[LØST] userinit.exe programfeil - ComboFix logg

15 innlegg i emnet

Skrevet (endret)

Hei!

Her har jeg kopiert rapporten fra ComboFix (i eget emne nå).

Dette gjelder den andre saken i tråden "LØST: userinit.exe..."

(I den tråden sa dere at han skulle laste ned og kjøre HiJackThis - Det prøvde jeg og å gjøre, men fikk ikke pga. innstillingene som systemansvarlig hadde laget.)

Jeg har lest litt om ComboFix på bleepingcomputer.com (nesten ingenting er jo "lov" etter scanningen), og nå er jeg ganske usikker om jeg i det hele tatt kan gjøre noe med maskinen (for eksempel, starte den på nytt i normal modus for å se om problemet er blitt borte...) før noen har sett på saken.

-------------------------------------------------------------------------------

ComboFix 10-11-07.A2 - synnhe 09.11.2010 14:20:52.1.1 - x86 NETWORK

Kjører fra: c:\documents and settings\synnhe\Skrivebord\ComboFix.exe

ADVARSEL -DENNE MASKINEN HAR IKKE GJENOPPRETTINGSKONSOLLEN INSTALLERT !!

.

((((((((((((((((((((((((((((((((((((((( Andre slettinger )))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\drivers\FSC__PI__AMILO Pro V2040__FUJITSU SIEMENS_AMILO Pro V2040__PhoenixBIOS 4.0 Release 6.1 _PTLTD - 6040000_R01-A1B .MRK

.

((((((((((((((((((((((((((( Filer Opprettet Fra 2010-10-09 til 2010-11-09 )))))))))))))))))))))))))))))))))

.

2010-11-08 13:40 . 2010-11-08 13:40 -------- d-----w- c:\documents and settings\synnhe\Programdata\Malwarebytes

2010-11-08 13:40 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-11-08 13:40 . 2010-11-08 13:40 -------- d-----w- c:\programfiler\Malwarebytes' Anti-Malware

2010-11-08 13:40 . 2010-11-08 13:40 -------- d-----w- c:\documents and settings\All Users\Programdata\Malwarebytes

2010-11-08 13:40 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-11-08 12:52 . 2010-11-08 12:52 -------- d-----w- c:\programfiler\CCleaner

2010-11-08 08:21 . 2010-11-08 08:21 -------- d-----w- c:\windows\l2schemas

2010-11-08 08:21 . 2010-11-08 08:21 -------- d-----w- c:\windows\system32\no

2010-11-08 08:21 . 2010-11-08 08:21 -------- d-----w- c:\windows\system32\bits

2010-11-05 13:38 . 2010-11-05 13:38 -------- d-sh--w- c:\documents and settings\administrator.VOKSEN\PrivacIE

2010-11-05 13:27 . 2010-11-05 13:27 -------- d-sh--w- c:\documents and settings\administrator.VOKSEN\IETldCache

2010-10-25 12:41 . 2010-10-25 12:41 -------- d-----w- c:\documents and settings\synnhe\Lokale innstillinger\Programdata\Temp

2010-10-25 12:30 . 2010-10-25 12:32 -------- d-----w- c:\programfiler\Lingus32 Ny i Norge

2010-10-25 12:25 . 2010-10-25 12:23 73728 ----a-w- c:\windows\system32\javacpl.cpl

2010-10-25 12:25 . 2010-10-25 12:23 472808 ----a-w- c:\windows\system32\deployJava1.dll

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-10-25 12:30 . 2006-04-18 07:32 249856 ------w- c:\windows\Setup1.exe

2010-10-25 12:29 . 2006-04-18 07:32 73216 ----a-w- c:\windows\ST6UNST.EXE

.

(((((((((((((((((((((((((((((((( Oppstartspunkter I Registeret )))))))))))))))))))))))))))))))))))))))))))))

.

.

*Merk* tomme oppføringer & gyldige standardoppføringer vises ikke

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\programfiler\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2010-02-04 39408]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="c:\programfiler\Fellesfiler\Java\Java Update\jusched.exe" [2010-05-14 248552]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2005-03-22 155648]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2005-03-22 126976]

"SMSERIAL"="sm56hlpr.exe" [2005-04-26 544768]

"SynTPLpr"="c:\programfiler\Synaptics\SynTP\SynTPLpr.exe" [2004-10-05 98394]

"SynTPEnh"="c:\programfiler\Synaptics\SynTP\SynTPEnh.exe" [2004-10-05 688218]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"Synchronization Manager"="c:\windows\system32\mobsync.exe" [2008-04-14 143360]

"ccApp"="c:\programfiler\Fellesfiler\Symantec Shared\ccApp.exe" [2004-06-09 66680]

"vptray"="c:\progra~1\SYMANT~1\VPTray.exe" [2004-10-06 161096]

"Malwarebytes Anti-Malware (reboot)"="c:\programfiler\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Start-meny\Programmer\Oppstart\

Hurtigstart for Adobe Reader.lnk - c:\programfiler\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2004-12-14 29696]

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R2 gupdate;Googles oppdateringstjeneste (gupdate);c:\programfiler\Google\Update\GoogleUpdate.exe [2010-02-09 135664]

R2 SavRoam;SavRoam;c:\programfiler\Symantec AntiVirus\SavRoam.exe [2004-10-06 173392]

.

Innholdet i mappen 'Scheduled Tasks' (planlagte oppgaver)

2010-11-08 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\programfiler\Google\Update\GoogleUpdate.exe [2010-02-09 14:20]

2010-11-08 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\programfiler\Google\Update\GoogleUpdate.exe [2010-02-09 14:20]

2010-11-08 c:\windows\Tasks\User_Feed_Synchronization-{0751E35F-C4C4-4289-81FF-8FCAEA6F05F0}.job

- c:\windows\system32\msfeedssync.exe [2009-03-08 02:31]

.

.

------- Tilleggsskanning -------

.

uStart Page = hxxp://www.startsiden.no/

IE: E&ksporter til Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Google Sidewiki - c:\programfiler\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html

Trusted Zone: utdanningsforbundet.no

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-11-09 14:31

Windows 5.1.2600 Service Pack 3 NTFS

skanner skjulte prosesser ...

skanner skjulte autostart-oppføringer ...

skanner skjulte filer ...

skanning vellykket

skjulte filer: 0

**************************************************************************

.

Tidspunkt ferdig: 2010-11-09 14:33:01

ComboFix-quarantined-files.txt 2010-11-09 13:32

Pre-Run: 48 183 275 520 byte ledig

Post-Run: 49 173 229 568 byte ledig

- - End Of File - - F809401903ECDB673A8F728894712295

Endret av tangens
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hei!

Kan noen vær så snill svare snart? :(Det begynner å haste (beklager dette maset!)

Skal jeg kanskje skru tiden litt tilbake og gå til et gjennopprettingspunkt?

:unsure:

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Nei, det må du ikke gjøre enda. Vent til Norbat (send han en PM/E-post?)eller evt noen andre med samme kompetanse kommer innom tråden din. :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Det ville kanskje vært bedre å poste loggene i kategorien "Logg til analyse", der du egentlig skal poste dette :)

Endret av Nicwillu
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Flyttet tråden, jeg. Neste gang kan du gjerne bruke rapportér-knappen, Nicwillu, slik at vi legger merke til det med en gang. :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Takk.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Flyttet tråden, jeg. Neste gang kan du gjerne bruke rapportér-knappen, Nicwillu, slik at vi legger merke til det med en gang. :)

Den er grei :)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hei, er det noen som vet om jeg bare kan avinstallere ComboFix og gå videre/prøve andre ting? Jeg tror ikke den fant noe, men en driver er blitt slettet (tror jeg). Hvis jeg avinstallerer ComboFix og kjører gjennopprettingen - hva vil skje da?

(begynner å få tidsrelatert panikk!)

:o

tangens

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hei og beklager treig respons på loggen.

Det er ikke noe i loggen som er relatert til malware, så da er det et godt alternativ å finne et gjenopprettingspkt. før probl. oppsto.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Åj, tusen takk, det var bra!

Da skal jeg avinstallere ComboFix som du sa til han yamli i den første tråden.

Skal gjøre det men en gang jeg kommer tilbake i morgen.

Takk for hjelpen!

:)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hvis ikke Combofix fant noe dritt, så ikke avinstaller det. Programmet sletter gjenopprettingspunkter, så det kan være at du ikke finner noen datoer tilbake.

Hvis du kjører en gjennoppretting, så blir de programmer som du har installert etter datoen, borte.

Jeg vet ikke om Combofix automatisk sletter gjennopprettingspunkter når den ikke finner noe bugs, men meningen med den prosessen, er at den skal fjerne muligheten for at den foran skjermen ikke skal, ved et senere tidspunkt, stille maskinene tilbake en tid, for så å bli infisert av samme virus.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Du kan prøve å kjøre systemfilsjekk, hvis du ikke får stilt tilbake maskinen. Jeg husker ikke om det fungerer i sikkerhetsmodus, eller ikke, men skriv inn sfc /scannow i kjør og klikk OK.

Det kan hende du trenger XP-CDen til dette, så ha den klar.

Det vil sjekken be om i så fall.

Hvis ikke det fungerer, så kan du reparere XP-installasjonen fra Windows-CDen.

Du starter opp med CD-en, kjører gjennomgang for at du ønsker å installere Windows.

Når du kommer til det punktet der du ser din nåværende Windows-versjon, så velger du at du ønsker å reparere denne.

Du skal ikke miste noen av dine personlige innstillinger, eller filer.

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet (endret)

Tusen takk alle sammen!

Det er en sann lettelse å kunne logge seg på maskinen igjen! Og til og med kunne skrive ut!

Nå har jeg faktisk klart å stille maskinen litt tilbake - og foreløpig fungerer det greit. :rolleyes:

Men jeg hadde ikke avinstallert ComboFix i tilfelle alle gjenopprettingspunktene skulle forsvinne sammen med programmet, og nå ser jeg det ikke på skrivebordet, men i Programfiler heter det Qoobox. Det som bekymrer meg litt er at programmet har slettet (eller satt i karantene) en driver fra Fujitsu Siemens Amilo Pro. Maskinen virket ganske treg rett etter gjenopprettingen, men det ser ut som den kanskje har begynt å komme seg gradvis. Men er det mulig å trekke den ut av karantenen, tilbake på plass?

:blink:

tangens

Endret av tangens
0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Hvis du mener at driveren er ok, så kan den hentes opp av karantene igjen, og be om at den utelates fra scanning, men ettersom den er satt i karantene, så kan noe være infisert der. Hent i stedet nye drivere fra Fujitsu Siemens, eller andre maskinvareleverandører.

Vedrørende Flash Player; Lim inn denne linken i Kjør og klikk OK: http://get.adobe.com/flashplayer/

Last ned og installer.

Får du ikke installert, så kjør en uninstaller først, og restart maskinen: http://kb2.adobe.com/cps/141/tn_14157.html

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

Skrevet

Tusen takk!

Dere er fantastiske!

:)

0

Del dette innlegget


Lenke til innlegg
Del på andre sider

  • Hvem er aktive   0 medlemmer

    Ingen innloggede medlemmer aktive