rootkit dtss

[smari57]

hej

Malwarebytes har hitta rootkit dtss och den kan inte ta bort den hur gör jag för att få bort det

smari57

[Mickilina]

Hej smari57!

Menar du rootkit tdss?

[smari57]

Hej smari57!

Menar du rootkit tdss?

hej

jag det står så i programmet Malwarebytes' Anti-Malware och loggfilen ser ut så här

tacksam för all hjälp

Malwarebytes' Anti-Malware 1.41

Databasversion: 2857

Windows 5.1.2600 Service Pack 3

2009-09-25 13:13:16

mbam-log-2009-09-25 (13-13-16).txt

Skanningstyp: Snabb skanning

Antal skannade objekt: 86023

Förfluten tid: 6 minute(s), 4 second(s)

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 2

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 2

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

Infekterade minnesmoduler:

\\?\globalroot\systemroot\system32\gasfkyxyecbcxl.dll (Rootkit.TDSS) -> Delete on reboot.

\\?\globalroot\systemroot\system32\gasfkybqbdvvfp.dll (Trojan.FakeAlert) -> Delete on reboot.

Infekterade registernycklar:

(Inga illasinnade poster hittades)

Infekterade registervärden:

(Inga illasinnade poster hittades)

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

Infekterade mappar:

(Inga illasinnade poster hittades)

Infekterade filer:

\\?\globalroot\systemroot\system32\gasfkyxyecbcxl.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.

\\?\globalroot\systemroot\system32\gasfkybqbdvvfp.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Smari57

[Cecilia]

Finns det kvar om du startar om datorn och söker med MBAM igen?

I så fall ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

[smari57]

hej

här kommer loggfilen

Malwarebytes' Anti-Malware 1.41

Databasversion: 2857

Windows 5.1.2600 Service Pack 3

2009-09-25 13:13:16

mbam-log-2009-09-25 (13-13-16).txt

Skanningstyp: Snabb skanning

Antal skannade objekt: 86023

Förfluten tid: 6 minute(s), 4 second(s)

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 2

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 2

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

Infekterade minnesmoduler:

\\?\globalroot\systemroot\system32\gasfkyxyecbcxl.dll (Rootkit.TDSS) -> Delete on reboot.

\\?\globalroot\systemroot\system32\gasfkybqbdvvfp.dll (Trojan.FakeAlert) -> Delete on reboot.

Infekterade registernycklar:

(Inga illasinnade poster hittades)

Infekterade registervärden:

(Inga illasinnade poster hittades)

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

Infekterade mappar:

(Inga illasinnade poster hittades)

Infekterade filer:

\\?\globalroot\systemroot\system32\gasfkyxyecbcxl.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.

\\?\globalroot\systemroot\system32\gasfkybqbdvvfp.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.

smari57

[smari57]

Finns det kvar om du startar om datorn och söker med MBAM igen?

I så fall ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

Hej

här kommer loggfilen efter combo fix

ComboFix 09-09-24.01 - pabbi 2009-09-25 13:42.1.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.46.1053.18.1023.720 [GMT 2:00]

Körs från: c:\documents and settings\pabbi\Skrivbord\ComboFix.exe

AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

.

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\drivers\gasfkyaqgkxvns.sys

c:\windows\system32\gasfkybqbdvvfp.dll

c:\windows\system32\gasfkyomfwdflg.dat

c:\windows\system32\gasfkyqrnlvivx.dat

c:\windows\system32\gasfkyrvgviqrd.dll

c:\windows\system32\gasfkysfvxfmkh.dll

c:\windows\system32\gasfkyximqipyv.dat

c:\windows\system32\gasfkyxyecbcxl.dll

.

((((((((((((((((((((((((((((((((((((((( Drivrutiner/Tjänster )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Service_gasfkyblalktlw

-------\Legacy_gasfkyblalktlw

(((((((((((((((((((((((( Filer Skapade från 2009-08-25 till 2009-09-25 ))))))))))))))))))))))))))))))

.

2009-09-25 10:56 . 2009-09-25 10:56 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

2009-09-25 10:46 . 2009-09-25 10:46 54016 ----a-w- c:\windows\system32\drivers\wikvad.sys

2009-09-25 10:38 . 2009-09-25 10:38 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache

2009-09-24 14:31 . 2009-09-24 14:31 499712 ----a-w- c:\windows\system32\msvcp71.dll

2009-09-24 14:31 . 2009-09-24 14:31 348160 ----a-w- c:\windows\system32\msvcr71.dll

2009-09-20 16:39 . 2009-09-20 16:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Improving Memory with Four Seasons

2009-09-20 16:38 . 2009-09-20 16:38 -------- d-----w- c:\program\School of Phenomenal Memory

2009-09-17 17:32 . 2009-09-17 17:39 -------- d-----w- c:\documents and settings\pabbi\.jin

2009-09-15 16:30 . 2009-09-15 16:30 -------- d-----w- c:\program\FreshDevices

2009-09-10 14:28 . 2009-06-21 21:48 153088 -c----w- c:\windows\system32\dllcache\triedit.dll

2009-09-07 12:28 . 2005-08-16 10:23 38422 ----a-w- c:\windows\system32\drivers\StMp3Rec.sys

2009-09-07 12:08 . 2009-09-07 12:08 -------- d-----w- c:\program\CCleaner

2009-09-07 12:04 . 2009-09-07 16:07 -------- d-----w- c:\documents and settings\pabbi\Application Data\Creative

2009-09-06 18:03 . 2009-09-18 17:15 -------- d-----w- c:\documents and settings\pabbi\Application Data\dvdcss

2009-09-06 12:33 . 2009-09-06 12:33 -------- d-----w- c:\program\Coollector

2009-09-06 07:52 . 2009-09-06 07:52 -------- d-----w- c:\documents and settings\pabbi\dwhelper

2009-09-05 16:39 . 2008-11-20 19:19 9200 ------w- c:\windows\system32\drivers\cdralw2k.sys

2009-09-05 16:39 . 2008-11-20 19:19 9072 ------w- c:\windows\system32\drivers\cdr4_xp.sys

2009-09-05 16:39 . 2009-09-05 16:39 -------- d-----w- c:\windows\system32\IOSUBSYS

2009-09-05 16:39 . 2009-09-05 16:39 -------- d-----w- c:\program\Google

2009-09-04 14:55 . 2009-09-04 14:55 -------- d-----w- c:\documents and settings\pabbi\Application Data\ACAMPREF

2009-09-04 14:55 . 2009-09-04 14:55 -------- d-----w- c:\program\PDFtoMusic Pro

2009-09-04 14:49 . 2009-09-04 14:49 -------- d-----w- c:\program\Auslogics

2009-09-04 13:41 . 2009-09-24 16:48 -------- d-----w- c:\program\Opera

2009-09-03 08:07 . 2008-09-25 15:35 181120 ----a-w- c:\windows\system32\drivers\ext2fs.sys

2009-09-03 08:07 . 2008-08-28 20:45 51072 ----a-w- c:\windows\system32\drivers\ifsmount.sys

2009-09-03 08:07 . 2008-07-26 21:56 210432 ----a-w- c:\windows\system32\ifsdrives.dll

2009-08-31 14:04 . 2009-08-31 14:04 -------- d-----w- c:\program\Symantec

2009-08-31 13:30 . 2009-08-31 13:30 -------- d-----w- c:\documents and settings\pabbi\Application Data\Ashampoo

2009-08-31 13:29 . 2009-08-31 13:29 -------- d-----w- c:\documents and settings\All Users\Application Data\ashampoo

2009-08-31 13:29 . 2009-08-31 13:31 -------- d-----w- c:\program\Ashampoo

2009-08-31 12:48 . 2009-08-31 12:48 -------- d-----w- c:\program\uTorrent

2009-08-31 12:45 . 2009-08-31 14:22 -------- d-----w- c:\documents and settings\pabbi\Application Data\uTorrent

2009-08-30 10:04 . 2009-09-25 10:03 -------- d-----w- C:\$AVG8.VAULT$

2009-08-30 09:37 . 2009-08-30 09:37 -------- d-sh--w- c:\documents and settings\pabbi\PrivacIE

2009-08-30 09:34 . 2009-08-30 09:34 -------- d-sh--w- c:\documents and settings\pabbi\IETldCache

2009-08-30 09:32 . 2009-08-07 08:48 100352 -c----w- c:\windows\system32\dllcache\iecompat.dll

2009-08-30 09:31 . 2009-09-10 15:12 -------- d-----w- c:\windows\ie8updates

2009-08-30 09:31 . 2009-07-03 17:00 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll

2009-08-30 09:31 . 2009-07-19 16:48 11067392 -c----w- c:\windows\system32\dllcache\ieframe.dll

2009-08-30 09:31 . 2009-07-03 17:00 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll

2009-08-30 09:31 . 2009-07-03 17:00 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll

2009-08-30 09:31 . 2009-07-03 17:00 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll

2009-08-30 09:31 . 2009-07-03 17:00 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll

2009-08-30 09:30 . 2009-08-30 09:31 -------- dc-h--w- c:\windows\ie8

2009-08-30 09:12 . 2009-09-16 11:21 -------- d-----w- C:\My Music

2009-08-30 09:10 . 2009-08-30 09:10 -------- d-----w- c:\program\Delade filer\xing shared

2009-08-30 09:06 . 2008-04-13 18:45 26368 -c--a-w- c:\windows\system32\dllcache\usbstor.sys

2009-08-30 08:20 . 2009-08-30 08:21 -------- d-----w- c:\program\Delade filer\Adobe

2009-08-29 17:10 . 2009-08-29 17:10 -------- d-----w- c:\documents and settings\pabbi\Application Data\Blitware

2009-08-29 16:02 . 2009-09-25 09:15 -------- d-----w- c:\documents and settings\pabbi\Application Data\vlc

2009-08-29 16:01 . 2009-08-29 16:01 -------- d-----w- c:\program\VideoLAN

2009-08-29 15:57 . 2009-08-29 15:57 -------- d-----w- c:\documents and settings\pabbi\Application Data\COWON

2009-08-29 15:57 . 2009-08-29 15:57 -------- d-----w- c:\program\Delade filer\COWON

2009-08-29 15:57 . 2009-09-16 11:25 -------- d-----w- c:\program\JetAudio

2009-08-29 15:56 . 2009-08-29 15:56 -------- d-----w- c:\documents and settings\pabbi\Application Data\InstallShield

2009-08-29 15:11 . 2009-08-29 15:11 -------- d-----w- c:\documents and settings\All Users\Application Data\ChessBase

2009-08-29 14:57 . 2009-08-29 14:57 11952 ----a-w- c:\windows\system32\avgrsstx.dll

2009-08-29 14:57 . 2009-08-29 14:57 108552 ----a-w- c:\windows\system32\drivers\avgtdix.sys

2009-08-29 14:57 . 2009-08-29 14:57 335240 ----a-w- c:\windows\system32\drivers\avgldx86.sys

2009-08-29 14:57 . 2009-08-29 14:57 27784 ----a-w- c:\windows\system32\drivers\avgmfx86.sys

2009-08-29 14:56 . 2009-09-25 09:00 -------- d-----w- c:\windows\system32\drivers\Avg

2009-08-29 14:55 . 2009-08-29 14:55 -------- d-----w- c:\program\AVG

2009-08-29 14:55 . 2009-08-29 14:55 -------- d-----w- c:\documents and settings\All Users\Application Data\avg8

2009-08-29 14:39 . 2009-08-29 14:39 -------- d-----w- c:\documents and settings\pabbi\Application Data\AVG8

2009-08-29 14:38 . 2009-08-29 15:11 -------- d-----w- c:\documents and settings\pabbi\Application Data\ChessBase

2009-08-29 14:38 . 2009-08-29 14:38 -------- d-----w- c:\program\Delade filer\ChessBase

2009-08-29 14:37 . 2009-08-29 14:38 -------- d-----w- c:\program\ChessBase

2009-08-29 14:36 . 2004-08-04 12:00 221184 ----a-w- c:\windows\system32\wmpns.dll

2009-08-29 14:24 . 2009-08-29 14:24 -------- d-----w- c:\windows\system32\sv-se

2009-08-29 14:24 . 2009-08-29 14:24 -------- d-----w- c:\windows\system32\sv

2009-08-29 14:24 . 2009-08-29 14:24 -------- d-----w- c:\windows\system32\bits

2009-08-29 14:24 . 2009-08-29 14:24 -------- d-----w- c:\windows\l2schemas

2009-08-29 14:22 . 2009-08-29 14:22 -------- d-----w- c:\windows\ServicePackFiles

2009-08-29 14:15 . 2009-08-29 14:15 -------- d-----w- c:\windows\EHome

2009-08-29 12:41 . 1999-12-13 07:01 44032 ------w- c:\windows\system32\CTSVCCDA.EXE

2009-08-29 12:41 . 1999-11-18 07:00 25088 ------w- c:\windows\system32\CTSVCCTL.EXE

2009-08-29 12:22 . 2006-10-05 22:17 53248 ------w- c:\windows\Ctregrun.exe

2009-08-29 12:21 . 2009-08-29 12:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Creative

2009-08-29 12:20 . 2009-08-29 12:20 -------- d-----w- c:\program\Delade filer\Creative

2009-08-29 12:20 . 2009-09-07 15:54 -------- d--h--w- c:\program\Creative Installation Information

2009-08-29 12:20 . 2009-09-07 15:53 -------- d-----w- c:\program\Creative

2009-08-29 12:19 . 2009-09-07 15:37 -------- d--h--w- c:\program\InstallShield Installation Information

2009-08-29 12:19 . 2009-08-31 14:03 -------- d-----w- c:\program\Delade filer\InstallShield

2009-08-29 11:59 . 2009-08-29 11:59 -------- d-----w- c:\program\Jin

2009-08-29 11:57 . 2009-08-29 11:55 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-08-29 11:54 . 2009-08-29 11:54 -------- d-----w- c:\program\Java

2009-08-29 11:45 . 2004-08-03 20:29 73216 ------w- c:\windows\system32\drivers\atintuxx.sys

2009-08-29 11:42 . 2009-08-29 11:59 -------- d-----w- c:\documents and settings\pabbi\Application Data\DVD Profiler

2009-08-29 11:41 . 2009-08-29 11:55 -------- d-----w- c:\program\DVD Profiler

2009-08-29 11:40 . 2009-08-29 11:40 -------- d-----w- c:\program\Windows Media Connect 2

2009-08-29 11:39 . 2009-09-20 18:04 -------- d-----w- c:\program\Arena

2009-08-29 11:39 . 2009-08-29 11:39 -------- d-----w- c:\windows\system32\drivers\UMDF

2009-08-29 11:39 . 2009-08-29 11:39 -------- d-----w- c:\windows\system32\LogFiles

2009-08-29 11:29 . 2009-08-29 11:34 -------- d-----w- c:\program\Ekonomi

2009-08-29 11:29 . 1998-06-17 22:00 102912 ----a-w- c:\windows\system32\VB6STKIT.DLL

2009-08-29 11:28 . 2008-08-14 10:04 138496 -c----w- c:\windows\system32\dllcache\afd.sys

2009-08-29 11:28 . 2008-06-20 17:49 247296 -c----w- c:\windows\system32\dllcache\mswsock.dll

2009-08-29 11:28 . 2008-06-20 17:49 147968 -c----w- c:\windows\system32\dllcache\dnsapi.dll

2009-08-29 11:28 . 2008-06-20 11:51 361600 -c----w- c:\windows\system32\dllcache\tcpip.sys

2009-08-29 11:28 . 2008-06-20 11:08 225856 -c----w- c:\windows\system32\dllcache\tcpip6.sys

2009-08-29 11:26 . 2009-08-29 11:26 -------- d-----w- c:\documents and settings\pabbi\Application Data\Malwarebytes

2009-08-29 11:26 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-08-29 11:26 . 2009-09-16 11:18 -------- d-----w- c:\program\Malwarebytes' Anti-Malware

2009-08-29 11:26 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-08-29 11:26 . 2009-08-29 11:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-08-29 11:25 . 2008-06-14 17:36 272128 -c----w- c:\windows\system32\dllcache\bthport.sys

2009-08-29 11:23 . 2008-05-08 14:02 203136 -c----w- c:\windows\system32\dllcache\rmcast.sys

2009-08-29 11:23 . 2008-12-11 10:57 333952 -c----w- c:\windows\system32\dllcache\srv.sys

2009-08-29 11:23 . 2009-07-10 13:31 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll

2009-08-29 11:23 . 2008-04-11 19:06 691712 -c----w- c:\windows\system32\dllcache\inetcomm.dll

2009-08-29 11:23 . 2008-09-04 17:17 1106944 -c----w- c:\windows\system32\dllcache\msxml3.dll

2009-08-29 11:23 . 2008-04-21 21:16 217088 -c----w- c:\windows\system32\dllcache\wordpad.exe

2009-08-29 11:21 . 2009-02-06 10:10 227840 -c----w- c:\windows\system32\dllcache\wmiprvse.exe

2009-08-29 11:21 . 2009-02-09 11:27 2189824 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe

2009-08-29 11:21 . 2009-03-06 14:24 284160 -c----w- c:\windows\system32\dllcache\pdh.dll

2009-08-29 11:21 . 2009-02-09 11:27 110592 -c----w- c:\windows\system32\dllcache\services.exe

2009-08-29 11:21 . 2009-02-09 10:56 401408 -c----w- c:\windows\system32\dllcache\rpcss.dll

2009-08-29 11:21 . 2009-02-09 10:56 473600 -c----w- c:\windows\system32\dllcache\fastprox.dll

2009-08-29 11:21 . 2009-02-09 10:56 681472 -c----w- c:\windows\system32\dllcache\advapi32.dll

2009-08-29 11:21 . 2009-06-25 08:27 730624 -c----w- c:\windows\system32\dllcache\lsasrv.dll

2009-08-29 11:21 . 2009-02-09 10:56 719360 -c----w- c:\windows\system32\dllcache\ntdll.dll

2009-08-29 11:21 . 2009-02-09 10:55 453120 -c----w- c:\windows\system32\dllcache\wmiprvsd.dll

2009-08-29 11:21 . 2009-02-09 11:27 2146304 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe

2009-08-29 11:21 . 2009-02-09 11:27 2024960 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-09-25 09:15 . 2009-08-29 16:02 -------- d-----w- c:\documents and settings\pabbi\Application Data\vlc

2009-09-24 09:45 . 2004-08-04 12:00 47784 ----a-w- c:\windows\system32\perfc01D.dat

2009-09-24 09:45 . 2004-08-04 12:00 315006 ----a-w- c:\windows\system32\perfh01D.dat

2009-08-05 09:01 . 2004-08-04 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll

2009-07-29 04:37 . 2004-08-04 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll

2009-07-29 04:37 . 2004-08-04 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll

2009-07-17 19:04 . 2004-08-04 12:00 58880 ----a-w- c:\windows\system32\atl.dll

2009-07-13 21:43 . 2004-08-04 12:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll

2009-07-03 17:00 . 2004-08-04 12:00 915456 ----a-w- c:\windows\system32\wininet.dll

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 170496]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2009-08-29 14:57 11952 ----a-w- c:\windows\system32\avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program\\Arena\\Timeseal.exe"=

"c:\\Program\\AVG\\AVG8\\avgemc.exe"=

"c:\\Program\\AVG\\AVG8\\avgupd.exe"=

"c:\\Program\\AVG\\AVG8\\avgnsx.exe"=

"c:\\Program\\Mozilla Firefox\\firefox.exe"=

"c:\\Program\\uTorrent\\uTorrent.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-08-29 335240]

R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-08-29 108552]

R1 Ext2fs;Ext2fs;c:\windows\system32\drivers\ext2fs.sys [2009-09-03 181120]

R1 IfsMount;IfsMount;c:\windows\system32\drivers\ifsmount.sys [2009-09-03 51072]

R2 avg8emc;AVG Free8 E-mail Scanner;c:\program\AVG\AVG8\avgemc.exe [2009-08-29 908056]

R2 avg8wd;AVG Free8 WatchDog;c:\program\AVG\AVG8\avgwdsvc.exe [2009-08-29 297752]

R2 MBAMService;MBAMService;c:\program\Malwarebytes' Anti-Malware\mbamservice.exe [2009-08-29 269648]

R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2009-08-29 19160]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

.

Innehållet i mappen 'Schemalagda aktiviteter':

.

.

------- Extra genomsökning -------

.

uStart Page = hxxp://www.google.se/

uDefault_Search_URL = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

FF - ProfilePath - c:\documents and settings\pabbi\Application Data\Mozilla\Firefox\Profiles\tgcpeqgd.default\

FF - component: c:\program\AVG\AVG8\Firefox\components\avgssff.dll

FF - component: c:\program\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll

FF - plugin: c:\program\Google\Picasa3\npPicasa3.dll

---- FIREFOX POLICY ----

FF - user.js: general.useragent.extra.zencast - Creative ZENcast v2.00.13);user_pref(general.useragent.extra.zencast, c:\program\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-09-25 13:48

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Sluttid: 2009-09-25 13:49

ComboFix-quarantined-files.txt 2009-09-25 11:49

Före genomsökningen: 37 455 028 224 byte ledigt

Efter genomsökningen: 37 984 645 120 byte ledigt

WindowsXP-KB310994-SP2-Home-BootDisk-SVE.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

229 --- E O F --- 2009-09-10 15:16

smari57

[Cecilia]

Då ska vi se.

Surfa till http://www.virustotal.com (fungerar bäst med Internet Explorer) klistra in följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här.

c:\windows\system32\drivers\wikvad.sys

[smari57]

Då ska vi se.

Surfa till http://www.virustotal.com (fungerar bäst med Internet Explorer) klistra in följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här.

c:\windows\system32\drivers\wikvad.sys

Hej

är det denna fil du vill ha

a-squared 4.5.0.24 2009.09.17 -

AhnLab-V3 5.0.0.2 2009.09.17 -

AntiVir 7.9.1.19 2009.09.17 -

Antiy-AVL 2.0.3.7 2009.09.17 -

Authentium 5.1.2.4 2009.09.18 -

Avast 4.8.1351.0 2009.09.17 -

AVG 8.5.0.412 2009.09.17 -

BitDefender 7.2 2009.09.18 -

CAT-QuickHeal 10.00 2009.09.17 -

ClamAV 0.94.1 2009.09.17 -

Comodo 2353 2009.09.18 -

DrWeb 5.0.0.12182 2009.09.17 -

eSafe 7.0.17.0 2009.09.17 -

eTrust-Vet 31.6.6744 2009.09.17 -

F-Prot 4.5.1.85 2009.09.18 -

F-Secure 8.0.14470.0 2009.09.17 -

Fortinet 3.120.0.0 2009.09.17 -

GData 19 2009.09.17 -

Ikarus T3.1.1.72.0 2009.09.17 -

Jiangmin 11.0.800 2009.09.17 -

K7AntiVirus 7.10.847 2009.09.17 -

Kaspersky 7.0.0.125 2009.09.18 -

McAfee 5744 2009.09.17 -

McAfee+Artemis 5744 2009.09.17 -

McAfee-GW-Edition 6.8.5 2009.09.17 -

Microsoft 1.5005 2009.09.17 -

NOD32 4435 2009.09.17 -

Norman 6.01.09 2009.09.17 -

nProtect 2009.1.8.0 2009.09.17 -

Panda 10.0.2.2 2009.09.17 -

PCTools 4.4.2.0 2009.09.17 -

Prevx 3.0 2009.09.18 -

Rising 21.47.34.00 2009.09.17 -

Sophos 4.45.0 2009.09.17 -

Sunbelt 3.2.1858.2 2009.09.17 -

Symantec 1.4.4.12 2009.09.18 -

TheHacker 6.3.4.4.404 2009.09.15 -

TrendMicro 8.950.0.1094 2009.09.17 -

VBA32 3.12.10.10 2009.09.17 -

ViRobot 2009.9.17.1941 2009.09.17 -

VirusBuster 4.6.5.0 2009.09.17 -

Övrig information

File size: 54016 bytes

MD5 : e6d35f3aa51a65eb35c1f2340154a25e

SHA1 : aabbd57e20d2e7041f9e7abce6cfd8a53c366537

SHA256: 3da4f51682e7d42c5569f1fb1adc6295182962e36f748219e1d0c8f2389ba516

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0xC505

timedatestamp.....: 0x4A9EE5B5 (Wed Sep 2 23:37:57 2009)

machinetype.......: 0x14C (Intel I386)

( 5 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x480 0xBD9F 0xBE00 5.83 9474f39576a0e15bdbaa2ea3355f0a4a

.rdata 0xC280 0x126 0x180 3.78 375b710d9f213cfced30e9fdb29567e1

.data 0xC400 0xC0 0x100 0.33 786971ca2b109729eda604b44d6c72ad

INIT 0xC500 0x3C8 0x400 5.20 eea49a93a73afb6afc178455582133c6

.reloc 0xC900 0x9EC 0xA00 6.62 bddd5a40c508bfc84ec87de5f8e6a5d3

( 1 imports )

> ntoskrnl.exe: ZwWriteFile, RtlUpcaseUnicodeChar, ZwClose, ZwCreateFile, RtlInitUnicodeString, _wcsicmp, ZwQueryValueKey, ZwOpenKey, ZwDeleteKey, swprintf, ZwEnumerateKey, ExFreePoolWithTag, DbgPrint, ExAllocatePool, RtlPrefixUnicodeString, memcpy, RtlDeleteRegistryValue, ZwSetValueKey, RtlWriteRegistryValue, ZwEnumerateValueKey, ZwSetInformationFile, ZwQueryInformationFile, ZwQueryDirectoryFile, ZwOpenFile, KeTickCount, KeBugCheck, MmGetSystemRoutineAddress, ZwFlushKey, PsTerminateSystemThread, KeSetPriorityThread, KeGetCurrentThread, RtlCheckRegistryKey, KeDelayExecutionThread, ZwReadFile, PsCreateSystemThread, PsGetVersion, KeBugCheckEx

( 0 exports )

TrID : File type identification

Clipper DOS Executable (33.3%)

Generic Win/DOS Executable (33.0%)

DOS Executable Generic (33.0%)

VXD Driver (0.5%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)

ssdeep: 768:Bosx0q2ph6P2Jpz8ftoSUiJP7hYTCMrhwYKUzY4q:j076P2Jpz8ftBUMPaCMrhwY

PEiD : -

RDS : NSRL Reference Data Set

-

Smari57

[Cecilia]

Det såg ju bra ut i och för sig, men den är totalt okänd när man googlar på den. Den kom in under fm idag, klockan 10:46. Vet du vad du gjorde då? Eller vet du hur och när du fick alla dessa skadliga filer i datorn?

[smari57]

Det såg ju bra ut i och för sig, men den är totalt okänd när man googlar på den. Den kom in under fm idag, klockan 10:46. Vet du vad du gjorde då? Eller vet du hur och när du fick alla dessa skadliga filer i datorn?

hej

det var någon fil som jag klickade på men nu hittar inte Malwarebytes' Anti-Malware några hot

så jag hoppas att den är ren nu

smari57

[Cecilia]

Jag är i alla fall fundersam på filen. Kan det ha varit kring 10:46 som datorn blev infekterad?

[smari57]

Jag är i alla fall fundersam på filen. Kan det ha varit kring 10:46 som datorn blev infekterad?

hej

jag vet inte tiden med det var idag som det hände

smari57

[Cecilia]

Okej, kolla om det här visar något. Ladda ner Gmer till C:\ från en av dessa sidor:

http://www.gmer.net/files.php välj Gmer application

http://www.majorgeeks.com/GMER_d5198.html

Packa upp filen till Skrivbordet.

Dra ur internetanslutningen.

Stäng alla program, även antivirusprogram och brandvägg.

Starta programmet gmer.exe.

Om det kommer upp en fråga om "scan" så välj Nej/No. Spara loggen och klistra in i ditt svar. Gör inte mer.

Om frågan inte kommer så välj fliken Rootkit/Malware, kontrollera att allt är förbockat till höger utom Show All. Tryck på Scan. Låt datorn stå ifred medan Gmer håller på.

Tryck på Save och spara resultatet på Skrivbordet.

Sätt igång antivirusprogram och brandvägg innan du ansluter till internet.

Klistra in resultatet i ditt svar.

[smari57]

Okej, kolla om det här visar något. Ladda ner Gmer till C:\ från en av dessa sidor:

http://www.gmer.net/files.php välj Gmer application

http://www.majorgeeks.com/GMER_d5198.html

Packa upp filen till Skrivbordet.

Dra ur internetanslutningen.

Stäng alla program, även antivirusprogram och brandvägg.

Starta programmet gmer.exe.

Om det kommer upp en fråga om "scan" så välj Nej/No. Spara loggen och klistra in i ditt svar. Gör inte mer.

Om frågan inte kommer så välj fliken Rootkit/Malware, kontrollera att allt är förbockat till höger utom Show All. Tryck på Scan. Låt datorn stå ifred medan Gmer håller på.

Tryck på Save och spara resultatet på Skrivbordet.

Sätt igång antivirusprogram och brandvägg innan du ansluter till internet.

Klistra in resultatet i ditt svar.

Hej

här kommer loggfil från Gmer

GMER 1.0.15.15087 - http://www.gmer.net

Rootkit quick scan 2009-09-26 17:04:05

Windows 5.1.2600 Service Pack 3

Running: wtjv5mdr.exe; Driver: C:\DOCUME~1\pabbi\LOKALA~1\Temp\fwrirpoc.sys

---- Devices - GMER 1.0.15 ----

AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)

---- EOF - GMER 1.0.15 ----

smari57

[Cecilia]

Japp, där är det något. Starta Gmer igen och efter snabbskanningen så välj fliken Services. Se om du kan hitta något som heter antingen wtjv5mdr eller fwrirpoc. I så fall högerklicka på det och välj Disable/Inaktivera och därefter starta om datorn. Kör Gmer igen och klistra in loggen.

Spara denna fil på Skrivbordet:

http://download.bleepingcomputer.com/rootr.../Win32kDiag.exe

Kör programmet.

När det är klart så skapas en loggfil Win32kDiag.txt på Skrivbordet. Klistra in den i ditt svar.

[smari57]

Japp, där är det något. Starta Gmer igen och efter snabbskanningen så välj fliken Services. Se om du kan hitta något som heter antingen wtjv5mdr eller fwrirpoc. I så fall högerklicka på det och välj Disable/Inaktivera och därefter starta om datorn. Kör Gmer igen och klistra in loggen.

Spara denna fil på Skrivbordet:

http://download.bleepingcomputer.com/rootr.../Win32kDiag.exe

Kör programmet.

När det är klart så skapas en loggfil Win32kDiag.txt på Skrivbordet. Klistra in den i ditt svar.

hej

hitta ingen filer som heter wtjv5mdr eller fwrirpoc.

Här kommer win32kdiag loggfil

smari57

Running from: C:\Documents and Settings\pabbi\Skrivbord\Win32kDiag.exe

Log file at : C:\Documents and Settings\pabbi\Skrivbord\Win32kDiag.txt

WARNING: Could not get backup privileges!

Searching 'C:\WINDOWS'...

Finished!

[Cecilia]

Har du en XP-skiva med reparationskonsol på?

Uppdatera och kör MBAM. Nu när ComboFix har rensat bort en del så kanske MBAM har lättare att hitta lite mer.

Spara denna fil på Skrivbordet:

http://rootrepeal.googlepages.com/RootRepeal.zip

Packa upp zip-filen (extrahera) så att du får en programfil.

Starta RootRepeal.

Välj Report-fliken och tryck på Scan.

Bocka för alla sju valen och tryck sedan på Yes/Ja.

Välj C: och tryck Ok.

Det tar ett tag för RootRepeal att söka igenom C:.

När sökningen är klar så tryck på Save Report och spara den med namnet rootrepeal.log. Klistra in innehållet i rootrepeal.log.

[smari57]

Har du en XP-skiva med reparationskonsol på?

Uppdatera och kör MBAM. Nu när ComboFix har rensat bort en del så kanske MBAM har lättare att hitta lite mer.

Spara denna fil på Skrivbordet:

http://rootrepeal.googlepages.com/RootRepeal.zip

Packa upp zip-filen (extrahera) så att du får en programfil.

Starta RootRepeal.

Välj Report-fliken och tryck på Scan.

Bocka för alla sju valen och tryck sedan på Yes/Ja.

Välj C: och tryck Ok.

Det tar ett tag för RootRepeal att söka igenom C:.

När sökningen är klar så tryck på Save Report och spara den med namnet rootrepeal.log. Klistra in innehållet i rootrepeal.log.

hej

här kommer rootreapeal log

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2009/09/26 18:46

Program Version: Version 1.3.5.0

Windows Version: Windows XP SP3

==================================================

Drivers

-------------------

Name: dump_atapi.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys

Address: 0xF51F7000 Size: 98304 File Visible: No Signed: -

Status: -

Name: dump_WMILIB.SYS

Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS

Address: 0xF7D8B000 Size: 8192 File Visible: No Signed: -

Status: -

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xF2574000 Size: 49152 File Visible: No Signed: -

Status: -

Hidden/Locked Files

-------------------

Path: C:\hiberfil.sys

Status: Locked to the Windows API!

Path: C:\RootRepeal report 09-26-09 (18-45-46).txt

Status: Visible to the Windows API, but not on disk.

==EOF==

smari57

[Cecilia]

Det ser normalt ut, det är inte troligt att din dator längre är infekterad. Men kolla med MBAM om du inte har gjort det redan efter ComboFix-körningen.

Nu återstår bara en sista städomgång.

1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade. Du gör det genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt.

Systemåterställningsfunktionen slår man av och på här:

XP: Högerklick på Den här datorn - Egenskaper - Systemåterställning

Vista: Högerklick på Datorn - Egenskaper - Avanderade systeminställningar - Systemskydd

Avbocka resp. sätt tillbaks bockar för alla hårddiskar (kom ihåg hur det såg ut innan)

2. Om du har använt något fix-program, t ex ComboFix så ladda ner avinstallationsprogrammet OTC till Skrivbordet.

http://oldtimer.geekstogo.com/OTC.exe

Dubbelklicka på filen för att starta programmet.

Tryck på knappen CleanUp! och de olika fix-program som du har laddat ner kommer att avinstalleras, inkl. detta program, efter en omstart av datorn. Om något fix-program är kvar efter det så fråga hur du ska ta bort det.

3. Ta bort alla tillfälliga filer genom att ladda ner ATF-Cleaner på Skrivbordet:

http://www.atribune.org/ccount/click.php?id=1

Stäng av alla andra program, särskilt webbläsare.

Dubbelklicka på ATF-Cleaner.exe för att starta programmet.

Bocka i Select All. Tryck på Empty Selected.

Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

Tryck på Exit i Main-menyn för att stänga programmet.

Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.

4. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.

http://mnin.blogspot.com/2009/02/why-i-enj...iggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.

5. Förbättra skyddet i datorn, se mina Råd för en säkrare dator. http://ceblstockholm.googlepages.com/home

[smari57]

Det ser normalt ut, det är inte troligt att din dator längre är infekterad. Men kolla med MBAM om du inte har gjort det redan efter ComboFix-körningen.

Nu återstår bara en sista städomgång.

1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade. Du gör det genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt.

Systemåterställningsfunktionen slår man av och på här:

XP: Högerklick på Den här datorn - Egenskaper - Systemåterställning

Vista: Högerklick på Datorn - Egenskaper - Avanderade systeminställningar - Systemskydd

Avbocka resp. sätt tillbaks bockar för alla hårddiskar (kom ihåg hur det såg ut innan)

2. Om du har använt något fix-program, t ex ComboFix så ladda ner avinstallationsprogrammet OTC till Skrivbordet.

http://oldtimer.geekstogo.com/OTC.exe

Dubbelklicka på filen för att starta programmet.

Tryck på knappen CleanUp! och de olika fix-program som du har laddat ner kommer att avinstalleras, inkl. detta program, efter en omstart av datorn. Om något fix-program är kvar efter det så fråga hur du ska ta bort det.

3. Ta bort alla tillfälliga filer genom att ladda ner ATF-Cleaner på Skrivbordet:

http://www.atribune.org/ccount/click.php?id=1

Stäng av alla andra program, särskilt webbläsare.

Dubbelklicka på ATF-Cleaner.exe för att starta programmet.

Bocka i Select All. Tryck på Empty Selected.

Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

Tryck på Exit i Main-menyn för att stänga programmet.

Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.

4. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.

http://mnin.blogspot.com/2009/02/why-i-enj...iggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.

5. Förbättra skyddet i datorn, se mina Råd för en säkrare dator. http://ceblstockholm.googlepages.com/home

Hej

då är datorn ren nu och jag tackar för all hjälp som jag har fått av er

den har varit bra och snabb

smari57

[Cecilia]

den har varit bra och snabb

Det låter ju bra!

Sköt om datorn nu.

[smari57]

Det låter ju bra!

Sköt om datorn nu.

Hej

tack för all hjälp och ha en bra dag

smari57