[LØST] Har fått spyware etter nedlasting.

26 innlegg i emnet

Skrevet

Hei..

Først må jeg innrømme jeg er ikke så fryktelig teknisk :rolleyes:

Jeg kjøpte ny pc på fredagen. Min venninne lagret ett program på maskinen som heter LimeWire. Jeg har lastet ned div musikk, og ved en feiltagelse fikk jeg åpnet en Zipp fil som inneholdt Spyware. Jeg gjorde vel alt det jeg ikke skulle gjøre, siden jeg ikke ante noe om virus og spyware,

Har forøvrig ikke lagret noe dokumenter eller andre ting, utenom å laste ned musikk.

Resultatet er i hvertfall at min maskin er infisert. Jeg var på nettet å letet i går på jobb etter svar, og kom hjem og lastet ned først ett anivirus program, ( AVG) men det hjelper jo ikke når man allerede har infisert pc. Jeg slettet LimeWire programmet, og kjørte windows defender gratis versjonen. Jeg fikk pop up å kjøpe en annen versjon, da gratisversjonen ikke kunne utføre en så stor oppgave . De anbefalte Windows defender platinum betal versjonen. Jeg kjøpte denne pakken, , det ble oppdaget 202 feil på maskinen etter skanningen. og fikk til info at min masken var Cleared. ( kostet noen dollar:)

Har forøvrig ikke lagret noe dokumenter eller andre ting, utenom å laste ned musikk.

Startet opp maskinen i dag, og spywaren er der fortsatt.. Det er fordekt som LimeWire logo, og har en pop up med adresse som ligner på noe som smss.exe.( jeg slettet programmet i går)

Jeg har denne gangen ikke rørt noe på disse sidene:)

Men hva gjør jeg?

Jeg er ganske desperat etter å finne en løsning på min nye PC.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Windows errors related to smss.exe?

smss.exe is a process which is a part of the Microsoft Windows Operating System. It is called the Session Manager Subsystem and is responsible for handling sessions on your system. This program is important for the stable and secure running of your computer and should not be terminated.

Note: smss.exe is a process which is registered as a trojan. This Trojan allows attackers to access your computer from remote locations, stealing passwords, Internet banking and personal data. This process is a security risk and should be removed from your system.

Når det kommer til antivirus så vil jeg anbefale at du sletter avg og installerer avast, avast har mange flere gode funksjoner enn avg.

http://itpro.no/fil/491.html

Bruk denne guiden for å skanne igjennom og forhåpentligvis bli kvitt spywaren: http://itpro.no/art/11659.html

etterpå:

Last ned HijackThis legg i egen mappe på skrivebordet.

Start programmet og velg "Trykk scan og save log"

Post HijackThis.txt

http://www.trendsecure.com/portal/en-US/to...ckthis/download

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

My dear :o

Har jeg fått ett Trojan virus på maskinen?

Bra jeg ikke har lagt inn noe som helst sensetiv informasjon på pc enda da.

Jeg oppga i går mitt kredittkortnummer for å få tilgang til Microsoft defender, vil dette kunne misbrukes nå da?

Takk for all hjelp.. kjenner jeg blir helt stressa og forvirra jeg nå ;)

Kan jeg være online samtidig å lese dette forumet og holde på å laste ned disse programmene?

Jeg må jo ha alt foran meg for å vite hva jeg skal gjøre*smiil* Er litt nerd på det området :huh:

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Alt: Kjør disse to programmene:

1.

Last ned Malwarebytes Anti-Malware til skrivebordet.

Kjør og installer programmet. Velg Norsk-språk

La programmet oppdatere seg og velg å kjør en 'hurtig systemskann', klikk Skann.

Det kommer en meldingsboks om at scannen er ferdig, klikk Ok

Klikk på Vis resultat-knappen.Hvis det er funnet malware, vil du nå se hva som er funnet.

Klikk så på Fjern valgte -knappen for å fjerne malwaren som evt. ble funnet.

Det vil deretter åpnes en logg i notisblokk. Den kan du kopiere og poste.

2.

Hent Combofix, og legg det på skrivebordet

Kjør combofix.exe, og følg veiledningen.

Post loggfilen fra combofix (c:\combofix.txt)

Edit: Het programmet du betalte for Windows defender platinum eller Registry Defender Platinum?

Endret av norbat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Takk for hjelp.

Jeg skal prøve ut dette når jeg kommer hjem fra jobb.

Det programmet jeg betalte på het: Registry Defender Platinum

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Takk for hjelp.

Jeg skal prøve ut dette når jeg kommer hjem fra jobb.

Det programmet jeg betalte på het: Registry Defender Platinum

Da kan det nok hende at du gikk i baret :( Beklager. Anbefaler deg å ta en tur innom : http://housecall.trendmicro.com/

Dette er et online system for virus, malware og trojaner søk. veldig bra. Vet ikke helt om det vil funke, ettersom du allerede har fått...tja.. litt dritt på maskinen.

Hvis du ikke har lagret noe spesielt på maskinen din, anbefaler jeg deg å foreta en formatering og re-installering av hele maskinen. Tror nok dette vil spare deg for mange timer med irritasjon osv..

PS!!! Hold deg unna LimeWire - :)

Lykke til!!

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Formatering er ikke nødvendig - kjør gjennom de to programmene (MBAM og Combofix), post loggene, så ordner vi resten derfra.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Åhhh nei..

Kjenner meg så håpløst dum.

Jeg sjekket mailen min, og der er jo registreringen gjort med id nummer og keynumber.

Jeg sendte jo mail til support til dem i dag, før jeg kom over dette forumet, og ba om en løsning..

skal jeg sperre kortet med en gang, og hva annet skal jeg gjøre..

Jeg fikk min maskin ferdig installert på fredag, og det fulgte ikke med noen gjenoppsetning cd.

Bør jeg dra tilbake dit jeg kjøpte og få disse da?

Pokker at jeg kan være så håpløs naiv :o

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Pust litt rolig nå :)

Hvis du mener at du er svindlet, tar du kontakt med de som har gitt deg visakortet (altså banken din) og forklarer hva som har skjedd.

Her kan du lese litt hva Visa sier om det å handle på nett: Info om handel på nett

Du trenger IKKE å formatere pc'n pga. dette. La oss fixe det vha. MBAM og Combofix :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Phuuu. Jeg puster rolig ut nå *smiiil*

Jeg skal gjøre som du sier når jeg kommer hjem fra jobb.

og så skal jeg ringe banken nå :)

Har fått varsel om trojan.;(

Jeg har problemer med å få lastet ned Malwarebytes` anti-malware 1.21 download. Virker som maskinen henger seg. den går i hvertfall ikke videre slik at

jeg får valgt norsk meny eller lagret på skrivebordet.

Står bare download etter at jeg har trykket. skjer ikke noe mere

Er redd for at det kommer opp fiktive adresser?

Skal jeg benytte av den som koster 24,95?? eller er det bare humbug?

Står nå thank you for downloading. dette er en gratis versjon

Er link til: server 1 brothersoft(us) click to download.

Har ikke gjort noe enda.. redd for å laste ned mere feil ;)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Du skal ikke betale for noe som helst. Programmene Norbat linker til er gratis.

Direktelink til Mbam: http://files.brothersoft.com/security/spyw.../mbam-setup.exe EDIT du må nok trykke download her, gitt.

Direktelink til combofix: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Disse skal fungere. :)

Gjør så slik som norbat beskriver her.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hei.

jeg trykte på direkte linken, og så endrer den seg til den linken norbat la ut.

virker som maskinen endrer seg, og går inn å gjør ett eller annet. fikk ikke lastet inn mitt forrige svar, og måtte logge meg ut og inn igjen..

jeg prøver igjen:)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Ja, så det.. Beklager for den. Men du skal trykke download der, og du får lastet ned mbam. Det koster som sagt ingenting.

231004.jpeg

trykk for større bilde

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

får opp betal versjonen.

http://www.brothersoft.com/malwarebytes.-a...ware-71406.html

riktig link?

okey*smiil*

da prøver jeg på nytt og med riktig link.

Dette er info etter første scan:


Malwarebytes' Anti-Malware 1.22
Database versjon: 984
Windows 6.0.6000

18:52:16 23.07.2008
mbam-log-7-23-2008 (18-52-16).txt

Skanntype: Rask Skann
Objekter skannet: 35443
Tid tilbakelagt: 3 minute(s), 42 second(s)

Minneprosesser infisert: 2
Minnemoduler infisert: 1
Registernøkler infisert: 9
Registerverdier infisert: 9
Registerfiler infisert: 0
Mapper infisert: 0
Filer infisert: 19

Minneprosesser infisert:
C:\Windows\mrofinu1000106.exe (Trojan.Downloader) -> Unloaded process successfully.
C:\Users\Lene\svchost.exe (Trojan.Agent) -> Unloaded process successfully.

Minnemoduler infisert:
C:\Users\Lene\AppData\Local\Temp\awtuvVLd.dll (Trojan.Vundo) -> Unloaded module successfully.

Registernøkler infisert:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\{0d987fb6-2cb1-4189-b6a1-5e8185e9a899} (Rogue.Registry.Defender) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\targetedbanner (Rootkit.Agent) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\WR (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{db036a52-3a88-466b-bd39-05a6d9d9b18a} (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\VB and VBA Program Settings\Registry Defender (Rogue.Registry.Defender) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{926abfae-2e97-cb4c-c579-c350ad39e154} (Adware.BHO) -> Quarantined and deleted successfully.
HKEY_CLASSES_ROOT\CLSID\{926abfae-2e97-cb4c-c579-c350ad39e154} (Adware.BHO) -> Quarantined and deleted successfully.

Registerverdier infisert:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\runner1 (Trojan.Downloader) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cmds (Trojan.Vundo) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\{903ac027-7c62-f322-0f09-4cffeb02ab81} (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\bm25d6b70b (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\26e58497 (Trojan.Agent) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Host Process (Worm.IRCBot) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSServer (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\MSServer (Malware.Trace) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{db036a52-3a88-466b-bd39-05a6d9d9b18a} (Trojan.Vundo) -> Quarantined and deleted successfully.

Registerfiler infisert:
(Ingen mistenkelige filer funnet)

Mapper infisert:
(Ingen mistenkelige filer funnet)

Filer infisert:
C:\Windows\mrofinu1000106.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Lene\AppData\Local\Temp\awtuvVLd.dll (Trojan.Vundo) -> Delete on reboot.
C:\Windows\mrofinu1188.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\System32\nombcnqrnamupef.exe (Rootkit.Agent) -> Quarantined and deleted successfully.
C:\Users\Lene\AppData\Local\Temp\cmdinst.exe (Trojan.Proxy) -> Quarantined and deleted successfully.
C:\Users\Lene\AppData\Local\Temp\twkxdywd.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Windows\System32\jpgzxbrtisakgzw.dll (Trojan.Agent) -> Delete on reboot.
C:\Users\Lene\AppData\Local\Temp\wespdbbf.dll (Trojan.Agent) -> Delete on reboot.
C:\Users\Lene\AppData\Local\Temp\ethqahes.dll (Trojan.Agent) -> Delete on reboot.
C:\Windows\System32\pac.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Lene\svchost.exe (Worm.IRCBot) -> Quarantined and deleted successfully.
C:\Windows\System32\opnmLcay.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Lene\AppData\Local\Temp\iifcBqpP.dll (Malware.Trace) -> Quarantined and deleted successfully.
C:\Windows\System32\atmtd.dll._ (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Windows\System32\iifeddEX.dll (Trojan.Vundo) -> Quarantined and deleted successfully.
C:\Users\Lene\Setup.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Lene\smss.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Lene\Desktop\Registry Defender.lnk (Rogue.Registry.Defender) -> Quarantined and deleted successfully.
C:\Users\Lene\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\RegistryDefender.lnk (Rogue.Registry.Defender) -> Quarantined and deleted successfully.[/codebox]

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Da venter vi bare på Combofix-loggen :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

:) Her er den:


ComboFix 08-07-22.4 - Lene 2008-07-23 19:03:05.1 - NTFSx86
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.1.1044.18.1296 [GMT 2:00]
Running from: C:\Users\Lene\Desktop\ComboFix.exe
* Created a new restore point
.

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Temp\1cb
C:\Temp\1cb\syscheck.log
C:\Windows\system32\MSINET.oca

.
((((((((((((((((((((((((( Files Created from 2008-06-23 to 2008-07-23 )))))))))))))))))))))))))))))))
.

2008-07-23 18:40 . 2008-07-23 18:40 <DIR> d-------- C:\Users\Lene\AppData\Roaming\Malwarebytes
2008-07-23 18:40 . 2008-07-23 18:40 <DIR> d-------- C:\Users\All Users\Malwarebytes
2008-07-23 18:40 . 2008-07-23 18:40 <DIR> d-------- C:\ProgramData\Malwarebytes
2008-07-23 18:40 . 2008-07-23 18:41 <DIR> d-------- C:\Program Files\Malwarebytes' Anti-Malware
2008-07-23 18:40 . 2008-07-20 20:21 38,472 --a------ C:\Windows\System32\drivers\mbamswissarmy.sys
2008-07-23 18:40 . 2008-07-20 20:21 17,144 --a------ C:\Windows\System32\drivers\mbam.sys
2008-07-22 07:31 . 2008-07-22 07:31 77 --a------ C:\Users\Lene\6082.bat
2008-07-21 18:41 . 2008-07-23 16:56 <DIR> d-------- C:\Program Files\Registry Defender Platinum
2008-07-21 18:34 . 2008-07-21 18:34 498 --a------ C:\Users\Lene\735.bat
2008-07-21 18:34 . 2008-07-21 18:34 77 --a------ C:\Users\Lene\4131.bat
2008-07-21 18:23 . 2008-07-21 18:23 1,244,672 --a------ C:\Windows\System32\mcmde.dll
2008-07-21 18:23 . 2008-07-21 18:23 428,032 --a------ C:\Windows\System32\EncDec.dll
2008-07-21 18:23 . 2008-07-21 18:23 292,352 --a------ C:\Windows\System32\psisdecd.dll
2008-07-21 18:23 . 2008-07-21 18:23 218,624 --a------ C:\Windows\System32\psisrndr.ax
2008-07-21 18:23 . 2008-07-21 18:23 80,896 --a------ C:\Windows\System32\MSNP.ax
2008-07-21 18:23 . 2008-07-21 18:23 68,608 --a------ C:\Windows\System32\Mpeg2Data.ax
2008-07-21 18:23 . 2008-07-21 18:23 57,856 --a------ C:\Windows\System32\MSDvbNP.ax
2008-07-21 18:03 . 2008-07-21 18:03 498 --a------ C:\Users\Lene\502.bat
2008-07-21 18:01 . 2008-07-21 18:01 77 --a------ C:\Users\Lene\2678.bat
2008-07-20 23:27 . 2008-07-20 23:27 498 --a------ C:\Users\Lene\290.bat
2008-07-20 23:27 . 2008-07-20 23:27 77 --a------ C:\Users\Lene\5971.bat
2008-07-20 23:08 . 2008-07-20 23:45 <DIR> d-------- C:\user
2008-07-20 23:07 . 2008-07-20 23:07 <DIR> d-------- C:\Incomplete
2008-07-20 23:01 . 2008-07-20 23:01 498 --a------ C:\Users\Lene\902.bat
2008-07-20 23:01 . 2008-07-20 23:01 77 --a------ C:\Users\Lene\2464.bat
2008-07-20 22:03 . 2008-07-20 22:03 498 --a------ C:\Users\Lene\365.bat
2008-07-20 22:03 . 2008-07-20 22:03 77 --a------ C:\Users\Lene\8269.bat
2008-07-20 21:58 . 2008-07-23 17:03 <DIR> d--hs---- C:\Users\Lene\'
2008-07-20 21:58 . 2008-07-23 17:02 147,456 --a------ C:\Users\Lene\vbzip10.dll
2008-07-20 21:58 . 2008-07-23 17:02 115,968 --a------ C:\Users\Lene\a.zip
2008-07-20 21:54 . 2008-07-20 22:01 <DIR> d--hs---- C:\Windows\TGVuZQ
2008-07-20 21:54 . 2008-07-20 21:54 <DIR> d-------- C:\Windows\System32\wnet
2008-07-20 21:54 . 2008-07-20 21:54 <DIR> d-------- C:\Windows\System32\vdf1
2008-07-20 21:54 . 2008-07-20 21:54 <DIR> d-------- C:\Windows\System32\confg
2008-07-20 21:54 . 2008-07-20 21:54 <DIR> d-------- C:\Windows\System32\carH18
2008-07-20 21:54 . 2008-07-20 21:54 <DIR> d-------- C:\Temp\btxv15
2008-07-20 21:54 . 2008-07-23 19:03 <DIR> d-------- C:\Temp
2008-07-20 21:54 . 2008-07-20 21:54 498 --a------ C:\Users\Lene\289.bat
2008-07-20 21:54 . 2008-07-20 21:54 77 --a------ C:\Users\Lene\9117.bat
2008-07-20 18:33 . 2008-07-20 18:33 <DIR> d-------- C:\Users\Lene\AppData\Roaming\Template
2008-07-20 18:31 . 2008-07-20 18:35 114 --a------ C:\Users\Lene\AppData\Roaming\wklnhst.dat
2008-07-20 04:47 . 2008-07-20 04:47 196,096 --a------ C:\Windows\System32\WebClnt.dll
2008-07-20 04:47 . 2008-07-20 04:47 110,080 --a------ C:\Windows\System32\drivers\mrxdav.sys
2008-07-20 04:47 . 2008-07-20 04:47 48,640 --a------ C:\Windows\System32\davclnt.dll
2008-07-20 04:43 . 2008-07-20 04:43 1,061,944 --a------ C:\Windows\System32\drivers\ntfs.sys
2008-07-20 04:43 . 2008-07-20 04:43 41,984 --a------ C:\Windows\System32\drivers\monitor.sys
2008-07-20 04:42 . 2008-07-20 04:42 806,400 --a------ C:\Windows\System32\drivers\tcpip.sys
2008-07-20 04:42 . 2008-07-20 04:42 217,144 --a------ C:\Windows\System32\drivers\netio.sys
2008-07-20 04:42 . 2008-07-20 04:42 167,424 --a------ C:\Windows\System32\tcpipcfg.dll
2008-07-20 04:42 . 2008-07-20 04:42 24,064 --a------ C:\Windows\System32\netcfg.exe
2008-07-20 04:42 . 2008-07-20 04:42 22,016 --a------ C:\Windows\System32\netiougc.exe
2008-07-20 04:40 . 2008-07-20 04:40 1,585,664 --a------ C:\Windows\System32\setupapi.dll
2008-07-20 04:37 . 2008-07-20 04:37 2,028,544 --a------ C:\Windows\System32\win32k.sys
2008-07-20 04:36 . 2008-07-20 04:36 296,448 --a------ C:\Windows\System32\gdi32.dll
2008-07-20 04:36 . 2008-07-20 04:36 223,232 --a------ C:\Windows\System32\WMASF.DLL
2008-07-20 04:36 . 2008-07-20 04:36 9,728 --a------ C:\Windows\System32\LAPRXY.DLL
2008-07-20 04:36 . 2008-07-20 04:36 2,048 --a------ C:\Windows\System32\asferror.dll
2008-07-20 04:35 . 2008-07-20 04:35 113,664 --a------ C:\Windows\System32\drivers\rmcast.sys
2008-07-20 04:35 . 2008-07-20 04:35 14,848 --a------ C:\Windows\System32\wshrm.dll
2008-07-20 04:34 . 2008-07-20 04:34 11,776 --a------ C:\Windows\System32\sbunattend.exe
2008-07-20 04:25 . 2008-07-20 04:25 4,247,552 --a------ C:\Windows\System32\GameUXLegacyGDFs.dll
2008-07-20 04:25 . 2008-07-20 04:25 1,686,528 --a------ C:\Windows\System32\gameux.dll
2008-07-20 04:20 . 2008-07-20 04:20 84,480 --a------ C:\Windows\System32\dnsrslvr.dll
2008-07-20 04:20 . 2008-07-20 04:20 24,576 --a------ C:\Windows\System32\dnscacheugc.exe
2008-07-20 04:13 . 2008-07-20 04:13 130,048 --a------ C:\Windows\System32\drivers\srv2.sys
2008-07-20 04:13 . 2008-07-20 04:13 102,400 --a------ C:\Windows\System32\drivers\mrxsmb.sys
2008-07-20 04:13 . 2008-07-20 04:13 84,992 --a------ C:\Windows\System32\drivers\srvnet.sys
2008-07-20 04:13 . 2008-07-20 04:13 58,368 --a------ C:\Windows\System32\drivers\mrxsmb20.sys
2008-07-20 04:12 . 2008-07-20 04:12 1,327,104 --a------ C:\Windows\System32\quartz.dll
2008-07-20 04:07 . 2008-07-20 04:07 3,505,848 --a------ C:\Windows\System32\ntkrnlpa.exe
2008-07-20 04:07 . 2008-07-20 04:07 3,472,056 --a------ C:\Windows\System32\ntoskrnl.exe
2008-07-20 04:06 . 2008-07-20 04:06 2,048 --a------ C:\Windows\System32\tzres.dll
2008-07-19 20:53 . 2008-07-19 20:53 <DIR> dr------- C:\Windows\System32\config\systemprofile\Music
2008-07-19 01:12 . 2008-07-23 18:56 65,536 --------- C:\Windows\System32\Ikeext.etl
2008-07-18 21:19 . 2008-07-23 17:03 <DIR> d-------- C:\Users\Lene\AppData\Roaming\LimeWire
2008-07-18 21:18 . 2008-07-18 21:18 <DIR> d-------- C:\Users\All Users\Google
2008-07-18 21:18 . 2008-07-18 22:17 <DIR> d-------- C:\Program Files\Google
2008-07-18 21:17 . 2008-07-18 21:18 <DIR> d-------- C:\Program Files\Java
2008-07-18 21:17 . 2008-07-18 21:17 <DIR> d-------- C:\Program Files\Common Files\Java
2008-07-18 21:12 . 2008-07-20 21:59 <DIR> d-------- C:\Program Files\LimeWire
2008-07-18 20:59 . 2008-07-18 20:59 <DIR> d-------- C:\Windows\System32\Macromed
2008-07-18 19:40 . 2008-07-23 18:56 <DIR> d-------- C:\Program Files\Norman
2008-07-18 19:40 . 2008-07-18 19:40 <DIR> d--h----- C:\Program Files\InstallShield Installation Information
2008-07-18 19:38 . 2008-07-18 19:38 <DIR> d-------- C:\Users\Lene\AppData\Roaming\InstallShield
2008-07-18 19:01 . 2008-07-18 19:01 <DIR> d-------- C:\Users\Lene\AppData\Roaming\ATI
2008-07-18 18:56 . 2008-07-18 18:56 <DIR> d-------- C:\Users\All Users\fsc-reg
2008-07-18 18:56 . 2008-07-18 18:56 <DIR> d-------- C:\ProgramData\fsc-reg
2008-07-18 18:55 . 2008-07-18 18:56 <DIR> d-------- C:\Users\All Users\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}
2008-07-18 18:55 . 2008-07-18 18:56 <DIR> d-------- C:\ProgramData\{174892B1-CBE7-44F5-86FF-AB555EFD73A3}
2008-07-18 18:55 . 2008-07-18 18:55 <DIR> d-------- C:\Program Files\Activation Assistant for the 2007 Microsoft Office suites
2008-07-18 18:52 . 2008-07-18 18:54 <DIR> d-------- C:\Program Files\Microsoft Works
2008-07-18 18:52 . 2006-10-26 19:56 32,592 --a------ C:\Windows\System32\msonpmon.dll
2008-07-18 18:51 . 2008-07-18 18:51 <DIR> d-------- C:\Windows\PCHEALTH
2008-07-18 18:51 . 2008-07-18 18:51 <DIR> d-------- C:\Program Files\Microsoft.NET
2008-07-18 18:50 . 2008-07-21 21:21 <DIR> d-------- C:\Users\All Users\Microsoft Help
2008-07-18 18:50 . 2008-07-21 21:21 <DIR> d-------- C:\ProgramData\Microsoft Help
2008-07-18 18:49 . 2008-07-18 18:49 <DIR> dr-h----- C:\MSOCache
2008-07-18 18:48 . 2008-07-18 18:48 <DIR> d-------- C:\Users\All Users\Nero
2008-07-18 18:48 . 2008-07-18 18:48 <DIR> d-------- C:\ProgramData\Nero
2008-07-18 18:48 . 2008-07-18 18:48 <DIR> d-------- C:\Program Files\Nero
2008-07-18 18:48 . 2008-07-18 18:49 <DIR> d-------- C:\Program Files\Common Files\Ahead
2008-07-18 18:47 . 2008-07-18 18:47 <DIR> d-------- C:\Users\All Users\Adobe
2008-07-18 18:47 . 2008-07-18 18:47 <DIR> d-------- C:\Program Files\Common Files\Adobe
2008-07-18 18:45 . 2008-07-18 18:45 <DIR> dr------- C:\Users\Lene\Videos
2008-07-18 18:45 . 2008-07-18 18:45 <DIR> dr------- C:\Users\Lene\Searches
2008-07-18 18:45 . 2008-07-21 00:23 <DIR> dr------- C:\Users\Lene\Saved Games
2008-07-18 18:45 . 2008-07-18 18:45 <DIR> dr------- C:\Users\Lene\Pictures
2008-07-18 18:45 . 2008-07-20 23:19 <DIR> d-------- C:\Users\Lene\Music
2008-07-18 18:45 . 2008-07-18 18:45 <DIR> dr------- C:\Users\Lene\Links
2008-07-18 18:45 . 2008-07-20 23:02 <DIR> d-------- C:\Users\Lene\Downloads
2008-07-18 18:45 . 2008-07-20 18:33 <DIR> dr------- C:\Users\Lene\Documents
2008-07-18 18:45 . 2008-07-18 18:45 <DIR> dr------- C:\Users\Lene\Contacts
2008-07-18 18:45 . 2006-11-02 14:37 <DIR> d-------- C:\Users\Lene\AppData\Roaming\Media Center Programs
2008-07-18 18:45 . 2008-07-18 18:45 <DIR> d--h----- C:\Users\Lene\AppData
2008-07-18 18:45 . 2008-07-23 18:52 <DIR> d-------- C:\Users\Lene
2008-07-18 18:40 . 2008-07-18 18:40 <DIR> dr------- C:\Windows\System32\config\systemprofile\Contacts
2008-07-18 18:34 . 2008-07-18 18:34 1,712,984 --a------ C:\Windows\System32\wuaueng.dll
2008-07-18 18:34 . 2008-07-18 18:34 1,524,224 --a------ C:\Windows\System32\wucltux.dll
2008-07-18 18:34 . 2008-07-18 18:34 53,080 --a------ C:\Windows\System32\wuauclt.exe
2008-07-18 18:34 . 2008-07-18 18:34 43,352 --a------ C:\Windows\System32\wups2.dll
2008-07-18 18:33 . 2008-07-18 18:33 549,720 --a------ C:\Windows\System32\wuapi.dll
2008-07-18 18:33 . 2008-07-18 18:33 163,000 --a------ C:\Windows\System32\wuwebv.dll
2008-07-18 18:33 . 2008-07-18 18:33 80,896 --a------ C:\Windows\System32\wudriver.dll
2008-07-18 18:33 . 2008-07-18 18:33 33,624 --a------ C:\Windows\System32\wups.dll
2008-07-18 18:33 . 2008-07-18 18:33 31,232 --a------ C:\Windows\System32\wuapp.exe

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-07-20 02:55 174 --sha-w C:\Program Files\desktop.ini
2008-07-20 02:51 --------- d-----w C:\Program Files\Windows Sidebar
2008-07-20 02:51 --------- d-----w C:\Program Files\Windows Mail
2008-07-20 02:25 537,600 ----a-w C:\Windows\AppPatch\AcLayers.dll
2008-07-20 02:25 449,536 ----a-w C:\Windows\AppPatch\AcSpecfc.dll
2008-07-20 02:25 2,560 ----a-w C:\Windows\AppPatch\AcRes.dll
2008-07-20 02:25 2,144,256 ----a-w C:\Windows\AppPatch\AcGenral.dll
2008-07-20 02:25 173,056 ----a-w C:\Windows\AppPatch\AcXtrnal.dll
2008-07-20 02:09 826,368 ----a-w C:\Windows\System32\wininet.dll
2008-07-20 02:09 56,320 ----a-w C:\Windows\System32\iesetup.dll
2008-07-20 02:09 52,736 ----a-w C:\Windows\AppPatch\iebrshim.dll
2008-07-20 02:09 26,624 ----a-w C:\Windows\System32\ieUnatt.exe
2008-07-18 16:40 --------- d-sh--w C:\ProgramData\Start-meny
2008-07-18 16:40 --------- d-sh--w C:\ProgramData\Skrivebord
2008-07-18 16:40 --------- d-sh--w C:\ProgramData\Programdata
2008-07-18 16:40 --------- d-sh--w C:\ProgramData\Maler
2008-07-18 16:40 --------- d-sh--w C:\ProgramData\Favoritter
2008-07-18 16:40 --------- d-sh--w C:\ProgramData\Dokumenter
2008-07-18 16:40 --------- d-sh--w C:\Program Files\Fellesfiler
.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Sidebar"="C:\Program Files\Windows Sidebar\sidebar.exe" [2008-07-20 04:34 1232896]
"StartCCC"="c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 22:35 90112]
"fsc-reg"="C:\ProgramData\fsc-reg\fscreg.exe" [2007-11-08 11:05 470288]
"ehTray.exe"="C:\Windows\ehome\ehTray.exe" [2006-11-02 14:35 125440]
"WindowsWelcomeCenter"="oobefldr.dll" [2006-11-02 14:34 2159104 C:\Windows\System32\oobefldr.dll]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SMSERIAL"="C:\Program Files\Motorola\SMSERIAL\sm56hlpr.exe" [2006-11-22 18:31 630784]
"recinfo630"="c:\RecInfo\RecInfo.exe" [2007-10-23 14:52 2764800]
"Adobe Reader Speed Launcher"="C:\Program Files\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2007-05-11 03:06 40048]
"NeroFilterCheck"="C:\Program Files\Common Files\Ahead\Lib\NeroCheck.exe" [2007-02-26 20:46 153136]
"Norman ZANDA"="C:\Program Files\Norman\Npm\bin\ZLH.EXE" [2006-12-15 12:22 154680]
"SunJavaUpdateSched"="C:\Program Files\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]
"Malwarebytes Anti-Malware Reboot"="C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe" [2008-07-20 20:21 1191544]
"RtHDVCpl"="RtHDVCpl.exe" [2007-04-10 16:01 4431872 C:\Windows\RtHDVCpl.exe]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\FirewallRules]
"{BB3C0ACA-2FB6-4BE5-81D1-443B9C45F18B}"= UDP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"{C390E7CF-131F-41A3-BD66-F3C8F6B89C7C}"= TCP:C:\Program Files\Microsoft Office\Office12\ONENOTE.EXE:Microsoft Office OneNote
"TCP Query User{2917671A-4C6A-4716-B009-5573F5F7622F}C:\\program files\\limewire\\limewire.exe"= Disabled:UDP:C:\program files\limewire\limewire.exe:LimeWire
"UDP Query User{6A91D83A-260C-44BD-B076-2B0EF1ED3D57}C:\\program files\\limewire\\limewire.exe"= Disabled:TCP:C:\program files\limewire\limewire.exe:LimeWire
"TCP Query User{36FCD9FF-45E6-4206-8679-90EBCFEBBE8E}C:\\program files\\limewire\\limewire.exe"= Disabled:UDP:C:\program files\limewire\limewire.exe:LimeWire
"UDP Query User{34DEB26A-726C-4D44-BCE3-DB741A9B9D29}C:\\program files\\limewire\\limewire.exe"= Disabled:TCP:C:\program files\limewire\limewire.exe:LimeWire

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\RestrictedServices\Static\System]
"DFSR-1"= RPort=5722|UDP:%SystemRoot%\system32\svchost.exe|Svc=DFSR:Allow inbound TCP traffic|

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\StandardProfile]
"DisableNotifications"= 1 (0x1)

R2 TestHandler;Fujitsu Siemens Computers Diagnostic Testhandler;C:\firststeps\OnlineDiagnostic\TestManager\TestHandler.exe [2006-12-08 20:52]
S4 nvrd32;NVIDIA nForce RAID Driver;C:\Windows\system32\drivers\nvrd32.sys [2007-07-02 17:37]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ed548347-54ea-11dd-8a43-00030d816e24}]
\shell\AutoRun\command - Alcon\PPTVIEW.EXE /L "Alcon\playlist.txt"

*Newly Created Service* - CATCHME
*Newly Created Service* - PROCEXP90

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static]
msiexec /fums {C61E8F12-31F1-C2E6-DC0C-505CBF2BEE57} /qb
.
- - - - ORPHANS REMOVED - - - -

HKLM-Run-recinfo - RecInfo.exe


**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, [url="http://www.gmer.net"]http://www.gmer.net[/url]
Rootkit scan 2008-07-23 19:06:14
Windows 6.0.6000 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
Completion time: 2008-07-23 19:07:46
ComboFix-quarantined-files.txt 2008-07-23 17:07:42

Pre-Run: 57,874,427,904 byte ledig
Post-Run: 57,857,040,384 byte ledig

218 --- E O F --- 2008-07-23 15:05:37[/codebox]

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Åpne notisblokk og kopier inn det som står i fet skrift under, lagre fila på skrivebordet som CFScript.txt.

Dra deretter fila over Combofix-iconet. Combofix vil starte igjen.

File::

C:\Users\Lene\6082.bat

C:\Users\Lene\735.bat

C:\Users\Lene\4131.bat

C:\Users\Lene\502.bat

C:\Users\Lene\2678.bat

C:\Users\Lene\290.bat

C:\Users\Lene\5971.bat

C:\Users\Lene\902.bat

C:\Users\Lene\2464.bat

C:\Users\Lene\365.bat

C:\Users\Lene\8269.bat

C:\Users\Lene\vbzip10.dll

C:\Users\Lene\a.zip

C:\Users\Lene\289.bat

C:\Users\Lene\9117.bat

Folder::

C:\Program Files\Registry Defender Platinum

C:\Windows\TGVuZQ

C:\Windows\System32\carH18

C:\Temp\btxv15

dirlook::

C:\Windows\System32\wnet

C:\Windows\System32\vdf1

C:\Windows\System32\confg

C:\Users\Lene\'

C:\Temp

Post loggen.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hei

Det er en sinnsyk logg. vil ikke få plass på opptil flere innlegg.

Har lagret filen, er det noen måte å kunne sende filen til deg?

Har prøvd 2 ganger å kopiere den inn, men en står bare å henger.. er for stor logg og måtte logge meg inn 2 ganger på nytt.

Var ikke småtteri :huh:

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Prøv her: http://www.dump.no/ :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Bruk utforsker til å finne og slette følgende mapper (i fet):

C:\Windows\System32\wnet

C:\Windows\System32\vdf1

C:\Windows\System32\confg <- NB! ikke slett mappa som heter config

C:\Users\Lene\'

C:\Temp

Kjør på ny en scan med MBAM. Hvis den finner noe, poster du loggen.

Hvordan kjører pc'n?

Endret av norbat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Da skal jeg forsøke på det:)

Jeg tror det var kommet en fake link på skrivebordet med internett logo, kan det skje? jeg slettet den uansett.

ikke jeg som hadde lagt den der.

Pc`en virker bedre nå. kommer ikke op pop up, og det ser ut til at pc klarer å holde en del av linkene vekke. er en rød varsel nede på høyre side. men har bare latt den stå der.

gjør det du har skrevet nå:)

jeg får ikke slettet temp. fikk beskjed den var opptatt eller kjørte i ett annet program?

Fikk beskjed at den var opptatt. og så kom denne infoen" eLoggerSvc.dat 18.07.2008. 19.40 DAT Fil 100Kb

betyr det noe?

Det står.: kan ikke fullføre handlingen fordi mappen er åpen i ett annet program.

Nå tror jeg jaggu maskinen er blitt kvitt viruset.

Jeg kjørte Malware nå, og det var null infiserte filer..

Tusen tusen takk for tålmodigheten og hjelpen :wub:

Har skjønt det er ett poensystem.. fortell meg hvordan jeg jegger inn poeng, så skal dere få deres belønning, hehe.

Igjen tusen takk :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

nå skal poengene være fordelt *smiil*

Takk for hjelpa.. Jeg vet hvor jeg skal få proff hjelp, hvis noe lignende skjer :lol:

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Som opprydding anbefaler jeg at du avinstallerer de programmene du har brukt, under rensingen inkl. de programmene Hitman Pro installerte. Skal du beholde noen programmer, går du for MBAM.

Du kan fjerne combofix ved å skrive combofix /u fra kjør-feltet (start->kjør).

Endret av norbat
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!


Start en konto

Logg inn

Har du allerede en konto? Logg inn her.


Logg inn nå

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive