www.bleepingcomputer.com/startups/glaide32-24147.html

[Gäst yassin_2999]

HJÄLP!!!

Jag kommer inte in i XP delen. Datorn bara startas om. Inte ens i felsäkert läge.

Vad göra????

Dessa filer har kommit till i drivers mappen:

[e-son]

Har du ett konstaterat rootkit finns bara en sak att göra om du vill vara helt säker på en ren dator.... ominstallation! En s.k. Clean Install!

[Gäst yassin_2999]

Har du ett konstaterat rootkit finns bara en sak att göra om du vill vara helt säker på en ren dator.... ominstallation! En s.k. Clean Install!

Nej...säg inte det. Finns det verkligen ingen annan väg? Kan jag prova med någon tidigare återställningspunkt? Innan något OS laddas så dyker det upp HP Setup, där kan man välja Systemåterställning. Kan man garantera att det är borta ???

[boxxen]

är det inte möjligt att gör en systemåterställning med skiva

[e-son]

Nej...säg inte det. Finns det verkligen ingen annan väg? Kan jag prova med någon tidigare återställningspunkt? Innan något OS laddas så dyker det upp HP Setup, där kan man välja Systemåterställning. Kan man garantera att det är borta ???

Som sagt... HELT säker kan du endast vara vid ominstallation! Vanlig systemåterställning lär inte funka! Personligen skulle jag t.o.m köra ett pass med killdisk eller liknande innan Clean Install!

Edit:

Får kanske tillägga att jag inte vet vad HP´s "Systemåterställning" innebär egentligen.... det kanske är en ominstallation!

[boxxen]

Som sagt... HELT säker kan du endast vara vid ominstallation! Systemåterställning lär inte funka! Personligen skulle jag t.o.m köra ett pass med killdisk eller liknande innan Clean Install!

hårt men sant

[Gäst yassin_2999]

Som sagt... HELT säker kan du endast vara vid ominstallation! Systemåterställning lär inte funka! Personligen skulle jag t.o.m köra ett pass med killdisk eller liknande innan Clean Install!

Oj oj oj...va är det som jag har fått

Vad är killdisk? Finns det någon guide? Har aldrig gjort det.

[e-son]

Oj oj oj...va är det som jag har fått

Vad är killdisk? Finns det någon guide? Har aldrig gjort det.

Killdisk är ett program som skriver över disken med nonsens-kod för att man inte skall kunna återskapa data! Det "raderar" alltså disken, på ett mer oåterkalleligt sätt än en formatering!

http://www.killdisk.com/

Men eftersom du har en märkesdator så kan man ju misstänka att du har någon form av garanti på den. I så fall rekommenderar jag dig att kontakta HP, för bättre info! Så du inte gör något som sätter garantin ur spel! Det vill jag inte ha på mitt samvete!

[boxxen]

http://blogs.technet.com/mmpc/archive/2008...32-rustock.aspx

[Gäst yassin_2999]

Killdisk är ett program som skriver över disken med nonsens-kod för att man inte skall kunna återskapa data! Det "raderar" alltså disken, på ett mer oåterkalleligt sätt än en formatering!

http://www.killdisk.com/

Men eftersom du har en märkesdator så kan man ju misstänka att du har någon form av garanti på den. I så fall rekommenderar jag dig att kontakta HP, för bättre info! Så du inte gör något som sätter garantin ur spel! Det vill jag inte ha på mitt samvete!

Okey...men jag har ingen garanti på den då det är ett HEM-PC och jag har friköpt den. Jag ska kolla på länken. Får väl använda återställningsskivorna.

[Gäst yassin_2999]

Uppdaterad info 2: LÅNG LEVE NORTON INTERNET SECURITY 2009

NIS tog bort den genom sökningen från Vista-delen. Nu är jag inne i XP-delen. Symantec....ni är bäst

[boxxen]

Uppdaterad info 2: LÅNG LEVE NORTON INTERNET SECURITY 2009

NIS tog bort den genom sökningen från Vista-delen. Nu är jag inne i XP-delen. Symantec....ni är bäst

nice..

[Gäst yassin_2999]

Till experten o snälle Malou...

Jag har kört en SDFix och jag tänkte fråga om du har lust o ta en titt på den. Den verkar ha hittat en del.

Liten fråga: I rapporten så står det t.ex [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovfsthflnsswucxiuyfwobrrnfipiqvdnkpbpf\main]

Innebär det då att det är borttaget, eller måste jag göra något??

Tack på förhand

---------------------------------------------------------------------------------------------------------------------------

SDFix-logg

SDFix: Version 1.240

Run by HP_garen on 2009-04-09 at 00:04

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Checking Services :

Restoring Default Security Values

Restoring Default Hosts File

Rebooting

Checking Files :

No Trojan Files Found

Removing Temp Files

ADS Check :

Final Check :

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-04-09 00:12:51

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovfsthflnsswucxiuyfwobrrnfipiqvdnkpbpf]

"start"=dword:00000001

"type"=dword:00000001

"group"="file system"

"imagepath"=str(2):"\systemroot\system32\drivers\ovfsthskdvjqlyuwktlutwbftuglcemtqjtxdd.sys"

"inst"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovfsthflnsswucxiuyfwobrrnfipiqvdnkpbpf\main]

"ver"="icv310309"

"cid"="01"

"bid"="961687-773987673-2424474431-46747022"

"aid"="303552"

"sid"="159"

"feed"=hex:22,64,78,36,3c,2e,3b,29,39,3b,3b,3a,04,4f,01,0c,09,65

"cmddelay"=dword:00003841

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovfsthflnsswucxiuyfwobrrnfipiqvdnkpbpf\modules]

"ovfsth.dll"="\systemroot\system32\ovfsthmqbathwstegvelnmdqxyllaaapxplxrm.dll"

"ovfsth.sys"="\systemroot\system32\drivers\ovfsthskdvjqlyuwktlutwbftuglcemtqjtxdd.sys"

"ovfsthlog.dat"="\systemroot\system32\ovfsthiofxhcppbenlbmiooexaknlmdtiiqeuo.dat"

"ovfsthwi.dll"="\systemroot\system32\ovfsthoqxneyhxsdupvahylvwsupwpldmfiqno.dll"

"ovfsthff.dll"="\systemroot\system32\ovfsthggiegrraqknbtarbquxtlrnmyelpyanm.dll"

"ovfsth.dat"="\systemroot\system32\ovfsthivmsdglnuusqkkbhwexhbmsdegbcsywi.dat"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:2df9c43f

"s2"=dword:110480d0

"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program\DAEMON Tools Lite\"

"h0"=dword:00000000

"khjeh"=hex:9e,d5,47,e7,3a,70,6d,f6,19,34,c4,d0,15,74,76,90,16,73,78,da,7e,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,58,2e,d6,81,39,de,b4,2d,58,a4,80,c1,dc,fb,3a,4c,7e,..

"khjeh"=hex:8c,43,33,25,cf,6e,31,2e,d9,ea,bc,8e,60,01,b2,d5,b5,d4,31,bd,d3,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:3c,fb,60,aa,aa,67,1c,9d,df,02,c8,88,70,d4,de,20,b3,7a,f7,04,87,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ovfsthflnsswucxiuyfwobrrnfipiqvdnkpbpf]

"start"=dword:00000001

"type"=dword:00000001

"group"="file system"

"imagepath"=str(2):"\systemroot\system32\drivers\ovfsthskdvjqlyuwktlutwbftuglcemtqjtxdd.sys"

"inst"=dword:00000000

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ovfsthflnsswucxiuyfwobrrnfipiqvdnkpbpf\main]

"ver"="icv310309"

"cid"="01"

"bid"="961687-773987673-2424474431-46747022"

"aid"="303552"

"sid"="159"

"feed"=hex:22,64,78,36,3c,2e,3b,29,39,3b,3b,3a,04,4f,01,0c,09,65

"cmddelay"=dword:00003841

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\ovfsthflnsswucxiuyfwobrrnfipiqvdnkpbpf\modules]

"ovfsth.dll"="\systemroot\system32\ovfsthmqbathwstegvelnmdqxyllaaapxplxrm.dll"

"ovfsth.sys"="\systemroot\system32\drivers\ovfsthskdvjqlyuwktlutwbftuglcemtqjtxdd.sys"

"ovfsthlog.dat"="\systemroot\system32\ovfsthiofxhcppbenlbmiooexaknlmdtiiqeuo.dat"

"ovfsthwi.dll"="\systemroot\system32\ovfsthoqxneyhxsdupvahylvwsupwpldmfiqno.dll"

"ovfsthff.dll"="\systemroot\system32\ovfsthggiegrraqknbtarbquxtlrnmyelpyanm.dll"

"ovfsth.dat"="\systemroot\system32\ovfsthivmsdglnuusqkkbhwexhbmsdegbcsywi.dat"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program\DAEMON Tools Lite\"

"h0"=dword:00000000

"khjeh"=hex:9e,d5,47,e7,3a,70,6d,f6,19,34,c4,d0,15,74,76,90,16,73,78,da,7e,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,58,2e,d6,81,39,de,b4,2d,58,a4,80,c1,dc,fb,3a,4c,7e,..

"khjeh"=hex:8c,43,33,25,cf,6e,31,2e,d9,ea,bc,8e,60,01,b2,d5,b5,d4,31,bd,d3,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:3c,fb,60,aa,aa,67,1c,9d,df,02,c8,88,70,d4,de,20,b3,7a,f7,04,87,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Remaining Services :

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program\\Bonjour\\mDNSResponder.exe"="C:\\Program\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"

"C:\\Program\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe"="C:\\Program\\Activision\\Call of Duty 4 - Modern Warfare\\iw3mp.exe:*:Enabled:Call of Duty® 4 - Modern Warfare "

"C:\\Program\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe"="C:\\Program\\Electronic Arts\\Crytek\\Crysis\\Bin32\\Crysis.exe:*:Enabled:Crysis_32"

"C:\\Program\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe"="C:\\Program\\Electronic Arts\\Crytek\\Crysis\\Bin32\\CrysisDedicatedServer.exe:*:Enabled:CrysisDedicatedServer_32"

"C:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

"C:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"="C:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe:*:Enabled:Fjrrhjlp - Windows Messenger och tal"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"="C:\\Program\\Windows Live\\Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger"

Remaining Files :

Files with Hidden Attributes :

Fri 2 Jan 2009 438 ...H. --- "C:\Boot.BAK"

Mon 14 Apr 2008 1,695,232 ..SH. --- "C:\Program\Messenger\msmsgs.exe"

Sat 16 Dec 2006 22 A.SH. --- "C:\WINDOWS\SMINST\HPCD.SYS"

Tue 24 Mar 2009 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Fri 2 Jan 2009 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Fri 2 Jan 2009 2,870,824 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\4091dc268a38ee6eb541321da23577a4\BIT2.tmp"

Tue 24 Feb 2009 5,103,130 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\61f5674d553d7224ba9ef574c16765ec\download\BIT38.tmp"

Finished!

--------------------------------------------------------------------------------------------------------------------------------------

[Gäst Malou]

Hej yassin_2999!

Ser att du har ropat på mig här i tråden Men ser också att där har postats en massa röriga inlägg och är inte speciellt förtjust i att arbeta/ge support i sådana trådar då jag vill ha rena snygga systemrensningstrådar där vi kan få arbeta ostört då koncentration till 100% behövs.

Men vi kan göra ett försök så får vi se så att allt inte har rörts till för mycket här

********************************************************************************

Jag har kört en SDFix och jag tänkte fråga om du har lust o ta en titt på den. Den verkar ha hittat en del.

Av vilken anledning har du kört detta verktyg?

Och hur gick du tillväga då du använde verktyget?

Följde du instruktionen du fann hos BleepingComputer.com?

Vad jag kan se så har den inte åtgärdat något.

1: Uppdatera Malwarebytes' Anti-Malware

2: Starta programmet => välj Utför snabb scanning

3: Klicka på knappen Scanna

4: Scanningen kommer nu att ta en stund

5: När programmet scannat klart klicka Ok och sedan Visa resultat

6: Bocka för allt och klicka på Remove Selected

7: Då borttagningen är klar kommer en textfil i Anteckningar att öppnas upp med en logg. Kopiera/klistra in den loggan hit till din tråd.

8: Gör en ny TM HJT-logga kopiera in den hit så får vi se hur den ser ut.

9: Berätta/Tala om hur datorn mår och om där kvarstår problem

MVH/Malou

[Gäst yassin_2999]

Hej Malou!

Ursäkta röran, men det vart så himla mycket på en gång.

Svar på dina frågor:

Av vilken anledning har du kört detta verktyg?

Svar: När jag google efter glaide32.sys så stod det på BleepingComputer.com att den kan eliminera det.

Och hur gick du tillväga då du använde verktyget?

Följde du instruktionen du fann hos BleepingComputer.com?

Svar: Japp, steg för steg.

Jag sitter just nu jobbet, men så fort jag kommer hem så fixar jag en snabb skann med Anti-Malware och en ny HJT-logg. Tack för din tid

Tillägg: Igår efter att SDix var klar så körde jag 2-3 snabb skann med Anti-Malware och den hittade inget.

[Gäst Malou]

Hej yassin_2999!

Varsegod!

Ursäkta röran, men det vart så himla mycket på en gång.

Jag förstår. Mycket lätt att det blir så

Svar på dina frågor:

Av vilken anledning har du kört detta verktyg?

Svar: När jag google efter glaide32.sys så stod det på BleepingComputer.com att den kan eliminera det.

Och hur gick du tillväga då du använde verktyget?

Följde du instruktionen du fann hos BleepingComputer.com?

Svar: Japp, steg för steg.

Ok mycket bra.

Jag sitter just nu jobbet, men så fort jag kommer hem så fixar jag en snabb skann med Anti-Malware och en ny HJT-logg. Tack för din tid smile.gif

Tillägg: Igår efter att SDix var klar så körde jag 2-3 snabb skann med Anti-Malware och den hittade inget.

Mycket bra att inget hittades längre av Malwarebytes.

Du återkommer då du har tid med nya loggar. Utifrån dessa så går vi vidare eventuellt med lite skarpare verktyg om så behövs.

Det är enbart operativsystemet XP som är/varit drabbad?

Det är loggar från detta system som har postats här?

MVH/Malou

[Gäst yassin_2999]

Hej Malou!

Tack för din respons

Det är enbart operativsystemet XP som är/varit drabbad?

Det är loggar från detta system som har postats här?

Ja, det är bara XP-systemet som hade blivit infekterat.

Nu har jag kört Anti-Malware och HJT, så här kommer loggarna:

--------------------------------------------------------------------------------------

Malwarebytes' Anti-Malware 1.36

Databasversion: 1958

Windows 5.1.2600 Service Pack 3

2009-04-09 15:27:40

mbam-log-2009-04-09 (15-27-40).txt

Skanningstyp: Snabb skanning

Antal skannade objekt: 69485

Förfluten tid: 4 minute(s), 17 second(s)

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

Infekterade registernycklar:

(Inga illasinnade poster hittades)

Infekterade registervärden:

(Inga illasinnade poster hittades)

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

Infekterade mappar:

(Inga illasinnade poster hittades)

Infekterade filer:

(Inga illasinnade poster hittades)

--------------------------------------------------------------------------------------

--------------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:31:58, on 2009-04-09

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\windows\system\hpsysdrv.exe

C:\WINDOWS\AGRSMMSG.exe

C:\WINDOWS\system32\hphmon06.exe

C:\HP\KBD\KBD.EXE

C:\Program\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE

C:\Program\HP\HP Software Update\HPWuSchd2.exe

C:\WINDOWS\CTHELPER.EXE

C:\Program\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program\LSI SoftModem\agrsmsvc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\CTSvcCDA.EXE

C:\Program\eBoostr\EBstrSvc.exe

C:\Program\Java\jre6\bin\jqs.exe

c:\Program\Delade filer\LightScribe\LSSrvc.exe

C:\Program\eBoostr\eBoostrCP.exe

C:\Program\Logitech\SetPoint\SetPoint.exe

C:\Program\Delade filer\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program\Norton Internet Security\Engine\16.5.0.134\ccSvcHst.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Norton Internet Security\Engine\16.5.0.134\ccSvcHst.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Trend Micro\HijackThis\Rensare.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.yahoo.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://ie.redirect.hp.com/svs/rdr?TYPE=3&a...&pf=desktop

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program\Norton Internet Security\Engine\16.5.0.134\IPSBHO.DLL

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: HP-vy - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program\HP\Digital Imaging\bin\HPDTLK02.dll

O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll

O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe

O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe

O4 - HKLM\..\Run: [HPHUPD06] c:\Program\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe

O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe

O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe

O4 - HKLM\..\Run: [CTDVDDET] C:\Program\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [HP Software Update] C:\Program\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [msnmsgr] "C:\Program\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [TransBar] C:\Program\AKSoftware\TransBar\TransBar.exe /s

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [setDefaultMIDI] MIDIDef.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [setDefaultMIDI] MIDIDEF.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [setDefaultMIDI] MIDIDef.exe (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [setDefaultMIDI] MIDIDEF.EXE (User 'Default user')

O4 - Global Startup: eBoostr Control Panel.lnk = C:\Program\eBoostr\eBoostrCP.exe

O4 - Global Startup: Logitech SetPoint.lnk = C:\Program\Logitech\SetPoint\SetPoint.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~4\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~4\Office12\REFIEBAR.DLL

O9 - Extra button: Hjälp med anslutning - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Hjälp med anslutning - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra button: Hjälp med anslutning - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (HKCU)

O9 - Extra 'Tools' menuitem: Hjälp med anslutning - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm (HKCU)

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w3/resources/MSNPUpld.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdat...b?1230857471859

O16 - DPF: {8F48147B-78D9-40F9-ACC0-BDDE59B246F4} (AccountHelper Class) - http://www.tele2mail.com/static/apps/utils/AccountHelper.cab

O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} - http://service.futuremark.com/virtualmark/tc/FMSI.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O18 - Protocol: symres - {AA1061FE-6C41-421F-9344-69640C9732AB} - C:\Program\Norton Internet Security\Engine\16.5.0.134\coIEPlg.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Program\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\Program\LSI SoftModem\agrsmsvc.exe

O23 - Service: Background Intelligent Transfer Service (BITS) - Unknown owner - C:\WINDOWS\

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTSvcCDA.EXE

O23 - Service: eBoostr Service (EBOOSTRSVC) - eBoostr.com - C:\Program\eBoostr\EBstrSvc.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program\Delade filer\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program\Delade filer\Logishrd\Bluetooth\LBTServ.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program\Delade filer\LightScribe\LSSrvc.exe

O23 - Service: Norton Internet Security - Symantec Corporation - C:\Program\Norton Internet Security\Engine\16.5.0.134\ccSvcHst.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Automatic Updates (wuauserv) - Unknown owner - C:\WINDOWS\

--

End of file - 10385 bytes

[Gäst Malou]

Hej yassin_2999!

Varsegod och tack själv

Ja, det är bara XP-systemet som hade blivit infekterat.

Ok jättebra då vet jag.

Malwarebytes' Anti-Malware och TM HJT-loggarna ser ren och fina ut. Mycket bra.

Vi gör en extrakontroll med hjälp av Avenger:

Steg 1:

Skriv ut nedanstående eller kopiera det till ett textdokument och spara det till skrivbordet:

Läs/Följ instruktionerna mycket noga:

Hämta hem Avenger från nedanstående länk:

http://swandog46.geekstogo.com/avenger.exe

1: Spara ner den till skrivbordet

2: Starta Avenger genom att dubbelklicka på den.

(För Vista-användare: Högerklicka och välj Kör som Administratör:)

kärmdumpen är klickbar för större format:

3: Bocka i rutan Scan for rootkits om den inte redan är ibockad.

4: Klicka på Execute för att starta det.

5: Datorn startar nu om (Kan eventuellt starta om två gånger).

6: Efter en liten stund så dyker en text-logga upp, om inte så finns den att hitta här => (C:\avenger.txt)

7: Kopiera och Klistra in Avenger-loggan hit till din tråd.

8: Gör en ny TM HJT-logga, kopiera in även den

9: Berätta/Tala om hur datorn mår.

MVH/Malou

[Gäst yassin_2999]

Hej Malou!

Ursäkta för det sena svaret om hur det går.

Tyvärr så funkade inte datorn så bra efter SDfix körningen. Hela explorer slutade att fungera. Så jag bestämde mig att köra en Clean Install av XP. Nu är tillbaka online och allt fungerar så fint.

Tack igen för din hjälp.

Som jag brukar säga: "A true spyhunter...you are"

[Gäst Malou]

Hej yassin_2999!

Ingen fara är själv sent ute med att svara

Varsegod och tack själv för att vi får hjälpa.

Tyvärr så funkade inte datorn så bra efter SDfix körningen. Hela explorer slutade att fungera. Så jag bestämde mig att köra en Clean Install av XP. Nu är tillbaka online och allt fungerar så fint.

Ok mycket tråkigt att höra att det skulle behövas till en sådan åtgärd. Lite synd att du använde SDFix på eget bevåg.

Men oavsett vad så är det härligt att höra att du fått ordning på datorn med en Clean Install av ditt system och att du nu är tillbaka igen Ingenting ont som har något gott med sig heter det ju.

Ha det så bra och var nu rädd om datorn

MVH/Malou

[Gäst yassin_2999]

Hej yassin_2999!

Ingen fara är själv sent ute med att svara

Varsegod och tack själv för att vi får hjälpa.

Ok mycket tråkigt att höra att det skulle behövas till en sådan åtgärd. Lite synd att du använde SDFix på eget bevåg.

Men oavsett vad så är det härligt att höra att du fått ordning på datorn med en Clean Install av ditt system och att du nu är tillbaka igen Ingenting ont som har något gott med sig heter det ju.

Ha det så bra och var nu rädd om datorn

MVH/Malou

Tack igen Malou och tro mig...jag kommer härdanefter inte göra något innan jag frågar Malou "experten".

Lite grej att notera: Anti-Malware brukade ta runt 20-25 min att köra en snabb skann, men efter den nya formateringen så är jag tillbaka på 3 min.

/yassin_2999/