CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede thomasmyg Nybegynder
23. juli 2007 - 21:41 Der er 19 kommentarer og
1 løsning

summer2008.zip msn virus

Så har jeg fulgt artiklen www.eksperten.dk/artikler/1123 trin for trin og her kommer resultatet.

hijackthis - log

Logfile of HijackThis v1.99.1
Scan saved at 21:23:15, on 23-07-2007
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
C:\VIRUSfighter\Npm\Bin\Zanda.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\system32\Tablet.exe
C:\WINDOWS\system32\wdfmgr.exe
C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
C:\VIRUSfighter\Nvc\bin\nvcoas.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\RUNDLL32.EXE
C:\Programmer\VIA\RAID\raid_tool.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\VIRUSfighter\Npm\bin\ZLH.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\VIRUSfighter\Nvc\BIN\NIP.EXE
C:\Programmer\Java\jre1.6.0_02\bin\jusched.exe
C:\VIRUSfighter\Nvc\bin\cclaw.exe
C:\Programmer\iTunes\iTunesHelper.exe
C:\Programmer\QuickTime\qttask.exe
C:\Programmer\Macrogaming\SweetIM\SweetIM.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\Programmer\Fælles filer\InstallShield\UpdateService\issch.exe
C:\Programmer\SPAMfighter\SFAgent.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe
C:\Programmer\Microsoft AntiSpyware\gcasDtServ.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programmer\MSN Messenger\msnmsgr.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\WINDOWS\system32\WTablet\TabUserW.exe
C:\Programmer\Winter Fun Pack 2004 for Windows XP\WinterWallToy\WinterWalltoy.exe
C:\Programmer\MSN Messenger\usnsvc.exe
C:\Documents and Settings\Camilla\Skrivebord\virus23-07-2007(1)\alternativ.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.dk/
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
R3 - URLSearchHook: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: SWEETIE - {1A0AADCD-3A72-4b5f-900F-E3BB5A838E2A} - (no file)
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programmer\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Programmer\Canon\Easy-WebPrint\Toolband.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\programmer\google\googletoolbar1.dll
O3 - Toolbar: (no name) - {BC4FFE41-DE9F-46fa-B455-AAD49B9F9938} - (no file)
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [RaidTool] C:\Programmer\VIA\RAID\raid_tool.exe
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [gcasServ] "C:\Programmer\Microsoft AntiSpyware\gcasServ.exe"
O4 - HKLM\..\Run: [Norman ZANDA] C:\VIRUSfighter\Npm\bin\ZLH.EXE /LOAD /SPLASH
O4 - HKLM\..\Run: [Easy-PrintToolBox] C:\Programmer\Canon\Easy-PrintToolBox\BJPSMAIN.EXE /logon
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [iTunesHelper] "C:\Programmer\iTunes\iTunesHelper.exe"
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programmer\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SweetIM] C:\Programmer\Macrogaming\SweetIM\SweetIM.exe
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Programmer\Fælles filer\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Programmer\Fælles filer\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [SPAMfighter Agent] "C:\Programmer\SPAMfighter\SFAgent.exe" update delay 60
O4 - HKLM\..\Run: [MRT] "C:\WINDOWS\system32\MRT.exe" /R
O4 - HKCU\..\Run: [MsnMsgr] ~"C:\Programmer\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [NBJ] "C:\Programmer\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [SweetIM] C:\Programmer\Macrogaming\SweetIM\SweetIM.exe
O4 - HKCU\..\Run: [updateMgr] "C:\Programmer\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_8 -reboot 1
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - Startup: Adobe Gamma.lnk = ?
O4 - Global Startup: Adobe Gamma Loader.exe.lnk = ?
O4 - Global Startup: Adobe Reader Hurtigstart.lnk = C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: TabUserW.exe.lnk = C:\WINDOWS\system32\WTablet\TabUserW.exe
O4 - Global Startup: Winter Fun Wallpaper Changer.lnk = ?
O8 - Extra context menu item: &Google Search - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsearch.html
O8 - Extra context menu item: &Translate English Word - res://C:\Programmer\Google\GoogleToolbar1.dll/cmwordtrans.html
O8 - Extra context menu item: Backward Links - res://C:\Programmer\Google\GoogleToolbar1.dll/cmbacklinks.html
O8 - Extra context menu item: Cached Snapshot of Page - res://C:\Programmer\Google\GoogleToolbar1.dll/cmcache.html
O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html
O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html
O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html
O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Programmer\Canon\Easy-WebPrint\Resource.dll/RC_Print.html
O8 - Extra context menu item: Similar Pages - res://C:\Programmer\Google\GoogleToolbar1.dll/cmsimilar.html
O8 - Extra context menu item: Translate Page into English - res://C:\Programmer\Google\GoogleToolbar1.dll/cmtrans.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programmer\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: Opslag - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {3D6DDD23-870A-4FC8-B3AF-5F67C935A9B7} (Util Class) - https://udstedelse.certifikat.tdc.dk/csp/authenticode/PrimeInkCSP-1204.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137129772029
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/MsnMessengerSetupDownloader.cab
O16 - DPF: {D77EF652-9A6B-40C8-A4B9-1C0697C6CF41} (TikGames Online Control) - http://real.gamehouse.com/games/cinematycoon/cinematycoon.cab
O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = hilsoe.local
O17 - HKLM\Software\..\Telephony: DomainName = hilsoe.local
O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = hilsoe.local
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\PROGRA~1\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O21 - SSODL: printers - {5A7F9A58-B220-4BD5-9E58-866D24C87895} - notiffy.dll (file missing)
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programmer\Fælles filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Norman eLogger service 6 (eLoggerSvc6) - Norman ASA - C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Programmer\Fælles filer\InstallShield\Driver\1050\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Programmer\iPod\bin\iPodService.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\VIRUSfighter\Npm\bin\NJEEVES.EXE
O23 - Service: Norman ZANDA - Norman ASA - C:\VIRUSfighter\Npm\Bin\Zanda.exe
O23 - Service: Norman Virus Control on-access component (nvcoas) - Norman ASA - C:\VIRUSfighter\Nvc\bin\nvcoas.exe
O23 - Service: Norman Virus Control Scheduler (NVCScheduler) - Norman ASA - C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
O23 - Service: TabletService - Wacom Technology, Corp. - C:\WINDOWS\system32\Tablet.exe

rootlog - log

********************************* ROOTCHK-(21-07-07)-LOG, by ejvindh
23-07-2007 21:25:45,78

The rootkits that are detected by this tool were not found.

********************************* ROOTCHK-LOG-end


catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-23 21:25:45
Windows 5.1.2600 Service Pack 2
scanning hidden processes ...

scanning hidden services & system hive ...

scanning hidden registry entries ...

scanning hidden files ...
C:\WINDOWS\bak sana  Paris Hilton ne hale gelmis hapiste :(33.zip 121038 bytes hidden from API
C:\WINDOWS\bak sana  Paris Hilton ne hale gelmis hapiste :(44.zip 121038 bytes hidden from API
C:\WINDOWS\bak sana  Paris Hilton ne hale gelmis hapiste :(52.zip 121038 bytes hidden from API
C:\WINDOWS\bak sana  Paris Hilton ne hale gelmis hapiste :(63.zip 121038 bytes hidden from API
C:\WINDOWS\bak sana  Paris Hilton ne hale gelmis hapiste :(69.zip 121038 bytes hidden from API
C:\WINDOWS\bak sana  Paris Hilton ne hale gelmis hapiste :(83.zip 121038 bytes hidden from API

hidden processes: 0
hidden files: 6

Combofix - log

"Camilla" - 2007-07-23 21:29:10 - ComboFix 07-07-23.6 - Service Pack 2  NTFS 


(((((((((((((((((((((((((((((((((((((((  Other Deletions  )))))))))))))))))))))))))))))))))))))))))))))))))


C:\DOCUME~1\Camilla\MENUEN~1\PROGRA~1.\moviebox
C:\setup.exe


(((((((((((((((((((((((((  Files Created from 2007-06-23 to 2007-07-23  )))))))))))))))))))))))))))))))


2007-07-23 21:27    51,200    --a------    C:\WINDOWS\nircmd.exe
2007-07-23 20:21    <DIR>    d--------    C:\DOCUME~1\Admin\APPLIC~1\SUPERAntiSpyware.com
2007-07-23 20:15    <DIR>    d--------    C:\Programmer\SUPERAntiSpyware
2007-07-23 20:15    <DIR>    d--------    C:\DOCUME~1\Camilla\APPLIC~1\SUPERAntiSpyware.com
2007-07-23 20:15    <DIR>    d--------    C:\DOCUME~1\ALLUSE~1\APPLIC~1\SUPERAntiSpyware.com
2007-07-23 20:06    <DIR>    d--------    C:\Programmer\CCleaner
2007-07-23 18:00    786,432    --ah-----    C:\DOCUME~1\ADMINI~1.HIL\NTUSER.DAT
2007-07-23 18:00    <DIR>    dr-------    C:\DOCUME~1\ADMINI~1.HIL\Menuen Start
2007-07-23 18:00    <DIR>    d--h-----    C:\DOCUME~1\ADMINI~1.HIL\Skabeloner
2007-07-23 18:00    <DIR>    d--h-----    C:\DOCUME~1\ADMINI~1.HIL\Printere
2007-07-23 18:00    <DIR>    d--h-----    C:\DOCUME~1\ADMINI~1.HIL\Lokale indstillinger
2007-07-23 18:00    <DIR>    d--h-----    C:\DOCUME~1\ADMINI~1.HIL\Andre computere
2007-07-23 18:00    <DIR>    d--------    C:\DOCUME~1\ADMINI~1.HIL\Skrivebord
2007-07-23 18:00    <DIR>    d--------    C:\DOCUME~1\ADMINI~1.HIL\Foretrukne
2007-07-23 18:00    <DIR>    d--------    C:\DOCUME~1\ADMINI~1.HIL\Dokumenter
2007-07-23 13:41    11,520    --a------    C:\DOCUME~1\Camilla\cfqjxq.exe
2007-07-23 13:26    11,520    --a------    C:\DOCUME~1\Camilla\hbwmed.exe
2007-07-23 13:16    11,518    --a------    C:\DOCUME~1\Camilla\hhjfqf.exe
2007-07-23 13:07    11,520    --a------    C:\DOCUME~1\Camilla\sqecdl.exe
2007-07-22 21:59    28,160    --a------    C:\WINDOWS\system32\notiffy.dll
2007-07-20 00:31    <DIR>    d--------    C:\Programmer\LEGO Media
2007-07-19 06:24    <DIR>    d--------    C:\DOCUME~1\LOCALS~1\Menuen Start
2007-07-19 06:08    <DIR>    d--------    C:\Programmer\SPAMfighter
2007-07-19 06:08    <DIR>    d--------    C:\Programmer\F‘lles filer\Application
2007-07-19 06:08    <DIR>    d--------    C:\Programmer\F‘lles filer\Ankiro
2007-07-19 06:04    19,000    --a------    C:\WINDOWS\system32\drivers\nvcw32mf.sys
2007-07-19 06:03    <DIR>    d--------    C:\WINDOWS\system32\SoftwareDistribution
2007-07-19 05:57    2,944    --a------    C:\WINDOWS\system32\drivers\msmpu401.sys
2007-06-25 15:04    1,184,400    --a------    C:\WINDOWS\system32\FreeImage.dll


((((((((((((((((((((((((((((((((((((((((  Find3M Report  ))))))))))))))))))))))))))))))))))))))))))))))))))))

2007-07-23 19:26:57    --------    d-----w    C:\Programmer\Microsoft AntiSpyware
2007-07-23 19:20:47    12,361    ----a-w    C:\WINDOWS\system32\tablet.dat
2007-07-23 18:15:08    --------    d-----w    C:\Programmer\Fælles filer\Wise Installation Wizard
2007-07-19 22:52:46    --------    d--h--w    C:\Programmer\InstallShield Installation Information
2007-07-19 04:15:46    --------    d-----w    C:\Programmer\Fælles filer\System
2007-07-19 04:15:12    69,784    ----a-w    C:\WINDOWS\system32\perfc006.dat
2007-07-19 04:15:12    409,696    ----a-w    C:\WINDOWS\system32\perfh006.dat
2007-07-19 04:08:58    --------    d-----w    C:\DOCUME~1\Camilla\APPLIC~1\SPAMfighter
2007-07-19 04:08:47    --------    d-----w    C:\Programmer\Fælles filer\Ankiro
2007-07-19 04:08:46    --------    d-----w    C:\Programmer\Fælles filer
2007-07-19 04:08:24    --------    d-----w    C:\Programmer\Fælles filer\Application
2007-05-16 15:14:25    683,520    ----a-w    C:\WINDOWS\system32\inetcomm.dll
2007-04-25 14:22:43    144,896    ----a-w    C:\WINDOWS\system32\schannel.dll
2007-02-03 16:14:33    2,516    --sha-w    C:\WINDOWS\system32\KGyGaAvL.sys


(((((((((((((((((((((((((((((((((((((  Reg Loading Points  ))))))))))))))))))))))))))))))))))))))))))))))))))


*Note* empty entries & legit default entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"nwiz"="nwiz.exe" [2005-07-20 22:07 C:\WINDOWS\system32\nwiz.exe]
"RaidTool"="C:\Programmer\VIA\RAID\raid_tool.exe" [2005-04-26 05:22]
"SoundMan"="SOUNDMAN.EXE" [2005-06-20 15:42 C:\WINDOWS\SOUNDMAN.EXE]
"gcasServ"="C:\Programmer\Microsoft AntiSpyware\gcasServ.exe" [2005-02-10 23:32]
"Norman ZANDA"="C:\VIRUSfighter\Npm\bin\ZLH.exe" [2007-04-27 13:53]
"Easy-PrintToolBox"="C:\Programmer\Canon\Easy-PrintToolBox\BJPSMAIN.exe" [2004-01-14 03:10]
"SunJavaUpdateSched"="C:\Programmer\Java\jre1.6.0_02\bin\jusched.exe" [2007-07-12 04:00]
"iTunesHelper"="C:\Programmer\iTunes\iTunesHelper.exe" [2006-06-14 16:24]
"QuickTime Task"="C:\Programmer\QuickTime\qttask.exe" [2006-07-23 12:50]
"SweetIM"="C:\Programmer\Macrogaming\SweetIM\SweetIM.exe" [2006-06-06 10:07]
"ISUSPM Startup"="C:\Programmer\Fælles filer\InstallShield\UpdateService\isuspm.exe" []
"ISUSScheduler"="C:\Programmer\Fælles filer\InstallShield\UpdateService\issch.exe" []
"SPAMfighter Agent"="C:\Programmer\SPAMfighter\SFAgent.exe" [2007-06-25 15:03]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MsnMsgr"="~C:\Programmer\MSN Messenger\MsnMsgr.exe" []
"NBJ"="C:\Programmer\Ahead\Nero BackItUp\NBJ.exe" [2005-06-02 17:03]
"SweetIM"="C:\Programmer\Macrogaming\SweetIM\SweetIM.exe" [2006-06-06 10:07]
"updateMgr"="C:\Programmer\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45]
"SUPERAntiSpyware"="C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-04-23 15:46]

C:\Documents and Settings\Camilla\Menuen Start\Programmer\Start\
Adobe Gamma.lnk - C:\Programmer\F‘lles filer\Adobe\Calibration\Adobe Gamma Loader.exe [2006-01-16 15:59:08]

C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\
Adobe Gamma Loader.exe.lnk - C:\Programmer\F‘lles filer\Adobe\Calibration\Adobe Gamma Loader.exe [2006-01-16 15:59:08]
Adobe Reader Hurtigstart.lnk - C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 23:05:26]
TabUserW.exe.lnk - C:\WINDOWS\system32\WTablet\TabUserW.exe [2007-02-03 18:08:08]
Winter Fun Wallpaper Changer.lnk - C:\WINDOWS\Installer\{038A524F-58DB-438A-8391-8F7F0CA14B9E}\Icon038A524F.exe [2006-03-03 21:59:41]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programmer\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"printers"= {5A7F9A58-B220-4BD5-9E58-866D24C87895} - notiffy.dll [ ]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programmer\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programmer\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]
"C:\Programmer\Messenger\msmsgs.exe" /background

R0 gagp30kx;Microsoft AGPv3.0-standardfilter til K8-processorplatforme;C:\WINDOWS\system32\DRIVERS\gagp30kx.sys
R0 PenClass;Pen Class;C:\WINDOWS\system32\drivers\PenClass.sys
R0 viamraid;viamraid;C:\WINDOWS\system32\DRIVERS\viamraid.sys
R1 SASDIFSV;SASDIFSV;\??\C:\Programmer\SUPERAntiSpyware\SASDIFSV.SYS
R1 SASKUTIL;SASKUTIL;\??\C:\Programmer\SUPERAntiSpyware\SASKUTIL.sys
R2 eLoggerSvc6;Norman eLogger service 6;C:\VIRUSfighter\Npm\bin\ELOGSVC.EXE
R2 Ndiskio;Ndiskio;\??\C:\VIRUSfighter\Nse\bin\NDISKIO.SYS
R3 ms_mpu401;Microsoft MPU-401 MIDI UART-driver;C:\WINDOWS\system32\drivers\msmpu401.sys
R3 MTsensor;ATK0110 ACPI UTILITY;C:\WINDOWS\system32\DRIVERS\ASACPI.sys
R3 NvcMFlt;NvcMFlt;C:\WINDOWS\system32\DRIVERS\nvcw32mf.sys
R3 nvcoas;Norman Virus Control on-access component;C:\VIRUSfighter\Nvc\bin\nvcoas.exe
R3 NVCScheduler;Norman Virus Control Scheduler;C:\VIRUSfighter\Nvc\BIN\NVCSCHED.EXE
R3 SASENUM;SASENUM;\??\C:\Programmer\SUPERAntiSpyware\SASENUM.SYS
S3 EagleNT;EagleNT;\??\C:\WINDOWS\system32\drivers\EagleNT.sys
S3 nvcfsr;nvcfsr;\??\C:\VIRUSfighter\Nvc\bin\nvcfsr.sys
S3 nvcoafl51;nvcoafl51;\??\C:\VIRUSfighter\Nvc\bin\nvcoafl51.sys
S3 nvcoaft51;nvcoaft51;\??\C:\VIRUSfighter\Nvc\bin\nvcoaft51.sys
S3 nvcoarc51;nvcoarc51;\??\C:\VIRUSfighter\Nvc\bin\nvcoarc51.sys


**************************************************************************

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-07-23 21:33:45
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden registry entries ...

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Prefetcher]
"TracesProcessed"=dword:0000037f
"TracesSuccessful"=dword:0000009f

scanning hidden files ...

C:\WINDOWS\bak sana  Paris Hilton ne hale gelmis hapiste :(33.zip 121038 bytes hidden from API
C:\WINDOWS\bak sana  Paris Hilton ne hale gelmis hapiste :(44.zip 121038 bytes hidden from API
C:\WINDOWS\bak sana  Paris Hilton ne hale gelmis hapiste :(52.zip 121038 bytes hidden from API
C:\WINDOWS\bak sana  Paris Hilton ne hale gelmis hapiste :(63.zip 121038 bytes hidden from API
C:\WINDOWS\bak sana  Paris Hilton ne hale gelmis hapiste :(69.zip 121038 bytes hidden from API
C:\WINDOWS\bak sana  Paris Hilton ne hale gelmis hapiste :(83.zip 121038 bytes hidden from API

scan completed successfully
hidden files: 6

**************************************************************************

Completion time: 2007-07-23 21:34:47
C:\ComboFix-quarantined-files.txt ... 2007-07-23 21:34

    --- E O F ---
Avatar billede ds-zim Nybegynder
24. juli 2007 - 19:08 #1
Er lige med på en lytter, da jeg oz er inficeret (tror jeg, var dum nok til at trykke >< /rødme )
Avatar billede thomasmyg Nybegynder
24. juli 2007 - 20:17 #2
du lytter bare, men jeg tror ikke der er nogen der hjælper.
Avatar billede ds-zim Nybegynder
25. juli 2007 - 16:32 #3
Hey kriger, jeg kæmper stadig med at få bugt med den bestialske satan,
og der er faktisk fremgang at spore! Derfor deler jeg lige ud af min
sparsommelige viden; start med at læse http://www.eksperten.dk/artikler/1124
det første tool fandt nada, men http://sosvirus.changelog.fr/MSNFix.zip
sporede malware, arbejdede dog hurtigere end jeg q følge med >< Jeg har
været en del forskellige AV's og må igen konstatere at Kaspersky owner
dem alle royalt!1one Hent trial version fra kaspersky.com eller .dk,
den har godt nok ryddet op hos mig, tester i skrivende stund om jeg er
sluppet af med infektionen, nedenstående er et dump af hva det linkede
tool fandt og fjernede;

MSN_Fix 1.340 

C:\Documents and Settings\Freaky\Desktop\DFENS#TOOLZ\MSNFix\MSNFix
Scan done at Wed 07/25/2007 - 16:24:09.98 By Freaky
normal mode   
   
************************ Checking Files     
   
... C:\??.tmp
... C:\???.tmp
... C:\DOCUME~1\Freaky\LOCALS~1\Temp\winlogon.exe
... C:\WINDOWS\album??.zip
... C:\WINDOWS\album???.zip
... C:\WINDOWS\image???.zip
... C:\WINDOWS\images??.zip
... C:\WINDOWS\images???.zip
... C:\WINDOWS\Look how wasted Paris Hilton is, after she got jailed*
... C:\WINDOWS\photo??.zip
... C:\WINDOWS\photo???.zip
... C:\WINDOWS\photos??.zip
... C:\WINDOWS\photos???.zip
... C:\WINDOWS\picture??.zip
... C:\WINDOWS\picture???.zip
... C:\WINDOWS\pictures???.zip

************************ Checking Folder     

... C:\Install\




************************ Deleting malware Files     
   
.. OK ... C:\??.tmp 
.. OK ... C:\???.tmp 
.. OK ... C:\DOCUME~1\Freaky\LOCALS~1\Temp\winlogon.exe 
.. OK ... C:\WINDOWS\album??.zip 
.. OK ... C:\WINDOWS\album???.zip 
.. OK ... C:\WINDOWS\image???.zip 
.. OK ... C:\WINDOWS\images??.zip 
.. OK ... C:\WINDOWS\images???.zip 
.. OK ... C:\WINDOWS\Look how wasted Paris Hilton is, after she got jailed* 
.. OK ... C:\WINDOWS\photo??.zip 
.. OK ... C:\WINDOWS\photo???.zip 
.. OK ... C:\WINDOWS\photos??.zip 
.. OK ... C:\WINDOWS\photos???.zip 
.. OK ... C:\WINDOWS\picture??.zip 
.. OK ... C:\WINDOWS\picture???.zip 
.. OK ... C:\WINDOWS\pictures???.zip 


************************ Deleting malware Folder     

.. OK ... C:\Install\ 


************************ Registry Cleaning



************************ Suspect Files

/!\ The detected files must be controlled by a helper before any other handling


 
The Files and Registry deleted have been save in Wed 07252007_162517.39.zip


------------------------------------------------------------------------ 
Autor : !aur3n7            Contact: http://246694.aceboard.fr   
------------------------------------------------------------------------ 
ECHO is off.
---------------------------------------------  END  ---------------------------------------------
Avatar billede ds-zim Nybegynder
25. juli 2007 - 16:41 #4
WEWT! Lader til at http://sosvirus.changelog.fr/MSNFix.zip klarer den onde satan,
har netop kørt komplete scan med Kaspersky's uden at finde noget! WHEEE! :)
Avatar billede ds-zim Nybegynder
25. juli 2007 - 16:53 #5
BLEH! Efter reboot, sker det her ->> http://peecee.dk/?id=59350
Klik på "næste billede", der er 4 ialt ... Lader til at der med
HiJackThis aligevel skal luges "ukrudt" ...
Avatar billede thomasmyg Nybegynder
25. juli 2007 - 17:50 #6
som du nok kan læse ud fra mit spørgsmål, så har jeg fulgt denne her artikel www.eksperten.dk/artikler/1123 og skal sådan set bare have en virus klog person til og kigge på min log filer.
Avatar billede thomasmyg Nybegynder
04. august 2007 - 10:00 #7
ikke meget hjælp og hente til fjernelse af denne her virus. lukker og finde hjælp et andet sted.
Avatar billede fromsej Praktikant
04. august 2007 - 10:05 #8
Prøv at komme med en Combofixlog, og en Hijackthislog, så skal jeg nok tjekke dem.
Avatar billede thomasmyg Nybegynder
04. august 2007 - 10:46 #9
de står allerede i mit spørgsmål
Avatar billede fromsej Praktikant
04. august 2007 - 12:00 #10
>> de står allerede i mit spørgsmål <<
Hvilket endnu en gang viser kravet til et "Koffein-meter" monteret på min maskine, så den ikke kan tændes, før koffeinniveauet er nået en vis størrelse. ;-)

Kør de to værktøjer fra denne artikel:
http://www.eksperten.dk/artikler/1124
Derefter skal jeg se logs fra de værktøjer, en frisk Combofixlog og en frisk Hijackthislog.
Avatar billede thomasmyg Nybegynder
04. august 2007 - 12:04 #11
de er friske, maskinen har ikke været tændt sin jeg kørte de værktøje
Avatar billede fromsej Praktikant
04. august 2007 - 12:17 #12
Ja, men hvad med de to andre værktøjer, de skal altså køres for at fjerne Paris Hilton (tænk hvis de også kunne fjerne gimpen fra aviser og tv)
Avatar billede fromsej Praktikant
04. august 2007 - 12:18 #13
Og efterfølgende friske logs fra Combofix og Hijackthis, så vi kan se ændringerne, tak.
Avatar billede thomasmyg Nybegynder
04. august 2007 - 12:21 #14
Jeg har fulgt artiklen fra start til slut og coputeren har ikke været tændt siden.
Avatar billede fromsej Praktikant
04. august 2007 - 12:23 #15
Ja, 1123, men hvad med 1124?
Avatar billede thomasmyg Nybegynder
04. august 2007 - 12:24 #16
nej, kigger på den og vender tilbage.
Avatar billede fromsej Praktikant
04. august 2007 - 12:26 #17
Fint, når de friske logs er her, skal jeg nok få dem tjekket så hurtigt som muligt.*S*
Avatar billede thomasmyg Nybegynder
28. september 2008 - 22:39 #18
maskinen er blevet formateret, lig et svar for ulejligheden.
Avatar billede fromsej Praktikant
29. september 2008 - 14:08 #19
Det kommer her.
Avatar billede thomasmyg Nybegynder
29. september 2008 - 18:32 #20
takker
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
pop up black friday Af Malm i Virus 10 22/11/202420:49 23/11/202410:46
Findes der mon et Antivirus program, som ikke, konstant, reklamerer, for at købe ? Af Ikke-ekspert i Virus 21 22/06/202419:22 23/06/202412:54
Anbefaling af antivirusprogram med firewall Af OnePlusFan i Virus 23 07/05/202421:02 13/05/202419:48
trusler Af gerhardpet i Virus 4 26/01/202410:02 27/01/202408:32
Kan ikke fjerne virus Af mik28 i Virus 16 09/01/202416:37 10/01/202419:59
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
IT-JOB
Seneste spørgsmål Seneste aktivitet
I dag 00:54 Windows 11 Pro - IIS Af bsn i Windows
I går 18:46 Omdanne stik på router til USB Af valby i Routere & Switches
I går 10:49 Ændring finansår C5 Af Lene i Økonomiprogrammer
25/1117:29 Proceslinje Af luffe1955 i Windows
25/1115:07 videoredigering med DaVinci Resolve Af gerhardpet i Andet software
White papers
Flere white papers »


Premium
Teaser billede
Bryder ind i alle typer smartphones: Politiet bruger israelsk hackervåben mod bander
Læs mere »
Microsoft hæver priserne på M365: Sådan kommer de nye priser til at ramme
Efter annullering: Nu åbner Energinet igen for DevOps-aftale til 164 millioner kroner
Står klar med 50 millioner kroner til indkøb af specialiserede it-konsulenter
Se alle »
Computerworld
Teaser billede
Microsofts nye pc er ekstrem billig – men kan blive ekstrem sikker og fleksibel
Læs mere »
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Test: Den snusfornuftige Volkswagen ID.3 blevet til lidt af el-bisse
Kæmpe datalæk på hospital: 750.000 patienters fortrolige data lækket
Se alle »
CIO
Teaser billede
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Læs mere »
Microsoft hæver priserne på M365: Sådan kommer de nye priser til at ramme
Konsulenthus vil rulle Microsoft 365 Copilot ud til 200.000 ansatte
Kæmpe-opgave for Danske Bank har banet vej for fuldautomatiseret migrering til cloud: Nu udbredes metoden i hele AWS
Se alle »
Job & Karriere
Teaser billede
Microsoft klar med ny direktion for den danske forretning: Her er de nye direktører
Læs mere »
Efter skelsættende møde med sportscoach: Stor dansk it-arbejdsplads indfører fredags-fri og isbade i arbejdstiden
Linus Torvalds giver russiske Linux-udviklere sparket: Vil ikke have noget med dem at gøre
Topchef Sara Green mener, at der er brug for et radikalt nyt syn på it-ledelse - særligt én ny trend hader hun som pesten
Se alle »
White paper
Teaser billede
Governance, Risk & Compliance: Knyt stærke bånd mellem forretning og sikkerhed
Læs mere »
MDR: Transparent sikkerhed og overvågning i realtid
SMB og cybertrusler: Brug sikkerhedsressourcerne optimalt
Er din cybersikkerhed klar til AI-revolutionen?
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »