CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede ps76 Forsker
25. juni 2008 - 13:19 Der er 14 kommentarer og
1 løsning

Rense datters computer

Jo, min teenagedatter klager over at blive bombarderet med reklamer, problemer med internet, div. pc rensetilbud osv. og jeg har kigget på den.
Jeg konstaterer: WIndows (XP) update er frakoblet, og kan ikke aktiveres. Hendes free AVG antivirus kan ikke opdateres. Sidste def. er 70 dage gammel. Har kørt SPybot et par gange, men efter hver opstart fortæller spybot igen, at "virtumonde" og Virtumonde.dll" er til stede, også selvom jeg fjernede dem sidst.
Adaware (free 2008) kan ikke opdateres. Og når man starter hendes computer op, kommer der en del hurtige sorte vinduer, bla. "cmd. exe", "NTVDM" og "Command.com", måske ok, men det gør der da ikke på min...? Og så kommer der altså med jævne mellemrum disse tilbud om at rense hendes pc, "sikkerpcværktøj", Antimalværktøj" og lign., sikkert fra samme sted, at dømme efter designet.
Så ET ELLER ANDET har hun fået ind på sin pc, som overrider hendes  antivirus, firewall, update og lign. Men hvad? Og hvordan kan vi lige blive af med det igen?
Avatar billede forevernewbie Nybegynder
25. juni 2008 - 13:38 #1
Jeg kan godt hjælpe dig med at rense det, men det tager tid. Det hurtigste og nemmeste er, at gendanne Windows og starte forfra.

Fortæl gerne hvad du foretrækker.
Avatar billede ps76 Forsker
25. juni 2008 - 13:54 #2
Gendanne - dvs. først gemme alle dokumenter osv.? Det tager jo også tid...eller kan det gøres nemmere?
Avatar billede forevernewbie Nybegynder
25. juni 2008 - 14:21 #3
Jeg lover ikke at det er nemmere, men here goes:

Følg denne vejledning http://www.malwarecheck.dk/forum/viewtopic.php?t=11

Når du er sikker på at scannerne har fjernet det de kan, så genstart, og så gør dette:

Hent Combofix fra et af disse links, og gem den på dit skrivebord:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.forospyware.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

Kør så combofix.exe, som du hentede tidligere, og følg anvisningerne.
Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt
Indholdet af denne fil må du gerne lægge herind.

BEMÆRK at Combofix af nogle virusscannere bliver detekteret som inficeret. Dette har dog intet på sig.

Vigtigt: Luk ned for evt. sikkerhedsprogrammer inden du kører ComboFix.
Avatar billede ps76 Forsker
25. juni 2008 - 14:35 #4
ok - tager lidt tid. Skal rapportere tilbage når jeg er igennem dette.
Avatar billede ps76 Forsker
25. juni 2008 - 18:40 #5
Så er den klar:


ComboFix 08-06-20.4 - Louise 2008-06-25 18:30:15.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1030.18.279 [GMT 2:00]
Running from: C:\Documents and Settings\Louise\Skrivebord\ComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((  Other Deletions  )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BMb3c2d57f.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\gsqmqdoq.ini
C:\WINDOWS\system32\ijolkcqh.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nqWHhkkj.ini
C:\WINDOWS\system32\nqWHhkkj.ini2
C:\WINDOWS\system32\pAbHOqss.ini
C:\WINDOWS\system32\pAbHOqss.ini2
C:\WINDOWS\system32\qgaveerg.ini
C:\WINDOWS\system32\xyyxIRqr.ini
C:\WINDOWS\system32\xyyxIRqr.ini2

.
(((((((((((((((((((((((((  Files Created from 2008-05-25 to 2008-06-25  )))))))))))))))))))))))))))))))
.

2008-06-25 17:59 . 2008-06-25 17:59    <DIR>    d--------    C:\Programmer\CCleaner
2008-06-25 16:36 . 2008-06-25 16:36    <DIR>    d--------    C:\Programmer\Malwarebytes' Anti-Malware
2008-06-25 16:36 . 2008-06-25 16:36    <DIR>    d--------    C:\Documents and Settings\Louise\Application Data\Malwarebytes
2008-06-25 16:36 . 2008-06-25 16:36    <DIR>    d--------    C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-25 16:36 . 2008-06-19 17:48    34,296    --a------    C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-25 16:36 . 2008-06-19 17:47    17,144    --a------    C:\WINDOWS\system32\drivers\mbam.sys
2008-06-25 14:40 . 2008-06-25 14:40    <DIR>    d--------    C:\Programmer\SUPERAntiSpyware
2008-06-25 14:40 . 2008-06-25 14:40    <DIR>    d--------    C:\Documents and Settings\Louise\Application Data\SUPERAntiSpyware.com
2008-06-25 14:40 . 2008-06-25 14:40    <DIR>    d--------    C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2008-06-25 12:59 . 2008-06-25 12:59    <DIR>    d--------    C:\Programmer\Lavasoft
2008-06-25 12:59 .     <DIR>        C:\Programmer\Fælles filer\Wise Installation Wizard
2008-06-25 11:46 . 2008-06-25 11:46    101,728    --a------    C:\WINDOWS\system32\lldyjnya.dll
2008-06-25 11:43 . 2008-06-25 11:43    91,552    --a------    C:\WINDOWS\system32\wgsdacqq.dll
2008-06-24 18:35 . 2008-06-24 18:35    101,728    --a------    C:\WINDOWS\system32\ldfjiffw.dll
2008-06-24 18:29 . 2008-06-24 18:29    91,488    --a------    C:\WINDOWS\system32\jhqkkwdi.dll
2008-06-24 17:32 . 2008-06-24 17:32    101,728    --a------    C:\WINDOWS\system32\cdjvjsse.dll
2008-06-24 17:26 . 2008-06-24 17:26    91,488    --a------    C:\WINDOWS\system32\dibadkxr.dll
2008-06-23 17:26 . 2008-06-23 17:26    91,488    --a------    C:\WINDOWS\system32\xniheekj.dll
2008-06-22 17:27 . 2008-06-22 17:27    101,728    --a------    C:\WINDOWS\system32\ebjdrdwc.dll
2008-06-22 17:25 . 2008-06-22 17:25    90,464    --a------    C:\WINDOWS\system32\gpoohqxb.dll
2008-06-10 21:58 . 2008-04-14 17:53    272,256    ---------    C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 21:58 . 2008-04-14 17:53    272,256    ---------    C:\WINDOWS\system32\dllcache\bthport.sys
2008-05-26 18:01 . 2008-05-26 18:01    <DIR>    d--h-----    C:\Documents and Settings\NetworkService.NT AUTHORITY\Lokale indstillinger
2008-05-26 18:01 . 2008-05-26 18:01    <DIR>    d--hs----    C:\Documents and Settings\NetworkService.NT AUTHORITY

.
((((((((((((((((((((((((((((((((((((((((  Find3M Report  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-25 10:59    ---------    d-----w    C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-06-22 15:59    ---------    d-----w    C:\Programmer\SurfingEnhancer
2008-06-22 15:30    ---------    d-----w    C:\Documents and Settings\Louise\Application Data\LimeWire
2008-05-16 09:58    12,632    ----a-w    C:\WINDOWS\system32\lsdelete.exe
2008-05-08 12:28    202,752    ----a-w    C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-08 12:28    202,752    ------w    C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:16    1,291,776    ----a-w    C:\WINDOWS\system32\quartz.dll
2008-05-07 05:16    1,291,776    ------w    C:\WINDOWS\system32\dllcache\quartz.dll
2008-04-29 09:20    15,648    ----a-w    C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19    15,648    ----a-w    C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19    12,960    ----a-w    C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-23 23:20    3,591,680    ------w    C:\WINDOWS\system32\dllcache\mshtml.dll
2008-04-22 07:39    13,824    ------w    C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-22 07:38    70,656    ------w    C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-04-22 07:38    625,664    ------w    C:\WINDOWS\system32\dllcache\iexplore.exe
2008-04-20 05:07    161,792    ------w    C:\WINDOWS\system32\dllcache\ieakui.dll
2008-03-27 14:03    372,736    ----a-w    C:\WINDOWS\system32\MtRepair2.exe
2008-03-27 14:03    372,736    ----a-w    C:\WINDOWS\system32\MtRepair1.exe
.

(((((((((((((((((((((((((((((((((((((  Reg Loading Points  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8523AA35-C447-4771-B29B-29DD6A8CEC16}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AB4AC84A-2DFB-4B86-A2EB-3AA4AB68FC4B}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c7d7a5d2-c58d-4444-b385-af3e00cef21e}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F725064A-1A38-4A33-88DC-1294CD02A147}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-27 13:00 15360]
"MsnMsgr"="C:\Programmer\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]
"SUPERAntiSpyware"="C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programmer\Apoint\Apoint.exe" [2004-09-13 17:33 155648]
"SunJavaUpdateSched"="C:\Programmer\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"ATIPTA"="C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-12-03 22:00 344064]
"IntelWireless"="C:\Programmer\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 15:59 385024]
"Dell QuickSet"="C:\Programmer\Dell\QuickSet\quickset.exe" [2005-03-04 12:26 606208]
"DVDLauncher"="C:\Programmer\r\CyberLink\PowerDVD\DVDLauncher.exe" [2005-02-23 17:19 53248]
"ISUSScheduler"="C:\Programmer\Fælles filer\InstallShield\UpdateService\issch.exe" [ ]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-15 16:54 579584]
"SysVContoller32"="C:\WINDOWS\system32\svcl32\svcl32.exe" [2007-06-26 19:00 328192]
"QuickTime Task"="C:\Programmer\QuickTime\qttask.exe" [2006-10-25 18:58 282624]
"iTunesHelper"="C:\Programmer\iTunes\iTunesHelper.exe" [2006-10-30 09:36 256576]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-27 13:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-03-28 11:25 219136]

C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\
Digital Line Detect.lnk - C:\Programmer\Digital Line Detect\DLG.exe [2005-06-27 09:55:28 24576]
Printkey2000.lnk - C:\Programmer\PrintKey2000\Printkey2000.exe [2008-03-27 15:59:55 869376]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programmer\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programmer\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programmer\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
C:\Programmer\Intel\Wireless\Bin\LgNotify.dll 2004-09-07 17:08 110592 C:\Programmer\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=syhcmrbk.dll ttclaedd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programmer\\Messenger\\msmsgs.exe"=
"C:\\Programmer\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programmer\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programmer\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programmer\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programmer\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programmer\\Grisoft\\AVG7\\avgemc.exe"=
"C:\\Programmer\\LimeWire\\LimeWire.exe"=
"C:\\Programmer\\iTunes\\iTunes.exe"=


.
Contents of the 'Scheduled Tasks' folder
"2008-06-22 17:00:08 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programmer\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-25 18:34:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...


C:\WINDOWS\system32\svcl32

scan completed successfully
hidden files: 1

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programmer\Intel\Wireless\Bin\EvtEng.exe
C:\Programmer\Intel\Wireless\Bin\S24EvMon.exe
C:\Programmer\Intel\Wireless\Bin\WLKEEPER.exe
C:\Programmer\Intel\Wireless\Bin\ZCfgSvc.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programmer\Lavasoft\Ad-Aware\aawservice.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmer\Dell\NicConfigSvc\NicConfigSvc.exe
C:\Programmer\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmer\Apoint\ApntEx.exe
C:\Programmer\iPod\bin\iPodService.exe
.
**************************************************************************
.
Completion time: 2008-06-25 18:37:57 - machine was rebooted
ComboFix-quarantined-files.txt  2008-06-25 16:37:48

Pre-Run: 3,465,736,192 byte ledig
Post-Run: 3,477,278,720 byte ledig

167    --- E O F ---    2008-06-10 23:09:51
Avatar billede forevernewbie Nybegynder
25. juni 2008 - 19:57 #6
Kopiér indholdet mellem de stiplede linier ind i et notepad-vindue, og gem indholdet i samme mappe, som Combofix ligger med navnet CFScript.txt

--------------------------------------------

File::
C:\WINDOWS\system32\lldyjnya.dll
C:\WINDOWS\system32\wgsdacqq.dll
C:\WINDOWS\system32\ldfjiffw.dll
C:\WINDOWS\system32\jhqkkwdi.dll
C:\WINDOWS\system32\cdjvjsse.dll
C:\WINDOWS\system32\dibadkxr.dll
C:\WINDOWS\system32\xniheekj.dll
C:\WINDOWS\system32\ebjdrdwc.dll
C:\WINDOWS\system32\gpoohqxb.dll
C:\WINDOWS\system32\MtRepair2.exe
C:\WINDOWS\system32\MtRepair1.exe
C:\WINDOWS\system32\syhcmrbk.dll
C:\WINDOWS\system32\ttclaedd.dll

Folder::
C:\Programmer\SurfingEnhancer
C:\WINDOWS\system32\svcl32

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8523AA35-C447-4771-B29B-29DD6A8CEC16}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AB4AC84A-2DFB-4B86-A2EB-3AA4AB68FC4B}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c7d7a5d2-c58d-4444-b385-af3e00cef21e}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F725064A-1A38-4A33-88DC-1294CD02A147}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SysVContoller32"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000000

--------------------------------------------

Tag så fat i den nye fil med musen, og før den hen over Combofix-filen, hvorefter du "giver slip" med musen.
Se her hvordan -> http://img.photobucket.com/albums/v666/sUBs/CFScript.gif


Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.

Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt

Indholdet af denne fil må du gerne lægge herind til gennemsyn.
Avatar billede ps76 Forsker
25. juni 2008 - 20:29 #7
Jamen den kommer så her:

ComboFix 08-06-20.4 - Louise 2008-06-25 20:21:21.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1030.18.209 [GMT 2:00]
Running from: C:\Documents and Settings\Louise\Skrivebord\ComboFix.exe
Command switches used :: C:\Documents and Settings\Louise\Skrivebord\CFScript.txt
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\cdjvjsse.dll
C:\WINDOWS\system32\dibadkxr.dll
C:\WINDOWS\system32\ebjdrdwc.dll
C:\WINDOWS\system32\gpoohqxb.dll
C:\WINDOWS\system32\jhqkkwdi.dll
C:\WINDOWS\system32\ldfjiffw.dll
C:\WINDOWS\system32\lldyjnya.dll
C:\WINDOWS\system32\MtRepair1.exe
C:\WINDOWS\system32\MtRepair2.exe
C:\WINDOWS\system32\syhcmrbk.dll
C:\WINDOWS\system32\ttclaedd.dll
C:\WINDOWS\system32\wgsdacqq.dll
C:\WINDOWS\system32\xniheekj.dll
.

(((((((((((((((((((((((((((((((((((((((  Other Deletions  )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programmer\SurfingEnhancer
C:\Programmer\SurfingEnhancer\pcre3.dll
C:\Programmer\SurfingEnhancer\SurfingEnhancer.dat
C:\Programmer\SurfingEnhancer\uninstall.exe
C:\WINDOWS\system32\cdjvjsse.dll
C:\WINDOWS\system32\dibadkxr.dll
C:\WINDOWS\system32\ebjdrdwc.dll
C:\WINDOWS\system32\gpoohqxb.dll
C:\WINDOWS\system32\jhqkkwdi.dll
C:\WINDOWS\system32\ldfjiffw.dll
C:\WINDOWS\system32\lldyjnya.dll
C:\WINDOWS\system32\MtRepair1.exe
C:\WINDOWS\system32\MtRepair2.exe
C:\WINDOWS\system32\svcl32
C:\WINDOWS\system32\svcl32\license.txt
C:\WINDOWS\system32\svcl32\QuickStart.html
C:\WINDOWS\system32\svcl32\readme.txt
C:\WINDOWS\system32\svcl32\ResetSettings.bat
C:\WINDOWS\system32\svcl32\Serial.key
C:\WINDOWS\system32\svcl32\svcl32.chm
C:\WINDOWS\system32\svcl32\svcl32.dll
C:\WINDOWS\system32\svcl32\svcl32.exe
C:\WINDOWS\system32\svcl32\svcl32.txt
C:\WINDOWS\system32\svcl32\uninstall.exe
C:\WINDOWS\system32\wgsdacqq.dll
C:\WINDOWS\system32\xniheekj.dll

.
(((((((((((((((((((((((((  Files Created from 2008-05-25 to 2008-06-25  )))))))))))))))))))))))))))))))
.

2008-06-25 17:59 . 2008-06-25 17:59    <DIR>    d--------    C:\Programmer\CCleaner
2008-06-25 16:36 . 2008-06-25 16:36    <DIR>    d--------    C:\Programmer\Malwarebytes' Anti-Malware
2008-06-25 16:36 . 2008-06-25 16:36    <DIR>    d--------    C:\Documents and Settings\Louise\Application Data\Malwarebytes
2008-06-25 16:36 . 2008-06-25 16:36    <DIR>    d--------    C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-25 16:36 . 2008-06-19 17:48    34,296    --a------    C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-25 16:36 . 2008-06-19 17:47    17,144    --a------    C:\WINDOWS\system32\drivers\mbam.sys
2008-06-25 14:40 . 2008-06-25 14:40    <DIR>    d--------    C:\Programmer\SUPERAntiSpyware
2008-06-25 14:40 . 2008-06-25 14:40    <DIR>    d--------    C:\Documents and Settings\Louise\Application Data\SUPERAntiSpyware.com
2008-06-25 14:40 . 2008-06-25 14:40    <DIR>    d--------    C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2008-06-25 12:59 . 2008-06-25 12:59    <DIR>    d--------    C:\Programmer\Lavasoft
2008-06-25 12:59 .     <DIR>        C:\Programmer\Fælles filer\Wise Installation Wizard
2008-06-10 21:58 . 2008-04-14 17:53    272,256    ---------    C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 21:58 . 2008-04-14 17:53    272,256    ---------    C:\WINDOWS\system32\dllcache\bthport.sys
2008-05-26 18:01 . 2008-06-25 18:38    <DIR>    d--h-----    C:\Documents and Settings\NetworkService.NT AUTHORITY\Lokale indstillinger
2008-05-26 18:01 . 2008-05-26 18:01    <DIR>    d--hs----    C:\Documents and Settings\NetworkService.NT AUTHORITY

.
((((((((((((((((((((((((((((((((((((((((  Find3M Report  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-25 10:59    ---------    d-----w    C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-06-22 15:30    ---------    d-----w    C:\Documents and Settings\Louise\Application Data\LimeWire
2008-05-16 09:58    12,632    ----a-w    C:\WINDOWS\system32\lsdelete.exe
2008-05-08 12:28    202,752    ----a-w    C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-08 12:28    202,752    ------w    C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:16    1,291,776    ----a-w    C:\WINDOWS\system32\quartz.dll
2008-05-07 05:16    1,291,776    ------w    C:\WINDOWS\system32\dllcache\quartz.dll
2008-04-29 09:20    15,648    ----a-w    C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19    15,648    ----a-w    C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19    12,960    ----a-w    C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-23 23:20    3,591,680    ------w    C:\WINDOWS\system32\dllcache\mshtml.dll
2008-04-22 07:39    13,824    ------w    C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-22 07:38    70,656    ------w    C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-04-22 07:38    625,664    ------w    C:\WINDOWS\system32\dllcache\iexplore.exe
2008-04-20 05:07    161,792    ------w    C:\WINDOWS\system32\dllcache\ieakui.dll
.

(((((((((((((((((((((((((((((  snapshot@2008-06-25_18.37.33.57  )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-25 16:34:15    2,048    --s-a-w    C:\WINDOWS\bootstat.dat
+ 2008-06-25 18:24:17    2,048    --s-a-w    C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((((((((((((  Reg Loading Points  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-27 13:00 15360]
"MsnMsgr"="C:\Programmer\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]
"SUPERAntiSpyware"="C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programmer\Apoint\Apoint.exe" [2004-09-13 17:33 155648]
"SunJavaUpdateSched"="C:\Programmer\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"ATIPTA"="C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-12-03 22:00 344064]
"IntelWireless"="C:\Programmer\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 15:59 385024]
"Dell QuickSet"="C:\Programmer\Dell\QuickSet\quickset.exe" [2005-03-04 12:26 606208]
"DVDLauncher"="C:\Programmer\r\CyberLink\PowerDVD\DVDLauncher.exe" [2005-02-23 17:19 53248]
"ISUSScheduler"="C:\Programmer\Fælles filer\InstallShield\UpdateService\issch.exe" [ ]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-15 16:54 579584]
"QuickTime Task"="C:\Programmer\QuickTime\qttask.exe" [2006-10-25 18:58 282624]
"iTunesHelper"="C:\Programmer\iTunes\iTunesHelper.exe" [2006-10-30 09:36 256576]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-27 13:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-03-28 11:25 219136]

C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\
Digital Line Detect.lnk - C:\Programmer\Digital Line Detect\DLG.exe [2005-06-27 09:55:28 24576]
Printkey2000.lnk - C:\Programmer\PrintKey2000\Printkey2000.exe [2008-03-27 15:59:55 869376]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programmer\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programmer\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programmer\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
C:\Programmer\Intel\Wireless\Bin\LgNotify.dll 2004-09-07 17:08 110592 C:\Programmer\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programmer\\Messenger\\msmsgs.exe"=
"C:\\Programmer\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programmer\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programmer\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programmer\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programmer\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programmer\\Grisoft\\AVG7\\avgemc.exe"=
"C:\\Programmer\\LimeWire\\LimeWire.exe"=
"C:\\Programmer\\iTunes\\iTunes.exe"=


.
Contents of the 'Scheduled Tasks' folder
"2008-06-22 17:00:08 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programmer\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-25 20:25:05
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programmer\Intel\Wireless\Bin\EvtEng.exe
C:\Programmer\Intel\Wireless\Bin\S24EvMon.exe
C:\Programmer\Intel\Wireless\Bin\WLKEEPER.exe
C:\Programmer\Intel\Wireless\Bin\ZCfgSvc.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programmer\Lavasoft\Ad-Aware\aawservice.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmer\Dell\NicConfigSvc\NicConfigSvc.exe
C:\Programmer\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmer\Apoint\ApntEx.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2008-06-25 20:28:12 - machine was rebooted
ComboFix-quarantined-files.txt  2008-06-25 18:28:04
ComboFix2.txt  2008-06-25 16:38:00

Pre-Run: 3,464,179,712 byte ledig
Post-Run: 3,451,838,464 byte ledig

181    --- E O F ---    2008-06-10 23:09:51
Avatar billede forevernewbie Nybegynder
25. juni 2008 - 20:51 #8
Den er helt ok. Du kan gå i Start/Kør og i tekstboksen skriver du combofix /u (bemærk mellemrummet imellem combofix og /) og klikker ok.

Nu håber jeg ikke, at dette starter familiestridigheder, men skidtet er kommet ind via din datters brug af fildelingsprogrammet LimeWire. Dette og lignende programmer er altid en kilde til skidt og møg. Så med mindre din datter har fået sig en forskrækkelse med denne oplevelse, og indstiller fildelingen, så tror jeg vi snart ses igen ;)
Avatar billede ps76 Forsker
25. juni 2008 - 21:09 #9
Muligt - men det må vi tage en snak om herhjemme! Tak for hjælpen ihvertfald!
Avatar billede forevernewbie Nybegynder
25. juni 2008 - 21:12 #10
Velbekomme, og tak for point
Avatar billede Computer Hjælp (Gratis) Mester
25. juni 2008 - 21:23 #11
Psssst: Opdatér din AVG7.X til AVG8.X -> Direkte http://www.grisoft.cz/filedir/inst/avg_free_stf_all_8_101a1327.exe
(Evt. komplet scanning med den efter Opdatering...)

Jeg ville da gerne have set en HiJackThis Log også ->
PS: Brug denne version af HJT -> http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe pga en mistanke...
Avatar billede ps76 Forsker
25. juni 2008 - 21:43 #12
Det vil jeg gøre - men hvad med fremtidige "malware"...hvordan kan jeg bedst sikre hende mod disse reklameindslag, hvis hun skulle snige sig ind på Limewire el.lign. igen?
Avatar billede forevernewbie Nybegynder
25. juni 2008 - 22:02 #13
"men hvad med fremtidige "malware"...hvordan kan jeg bedst sikre hende mod disse reklameindslag, hvis hun skulle snige sig ind på Limewire el.lign. igen?"

Der er ikke meget du kan gøre. Du kan selvfølgelig plastre maskinen til med sikkerhedsprogrammer, men det vil ikke hjælpe meget. F,eks den infektion "Vundo" der har været inde her, bliver "opdateret" flere gange dagligt, for at undgå detektion af sikkerhedsprogrammer. Der er kun en "sikker" måde at undgå det på ;)
Avatar billede ps76 Forsker
25. juni 2008 - 22:44 #14
jo jo, sætte en eller anden form for "spærre" ind så de unge mennesker slet ikke kan komme til disse programmer. Hvis man kan det. Måske via husets router. Må ind og kigge lidt på mulighederne der.
Foreløbig er xp firewall sat til igen, og "ingen undtagelser" er valgt.
Avatar billede forevernewbie Nybegynder
25. juni 2008 - 23:19 #15
Ah okay, du mente restriktioner. Der findes dette program. Har dog ikke prøvet det http://www.softpedia.com/get/Security/Lockdown/File-Sharing-Sentinel.shtml
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Firewalls kategorien

Titel Indlæg Oprettet Seneste aktivitet
Fejlmeddelse i Easy Firewall Af cyperbent i Firewalls 22 21/01/202418:54 08/03/202415:31
Abelssoft EasyFirewall Af valby i Firewalls 9 12/10/202319:21 13/10/202319:17
Firewals og antivirus med videre Af mogens8000 i Firewalls 4 24/06/202213:54 24/06/202215:30
Din internetadgang er blokeret Af sigyn i Firewalls 1 04/01/202218:04 04/01/202220:25
Den afsatte tid til at gennemføre dit køb, er desværre udløbet. Men dit produkt er sandsynligvis stadig tilgængeligt i sortimentet. Forsøg gerne igen" Af gh0stry i Firewalls 3 25/09/202114:52 25/09/202120:39
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 10:49 Ændring finansår C5 Af Lene i Økonomiprogrammer
I går 17:29 Proceslinje Af luffe1955 i Windows
I går 15:07 videoredigering med DaVinci Resolve Af gerhardpet i Andet software
24/1118:09 Billedoverførsel Af Laurids i iOS, iPhone & iPad
24/1113:30 Hvordan ændres UniFi Dream Machine UDM til switch mode Af Kasper4450 i Internetforbindelser
White papers
Flere white papers »


Premium
Teaser billede
Microsoft hæver priserne på M365: Sådan kommer de nye priser til at ramme
Læs mere »
Efter annullering: Nu åbner Energinet igen for DevOps-aftale til 164 millioner kroner
Står klar med 50 millioner kroner til indkøb af specialiserede it-konsulenter
AI-bølgen har fået markedsværdi for 139 år gammelt hardware-firma til at eksplodere: Steget med 400 procent siden nytår
Se alle »
Computerworld
Teaser billede
Microsofts nye pc er ekstrem billig – men kan blive ekstrem sikker og fleksibel
Læs mere »
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Test: Den snusfornuftige Volkswagen ID.3 blevet til lidt af el-bisse
Kæmpe datalæk på hospital: 750.000 patienters fortrolige data lækket
Se alle »
CIO
Teaser billede
Stort Microsoft-nedbrud rammer flere kunder: Problemer med Teams og mails
Læs mere »
Konsulenthus vil rulle Microsoft 365 Copilot ud til 200.000 ansatte
Microsoft hæver priserne på M365: Sådan kommer de nye priser til at ramme
Kæmpe-opgave for Danske Bank har banet vej for fuldautomatiseret migrering til cloud: Nu udbredes metoden i hele AWS
Se alle »
Job & Karriere
Teaser billede
Microsoft klar med ny direktion for den danske forretning: Her er de nye direktører
Læs mere »
Efter skelsættende møde med sportscoach: Stor dansk it-arbejdsplads indfører fredags-fri og isbade i arbejdstiden
Linus Torvalds giver russiske Linux-udviklere sparket: Vil ikke have noget med dem at gøre
Topchef Sara Green mener, at der er brug for et radikalt nyt syn på it-ledelse - særligt én ny trend hader hun som pesten
Se alle »
White paper
Teaser billede
Governance, Risk & Compliance: Knyt stærke bånd mellem forretning og sikkerhed
Læs mere »
Vær proaktiv og prioritér IT-sikkerheden – før det er for sent
Sådan gør du: Elektronisk dokumentudveksling i praksis
SMB og cybertrusler: Brug sikkerhedsressourcerne optimalt
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »