Jump to content

Recommended Posts

Posted (edited)

Jag körde en komplett scanning av datorn (XP Home SP3) med programmet Superantispyware Free Edition och fann till stor förvåning att det hittade trojanen Hugipon på 64 ställen i registret. Lite Googlande gav egentligen inget svar på vad trojanen Hugipon är, äkta trojan eller F.P. Inte ens SAS hemsida gav något svar på det.

Jag lät SAS lägga dom i karantän vilket verkade lyckas. Jag har inte märkt något av trojanen Hugipon innan SAS "slog larm". Mitt virusprogram NOD32 har inte reagerat på det.

Vad är trojanen Hugipon? Finns det någon på forumet som kan bringa klarhet? :blink:

Edited by Malou
Rubrik/Topic förtydligad:
Guest Malou
Posted

Hej Gepe!

Vad är trojanen Hugipon? Finns det någon på forumet som kan bringa klarhet? :blink:

Skall se om jag kan bringa någon klarhet i detta efter jag sökt runt för att se om där finns någon tillförlitlig information att finna.

Kan Superantispyware ge någon hänvisning om var någonstans i systemet detta hittades?

Finns där även någon sökväg till den eventuella filen/programmet som skall vara infekterad?

//Malou

Guest Malou
Posted

Hej Gepe!

Verkar som att de vet om att SUPERAntiSpyware detekterar detta sedan den sista uppdateringen av programmet.

SASService skrev:

The answer is less simple. We know the registry entries are associated with malware, but it's possible they're also associated with legitimate products. Alone, they aren't a threat, so we've changed the detection to "notify." SUPERAntiSpyware will report that it's there, but won't automatically mark them for removal unless you select them.

If you know of a legitimate program on your system that's using a 6to4 relay, it's safe to leave them in place (and we'd like to know what program it is). If not, it could indicate trouble.

http://forums.superantispyware.com/viewtop...db&start=15

Skall söka vidare och se om jag hittar ytterligare

//Malou

Guest Malou
Posted

Hej Gepe!

Kan du kopiera in loggan från SUPERAntiSpyware så skall jag skicka den vidare för att se om där är något nytt eller om det är en F/P?

//Malou

Posted

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

Generated 06/12/2009 at 03:29 PM

Application Version : 4.26.1000

Core Rules Database Version : 3936

Trace Rules Database Version: 1879

Scan type : Complete Scan

Total Scan Time : 00:45:07

Memory items scanned : 422

Memory threats detected : 0

Registry items scanned : 5253

Registry threats detected : 64

File items scanned : 37462

File threats detected : 0

Trojan.Hugipon

HKLM\System\CONTROLSET002\SERVICES\6TO4

HKLM\System\CONTROLSET002\SERVICES\6TO4#Type

HKLM\System\CONTROLSET002\SERVICES\6TO4#Start

HKLM\System\CONTROLSET002\SERVICES\6TO4#ErrorControl

HKLM\System\CONTROLSET002\SERVICES\6TO4#ImagePath

HKLM\System\CONTROLSET002\SERVICES\6TO4#DisplayName

HKLM\System\CONTROLSET002\SERVICES\6TO4#DependOnService

HKLM\System\CONTROLSET002\SERVICES\6TO4#DependOnGroup

HKLM\System\CONTROLSET002\SERVICES\6TO4#ObjectName

HKLM\System\CONTROLSET002\SERVICES\6TO4\Config

HKLM\System\CONTROLSET002\SERVICES\6TO4\Interfaces

HKLM\System\CONTROLSET002\SERVICES\6TO4\Parameters

HKLM\System\CONTROLSET002\SERVICES\6TO4\Parameters#ServiceDll

HKLM\System\CONTROLSET002\SERVICES\6TO4\Security

HKLM\System\CONTROLSET003\SERVICES\6TO4

HKLM\System\CONTROLSET003\SERVICES\6TO4#Type

HKLM\System\CONTROLSET003\SERVICES\6TO4#Start

HKLM\System\CONTROLSET003\SERVICES\6TO4#ErrorControl

HKLM\System\CONTROLSET003\SERVICES\6TO4#ImagePath

HKLM\System\CONTROLSET003\SERVICES\6TO4#DisplayName

HKLM\System\CONTROLSET003\SERVICES\6TO4#DependOnService

HKLM\System\CONTROLSET003\SERVICES\6TO4#DependOnGroup

HKLM\System\CONTROLSET003\SERVICES\6TO4#ObjectName

HKLM\System\CONTROLSET003\SERVICES\6TO4\Config

HKLM\System\CONTROLSET003\SERVICES\6TO4\Interfaces

HKLM\System\CONTROLSET003\SERVICES\6TO4\Parameters

HKLM\System\CONTROLSET003\SERVICES\6TO4\Parameters#ServiceDll

HKLM\System\CONTROLSET003\SERVICES\6TO4\Security

HKLM\System\CONTROLSET003\SERVICES\6TO4\Enum

HKLM\System\CONTROLSET003\SERVICES\6TO4\Enum#0

HKLM\System\CONTROLSET003\SERVICES\6TO4\Enum#Count

HKLM\System\CONTROLSET003\SERVICES\6TO4\Enum#NextInstance

HKLM\System\CONTROLSET004\SERVICES\6TO4

HKLM\System\CONTROLSET004\SERVICES\6TO4#Type

HKLM\System\CONTROLSET004\SERVICES\6TO4#Start

HKLM\System\CONTROLSET004\SERVICES\6TO4#ErrorControl

HKLM\System\CONTROLSET004\SERVICES\6TO4#ImagePath

HKLM\System\CONTROLSET004\SERVICES\6TO4#DisplayName

HKLM\System\CONTROLSET004\SERVICES\6TO4#DependOnService

HKLM\System\CONTROLSET004\SERVICES\6TO4#DependOnGroup

HKLM\System\CONTROLSET004\SERVICES\6TO4#ObjectName

HKLM\System\CONTROLSET004\SERVICES\6TO4\Config

HKLM\System\CONTROLSET004\SERVICES\6TO4\Interfaces

HKLM\System\CONTROLSET004\SERVICES\6TO4\Parameters

HKLM\System\CONTROLSET004\SERVICES\6TO4\Parameters#ServiceDll

HKLM\System\CONTROLSET004\SERVICES\6TO4\Security

HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4

HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4#Type

HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4#Start

HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4#ErrorControl

HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4#ImagePath

HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4#DisplayName

HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4#DependOnService

HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4#DependOnGroup

HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4#ObjectName

HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4\Config

HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4\Interfaces

HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4\Parameters

HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4\Parameters#ServiceDll

HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4\Security

HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4\Enum

HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4\Enum#0

HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4\Enum#Count

HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4\Enum#NextInstance

Nu lyckades jag hitta loggen och kopiera in den.

Guest Malou
Posted

Hej Gepe!

Tack för loggan ;)

Har kopierat den och skickat den vidare. Återkommer då jag vet mer ;)

Hur mår datorn för övrigt?

Några problem?

//Malou

Posted
Hej Gepe!

Tack för loggan ;)

Har kopierat den och skickat den vidare. Återkommer då jag vet mer ;)

Hur mår datorn för övrigt?

Några problem?

//Malou

Jag fick faktiskt två BSOD när jag skulle starta upp XP efter att ha kört windows 7 idag. Jag körde då "senast fungerande konfiguration" och sedan gick datorn som vanligt. Jag har därefter diskskannat hela datorn utan några hittade diskfel. När jag därefter körde SuperAntispyware så hittade det "trojanen". Jag är tveksam om det finns ett samband med BSOD:en jag fick. :blink:

Superantispyware lyckades iallafall lägga "trojanen" i karantän. Det hittar inget vid upprepade skanningar.

Guest Malou
Posted
Jag fick faktiskt två BSOD när jag skulle starta upp XP efter att ha kört windows 7 idag. Jag körde då "senast fungerande konfiguration" och sedan gick datorn som vanligt. Jag har därefter diskskannat hela datorn utan några hittade diskfel. När jag därefter körde SuperAntispyware så hittade det "trojanen". Jag är tveksam om det finns ett samband med BSOD:en jag fick. :blink:

Superantispyware lyckades iallafall lägga "trojanen" i karantän. Det hittar inget vid upprepade skanningar.

Ok.

Låt detta ligga kvar i dess karantän tills vi vet mer om vad det kan vara för något (Troligen en F/P).

Vi kan ju se om DDS visar på något under tiden vi väntar på svar som kan dröja (pga tidsskillnaden).

Hämta hem DDS:

http://download.bleepingcomputer.com/sUBs/dds.scr

1: Spara den till skrivbordet

2: Dubbelklicka på dds.scr för att starta verktyget.

3: Klicka Yes/Ja på frågan om Optional Scan

4: När DDS har scannat klart kommer där att dyka upp två textfiler DSS.txt och Attach.txt

5: Spara dessa till ditt skrivbord

4: Kopiera/Klistra in de båda loggarna DSS.txt och Attach.txt hit till din tråd.

//Malou

Posted

Jag var tvungen att stänga av brandväggen Online Armor för att få programmet att fungera. Här är loggarna:

UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.

IF REQUESTED, ZIP IT UP & ATTACH IT

DDS (Ver_09-05-14.01)

Microsoft Windows XP Home Edition

Boot Device: \Device\HarddiskVolume1

Install Date: 2008-09-08 19:11:00

System Uptime: 2009-06-12 19:32:27 (0 hours ago)

Motherboard: FUJITSU SIEMENS | | P5SD1-FM2

Processor: Intel® Pentium® 4 CPU 3.06GHz | LGA 775 | 3065/133mhz

==== Disk Partitions =========================

C: is FIXED (NTFS) - 29 GiB total, 22,373 GiB free.

D: is FIXED (NTFS) - 120 GiB total, 117,42 GiB free.

E: is FIXED (NTFS) - 117 GiB total, 68,221 GiB free.

F: is FIXED (NTFS) - 30 GiB total, 17,452 GiB free.

G: is FIXED (FAT32) - 2 GiB total, 0,973 GiB free.

H: is FIXED (NTFS) - 233 GiB total, 147,564 GiB free.

I: is CDROM ()

J: is Removable

K: is Removable

L: is Removable

M: is Removable

O: is CDROM ()

==== Disabled Device Manager Items =============

Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318}

Description: SiS191 100/10 Ethernet Device

Device ID: PCI\VEN_1039&DEV_0191&SUBSYS_81391043&REV_00\3&267A616A&0&20

Manufacturer: Silicon Integrated Systems Corp.

Name: SiS191 100/10 Ethernet Device

PNP Device ID: PCI\VEN_1039&DEV_0191&SUBSYS_81391043&REV_00\3&267A616A&0&20

Service: SiSGbeXP

==== System Restore Points ===================

No restore point in system.

==== Installed Programs ======================

3100_3200_3300_Help

3100_3200_3300trb

3200

Adobe Flash Player 10 ActiveX

Adobe Flash Player 10 Plugin

Advanced SystemCare 3

AiO_Scan_CDA

AiOSoftwareNPI

Atheros Client Installation Program

BufferChm

Cacheman 5.50

CCleaner (remove only)

CP_CalendarTemplates1

cp_OnlineProjectsConfig

CP_Package_Basic1

CP_Panorama1Config

cp_PosterPrintConfig

Creative Audio Console

Creative Software AutoUpdate

CueTour

CustomerResearchQFolder

Destinations

DeviceManagementQFolder

DocProc

DocProcQFolder

DocumentViewer

DocumentViewerQFolder

DriveImage XML (Private Edition)

EASEUS Partition Master 3.5 Professional

EMCO MoveOnBoot

ERUNT 1.1j

ESET NOD32 Antivirus

eSupportQFolder

Exact Audio Copy 0.99pb4

Fax_CDA

foobar2000 v0.9.6.8

Foxit Reader

FullDPAppQFolder

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)

HP Customer Participation Program 7.0

HP Document Viewer 7.0

HP Imaging Device Functions 7.0

HP Photosmart Premier Software 6.5

HP Photosmart, Officejet and Deskjet 7.0.A

HP Product Assistant

HP Solution Center 7.0

HP Update

HPPhotoSmartExpress

HPProductAssistant

iCD CoolBeLa (Swedish)

ImgBurn

InstantShareDevices

InstantShareDevicesMFC

IZArc 4.0 beta 1

Java 6 Update 13

jetMailMonitor

K-Lite Codec Pack 4.1.7 (Standard)

MarketResearch

Microsoft .NET Framework 1.1

Microsoft .NET Framework 1.1 Hotfix (KB928366)

Microsoft .NET Framework 1.1 Swedish Language Pack

Microsoft .NET Framework 2.0 Service Pack 2

Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - SVE

Microsoft .NET Framework 3.0 Service Pack 2

Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - SVE

Microsoft .NET Framework 3.0 Swedish Language Pack

Microsoft .NET Framework 3.5 Language Pack SP1 - sve

Microsoft .NET Framework 3.5 SP1

Microsoft Compression Client Pack 1.0 for Windows XP

Microsoft Internationalized Domain Names Mitigation APIs

Microsoft National Language Support Downlevel APIs

Microsoft Picture It! 2000

Microsoft User-Mode Driver Framework Feature Pack 1.0

Microsoft Visual C++ 2005 Redistributable

Microsoft Word 2000

Microsoft Works 2000

Mozilla Firefox (3.0.5)

MSXML 4.0 SP2 (KB936181)

MSXML 4.0 SP2 (KB954430)

MSXML 6.0 Parser (KB925673)

Nero 6 Enterprise Edition

NewCopy_CDA

nLite 1.4.9.1

NVIDIA Drivers

NVIDIA PhysX

OCR Software by I.R.I.S 7.0

Online Armor 3.5

PanoStandAlone

PhotoGallery

ProductContextNPI

QuickTime Alternative 2.7.0

RandMap

Readme

Real Alternative 1.8.4

Revo Uninstaller 1.83

Scan

ScannerCopy

SkinsHP1

SlideShow

Smart Defrag 1.11

Säkerhetsuppdatering för Windows Internet Explorer 7 (KB938127-v2)

Säkerhetsuppdatering för Windows Internet Explorer 7 (KB953838)

Säkerhetsuppdatering för Windows Internet Explorer 7 (KB956390)

Säkerhetsuppdatering för Windows Internet Explorer 7 (KB958215)

Säkerhetsuppdatering för Windows Internet Explorer 7 (KB960714)

Säkerhetsuppdatering för Windows Internet Explorer 7 (KB961260)

Säkerhetsuppdatering för Windows Internet Explorer 8 (KB969897)

Säkerhetsuppdatering för Windows XP (KB961501)

Säkerhetsuppdatering för Windows XP (KB968537)

Säkerhetsuppdatering för Windows XP (KB969898)

Säkerhetsuppdatering för Windows XP (KB970238)

SolutionCenter

Sonic_PrimoSDK

Spotify

Språkpaket för Microsoft .NET Framework 3.5 SP 1 - sve

SpywareBlaster 4.2

Startprogram för installationsprogrammet för Microsoft Works 2000

Status

SUPERAntiSpyware Free Edition

System Requirements Lab

TigoTago

Toolbox

TrayApp

TuneUp Utilities 2007

UnderCoverXP 1.19

Unload

Uppdatering för Windows Internet Explorer 8 (KB968220)

Uppdatering för Windows Internet Explorer 8 (KB969497)

Uppdatering för Windows Internet Explorer 8 (KB971180)

User Profile Hive Cleanup Service

WebFldrs XP

WebReg

ViewSonic Monitor Drivers

ViewSonic Windows XP Signed Files

Windows Internet Explorer 8

Windows Media Format 11 runtime

Windows Media Player 11

Windows Presentation Foundation

Windows Presentation Foundation Language Pack (SVE)

Wise Registry Cleaner 4 Professional V4.22

Word i Works Suite-tillägg

XML Paper Specification Shared Components Language Pack 1.0

XML Paper Specification Shared Components Pack 1.0

Zune Desktop Theme

==== End Of File ===========================

DDS (Ver_09-05-14.01) - NTFSx86

Run by Gran at 19:38:29,98 on 2009-06-12

Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_13

Microsoft Windows XP Home Edition 5.1.2600.3.1252.46.1053.18.2047.1589 [GMT 2:00]

AV: ESET NOD32 Antivirus 4.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

FW: Online Armor Firewall *disabled* {B797DAA0-7E2E-4711-8BB3-D12744F1922A}

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

D:\Program\Tall Emu\Online Armor\OAcat.exe

D:\Program\Tall Emu\Online Armor\oasrv.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\acs.exe

C:\Program\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

D:\Program\UPHClean\uphclean.exe

D:\Program\Atheros\ACU.exe

D:\Program\IObit\IObit SmartDefrag\IObit SmartDefrag.exe

C:\Program\ESET\ESET NOD32 Antivirus\egui.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

D:\Program\IObit\Advanced SystemCare 3\AWC.exe

D:\Program\JetMailMonitor\JetMM.exe

C:\WINDOWS\system32\wbem\wmiapsrv.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Documents and Settings\Göran\Skrivbord\dds.scr

============== Pseudo HJT Report ===============

uStart Page = hxxp://www.ekuriren.se/

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

uRun: [ccleaner] "d:\program\ccleaner\CCleaner.exe" /AUTO

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

uRun: [Advanced SystemCare 3] "d:\program\iobit\advanced systemcare 3\AWC.exe" /startup

mRun: [ACU] d:\program\atheros\ACU.exe -nogui

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [smartDefrag] "d:\program\iobit\iobit smartdefrag\IObit SmartDefrag.exe" /StartUp

mRun: [egui] "c:\program\eset\eset nod32 antivirus\egui.exe" /hide /waitservice

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [@OnlineArmor GUI] "d:\program\tall emu\online armor\oaui.exe"

mRun: [sunJavaUpdateSched] "c:\program\java\jre6\bin\jusched.exe"

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\jetmai~1.lnk - d:\program\jetmailmonitor\JetMM.exe

uPolicies-explorer: NoActiveDesktop = 00000000

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab

DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} - hxxp://service.futuremark.com/virtualmark/tc/FMSI.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

Notify: !SASWinLogon - d:\program\superantispyware\SASWINLO.DLL

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

SEH: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - No File

SEH: OA Shell Helper: {4f07da45-8170-4859-9b5f-037ef2970034} - d:\program\tall emu\online armor\oaevent.dll

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\gran~1\applic~1\mozilla\firefox\profiles\6e4bpcv1.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.ekuriren.se/

FF - plugin: d:\program\real alternative\browser\plugins\nppl3260.dll

FF - plugin: d:\program\real alternative\browser\plugins\nprpjplug.dll

---- FIREFOX POLICIES ----

FF - user.js: browser.cache.memory.capacity - 65536

FF - user.js: browser.chrome.favicons - fales

FF - user.js: browser.display.show_image_placeholders - true

FF - user.js: browser.turbo.enabled - true

FF - user.js: browser.urlbar.autocomplete.enabled - true

FF - user.js: browser.urlbar.autofill - true

FF - user.js: content.interrupt.parsing - true

FF - user.js: content.max.tokenizing.time - 2250000

FF - user.js: content.notify.backoffcount - 5

FF - user.js: content.notify.interval - 750000

FF - user.js: content.notify.ontimer - true

FF - user.js: content.switch.threshold - 750000

FF - user.js: network.http.max-connections - 48

FF - user.js: network.http.max-connections-per-server - 16

FF - user.js: network.http.max-persistent-connections-per-proxy - 16

FF - user.js: network.http.max-persistent-connections-per-server - 8

FF - user.js: network.http.pipelining - true

FF - user.js: network.http.pipelining.firstrequest - true

FF - user.js: network.http.pipelining.maxrequests - 8

FF - user.js: network.http.proxy.pipelining - true

FF - user.js: network.http.request.max-start-delay - 0

FF - user.js: nglayout.initialpaint.delay - 0

FF - user.js: plugin.expose_full_path - true

FF - user.js: ui.submenuDelay - 0

d:\program\mozilla firefox\greprefs\all.js - pref("browser.visited_color", "#551A8B");

d:\program\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

d:\program\mozilla firefox\defaults\pref\firefox.js - pref("browser.videoFeeds.handler", "ask");

============= SERVICES / DRIVERS ===============

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-3-19 107256]

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2009-3-19 93848]

R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [2009-5-26 198224]

R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [2009-5-26 31824]

R1 OAnet;OAnet;c:\windows\system32\drivers\OAnet.sys [2009-5-26 29776]

R1 SASDIFSV;SASDIFSV;d:\program\superantispyware\SASDIFSV.SYS [2008-9-3 9968]

R1 SASKUTIL;SASKUTIL;d:\program\superantispyware\SASKUTIL.SYS [2008-9-3 55024]

R2 ekrn;ESET Service;c:\program\eset\eset nod32 antivirus\ekrn.exe [2009-3-19 731840]

R2 OAcat;Online Armor Helper Service;d:\program\tall emu\online armor\oacat.exe [2009-5-26 361672]

R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2008-9-8 54432]

S?2 SvcOnlineArmor;Online Armor;d:\program\tall emu\online armor\oasrv.exe [2009-5-26 3264200]

S2 0215851230229261mcinstcleanup;McAfee Application Installer Cleanup (0215851230229261); [x]

S3 cpuz130;cpuz130;\??\c:\docume~1\gran~1\lokala~1\temp\cpuz130\cpuz_x32.sys --> c:\docume~1\gran~1\lokala~1\temp\cpuz130\cpuz_x32.sys [?]

S3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [2009-4-3 8704]

S3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [2009-4-3 3072]

S3 SASENUM;SASENUM;d:\program\superantispyware\SASENUM.SYS [2008-9-3 7408]

=============== Created Last 30 ================

2009-06-12 19:34 <DIR> --d-hr-- c:\documents and settings\göran\Recent

2009-06-10 00:32 246,272 -c------ c:\windows\system32\dllcache\ieproxy.dll

2009-06-10 00:32 12,800 -c------ c:\windows\system32\dllcache\xpshims.dll

2009-06-07 13:01 <DIR> --d----- c:\docume~1\gran~1\applic~1\AVS4YOU

2009-06-07 13:01 <DIR> --d----- c:\docume~1\alluse~1\applic~1\AVS4YOU

2009-06-07 13:00 <DIR> --d----- c:\program\AVS4YOU

2009-06-07 12:59 24,576 a------- c:\windows\system32\msxml3a.dll

2009-05-26 22:01 4,224 a------- c:\windows\system32\drivers\beep.sys_old

2009-05-26 21:10 <DIR> --d----- c:\docume~1\gran~1\applic~1\OnlineArmor

2009-05-26 21:10 <DIR> --d----- c:\docume~1\alluse~1\applic~1\OnlineArmor

2009-05-26 21:09 198,224 a------- c:\windows\system32\drivers\OADriver.sys

2009-05-26 21:09 31,824 a------- c:\windows\system32\drivers\OAmon.sys

2009-05-26 21:09 29,776 a------- c:\windows\system32\drivers\OAnet.sys

2009-05-25 21:18 <DIR> --d----- c:\docume~1\gran~1\applic~1\MusicBee

==================== Find3M ====================

2009-06-12 19:31 5,505,024 a------- c:\documents and settings\göran\NTUSER.DAT

2009-06-12 19:20 87,608 a------- c:\docume~1\gran~1\applic~1\inst.exe

2009-06-12 19:20 47,360 a------- c:\docume~1\gran~1\applic~1\pcouffin.sys

2009-05-26 21:09 438,640 a------- c:\windows\system32\perfh01D.dat

2009-05-26 21:09 81,026 a------- c:\windows\system32\perfc01D.dat

2009-05-13 07:06 915,456 a------- c:\windows\system32\wininet.dll

2009-05-07 17:33 347,648 a------- c:\windows\system32\localspl.dll

2009-04-19 21:51 1,847,168 a------- c:\windows\system32\win32k.sys

2009-04-15 16:55 585,216 a------- c:\windows\system32\rpcrt4.dll

2009-03-27 08:14 453,152 a------- c:\windows\system32\NVUNINST.EXE

2009-03-20 23:33 262,144 a------- c:\windows\system32\default_user_class.dat

2009-03-19 14:03 1,907,712 a------- c:\windows\system32\BootMan.exe

============= FINISH: 19:38:44,07 ===============

Guest Malou
Posted

Hej Gepe!

Jag var tvungen att stänga av brandväggen Online Armor för att få programmet att fungera.

Gällande en del verktyg så klassas de som otrevliga (även om de inte är det) av de flesta skyddsprogrammen. Och då får man stänga av antivirusprogram/brandvägg etc...

Du har en gammal Javaversion installerad => jinstall-1_6_0_13 <=

Den nyare heter Java Runtime Environment (JRE) 6 Update 14.

=> Java Runtime Environment: (Avinstallation/Installation):

Återkommer så fort jag är klar med loggarna. Tar dock ett tag innan jag är klar (ni är några st som står i kö) för att få loggar analyserade ;)

//Malou

Guest Malou
Posted

Hej Gepe!

Kan inte se till något otrevligt eller annat konstigt i loggarna. Allt ser rent och fint ut ;)

Har ännu inte fått något svar från Malware ang Trojanen Hugipon. De återkommer med svar då de analyserat det hela.

//Malou

Guest Malou
Posted

si3rra postade ett inlägg tidigare här i tråden => Idag, 18:47 <=

Gå in på den länken och läs. Där länkas det även till forumet Superantispyware som kan vara av värde att läsa också

http://forums.superantispyware.com/viewtop...71ad3ad4d8a3854

***********************************************

Som jag nämnde här ovan så har jag ännu inte fått något svar från Malware ang Trojanen Hugipon. De återkommer med svar då de analyserat det hela.

//Malou

Guest Malou
Posted

Hej Gepe!

Har fått svar nu:

Dessa är => ip6 helper service <= och är legitima

Så si3rra hade rätt i sina antagande ang => IPv6 <= ;)

//Malou

Posted

Tack för all din hjälp Malou.

Det är otrevligt när säkerhetsprogram detekterar legitima filer som trojaner. Det ställer till det.

Dom ligger kvar i karantänen och får ligga där så länge. Än en gång tack. :D

Guest Malou
Posted

Hej Gepe!

Varsegod och tack själv för att vi fick hjälpa ;)

Det är otrevligt när säkerhetsprogram detekterar legitima filer som trojaner. Det ställer till det.

Håller med dig fullständigt här (mycket otrevligt). Hoppas de åtgärdar detta snabbt så där slipper att uppstå mer förvirring etc.. bland dem som använder detta program.

Dom ligger kvar i karantänen och får ligga där så länge.

Låt dem ligga där ett tag uti fall att.

Ha det så bra och var rädd om datorn!

//Malou

Posted

Från SuperAntiSpywares forum:

The question is very simple.

Is it a F/P or not?

Thanks

The answer is less simple. We know the registry entries are associated with malware, but it's possible they're also associated with legitimate products. Alone, they aren't a threat, so we've changed the detection to "notify." SUPERAntiSpyware will report that it's there, but won't automatically mark them for removal unless you select them.

If you know of a legitimate program on your system that's using a 6to4 relay, it's safe to leave them in place (and we'd like to know what program it is). If not, it could indicate trouble.

Posted
Från SuperAntiSpywares forum:

The answer is less simple. We know the registry entries are associated with malware, but it's possible they're also associated with legitimate products. Alone, they aren't a threat, so we've changed the detection to "notify." SUPERAntiSpyware will report that it's there, but won't automatically mark them for removal unless you select them.

If you know of a legitimate program on your system that's using a 6to4 relay, it's safe to leave them in place (and we'd like to know what program it is). If not, it could indicate trouble.

Luddigt, luddigt. Om "we know the registry entries are associated with malware" kanske de kan ge några förslag på sådana "malware". Intressant vore att veta om de aktuella registernycklarna finns med "from the beginning" i windows XP. I annat fall har de ju lagts till av något och då är det väl en grannlaga uppgift för herrar tillverkare av SuperAntispyware, som så här långt verkar var ensam om att hävda att de är trojaner, att ta fram vad det kan vara.

Jag har ingen aning om vilket e.v. "legitimt program" som skulle använda angivna registernycklar på min dator. Jag har i vart fall inte medvetet installerat något sådant.

Irriterande. :angry:

Posted

Vad jag vet så finns registernycklarna efter sp3. Detta eftersom IPv6 Helper Service installeras med sp3.

(rätta mig om jag har fel)

Posted
Vad jag vet så finns registernycklarna efter sp3. Detta eftersom IPv6 Helper Service installeras med sp3.

(rätta mig om jag har fel)

Ja i så fall borde de ju finnas i alla XP datorer efter SP 3. Då har alltså alla med XP SP3 trojanen Hugipon "smygande" i sina datorers register.

Härligt!! :lol:

Tillägg: Kan det finnas en baktanke med det? Byt till windows 7 så slipper ni trojanen Hugipon!!! :lol: :lol: :lol:

Posted

SAS hittar dem inte i mitt register (XP Pro SP3):

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

Generated 06/12/2009 at 06:45 PM

Application Version : 4.26.1004

Core Rules Database Version : 3936

Trace Rules Database Version: 1879

Scan type : Complete Scan

Total Scan Time : 00:14:55

Memory items scanned : 389

Memory threats detected : 0

Registry items scanned : 4011

Registry threats detected : 0

File items scanned : 16722

File threats detected : 0

Posted
Kanske är Online Armor som skapar dessa nycklar: http://www.wilderssecurity.com/showthread.php?t=131629

Jag hade dom även i en annan dator som jag inte använder Online Armor på.

Jag använder två datorer i ett trådlöst nätverk med en Netgear router. Jag har nu testat att plocka bort de aktuella registerfilerna i båda datorerna. Det ledde till att tjänsten IPv6 Helper Service försvann under enheten "tjänster".

Enligt beskrivningen har IPv6 Helper Service följande funktion:

"Ger DDNS-namnregistrering och automatisk IPv6-anslutning över ett IPv4-nätverk. Om den här tjänsten stoppas kommer andra datorer kanske inte kunna nå den här datorn genom att använda dess datornamn och den här datorn kommer endast att kunna använda IPv6-anslutningar om den är ansluten till ett nätverk som använder IPv6. Om tjänsten inaktiveras kommer ingen tjänst som är uttryckligen beroende av den att kunna startas".

Jag trodde då att jag inte skulle få nätverket att fungera längre genom att plocka bort registerfilerna och därmed angiven tjänst. Men det var fel för nätverket fungerar precis som tidigare. Jag ser och kommer åt båda datorerna från båda datorerna.

Tydligen är den aktuella tjänsten endast nödvändig i vissa fall enligt ovan. Varför man ska använda en IPv6-anslutning vet jag inte. Tydligen behövs den inte i mina datorer så nu är den väck.

Jag gissar att det Superantispyware detekterar är "en möjlig" trojan i de aktuella registerfilerna. På vissa forum kan man läsa att folk har problem att lyckas få bort dessa registerfilerna. Då är det nog något skumt med dom (ondsinta/malware). Mina var det inga som helst problem att få bort (godartade).

Jag kan tänka mig att de som slimmar sina XP- installationer med e.x. n'lite väljer bort tjänsten IPv6 Helper Service. Då finns nog inte heller de aktuella registerfilerna kvar. Minns inte hur jag gjorde vid min installation.

Det verkar vara lite väl drastiskt av Superantispyware att ge sig på en legal Windowstjänst med utgångspunkt att "den kan vara" en trojan.

Posted

Stäng och lås tråden nu innan det kommer någon mera som ska spekulera i det hela :)

Hammare och spik tillhandahålles!

Guest
This topic is now closed to further replies.
×
×
  • Create New...