Gepe Posted June 12, 2009 Posted June 12, 2009 (edited) Jag körde en komplett scanning av datorn (XP Home SP3) med programmet Superantispyware Free Edition och fann till stor förvåning att det hittade trojanen Hugipon på 64 ställen i registret. Lite Googlande gav egentligen inget svar på vad trojanen Hugipon är, äkta trojan eller F.P. Inte ens SAS hemsida gav något svar på det. Jag lät SAS lägga dom i karantän vilket verkade lyckas. Jag har inte märkt något av trojanen Hugipon innan SAS "slog larm". Mitt virusprogram NOD32 har inte reagerat på det. Vad är trojanen Hugipon? Finns det någon på forumet som kan bringa klarhet? Edited June 12, 2009 by Malou Rubrik/Topic förtydligad:
Guest Malou Posted June 12, 2009 Posted June 12, 2009 Hej Gepe! Vad är trojanen Hugipon? Finns det någon på forumet som kan bringa klarhet? Skall se om jag kan bringa någon klarhet i detta efter jag sökt runt för att se om där finns någon tillförlitlig information att finna. Kan Superantispyware ge någon hänvisning om var någonstans i systemet detta hittades? Finns där även någon sökväg till den eventuella filen/programmet som skall vara infekterad? //Malou
Guest Malou Posted June 12, 2009 Posted June 12, 2009 Hej Gepe! Verkar som att de vet om att SUPERAntiSpyware detekterar detta sedan den sista uppdateringen av programmet. SASService skrev:The answer is less simple. We know the registry entries are associated with malware, but it's possible they're also associated with legitimate products. Alone, they aren't a threat, so we've changed the detection to "notify." SUPERAntiSpyware will report that it's there, but won't automatically mark them for removal unless you select them. If you know of a legitimate program on your system that's using a 6to4 relay, it's safe to leave them in place (and we'd like to know what program it is). If not, it could indicate trouble. http://forums.superantispyware.com/viewtop...db&start=15 Skall söka vidare och se om jag hittar ytterligare //Malou
Guest Malou Posted June 12, 2009 Posted June 12, 2009 Hej Gepe! Kan du kopiera in loggan från SUPERAntiSpyware så skall jag skicka den vidare för att se om där är något nytt eller om det är en F/P? //Malou
Gepe Posted June 12, 2009 Author Posted June 12, 2009 SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 06/12/2009 at 03:29 PM Application Version : 4.26.1000 Core Rules Database Version : 3936 Trace Rules Database Version: 1879 Scan type : Complete Scan Total Scan Time : 00:45:07 Memory items scanned : 422 Memory threats detected : 0 Registry items scanned : 5253 Registry threats detected : 64 File items scanned : 37462 File threats detected : 0 Trojan.Hugipon HKLM\System\CONTROLSET002\SERVICES\6TO4 HKLM\System\CONTROLSET002\SERVICES\6TO4#Type HKLM\System\CONTROLSET002\SERVICES\6TO4#Start HKLM\System\CONTROLSET002\SERVICES\6TO4#ErrorControl HKLM\System\CONTROLSET002\SERVICES\6TO4#ImagePath HKLM\System\CONTROLSET002\SERVICES\6TO4#DisplayName HKLM\System\CONTROLSET002\SERVICES\6TO4#DependOnService HKLM\System\CONTROLSET002\SERVICES\6TO4#DependOnGroup HKLM\System\CONTROLSET002\SERVICES\6TO4#ObjectName HKLM\System\CONTROLSET002\SERVICES\6TO4\Config HKLM\System\CONTROLSET002\SERVICES\6TO4\Interfaces HKLM\System\CONTROLSET002\SERVICES\6TO4\Parameters HKLM\System\CONTROLSET002\SERVICES\6TO4\Parameters#ServiceDll HKLM\System\CONTROLSET002\SERVICES\6TO4\Security HKLM\System\CONTROLSET003\SERVICES\6TO4 HKLM\System\CONTROLSET003\SERVICES\6TO4#Type HKLM\System\CONTROLSET003\SERVICES\6TO4#Start HKLM\System\CONTROLSET003\SERVICES\6TO4#ErrorControl HKLM\System\CONTROLSET003\SERVICES\6TO4#ImagePath HKLM\System\CONTROLSET003\SERVICES\6TO4#DisplayName HKLM\System\CONTROLSET003\SERVICES\6TO4#DependOnService HKLM\System\CONTROLSET003\SERVICES\6TO4#DependOnGroup HKLM\System\CONTROLSET003\SERVICES\6TO4#ObjectName HKLM\System\CONTROLSET003\SERVICES\6TO4\Config HKLM\System\CONTROLSET003\SERVICES\6TO4\Interfaces HKLM\System\CONTROLSET003\SERVICES\6TO4\Parameters HKLM\System\CONTROLSET003\SERVICES\6TO4\Parameters#ServiceDll HKLM\System\CONTROLSET003\SERVICES\6TO4\Security HKLM\System\CONTROLSET003\SERVICES\6TO4\Enum HKLM\System\CONTROLSET003\SERVICES\6TO4\Enum#0 HKLM\System\CONTROLSET003\SERVICES\6TO4\Enum#Count HKLM\System\CONTROLSET003\SERVICES\6TO4\Enum#NextInstance HKLM\System\CONTROLSET004\SERVICES\6TO4 HKLM\System\CONTROLSET004\SERVICES\6TO4#Type HKLM\System\CONTROLSET004\SERVICES\6TO4#Start HKLM\System\CONTROLSET004\SERVICES\6TO4#ErrorControl HKLM\System\CONTROLSET004\SERVICES\6TO4#ImagePath HKLM\System\CONTROLSET004\SERVICES\6TO4#DisplayName HKLM\System\CONTROLSET004\SERVICES\6TO4#DependOnService HKLM\System\CONTROLSET004\SERVICES\6TO4#DependOnGroup HKLM\System\CONTROLSET004\SERVICES\6TO4#ObjectName HKLM\System\CONTROLSET004\SERVICES\6TO4\Config HKLM\System\CONTROLSET004\SERVICES\6TO4\Interfaces HKLM\System\CONTROLSET004\SERVICES\6TO4\Parameters HKLM\System\CONTROLSET004\SERVICES\6TO4\Parameters#ServiceDll HKLM\System\CONTROLSET004\SERVICES\6TO4\Security HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4 HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4#Type HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4#Start HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4#ErrorControl HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4#ImagePath HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4#DisplayName HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4#DependOnService HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4#DependOnGroup HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4#ObjectName HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4\Config HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4\Interfaces HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4\Parameters HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4\Parameters#ServiceDll HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4\Security HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4\Enum HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4\Enum#0 HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4\Enum#Count HKLM\System\CURRENTCONTROLSET\SERVICES\6TO4\Enum#NextInstance Nu lyckades jag hitta loggen och kopiera in den.
Guest Malou Posted June 12, 2009 Posted June 12, 2009 Hej Gepe! Tack för loggan Har kopierat den och skickat den vidare. Återkommer då jag vet mer Hur mår datorn för övrigt? Några problem? //Malou
Gepe Posted June 12, 2009 Author Posted June 12, 2009 Hej Gepe!Tack för loggan Har kopierat den och skickat den vidare. Återkommer då jag vet mer Hur mår datorn för övrigt? Några problem? //Malou Jag fick faktiskt två BSOD när jag skulle starta upp XP efter att ha kört windows 7 idag. Jag körde då "senast fungerande konfiguration" och sedan gick datorn som vanligt. Jag har därefter diskskannat hela datorn utan några hittade diskfel. När jag därefter körde SuperAntispyware så hittade det "trojanen". Jag är tveksam om det finns ett samband med BSOD:en jag fick. Superantispyware lyckades iallafall lägga "trojanen" i karantän. Det hittar inget vid upprepade skanningar.
si3rra Posted June 12, 2009 Posted June 12, 2009 (edited) http://www.microsoft.com/communities/newsg...p;sloc=&p=1 Edit: Registernycklarna har med IPv6 att göra och borde väl anses som ofaliga och därmed falskt alarm?! Edited June 12, 2009 by si3rra
Guest Malou Posted June 12, 2009 Posted June 12, 2009 Jag fick faktiskt två BSOD när jag skulle starta upp XP efter att ha kört windows 7 idag. Jag körde då "senast fungerande konfiguration" och sedan gick datorn som vanligt. Jag har därefter diskskannat hela datorn utan några hittade diskfel. När jag därefter körde SuperAntispyware så hittade det "trojanen". Jag är tveksam om det finns ett samband med BSOD:en jag fick. Superantispyware lyckades iallafall lägga "trojanen" i karantän. Det hittar inget vid upprepade skanningar. Ok. Låt detta ligga kvar i dess karantän tills vi vet mer om vad det kan vara för något (Troligen en F/P). Vi kan ju se om DDS visar på något under tiden vi väntar på svar som kan dröja (pga tidsskillnaden). Hämta hem DDS: http://download.bleepingcomputer.com/sUBs/dds.scr 1: Spara den till skrivbordet 2: Dubbelklicka på dds.scr för att starta verktyget. 3: Klicka Yes/Ja på frågan om Optional Scan 4: När DDS har scannat klart kommer där att dyka upp två textfiler DSS.txt och Attach.txt 5: Spara dessa till ditt skrivbord 4: Kopiera/Klistra in de båda loggarna DSS.txt och Attach.txt hit till din tråd. //Malou
Gepe Posted June 12, 2009 Author Posted June 12, 2009 Jag var tvungen att stänga av brandväggen Online Armor för att få programmet att fungera. Här är loggarna: UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG. IF REQUESTED, ZIP IT UP & ATTACH IT DDS (Ver_09-05-14.01) Microsoft Windows XP Home Edition Boot Device: \Device\HarddiskVolume1 Install Date: 2008-09-08 19:11:00 System Uptime: 2009-06-12 19:32:27 (0 hours ago) Motherboard: FUJITSU SIEMENS | | P5SD1-FM2 Processor: Intel® Pentium® 4 CPU 3.06GHz | LGA 775 | 3065/133mhz ==== Disk Partitions ========================= C: is FIXED (NTFS) - 29 GiB total, 22,373 GiB free. D: is FIXED (NTFS) - 120 GiB total, 117,42 GiB free. E: is FIXED (NTFS) - 117 GiB total, 68,221 GiB free. F: is FIXED (NTFS) - 30 GiB total, 17,452 GiB free. G: is FIXED (FAT32) - 2 GiB total, 0,973 GiB free. H: is FIXED (NTFS) - 233 GiB total, 147,564 GiB free. I: is CDROM () J: is Removable K: is Removable L: is Removable M: is Removable O: is CDROM () ==== Disabled Device Manager Items ============= Class GUID: {4D36E972-E325-11CE-BFC1-08002BE10318} Description: SiS191 100/10 Ethernet Device Device ID: PCI\VEN_1039&DEV_0191&SUBSYS_81391043&REV_00\3&267A616A&0&20 Manufacturer: Silicon Integrated Systems Corp. Name: SiS191 100/10 Ethernet Device PNP Device ID: PCI\VEN_1039&DEV_0191&SUBSYS_81391043&REV_00\3&267A616A&0&20 Service: SiSGbeXP ==== System Restore Points =================== No restore point in system. ==== Installed Programs ====================== 3100_3200_3300_Help 3100_3200_3300trb 3200 Adobe Flash Player 10 ActiveX Adobe Flash Player 10 Plugin Advanced SystemCare 3 AiO_Scan_CDA AiOSoftwareNPI Atheros Client Installation Program BufferChm Cacheman 5.50 CCleaner (remove only) CP_CalendarTemplates1 cp_OnlineProjectsConfig CP_Package_Basic1 CP_Panorama1Config cp_PosterPrintConfig Creative Audio Console Creative Software AutoUpdate CueTour CustomerResearchQFolder Destinations DeviceManagementQFolder DocProc DocProcQFolder DocumentViewer DocumentViewerQFolder DriveImage XML (Private Edition) EASEUS Partition Master 3.5 Professional EMCO MoveOnBoot ERUNT 1.1j ESET NOD32 Antivirus eSupportQFolder Exact Audio Copy 0.99pb4 Fax_CDA foobar2000 v0.9.6.8 Foxit Reader FullDPAppQFolder Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595) Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484) HP Customer Participation Program 7.0 HP Document Viewer 7.0 HP Imaging Device Functions 7.0 HP Photosmart Premier Software 6.5 HP Photosmart, Officejet and Deskjet 7.0.A HP Product Assistant HP Solution Center 7.0 HP Update HPPhotoSmartExpress HPProductAssistant iCD CoolBeLa (Swedish) ImgBurn InstantShareDevices InstantShareDevicesMFC IZArc 4.0 beta 1 Java 6 Update 13 jetMailMonitor K-Lite Codec Pack 4.1.7 (Standard) MarketResearch Microsoft .NET Framework 1.1 Microsoft .NET Framework 1.1 Hotfix (KB928366) Microsoft .NET Framework 1.1 Swedish Language Pack Microsoft .NET Framework 2.0 Service Pack 2 Microsoft .NET Framework 2.0 Service Pack 2 Language Pack - SVE Microsoft .NET Framework 3.0 Service Pack 2 Microsoft .NET Framework 3.0 Service Pack 2 Language Pack - SVE Microsoft .NET Framework 3.0 Swedish Language Pack Microsoft .NET Framework 3.5 Language Pack SP1 - sve Microsoft .NET Framework 3.5 SP1 Microsoft Compression Client Pack 1.0 for Windows XP Microsoft Internationalized Domain Names Mitigation APIs Microsoft National Language Support Downlevel APIs Microsoft Picture It! 2000 Microsoft User-Mode Driver Framework Feature Pack 1.0 Microsoft Visual C++ 2005 Redistributable Microsoft Word 2000 Microsoft Works 2000 Mozilla Firefox (3.0.5) MSXML 4.0 SP2 (KB936181) MSXML 4.0 SP2 (KB954430) MSXML 6.0 Parser (KB925673) Nero 6 Enterprise Edition NewCopy_CDA nLite 1.4.9.1 NVIDIA Drivers NVIDIA PhysX OCR Software by I.R.I.S 7.0 Online Armor 3.5 PanoStandAlone PhotoGallery ProductContextNPI QuickTime Alternative 2.7.0 RandMap Readme Real Alternative 1.8.4 Revo Uninstaller 1.83 Scan ScannerCopy SkinsHP1 SlideShow Smart Defrag 1.11 Säkerhetsuppdatering för Windows Internet Explorer 7 (KB938127-v2) Säkerhetsuppdatering för Windows Internet Explorer 7 (KB953838) Säkerhetsuppdatering för Windows Internet Explorer 7 (KB956390) Säkerhetsuppdatering för Windows Internet Explorer 7 (KB958215) Säkerhetsuppdatering för Windows Internet Explorer 7 (KB960714) Säkerhetsuppdatering för Windows Internet Explorer 7 (KB961260) Säkerhetsuppdatering för Windows Internet Explorer 8 (KB969897) Säkerhetsuppdatering för Windows XP (KB961501) Säkerhetsuppdatering för Windows XP (KB968537) Säkerhetsuppdatering för Windows XP (KB969898) Säkerhetsuppdatering för Windows XP (KB970238) SolutionCenter Sonic_PrimoSDK Spotify Språkpaket för Microsoft .NET Framework 3.5 SP 1 - sve SpywareBlaster 4.2 Startprogram för installationsprogrammet för Microsoft Works 2000 Status SUPERAntiSpyware Free Edition System Requirements Lab TigoTago Toolbox TrayApp TuneUp Utilities 2007 UnderCoverXP 1.19 Unload Uppdatering för Windows Internet Explorer 8 (KB968220) Uppdatering för Windows Internet Explorer 8 (KB969497) Uppdatering för Windows Internet Explorer 8 (KB971180) User Profile Hive Cleanup Service WebFldrs XP WebReg ViewSonic Monitor Drivers ViewSonic Windows XP Signed Files Windows Internet Explorer 8 Windows Media Format 11 runtime Windows Media Player 11 Windows Presentation Foundation Windows Presentation Foundation Language Pack (SVE) Wise Registry Cleaner 4 Professional V4.22 Word i Works Suite-tillägg XML Paper Specification Shared Components Language Pack 1.0 XML Paper Specification Shared Components Pack 1.0 Zune Desktop Theme ==== End Of File =========================== DDS (Ver_09-05-14.01) - NTFSx86 Run by Gran at 19:38:29,98 on 2009-06-12 Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_13 Microsoft Windows XP Home Edition 5.1.2600.3.1252.46.1053.18.2047.1589 [GMT 2:00] AV: ESET NOD32 Antivirus 4.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0} FW: Online Armor Firewall *disabled* {B797DAA0-7E2E-4711-8BB3-D12744F1922A} ============== Running Processes =============== C:\WINDOWS\system32\svchost -k DcomLaunch svchost.exe C:\WINDOWS\System32\svchost.exe -k netsvcs D:\Program\Tall Emu\Online Armor\OAcat.exe D:\Program\Tall Emu\Online Armor\oasrv.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\acs.exe C:\Program\ESET\ESET NOD32 Antivirus\ekrn.exe C:\WINDOWS\Explorer.EXE C:\Program\Java\jre6\bin\jqs.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\HPZipm12.exe D:\Program\UPHClean\uphclean.exe D:\Program\Atheros\ACU.exe D:\Program\IObit\IObit SmartDefrag\IObit SmartDefrag.exe C:\Program\ESET\ESET NOD32 Antivirus\egui.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\Program\Java\jre6\bin\jusched.exe C:\WINDOWS\system32\ctfmon.exe D:\Program\IObit\Advanced SystemCare 3\AWC.exe D:\Program\JetMailMonitor\JetMM.exe C:\WINDOWS\system32\wbem\wmiapsrv.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Göran\Skrivbord\dds.scr ============== Pseudo HJT Report =============== uStart Page = hxxp://www.ekuriren.se/ BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program\java\jre6\bin\jp2ssv.dll BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll uRun: [ccleaner] "d:\program\ccleaner\CCleaner.exe" /AUTO uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe uRun: [Advanced SystemCare 3] "d:\program\iobit\advanced systemcare 3\AWC.exe" /startup mRun: [ACU] d:\program\atheros\ACU.exe -nogui mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup mRun: [smartDefrag] "d:\program\iobit\iobit smartdefrag\IObit SmartDefrag.exe" /StartUp mRun: [egui] "c:\program\eset\eset nod32 antivirus\egui.exe" /hide /waitservice mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit mRun: [@OnlineArmor GUI] "d:\program\tall emu\online armor\oaui.exe" mRun: [sunJavaUpdateSched] "c:\program\java\jre6\bin\jusched.exe" dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\jetmai~1.lnk - d:\program\jetmailmonitor\JetMM.exe uPolicies-explorer: NoActiveDesktop = 00000000 IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_13-windows-i586.cab DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} - hxxp://service.futuremark.com/virtualmark/tc/FMSI.cab DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab Notify: !SASWinLogon - d:\program\superantispyware\SASWINLO.DLL SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll SEH: {5AE067D3-9AFB-48E0-853A-EBB7F4A000DA} - No File SEH: OA Shell Helper: {4f07da45-8170-4859-9b5f-037ef2970034} - d:\program\tall emu\online armor\oaevent.dll ================= FIREFOX =================== FF - ProfilePath - c:\docume~1\gran~1\applic~1\mozilla\firefox\profiles\6e4bpcv1.default\ FF - prefs.js: browser.startup.homepage - hxxp://www.ekuriren.se/ FF - plugin: d:\program\real alternative\browser\plugins\nppl3260.dll FF - plugin: d:\program\real alternative\browser\plugins\nprpjplug.dll ---- FIREFOX POLICIES ---- FF - user.js: browser.cache.memory.capacity - 65536 FF - user.js: browser.chrome.favicons - fales FF - user.js: browser.display.show_image_placeholders - true FF - user.js: browser.turbo.enabled - true FF - user.js: browser.urlbar.autocomplete.enabled - true FF - user.js: browser.urlbar.autofill - true FF - user.js: content.interrupt.parsing - true FF - user.js: content.max.tokenizing.time - 2250000 FF - user.js: content.notify.backoffcount - 5 FF - user.js: content.notify.interval - 750000 FF - user.js: content.notify.ontimer - true FF - user.js: content.switch.threshold - 750000 FF - user.js: network.http.max-connections - 48 FF - user.js: network.http.max-connections-per-server - 16 FF - user.js: network.http.max-persistent-connections-per-proxy - 16 FF - user.js: network.http.max-persistent-connections-per-server - 8 FF - user.js: network.http.pipelining - true FF - user.js: network.http.pipelining.firstrequest - true FF - user.js: network.http.pipelining.maxrequests - 8 FF - user.js: network.http.proxy.pipelining - true FF - user.js: network.http.request.max-start-delay - 0 FF - user.js: nglayout.initialpaint.delay - 0 FF - user.js: plugin.expose_full_path - true FF - user.js: ui.submenuDelay - 0 d:\program\mozilla firefox\greprefs\all.js - pref("browser.visited_color", "#551A8B"); d:\program\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se"); d:\program\mozilla firefox\defaults\pref\firefox.js - pref("browser.videoFeeds.handler", "ask"); ============= SERVICES / DRIVERS =============== R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-3-19 107256] R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2009-3-19 93848] R1 OADevice;OADriver;c:\windows\system32\drivers\OADriver.sys [2009-5-26 198224] R1 OAmon;OAmon;c:\windows\system32\drivers\OAmon.sys [2009-5-26 31824] R1 OAnet;OAnet;c:\windows\system32\drivers\OAnet.sys [2009-5-26 29776] R1 SASDIFSV;SASDIFSV;d:\program\superantispyware\SASDIFSV.SYS [2008-9-3 9968] R1 SASKUTIL;SASKUTIL;d:\program\superantispyware\SASKUTIL.SYS [2008-9-3 55024] R2 ekrn;ESET Service;c:\program\eset\eset nod32 antivirus\ekrn.exe [2009-3-19 731840] R2 OAcat;Online Armor Helper Service;d:\program\tall emu\online armor\oacat.exe [2009-5-26 361672] R3 WSIMD;wsimd Service;c:\windows\system32\drivers\wsimd.sys [2008-9-8 54432] S?2 SvcOnlineArmor;Online Armor;d:\program\tall emu\online armor\oasrv.exe [2009-5-26 3264200] S2 0215851230229261mcinstcleanup;McAfee Application Installer Cleanup (0215851230229261); [x] S3 cpuz130;cpuz130;\??\c:\docume~1\gran~1\lokala~1\temp\cpuz130\cpuz_x32.sys --> c:\docume~1\gran~1\lokala~1\temp\cpuz130\cpuz_x32.sys [?] S3 epmntdrv;epmntdrv;c:\windows\system32\epmntdrv.sys [2009-4-3 8704] S3 EuGdiDrv;EuGdiDrv;c:\windows\system32\EuGdiDrv.sys [2009-4-3 3072] S3 SASENUM;SASENUM;d:\program\superantispyware\SASENUM.SYS [2008-9-3 7408] =============== Created Last 30 ================ 2009-06-12 19:34 <DIR> --d-hr-- c:\documents and settings\göran\Recent 2009-06-10 00:32 246,272 -c------ c:\windows\system32\dllcache\ieproxy.dll 2009-06-10 00:32 12,800 -c------ c:\windows\system32\dllcache\xpshims.dll 2009-06-07 13:01 <DIR> --d----- c:\docume~1\gran~1\applic~1\AVS4YOU 2009-06-07 13:01 <DIR> --d----- c:\docume~1\alluse~1\applic~1\AVS4YOU 2009-06-07 13:00 <DIR> --d----- c:\program\AVS4YOU 2009-06-07 12:59 24,576 a------- c:\windows\system32\msxml3a.dll 2009-05-26 22:01 4,224 a------- c:\windows\system32\drivers\beep.sys_old 2009-05-26 21:10 <DIR> --d----- c:\docume~1\gran~1\applic~1\OnlineArmor 2009-05-26 21:10 <DIR> --d----- c:\docume~1\alluse~1\applic~1\OnlineArmor 2009-05-26 21:09 198,224 a------- c:\windows\system32\drivers\OADriver.sys 2009-05-26 21:09 31,824 a------- c:\windows\system32\drivers\OAmon.sys 2009-05-26 21:09 29,776 a------- c:\windows\system32\drivers\OAnet.sys 2009-05-25 21:18 <DIR> --d----- c:\docume~1\gran~1\applic~1\MusicBee ==================== Find3M ==================== 2009-06-12 19:31 5,505,024 a------- c:\documents and settings\göran\NTUSER.DAT 2009-06-12 19:20 87,608 a------- c:\docume~1\gran~1\applic~1\inst.exe 2009-06-12 19:20 47,360 a------- c:\docume~1\gran~1\applic~1\pcouffin.sys 2009-05-26 21:09 438,640 a------- c:\windows\system32\perfh01D.dat 2009-05-26 21:09 81,026 a------- c:\windows\system32\perfc01D.dat 2009-05-13 07:06 915,456 a------- c:\windows\system32\wininet.dll 2009-05-07 17:33 347,648 a------- c:\windows\system32\localspl.dll 2009-04-19 21:51 1,847,168 a------- c:\windows\system32\win32k.sys 2009-04-15 16:55 585,216 a------- c:\windows\system32\rpcrt4.dll 2009-03-27 08:14 453,152 a------- c:\windows\system32\NVUNINST.EXE 2009-03-20 23:33 262,144 a------- c:\windows\system32\default_user_class.dat 2009-03-19 14:03 1,907,712 a------- c:\windows\system32\BootMan.exe ============= FINISH: 19:38:44,07 ===============
Guest Malou Posted June 12, 2009 Posted June 12, 2009 Hej Gepe! Jag var tvungen att stänga av brandväggen Online Armor för att få programmet att fungera. Gällande en del verktyg så klassas de som otrevliga (även om de inte är det) av de flesta skyddsprogrammen. Och då får man stänga av antivirusprogram/brandvägg etc... Du har en gammal Javaversion installerad => jinstall-1_6_0_13 <= Den nyare heter Java Runtime Environment (JRE) 6 Update 14. => Java Runtime Environment: (Avinstallation/Installation): Återkommer så fort jag är klar med loggarna. Tar dock ett tag innan jag är klar (ni är några st som står i kö) för att få loggar analyserade //Malou
Guest Malou Posted June 12, 2009 Posted June 12, 2009 Hej Gepe! Kan inte se till något otrevligt eller annat konstigt i loggarna. Allt ser rent och fint ut Har ännu inte fått något svar från Malware ang Trojanen Hugipon. De återkommer med svar då de analyserat det hela. //Malou
Guest Malou Posted June 12, 2009 Posted June 12, 2009 si3rra postade ett inlägg tidigare här i tråden => Idag, 18:47 <= Gå in på den länken och läs. Där länkas det även till forumet Superantispyware som kan vara av värde att läsa också http://forums.superantispyware.com/viewtop...71ad3ad4d8a3854 *********************************************** Som jag nämnde här ovan så har jag ännu inte fått något svar från Malware ang Trojanen Hugipon. De återkommer med svar då de analyserat det hela. //Malou
Guest Malou Posted June 12, 2009 Posted June 12, 2009 Hej Gepe! Har fått svar nu: Dessa är => ip6 helper service <= och är legitima Så si3rra hade rätt i sina antagande ang => IPv6 <= //Malou
Gepe Posted June 12, 2009 Author Posted June 12, 2009 Tack för all din hjälp Malou. Det är otrevligt när säkerhetsprogram detekterar legitima filer som trojaner. Det ställer till det. Dom ligger kvar i karantänen och får ligga där så länge. Än en gång tack.
Guest Malou Posted June 12, 2009 Posted June 12, 2009 Hej Gepe! Varsegod och tack själv för att vi fick hjälpa Det är otrevligt när säkerhetsprogram detekterar legitima filer som trojaner. Det ställer till det. Håller med dig fullständigt här (mycket otrevligt). Hoppas de åtgärdar detta snabbt så där slipper att uppstå mer förvirring etc.. bland dem som använder detta program. Dom ligger kvar i karantänen och får ligga där så länge. Låt dem ligga där ett tag uti fall att. Ha det så bra och var rädd om datorn! //Malou
JoWa Posted June 13, 2009 Posted June 13, 2009 Från SuperAntiSpywares forum: The question is very simple.Is it a F/P or not? Thanks The answer is less simple. We know the registry entries are associated with malware, but it's possible they're also associated with legitimate products. Alone, they aren't a threat, so we've changed the detection to "notify." SUPERAntiSpyware will report that it's there, but won't automatically mark them for removal unless you select them.If you know of a legitimate program on your system that's using a 6to4 relay, it's safe to leave them in place (and we'd like to know what program it is). If not, it could indicate trouble.
Gepe Posted June 13, 2009 Author Posted June 13, 2009 Från SuperAntiSpywares forum:The answer is less simple. We know the registry entries are associated with malware, but it's possible they're also associated with legitimate products. Alone, they aren't a threat, so we've changed the detection to "notify." SUPERAntiSpyware will report that it's there, but won't automatically mark them for removal unless you select them. If you know of a legitimate program on your system that's using a 6to4 relay, it's safe to leave them in place (and we'd like to know what program it is). If not, it could indicate trouble. Luddigt, luddigt. Om "we know the registry entries are associated with malware" kanske de kan ge några förslag på sådana "malware". Intressant vore att veta om de aktuella registernycklarna finns med "from the beginning" i windows XP. I annat fall har de ju lagts till av något och då är det väl en grannlaga uppgift för herrar tillverkare av SuperAntispyware, som så här långt verkar var ensam om att hävda att de är trojaner, att ta fram vad det kan vara. Jag har ingen aning om vilket e.v. "legitimt program" som skulle använda angivna registernycklar på min dator. Jag har i vart fall inte medvetet installerat något sådant. Irriterande.
si3rra Posted June 13, 2009 Posted June 13, 2009 Vad jag vet så finns registernycklarna efter sp3. Detta eftersom IPv6 Helper Service installeras med sp3. (rätta mig om jag har fel)
Gepe Posted June 13, 2009 Author Posted June 13, 2009 Vad jag vet så finns registernycklarna efter sp3. Detta eftersom IPv6 Helper Service installeras med sp3.(rätta mig om jag har fel) Ja i så fall borde de ju finnas i alla XP datorer efter SP 3. Då har alltså alla med XP SP3 trojanen Hugipon "smygande" i sina datorers register. Härligt!! Tillägg: Kan det finnas en baktanke med det? Byt till windows 7 så slipper ni trojanen Hugipon!!! :lol:
JoWa Posted June 13, 2009 Posted June 13, 2009 SAS hittar dem inte i mitt register (XP Pro SP3): SUPERAntiSpyware Scan Log http://www.superantispyware.com Generated 06/12/2009 at 06:45 PM Application Version : 4.26.1004 Core Rules Database Version : 3936 Trace Rules Database Version: 1879 Scan type : Complete Scan Total Scan Time : 00:14:55 Memory items scanned : 389 Memory threats detected : 0 Registry items scanned : 4011 Registry threats detected : 0 File items scanned : 16722 File threats detected : 0
JoWa Posted June 13, 2009 Posted June 13, 2009 Kanske är Online Armor som skapar dessa nycklar: http://www.wilderssecurity.com/showthread.php?t=131629
Gepe Posted June 13, 2009 Author Posted June 13, 2009 Kanske är Online Armor som skapar dessa nycklar: http://www.wilderssecurity.com/showthread.php?t=131629 Jag hade dom även i en annan dator som jag inte använder Online Armor på. Jag använder två datorer i ett trådlöst nätverk med en Netgear router. Jag har nu testat att plocka bort de aktuella registerfilerna i båda datorerna. Det ledde till att tjänsten IPv6 Helper Service försvann under enheten "tjänster". Enligt beskrivningen har IPv6 Helper Service följande funktion: "Ger DDNS-namnregistrering och automatisk IPv6-anslutning över ett IPv4-nätverk. Om den här tjänsten stoppas kommer andra datorer kanske inte kunna nå den här datorn genom att använda dess datornamn och den här datorn kommer endast att kunna använda IPv6-anslutningar om den är ansluten till ett nätverk som använder IPv6. Om tjänsten inaktiveras kommer ingen tjänst som är uttryckligen beroende av den att kunna startas". Jag trodde då att jag inte skulle få nätverket att fungera längre genom att plocka bort registerfilerna och därmed angiven tjänst. Men det var fel för nätverket fungerar precis som tidigare. Jag ser och kommer åt båda datorerna från båda datorerna. Tydligen är den aktuella tjänsten endast nödvändig i vissa fall enligt ovan. Varför man ska använda en IPv6-anslutning vet jag inte. Tydligen behövs den inte i mina datorer så nu är den väck. Jag gissar att det Superantispyware detekterar är "en möjlig" trojan i de aktuella registerfilerna. På vissa forum kan man läsa att folk har problem att lyckas få bort dessa registerfilerna. Då är det nog något skumt med dom (ondsinta/malware). Mina var det inga som helst problem att få bort (godartade). Jag kan tänka mig att de som slimmar sina XP- installationer med e.x. n'lite väljer bort tjänsten IPv6 Helper Service. Då finns nog inte heller de aktuella registerfilerna kvar. Minns inte hur jag gjorde vid min installation. Det verkar vara lite väl drastiskt av Superantispyware att ge sig på en legal Windowstjänst med utgångspunkt att "den kan vara" en trojan.
si3rra Posted June 13, 2009 Posted June 13, 2009 Stäng och lås tråden nu innan det kommer någon mera som ska spekulera i det hela Hammare och spik tillhandahålles!
Recommended Posts