Virus Hjälp! Trojan horse Generic18.BYZH

Niki · September 15, 2010

Hejsan!

Idag när jag spelade spel så tabbades jag ner till skrivbordet tackvare AVG 9.0 Free som hittat en trojan (Trojan horse Generic18.BYZH) på min hårddisk.

Jag tog bort filen med hjälp utav AVG och trodde allt var frid och fröjd. Tills 2 timmar senare, då samma meddelande dyker upp igen.. Så jag googlade Trojan horse Generic18.BYZH och hittade hit tack vare en annan person som haft samma problem. Länk

Jag har precis gjort första steget.

Hej! Låt bli systemåterställningen för det löser inte ditt problem!

Följ dessa instruktioner och posta loggarna så får vi se hur det ser ut: http://www.saswsupport.se/?page_id=241

Mvh MrO

Efter att jag gjort den scanningen så sparades denna log:

Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Databasversion: 4621

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

2010-09-15 20:33:49

mbam-log-2010-09-15 (20-33-49).txt

Skanningstyp: Snabbskanning

Antal skannade objekt: 135141

Förfluten tid: 4 minut(er), 53 sekund(er)

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 1

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

Infekterade registernycklar:

(Inga illasinnade poster hittades)

Infekterade registervärden:

(Inga illasinnade poster hittades)

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

Infekterade mappar:

(Inga illasinnade poster hittades)

Infekterade filer:

C:\Users\Samsung\AppData\Local\Temp\test.exe (Trojan.Zlob) -> Quarantined and deleted successfully.

Nu står jag vid steg två i Denna guide och vet inte var jag laddar ner Hijack This.

Jag är evigt tacksam för all hjälp jag kan få!

MVH

Niki

si3rra · September 15, 2010

http://free.antivirus.com/hijackthis/

Sunshine · September 15, 2010

http://www.tech-faq.com/how-to-remove-zlob.html

Testa denna och se om det inte tas bort!

Mvh// Sunshine

Cecilia · September 15, 2010

Det är inte alls säkert att infektionen yttrar sig på samma sätt längre för skadliga program kommer ständigt i nya versioner och därför behöver det inte gå bra att följa en gammal instruktion.

Jag skulle vilja veta i vilka filer och mappar som AVG har hittat de trojanska hästarna, det borde finnas en logg eller karantän i AVG där det framgår.

I stället för HijackThis föredrar jag DDS eftersom det visar mer. Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Medan du bifogar Attach.txt som en fil.

Niki · September 15, 2010

Det är inte alls säkert att infektionen yttrar sig på samma sätt längre för skadliga program kommer ständigt i nya versioner och därför behöver det inte gå bra att följa en gammal instruktion.

Jag skulle vilja veta i vilka filer och mappar som AVG har hittat de trojanska hästarna, det borde finnas en logg eller karantän i AVG där det framgår.

I stället för HijackThis föredrar jag DDS eftersom det visar mer. Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Medan du bifogar Attach.txt som en fil.

Först och främst tack för visat intresse!

Filen är bifogad och här kommer DDS logen.

DDS (Ver_10-03-17.01) - NTFSx86

Run by Samsung at 22:36:55,18 on 2010-09-15

Internet Explorer: 8.0.7600.16385 BrowserJavaVersion: 1.6.0_21

Microsoft Windows 7 Home Premium 6.1.7600.0.1252.46.1053.18.3566.2335 [GMT 2:00]

============== Running Processes ===============

C:\windows\system32\wininit.exe

C:\Program Files\AVG\AVG9\avgchsvx.exe

C:\Program Files\AVG\AVG9\avgrsx.exe

C:\Program Files\AVG\AVG9\avgcsrvx.exe

C:\windows\system32\lsm.exe

C:\windows\system32\svchost.exe -k DcomLaunch

C:\windows\system32\nvvsvc.exe

C:\windows\system32\svchost.exe -k RPCSS

C:\windows\System32\svchost.exe -k LocalServiceNetworkRestricted

C:\windows\System32\svchost.exe -k LocalSystemNetworkRestricted

C:\windows\system32\svchost.exe -k netsvcs

C:\windows\system32\svchost.exe -k LocalService

C:\Program Files\Sandboxie\SbieSvc.exe

C:\windows\system32\svchost.exe -k NetworkService

C:\windows\system32\nvvsvc.exe

C:\windows\System32\spoolsv.exe

C:\windows\system32\svchost.exe -k LocalServiceNoNetwork

C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

C:\Program Files\AVG\AVG9\avgwdsvc.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\WIDCOMM\Bluetooth Software\btwdins.exe

C:\windows\SYSTEM32\Rezip.exe

C:\windows\system32\Dwm.exe

C:\windows\system32\taskhost.exe

C:\windows\Explorer.EXE

C:\Program Files\CyberLink\Shared files\RichVideo.exe

C:\windows\system32\svchost.exe -k imgsvc

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE

C:\Program Files\AVG\AVG9\avgnsx.exe

C:\Program Files\AVG\AVG9\avgemc.exe

C:\windows\system32\taskeng.exe

C:\Program Files\SAMSUNG\EasySpeedUpManager\EasySpeedUpManager.exe

C:\Program Files\Samsung\Samsung Recovery Solution 4\WCScheduler.exe

C:\Program Files\Samsung\Samsung Support Center\SSCKbdHk.exe

C:\Program Files\Samsung\Easy Display Manager\dmhkcore.exe

C:\Program Files\AVG\AVG9\avgcsrvx.exe

C:\windows\system32\SearchIndexer.exe

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe

C:\windows\System32\alg.exe

C:\windows\system32\svchost.exe -k bthsvcs

C:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation

C:\Program Files\Realtek\Audio\HDA\RtHDVCpl.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\CyberLink\Power2Go\CLMLSvc.exe

C:\Program Files\Synaptics\SynTP\SynTPHelper.exe

C:\Program Files\CyberLink\PowerDVD8\PDVD8Serv.exe

C:\Program Files\AVG\AVG9\avgtray.exe

C:\Program Files\Razer\DeathAdder\razerhid.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\PowerISO\PWRISOVM.EXE

C:\Program Files\Razer\DeathAdder\razertra.exe

C:\Program Files\Windows Media Player\wmpnetwk.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Sandboxie\SbieCtrl.exe

C:\Users\Samsung\AppData\Roaming\Microsoft\Windows\Templates\taskeng.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Razer\DeathAdder\razerofa.exe

C:\Users\Samsung\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Samsung\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Samsung\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Samsung\AppData\Local\Google\Chrome\Application\chrome.exe

C:\Users\Samsung\AppData\Local\Google\Chrome\Application\chrome.exe

C:\windows\system32\svchost.exe -k netsvcs

C:\Program Files\Mumble\mumble.exe

C:\Program Files\Spotify\spotify.exe

C:\Steam\Steam.exe

C:\Program Files\Common Files\Steam\SteamService.exe

C:\windows\system32\SearchProtocolHost.exe

C:\windows\system32\SearchFilterHost.exe

C:\windows\system32\DllHost.exe

C:\windows\system32\DllHost.exe

C:\Users\Samsung\Desktop\dds.scr

C:\windows\system32\conhost.exe

C:\windows\system32\wbem\wmiprvse.exe

============== Pseudo HJT Report ===============

uStart Page = hxxp://www.google.com/ig/redirectdomain?brand=smsn&bmod=smsn

uDefault_Page_URL = hxxp://www.google.com/ig/redirectdomain?brand=smsn&bmod=smsn

uInternet Settings,ProxyOverride = *.local

uURLSearchHooks: AVG Security Toolbar BHO: {a3bc75a2-1f87-4686-aa43-5347d756017c} - c:\program files\avg\avg9\toolbar\IEToolbar.dll

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: AVG Safe Search: {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\avg\avg9\avgssie.dll

BHO: Inloggningshjälp för Windows Live ID: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: AVG Security Toolbar BHO: {a3bc75a2-1f87-4686-aa43-5347d756017c} - c:\program files\avg\avg9\toolbar\IEToolbar.dll

BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\program files\google\google toolbar\GoogleToolbar_32.dll

BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\program files\google\googletoolbarnotifier\5.5.5126.1836\swg.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll

TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program files\google\google toolbar\GoogleToolbar_32.dll

TB: AVG Security Toolbar: {ccc7a320-b3ca-4199-b1a6-9f516dd69829} - c:\program files\avg\avg9\toolbar\IEToolbar.dll

uRun: [uTorrent] "c:\program files\utorrent\uTorrent.exe"

uRun: [sandboxieControl] "c:\program files\sandboxie\SbieCtrl.exe"

uRun: [Google Update] "c:\users\samsung\appdata\local\google\update\GoogleUpdate.exe" /c

uRun: [ATI] c:\users\samsung\appdata\roaming\microsoft\windows\templates\taskeng.exe

uRun: [ControlPanel] c:\users\samsung\appdata\roaming\microsoft\taskeng.exe

mRun: [RtHDVCpl] c:\program files\realtek\audio\hda\RtHDVCpl.exe -s

mRun: [synTPEnh] %ProgramFiles%\Synaptics\SynTP\SynTPEnh.exe

mRun: [updateLBPShortCut] "c:\program files\cyberlink\labelprint\muitransfer\muistartmenu.exe" "c:\program files\cyberlink\labelprint" updatewithcreateonce "software\cyberlink\labelprint\2.5"

mRun: [CLMLServer] "c:\program files\cyberlink\power2go\CLMLSvc.exe"

mRun: [updateP2GoShortCut] "c:\program files\cyberlink\power2go\muitransfer\muistartmenu.exe" "c:\program files\cyberlink\power2go" updatewithcreateonce "software\cyberlink\power2go\6.0"

mRun: [updatePDRShortCut] "c:\program files\cyberlink\powerdirector\muitransfer\muistartmenu.exe" "c:\program files\cyberlink\powerdirector" updatewithcreateonce "software\cyberlink\powerdirector\7.0"

mRun: [RemoteControl8] "c:\program files\cyberlink\powerdvd8\PDVD8Serv.exe"

mRun: [PDVD8LanguageShortcut] "c:\program files\cyberlink\powerdvd8\language\Language.exe"

mRun: [updatePPShortCut] "c:\program files\cyberlink\powerproducer\muitransfer\muistartmenu.exe" "c:\program files\cyberlink\powerproducer" updatewithcreateonce "software\cyberlink\powerproducer\5.0"

mRun: [updatePSTShortCut] "c:\program files\cyberlink\dvd suite\muitransfer\muistartmenu.exe" "c:\program files\cyberlink\dvd suite" updatewithcreateonce "software\cyberlink\PowerStarter"

mRun: [uCam_Menu] "c:\program files\cyberlink\youcam\muitransfer\muistartmenu.exe" "c:\program files\cyberlink\youcam" updatewithcreateonce "software\cyberlink\youcam\2.0"

mRun: [AVG9_TRAY] c:\progra~1\avg\avg9\avgtray.exe

mRun: [DeathAdder] c:\program files\razer\deathadder\razerhid.exe

mRun: [sunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"

mRun: [PWRISOVM.EXE] c:\program files\poweriso\PWRISOVM.EXE

mRun: [AdobeAAMUpdater-1.0] "c:\program files\common files\adobe\oobe\pdapp\uwa\UpdaterStartupUtility.exe"

mRun: [switchBoard] c:\program files\common files\adobe\switchboard\SwitchBoard.exe

mRun: [AdobeCS5ServiceManager] "c:\program files\common files\adobe\cs5servicemanager\CS5ServiceManager.exe" -launchedbylogin

mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime

mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"

mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"

mRun: [Malwarebytes Anti-Malware (reboot)] "c:\program files\malwarebytes' anti-malware\mbam.exe" /runcleanupscript

mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)

mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)

mPolicies-system: EnableUIADesktopToggle = 0 (0x0)

mPolicies-system: PromptOnSecureDesktop = 0 (0x0)

IE: E&xportera till Microsoft Excel - c:\progra~1\micros~3\office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\program files\google\google toolbar\component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

IE: Skicka bild till &Bluetooth-enhet... - c:\program files\widcomm\bluetooth software\btsendto_ie_ctx.htm

IE: Skicka sida till &Bluetooth-enhet... - c:\program files\widcomm\bluetooth software\btsendto_ie.htm

IE: {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\program files\widcomm\bluetooth software\btsendto_ie.htm

IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - c:\program files\windows live\writer\WriterBrowserExtension.dll

IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~3\office12\ONBttnIE.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~3\office12\REFIEBAR.DLL

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - c:\program files\avg\avg9\toolbar\IEToolbar.dll

Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - c:\program files\avg\avg9\avgpp.dll

AppInit_DLLs: avgrsstx.dll

================= FIREFOX ===================

FF - ProfilePath - c:\users\samsung\appdata\roaming\mozilla\firefox\profiles\xz66l5jx.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.se/

FF - component: c:\program files\avg\avg9\firefox\components\avgssff.dll

FF - plugin: c:\program files\google\update\1.2.183.13\npGoogleOneClick8.dll

FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\program files\microsoft\office live\npOLW.dll

FF - plugin: c:\program files\windows live\photo gallery\NPWLPG.dll

FF - plugin: c:\users\samsung\appdata\local\google\update\1.2.183.29\npGoogleOneClick8.dll

FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----

c:\program files\mozilla firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program files\mozilla firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);

c:\program files\mozilla firefox\greprefs\all.js - pref("browser.visited_color", "#551A8B");

c:\program files\mozilla firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);

c:\program files\mozilla firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);

c:\program files\mozilla firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);

c:\program files\mozilla firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);

c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.lu", true);

c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.nu", true);

c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.nz", true);

c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--p1ai", true);

c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbayh7gpa", true);

c:\program files\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.tel", true);

c:\program files\mozilla firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program files\mozilla firefox\greprefs\all.js - pref("network.proxy.type", 5);

c:\program files\mozilla firefox\greprefs\all.js - pref("network.buffer.cache.count", 24);

c:\program files\mozilla firefox\greprefs\all.js - pref("network.buffer.cache.size", 4096);

c:\program files\mozilla firefox\greprefs\all.js - pref("dom.ipc.plugins.timeoutSecs", 45);

c:\program files\mozilla firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program files\mozilla firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);

c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.debug", false);

c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);

c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);

c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);

c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);

c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);

c:\program files\mozilla firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);

c:\program files\mozilla firefox\greprefs\all.js - pref("accelerometer.enabled", true);

c:\program files\mozilla firefox\greprefs\all.js - pref("html5.enable", false);

c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

c:\program files\mozilla firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);

c:\program files\mozilla firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");

c:\program files\mozilla firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");

c:\program files\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("browser.videoFeeds.handler", "ask");

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.nptest.dll", true);

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npswf32.dll", true);

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npctrl.dll", true);

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled.npqtplugin.dll", true);

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);

c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);

============= SERVICES / DRIVERS ===============

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2010-8-1 216400]

R1 AvgMfx86;AVG Free On-access Scanner Minifilter Driver x86;c:\windows\system32\drivers\avgmfx86.sys [2010-8-1 29584]

R1 AvgTdiX;AVG Free Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2010-8-1 243024]

R1 SABI;SAMSUNG Kernel Driver For Windows 7;c:\windows\system32\drivers\SABI.sys [2010-1-5 10752]

R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\drivers\vwififlt.sys [2009-7-14 48128]

R2 avg9emc;AVG Free E-mail Scanner;c:\program files\avg\avg9\avgemc.exe [2010-8-1 921952]

R2 avg9wd;AVG Free WatchDog;c:\program files\avg\avg9\avgwdsvc.exe [2010-8-1 308136]

R2 Rezip;Rezip;c:\windows\system32\Rezip.exe [2010-1-5 311296]

R3 btusbflt;Bluetooth USB Filter;c:\windows\system32\drivers\btusbflt.sys [2010-1-6 43944]

R3 btwl2cap;Bluetooth L2CAP Service;c:\windows\system32\drivers\btwl2cap.sys [2010-3-10 29472]

R3 DAdderFltr;DeathAdder Mouse;c:\windows\system32\drivers\dadder.sys [2010-8-1 9728]

R3 Impcd;Impcd;c:\windows\system32\drivers\Impcd.sys [2010-1-6 125696]

R3 NVHDA;Service for NVIDIA High Definition Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2010-8-1 105576]

R3 SbieDrv;SbieDrv;c:\program files\sandboxie\SbieDrv.sys [2010-7-4 119016]

R3 SCREAMINGBDRIVER;Screaming Bee Audio;c:\windows\system32\drivers\ScreamingBAudio.sys [2010-7-1 34896]

R3 vHidDev;Razer Gaming Device;c:\windows\system32\drivers\vHidDev.sys [2010-8-1 5760]

R3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\drivers\yk62x86.sys [2009-9-28 315392]

S2 gupdate;Tjänsten Google Update (gupdate);c:\program files\google\update\GoogleUpdate.exe [2010-8-1 135664]

S3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\program files\avg\avg9\toolbar\ToolbarBroker.exe [2010-8-17 430152]

S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-14 229888]

S3 CYUSB;Cypress Generic USB Driver;c:\windows\system32\drivers\CYUSB.sys [2010-8-1 39936]

S3 fssfltr;fssfltr;c:\windows\system32\drivers\fssfltr.sys [2010-3-10 54632]

S3 fsssvc;Tjänsten Windows Live Family Safety;c:\program files\windows live\family safety\fsssvc.exe [2010-4-28 704872]

S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers\netaapl.sys [2010-4-19 18432]

S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\drivers\Rt86win7.sys [2009-6-10 139776]

S3 SwitchBoard;SwitchBoard;c:\program files\common files\adobe\switchboard\SwitchBoard.exe [2010-2-19 517096]

S3 WatAdminSvc;Aktiveringsteknologier för Windows-tjänst;c:\windows\system32\wat\WatAdminSvc.exe [2010-8-1 1343400]

=============== Created Last 30 ================

2010-09-15 18:27:46 0 d-----w- c:\users\samsung\appdata\roaming\Malwarebytes

2010-09-15 18:27:34 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-09-15 18:27:33 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-09-15 18:27:33 0 d-----w- c:\programdata\Malwarebytes

2010-09-15 18:27:33 0 d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-09-15 01:00:44 0 d-----w- C:\05001902cdbcc91ca822668e3774

2010-09-14 22:28:31 316928 ----a-w- c:\windows\system32\spoolsv.exe

2010-09-13 18:40:42 0 d-----w- c:\users\samsung\appdata\roaming\StealthBot

2010-09-13 18:40:12 0 d-----w- C:\Stealthbot

2010-09-12 08:01:13 49917 ----a-w- c:\users\samsung\.ems.cfg

2010-09-12 08:00:18 299520 ----a-w- c:\windows\uninst.exe

2010-09-12 07:57:44 0 d-----w- c:\program files\Your Freedom

2010-09-05 14:27:15 0 d-----w- c:\program files\iPod

2010-09-05 14:27:14 0 d-----w- c:\program files\iTunes

2010-08-30 21:01:36 0 d-----w- c:\programdata\Boss Media

2010-08-30 21:01:33 0 d-----w- C:\Svenska Spels Poker

2010-08-26 10:22:21 0 d-----w- c:\programdata\Office Genuine Advantage

2010-08-25 20:38:22 0 d-----w- c:\users\samsung\appdata\roaming\AVG9

2010-08-24 21:12:50 571904 ----a-w- c:\windows\system32\oleaut32.dll

2010-08-24 08:13:58 0 d-----w- C:\Ventrilo 3.0.5

2010-08-24 08:13:56 254 ----a-w- c:\windows\{789289CA-F73A-4A16-A331-54D498CE069F}_WiseFW.ini

2010-08-24 08:13:22 0 d-----w- c:\program files\common files\Wise Installation Wizard

2010-08-23 06:41:00 194488 ----a-w- c:\windows\system32\drivers\fvevol.sys

2010-08-23 06:41:00 1286456 ----a-w- c:\windows\system32\ntdll.dll

2010-08-20 10:36:05 0 d-----w- c:\program files\Screaming Bee LLC

2010-08-20 10:30:06 0 d-----w- C:\MorphVOX Pro

2010-08-20 10:27:36 0 d-----w- c:\program files\Screaming Bee

2010-08-20 07:38:53 0 d-----w- c:\users\samsung\appdata\roaming\Screaming Bee

2010-08-20 07:38:37 0 d-----w- c:\programdata\Screaming Bee

2010-08-19 15:17:28 0 d-----w- c:\program files\SpotifyRemotelessHelper

2010-08-17 15:39:04 574976 ----a-w- c:\windows\system32\Western_Railway_NV_3D_Screensaver.scr

2010-08-17 15:39:04 0 d-----w- c:\program files\Western Railway NV 3D Screensaver

2010-08-17 13:46:33 0 d-----w- c:\programdata\AVG Security Toolbar

==================== Find3M ====================

2010-09-03 19:42:48 617470 ----a-w- c:\windows\system32\perfh01D.dat

2010-09-03 19:42:48 120802 ----a-w- c:\windows\system32\perfc01D.dat

2010-08-14 18:52:44 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_netaapl_01009.Wdf

2010-08-14 18:49:01 0 ---ha-w- c:\windows\system32\drivers\Msft_Kernel_netaapl_01005.Wdf

2010-08-07 20:23:37 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdMtpDr_01_09_00.Wdf

2010-08-02 19:09:25 170 ----a-w- c:\programdata\nvUnsupRes.dat

2010-08-02 16:12:22 28457 ----a-w- c:\windows\DIIUnin.dat

2010-08-01 17:38:04 423656 ----a-w- c:\windows\system32\deployJava1.dll

2010-08-01 16:48:33 21840 ----a-w- c:\windows\system32\SIntfNT.dll

2010-08-01 16:48:33 17212 ----a-w- c:\windows\system32\SIntf32.dll

2010-08-01 16:48:33 12067 ----a-w- c:\windows\system32\SIntf16.dll

2010-08-01 16:31:01 94208 ----a-w- c:\windows\DIIUnin.exe

2010-08-01 16:31:01 2829 ----a-w- c:\windows\DIIUnin.pif

2010-08-01 14:40:04 12536 ----a-w- c:\windows\system32\avgrsstx.dll

2010-08-01 14:39:59 216400 ----a-w- c:\windows\system32\drivers\avgldx86.sys

2010-08-01 14:39:33 243024 ----a-w- c:\windows\system32\drivers\avgtdix.sys

2010-07-29 06:30:49 197632 ----a-w- c:\windows\system32\ir32_32.dll

2010-07-29 06:30:34 82944 ----a-w- c:\windows\system32\iccvid.dll

2010-07-09 14:20:08 110696 ----a-w- c:\windows\system32\nvmctray.dll

2010-07-09 14:20:06 1881704 ----a-w- c:\windows\system32\nvsvcr.dll

2010-07-09 14:20:06 1469544 ----a-w- c:\windows\system32\nvsvc.dll

2010-07-09 14:20:06 13939816 ----a-w- c:\windows\system32\nvcpl.dll

2010-07-09 14:20:06 129640 ----a-w- c:\windows\system32\nvvsvc.exe

2010-07-07 12:03:14 604776 ----a-w- c:\windows\system32\NVUNINST.EXE

2010-06-30 06:25:31 978432 ----a-w- c:\windows\system32\wininet.dll

2010-06-21 22:07:47 26216 ----a-w- c:\windows\system32\nvhdap32.dll

2010-06-21 22:07:45 600680 ----a-w- c:\windows\system32\nvuhda.exe

2010-06-21 22:07:43 232040 ----a-w- c:\windows\system32\nvcohda.dll

2010-06-19 06:33:29 3955080 ----a-w- c:\windows\system32\ntkrnlpa.exe

2010-06-19 06:33:29 3899784 ----a-w- c:\windows\system32\ntoskrnl.exe

2010-06-19 06:23:50 37376 ----a-w- c:\windows\system32\rtutils.dll

2010-06-19 04:07:18 2326016 ----a-w- c:\windows\system32\win32k.sys

2010-01-06 04:19:35 37052 ----a-w- c:\windows\inf\perflib\041d\perfd.dat

2010-01-06 04:19:35 37052 ----a-w- c:\windows\inf\perflib\041d\perfc.dat

2010-01-06 04:19:35 294764 ----a-w- c:\windows\inf\perflib\041d\perfi.dat

2010-01-06 04:19:35 294764 ----a-w- c:\windows\inf\perflib\041d\perfh.dat

2009-07-14 04:41:57 174 --sha-w- c:\program files\desktop.ini

2009-07-14 00:34:40 291294 ----a-w- c:\windows\inf\perflib\0000\perfi.dat

2009-07-14 00:34:40 291294 ----a-w- c:\windows\inf\perflib\0000\perfh.dat

2009-07-14 00:34:38 31548 ----a-w- c:\windows\inf\perflib\0000\perfd.dat

2009-07-14 00:34:38 31548 ----a-w- c:\windows\inf\perflib\0000\perfc.dat

2009-06-10 21:26:35 9633792 --sha-r- c:\windows\fonts\StaticCache.dat

2009-07-14 01:14:45 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe

============= FINISH: 22:37:50,55 ===============

Attach.txt

Cecilia · September 15, 2010

I fortsättningen använd inte citat-knappen utan klistra in loggar direkt i svaret utan någon knapp.

Hittade du någon information i AVG om vilka filer det hade hittat?

Vad finns i mappen C:\05001902cdbcc91ca822668e3774 ?

Och i mappen C:\Stealthbot ?

På sidan http://www.virustotal.com trycker du på Bläddra-knappen och klistrar in ett av följande filnamn i rutan, tryck på Öppna och sedan Skicka Fil. Vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in en länk till resultatet här. Upprepa med nästa filnamn.

c:\windows\system32\Rezip.exe

c:\windows\system32\spoolsv.exe

Niki · September 15, 2010

I fortsättningen använd inte citat-knappen utan klistra in loggar direkt i svaret utan någon knapp.

Hittade du någon information i AVG om vilka filer det hade hittat?

Vad finns i mappen C:\05001902cdbcc91ca822668e3774 ?

Och i mappen C:\Stealthbot ?

På sidan http://www.virustotal.com trycker du på Bläddra-knappen och klistrar in ett av följande filnamn i rutan, tryck på Öppna och sedan Skicka Fil. Vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in en länk till resultatet här. Upprepa med nästa filnamn.

c:\windows\system32\Rezip.exe

c:\windows\system32\spoolsv.exe

AVG hittade denna:

"C:\Users\Samsung\AppData\Local\Temp\412gg.exe";"Trojan horse Generic18.BYZH";"Moved to Virus Vault"

Rezip.exe gav detta:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

MD5: f85ae59a52885f4b09aadafb23001a3b

Date first seen: 2009-07-25 03:29:46 (UTC)

Date last seen: 2010-09-14 14:24:45 (UTC)

Detection ratio: 0/43

Spoolsv.exe gav detta:

File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis:

MD5: d1bb750eb51694de183e08b9c33be5b2

Date first seen: 2010-09-14 21:58:56 (UTC)

Date last seen: 2010-09-15 00:09:31 (UTC)

Detection ratio: 0/42

Stealthbot är en chat-client för spelet Diablo II. Inget märkvärdigt, då jag använt det i åratal.

Tack igen!

Cecilia · September 15, 2010

Det såg ju bra ut. Då är det enda frågetecknet vad som finns i mappen C:\05001902cdbcc91ca822668e3774.

Niki · September 16, 2010

Det såg ju bra ut. Då är det enda frågetecknet vad som finns i mappen C:\05001902cdbcc91ca822668e3774.

i C:\05001902cdbcc91ca822668e3774 finns en MRT.exe.

Jag tänkte jag skulle scanna den i total virus, men det kunde jag inte.. Står att jag ska kontakta filens ägare för mer information :S Jag har aldrig varit med om dess like.

€: Jag googlade och det verkar vara en legitim fil (MRT.exe).

Men du ser inget annat som kan tänkas vara något?

Redigerad September 16, 2010 av Niki

Cecilia · September 16, 2010

Ja, det är ju Microsofts program för att ta bort vissa typer av skadliga filer och det kom med Windows-uppdateringarna som kom ut tisdag kväll.

Jag tycker det ser ut som att AVG stoppade infektionen innan den hann ställa till med något i datorn. Tycker du att datorn fungerar normalt?

e-son · September 16, 2010

Ja, det är ju Microsofts program för att ta bort vissa typer av skadliga filer och det kom med Windows-uppdateringarna som kom ut tisdag kväll.

Ett litet fel bara...!

MRT.exe skall ligga i C:\Windows\System32 som standard. Loggfilen för programmet finns på C:\Windows\debug\mrt.log.

Vet inte hur den har hamnat i nämnda underliga mapp, men föreslår att den zippas och flyttas till annan lämplig plats, varefter "den riktiga" MRT.exe undersöks lite mer ingående.

Edit:

Man kan t.ex köra MRT.exe för att kolla så att den fungerar som förväntat, genom att skriva mrt.exe i startmenyns sökfält och trycka Enter...

Redigerad September 16, 2010 av e-son

Cecilia · September 16, 2010

Det är inte första gången som jag ser MRT i en sådan mapp. Jag vet inte, men det är kanske någon temporär mapp?

e-son · September 16, 2010

Det är inte första gången som jag ser MRT i en sådan mapp. Jag vet inte, men det är kanske någon temporär mapp?

Dom enda liknande mappnamn jag kan minnas är dom tempmappar som ibland bev över efter servicepack-installationer, ominstallationer o.dyl men dom brukde då vara fulla av rester och inte tomma sånär som på den här enstaka filen.

Hur som helst är det inget som skall finnas där.

Cecilia · September 16, 2010

Niki, kan du komma ihåg när på dygnet det var som AVG reagerade första gången?

Den konstiga mappen skapades under natten:

2010-09-15 01:00:44 0 d-----w- C:\05001902cdbcc91ca822668e3774

fast den tiden motsvarar troligen klockan 3 svensk sommartid.

En Windowsuppdatering verka ha gjorts 1,5 timme innan dess:

2010-09-14 22:28:31 316928 ----a-w- c:\windows\system32\spoolsv.exe

Niki · September 16, 2010

Jag drog igång en fullständig scanning med det där malware programmet. Jag ska även kolla loggarna från avg så snart jag kommer hem.

Återkommer ikväll!

För övrct så verkar datorn fungera som den ska. Dock verkar mitt internet jäkla slött för o vara 25mbit. Men det kan ju vara driftstörningar eller nått annat.

Niki · September 16, 2010

Kom precis hem och kikade på Malware scanningen.

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Databasversion: 4621

Windows 6.1.7600

Internet Explorer 8.0.7600.16385

2010-09-16 16:48:05

mbam-log-2010-09-16 (16-48-05).txt

Skanningstyp: Fullständig skanning (C:\|)

Antal skannade objekt: 256005

Förfluten tid: 46 minut(er), 38 sekund(er)

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 2

Infekterade minnesprocesser: