CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede ps76 Forsker
25. juni 2008 - 13:19 Der er 14 kommentarer og
1 løsning

Rense datters computer

Jo, min teenagedatter klager over at blive bombarderet med reklamer, problemer med internet, div. pc rensetilbud osv. og jeg har kigget på den.
Jeg konstaterer: WIndows (XP) update er frakoblet, og kan ikke aktiveres. Hendes free AVG antivirus kan ikke opdateres. Sidste def. er 70 dage gammel. Har kørt SPybot et par gange, men efter hver opstart fortæller spybot igen, at "virtumonde" og Virtumonde.dll" er til stede, også selvom jeg fjernede dem sidst.
Adaware (free 2008) kan ikke opdateres. Og når man starter hendes computer op, kommer der en del hurtige sorte vinduer, bla. "cmd. exe", "NTVDM" og "Command.com", måske ok, men det gør der da ikke på min...? Og så kommer der altså med jævne mellemrum disse tilbud om at rense hendes pc, "sikkerpcværktøj", Antimalværktøj" og lign., sikkert fra samme sted, at dømme efter designet.
Så ET ELLER ANDET har hun fået ind på sin pc, som overrider hendes  antivirus, firewall, update og lign. Men hvad? Og hvordan kan vi lige blive af med det igen?
Avatar billede forevernewbie Nybegynder
25. juni 2008 - 13:38 #1
Jeg kan godt hjælpe dig med at rense det, men det tager tid. Det hurtigste og nemmeste er, at gendanne Windows og starte forfra.

Fortæl gerne hvad du foretrækker.
Avatar billede ps76 Forsker
25. juni 2008 - 13:54 #2
Gendanne - dvs. først gemme alle dokumenter osv.? Det tager jo også tid...eller kan det gøres nemmere?
Avatar billede forevernewbie Nybegynder
25. juni 2008 - 14:21 #3
Jeg lover ikke at det er nemmere, men here goes:

Følg denne vejledning http://www.malwarecheck.dk/forum/viewtopic.php?t=11

Når du er sikker på at scannerne har fjernet det de kan, så genstart, og så gør dette:

Hent Combofix fra et af disse links, og gem den på dit skrivebord:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe
http://www.forospyware.com/sUBs/ComboFix.exe
http://subs.geekstogo.com/ComboFix.exe

Kør så combofix.exe, som du hentede tidligere, og følg anvisningerne.
Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt
Indholdet af denne fil må du gerne lægge herind.

BEMÆRK at Combofix af nogle virusscannere bliver detekteret som inficeret. Dette har dog intet på sig.

Vigtigt: Luk ned for evt. sikkerhedsprogrammer inden du kører ComboFix.
Avatar billede ps76 Forsker
25. juni 2008 - 14:35 #4
ok - tager lidt tid. Skal rapportere tilbage når jeg er igennem dette.
Avatar billede ps76 Forsker
25. juni 2008 - 18:40 #5
Så er den klar:


ComboFix 08-06-20.4 - Louise 2008-06-25 18:30:15.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1030.18.279 [GMT 2:00]
Running from: C:\Documents and Settings\Louise\Skrivebord\ComboFix.exe
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!
.

(((((((((((((((((((((((((((((((((((((((  Other Deletions  )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\BMb3c2d57f.xml
C:\WINDOWS\pskt.ini
C:\WINDOWS\system32\gsqmqdoq.ini
C:\WINDOWS\system32\ijolkcqh.ini
C:\WINDOWS\system32\mcrh.tmp
C:\WINDOWS\system32\nqWHhkkj.ini
C:\WINDOWS\system32\nqWHhkkj.ini2
C:\WINDOWS\system32\pAbHOqss.ini
C:\WINDOWS\system32\pAbHOqss.ini2
C:\WINDOWS\system32\qgaveerg.ini
C:\WINDOWS\system32\xyyxIRqr.ini
C:\WINDOWS\system32\xyyxIRqr.ini2

.
(((((((((((((((((((((((((  Files Created from 2008-05-25 to 2008-06-25  )))))))))))))))))))))))))))))))
.

2008-06-25 17:59 . 2008-06-25 17:59    <DIR>    d--------    C:\Programmer\CCleaner
2008-06-25 16:36 . 2008-06-25 16:36    <DIR>    d--------    C:\Programmer\Malwarebytes' Anti-Malware
2008-06-25 16:36 . 2008-06-25 16:36    <DIR>    d--------    C:\Documents and Settings\Louise\Application Data\Malwarebytes
2008-06-25 16:36 . 2008-06-25 16:36    <DIR>    d--------    C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-25 16:36 . 2008-06-19 17:48    34,296    --a------    C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-25 16:36 . 2008-06-19 17:47    17,144    --a------    C:\WINDOWS\system32\drivers\mbam.sys
2008-06-25 14:40 . 2008-06-25 14:40    <DIR>    d--------    C:\Programmer\SUPERAntiSpyware
2008-06-25 14:40 . 2008-06-25 14:40    <DIR>    d--------    C:\Documents and Settings\Louise\Application Data\SUPERAntiSpyware.com
2008-06-25 14:40 . 2008-06-25 14:40    <DIR>    d--------    C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2008-06-25 12:59 . 2008-06-25 12:59    <DIR>    d--------    C:\Programmer\Lavasoft
2008-06-25 12:59 .     <DIR>        C:\Programmer\Fælles filer\Wise Installation Wizard
2008-06-25 11:46 . 2008-06-25 11:46    101,728    --a------    C:\WINDOWS\system32\lldyjnya.dll
2008-06-25 11:43 . 2008-06-25 11:43    91,552    --a------    C:\WINDOWS\system32\wgsdacqq.dll
2008-06-24 18:35 . 2008-06-24 18:35    101,728    --a------    C:\WINDOWS\system32\ldfjiffw.dll
2008-06-24 18:29 . 2008-06-24 18:29    91,488    --a------    C:\WINDOWS\system32\jhqkkwdi.dll
2008-06-24 17:32 . 2008-06-24 17:32    101,728    --a------    C:\WINDOWS\system32\cdjvjsse.dll
2008-06-24 17:26 . 2008-06-24 17:26    91,488    --a------    C:\WINDOWS\system32\dibadkxr.dll
2008-06-23 17:26 . 2008-06-23 17:26    91,488    --a------    C:\WINDOWS\system32\xniheekj.dll
2008-06-22 17:27 . 2008-06-22 17:27    101,728    --a------    C:\WINDOWS\system32\ebjdrdwc.dll
2008-06-22 17:25 . 2008-06-22 17:25    90,464    --a------    C:\WINDOWS\system32\gpoohqxb.dll
2008-06-10 21:58 . 2008-04-14 17:53    272,256    ---------    C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 21:58 . 2008-04-14 17:53    272,256    ---------    C:\WINDOWS\system32\dllcache\bthport.sys
2008-05-26 18:01 . 2008-05-26 18:01    <DIR>    d--h-----    C:\Documents and Settings\NetworkService.NT AUTHORITY\Lokale indstillinger
2008-05-26 18:01 . 2008-05-26 18:01    <DIR>    d--hs----    C:\Documents and Settings\NetworkService.NT AUTHORITY

.
((((((((((((((((((((((((((((((((((((((((  Find3M Report  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-25 10:59    ---------    d-----w    C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-06-22 15:59    ---------    d-----w    C:\Programmer\SurfingEnhancer
2008-06-22 15:30    ---------    d-----w    C:\Documents and Settings\Louise\Application Data\LimeWire
2008-05-16 09:58    12,632    ----a-w    C:\WINDOWS\system32\lsdelete.exe
2008-05-08 12:28    202,752    ----a-w    C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-08 12:28    202,752    ------w    C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:16    1,291,776    ----a-w    C:\WINDOWS\system32\quartz.dll
2008-05-07 05:16    1,291,776    ------w    C:\WINDOWS\system32\dllcache\quartz.dll
2008-04-29 09:20    15,648    ----a-w    C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19    15,648    ----a-w    C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19    12,960    ----a-w    C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-23 23:20    3,591,680    ------w    C:\WINDOWS\system32\dllcache\mshtml.dll
2008-04-22 07:39    13,824    ------w    C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-22 07:38    70,656    ------w    C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-04-22 07:38    625,664    ------w    C:\WINDOWS\system32\dllcache\iexplore.exe
2008-04-20 05:07    161,792    ------w    C:\WINDOWS\system32\dllcache\ieakui.dll
2008-03-27 14:03    372,736    ----a-w    C:\WINDOWS\system32\MtRepair2.exe
2008-03-27 14:03    372,736    ----a-w    C:\WINDOWS\system32\MtRepair1.exe
.

(((((((((((((((((((((((((((((((((((((  Reg Loading Points  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8523AA35-C447-4771-B29B-29DD6A8CEC16}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AB4AC84A-2DFB-4B86-A2EB-3AA4AB68FC4B}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c7d7a5d2-c58d-4444-b385-af3e00cef21e}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F725064A-1A38-4A33-88DC-1294CD02A147}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-27 13:00 15360]
"MsnMsgr"="C:\Programmer\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]
"SUPERAntiSpyware"="C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programmer\Apoint\Apoint.exe" [2004-09-13 17:33 155648]
"SunJavaUpdateSched"="C:\Programmer\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"ATIPTA"="C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-12-03 22:00 344064]
"IntelWireless"="C:\Programmer\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 15:59 385024]
"Dell QuickSet"="C:\Programmer\Dell\QuickSet\quickset.exe" [2005-03-04 12:26 606208]
"DVDLauncher"="C:\Programmer\r\CyberLink\PowerDVD\DVDLauncher.exe" [2005-02-23 17:19 53248]
"ISUSScheduler"="C:\Programmer\Fælles filer\InstallShield\UpdateService\issch.exe" [ ]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-15 16:54 579584]
"SysVContoller32"="C:\WINDOWS\system32\svcl32\svcl32.exe" [2007-06-26 19:00 328192]
"QuickTime Task"="C:\Programmer\QuickTime\qttask.exe" [2006-10-25 18:58 282624]
"iTunesHelper"="C:\Programmer\iTunes\iTunesHelper.exe" [2006-10-30 09:36 256576]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-27 13:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-03-28 11:25 219136]

C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\
Digital Line Detect.lnk - C:\Programmer\Digital Line Detect\DLG.exe [2005-06-27 09:55:28 24576]
Printkey2000.lnk - C:\Programmer\PrintKey2000\Printkey2000.exe [2008-03-27 15:59:55 869376]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programmer\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programmer\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programmer\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
C:\Programmer\Intel\Wireless\Bin\LgNotify.dll 2004-09-07 17:08 110592 C:\Programmer\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=syhcmrbk.dll ttclaedd.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programmer\\Messenger\\msmsgs.exe"=
"C:\\Programmer\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programmer\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programmer\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programmer\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programmer\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programmer\\Grisoft\\AVG7\\avgemc.exe"=
"C:\\Programmer\\LimeWire\\LimeWire.exe"=
"C:\\Programmer\\iTunes\\iTunes.exe"=


.
Contents of the 'Scheduled Tasks' folder
"2008-06-22 17:00:08 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programmer\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-25 18:34:57
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...


C:\WINDOWS\system32\svcl32

scan completed successfully
hidden files: 1

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programmer\Intel\Wireless\Bin\EvtEng.exe
C:\Programmer\Intel\Wireless\Bin\S24EvMon.exe
C:\Programmer\Intel\Wireless\Bin\WLKEEPER.exe
C:\Programmer\Intel\Wireless\Bin\ZCfgSvc.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programmer\Lavasoft\Ad-Aware\aawservice.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmer\Dell\NicConfigSvc\NicConfigSvc.exe
C:\Programmer\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmer\Apoint\ApntEx.exe
C:\Programmer\iPod\bin\iPodService.exe
.
**************************************************************************
.
Completion time: 2008-06-25 18:37:57 - machine was rebooted
ComboFix-quarantined-files.txt  2008-06-25 16:37:48

Pre-Run: 3,465,736,192 byte ledig
Post-Run: 3,477,278,720 byte ledig

167    --- E O F ---    2008-06-10 23:09:51
Avatar billede forevernewbie Nybegynder
25. juni 2008 - 19:57 #6
Kopiér indholdet mellem de stiplede linier ind i et notepad-vindue, og gem indholdet i samme mappe, som Combofix ligger med navnet CFScript.txt

--------------------------------------------

File::
C:\WINDOWS\system32\lldyjnya.dll
C:\WINDOWS\system32\wgsdacqq.dll
C:\WINDOWS\system32\ldfjiffw.dll
C:\WINDOWS\system32\jhqkkwdi.dll
C:\WINDOWS\system32\cdjvjsse.dll
C:\WINDOWS\system32\dibadkxr.dll
C:\WINDOWS\system32\xniheekj.dll
C:\WINDOWS\system32\ebjdrdwc.dll
C:\WINDOWS\system32\gpoohqxb.dll
C:\WINDOWS\system32\MtRepair2.exe
C:\WINDOWS\system32\MtRepair1.exe
C:\WINDOWS\system32\syhcmrbk.dll
C:\WINDOWS\system32\ttclaedd.dll

Folder::
C:\Programmer\SurfingEnhancer
C:\WINDOWS\system32\svcl32

Registry::
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{8523AA35-C447-4771-B29B-29DD6A8CEC16}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{AB4AC84A-2DFB-4B86-A2EB-3AA4AB68FC4B}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{c7d7a5d2-c58d-4444-b385-af3e00cef21e}]
[-HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{F725064A-1A38-4A33-88DC-1294CD02A147}]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SysVContoller32"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000000

--------------------------------------------

Tag så fat i den nye fil med musen, og før den hen over Combofix-filen, hvorefter du "giver slip" med musen.
Se her hvordan -> http://img.photobucket.com/albums/v666/sUBs/CFScript.gif


Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.

Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt

Indholdet af denne fil må du gerne lægge herind til gennemsyn.
Avatar billede ps76 Forsker
25. juni 2008 - 20:29 #7
Jamen den kommer så her:

ComboFix 08-06-20.4 - Louise 2008-06-25 20:21:21.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.1.1030.18.209 [GMT 2:00]
Running from: C:\Documents and Settings\Louise\Skrivebord\ComboFix.exe
Command switches used :: C:\Documents and Settings\Louise\Skrivebord\CFScript.txt
* Created a new restore point

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

FILE ::
C:\WINDOWS\system32\cdjvjsse.dll
C:\WINDOWS\system32\dibadkxr.dll
C:\WINDOWS\system32\ebjdrdwc.dll
C:\WINDOWS\system32\gpoohqxb.dll
C:\WINDOWS\system32\jhqkkwdi.dll
C:\WINDOWS\system32\ldfjiffw.dll
C:\WINDOWS\system32\lldyjnya.dll
C:\WINDOWS\system32\MtRepair1.exe
C:\WINDOWS\system32\MtRepair2.exe
C:\WINDOWS\system32\syhcmrbk.dll
C:\WINDOWS\system32\ttclaedd.dll
C:\WINDOWS\system32\wgsdacqq.dll
C:\WINDOWS\system32\xniheekj.dll
.

(((((((((((((((((((((((((((((((((((((((  Other Deletions  )))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\Programmer\SurfingEnhancer
C:\Programmer\SurfingEnhancer\pcre3.dll
C:\Programmer\SurfingEnhancer\SurfingEnhancer.dat
C:\Programmer\SurfingEnhancer\uninstall.exe
C:\WINDOWS\system32\cdjvjsse.dll
C:\WINDOWS\system32\dibadkxr.dll
C:\WINDOWS\system32\ebjdrdwc.dll
C:\WINDOWS\system32\gpoohqxb.dll
C:\WINDOWS\system32\jhqkkwdi.dll
C:\WINDOWS\system32\ldfjiffw.dll
C:\WINDOWS\system32\lldyjnya.dll
C:\WINDOWS\system32\MtRepair1.exe
C:\WINDOWS\system32\MtRepair2.exe
C:\WINDOWS\system32\svcl32
C:\WINDOWS\system32\svcl32\license.txt
C:\WINDOWS\system32\svcl32\QuickStart.html
C:\WINDOWS\system32\svcl32\readme.txt
C:\WINDOWS\system32\svcl32\ResetSettings.bat
C:\WINDOWS\system32\svcl32\Serial.key
C:\WINDOWS\system32\svcl32\svcl32.chm
C:\WINDOWS\system32\svcl32\svcl32.dll
C:\WINDOWS\system32\svcl32\svcl32.exe
C:\WINDOWS\system32\svcl32\svcl32.txt
C:\WINDOWS\system32\svcl32\uninstall.exe
C:\WINDOWS\system32\wgsdacqq.dll
C:\WINDOWS\system32\xniheekj.dll

.
(((((((((((((((((((((((((  Files Created from 2008-05-25 to 2008-06-25  )))))))))))))))))))))))))))))))
.

2008-06-25 17:59 . 2008-06-25 17:59    <DIR>    d--------    C:\Programmer\CCleaner
2008-06-25 16:36 . 2008-06-25 16:36    <DIR>    d--------    C:\Programmer\Malwarebytes' Anti-Malware
2008-06-25 16:36 . 2008-06-25 16:36    <DIR>    d--------    C:\Documents and Settings\Louise\Application Data\Malwarebytes
2008-06-25 16:36 . 2008-06-25 16:36    <DIR>    d--------    C:\Documents and Settings\All Users\Application Data\Malwarebytes
2008-06-25 16:36 . 2008-06-19 17:48    34,296    --a------    C:\WINDOWS\system32\drivers\mbamcatchme.sys
2008-06-25 16:36 . 2008-06-19 17:47    17,144    --a------    C:\WINDOWS\system32\drivers\mbam.sys
2008-06-25 14:40 . 2008-06-25 14:40    <DIR>    d--------    C:\Programmer\SUPERAntiSpyware
2008-06-25 14:40 . 2008-06-25 14:40    <DIR>    d--------    C:\Documents and Settings\Louise\Application Data\SUPERAntiSpyware.com
2008-06-25 14:40 . 2008-06-25 14:40    <DIR>    d--------    C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com
2008-06-25 12:59 . 2008-06-25 12:59    <DIR>    d--------    C:\Programmer\Lavasoft
2008-06-25 12:59 .     <DIR>        C:\Programmer\Fælles filer\Wise Installation Wizard
2008-06-10 21:58 . 2008-04-14 17:53    272,256    ---------    C:\WINDOWS\system32\drivers\bthport.sys
2008-06-10 21:58 . 2008-04-14 17:53    272,256    ---------    C:\WINDOWS\system32\dllcache\bthport.sys
2008-05-26 18:01 . 2008-06-25 18:38    <DIR>    d--h-----    C:\Documents and Settings\NetworkService.NT AUTHORITY\Lokale indstillinger
2008-05-26 18:01 . 2008-05-26 18:01    <DIR>    d--hs----    C:\Documents and Settings\NetworkService.NT AUTHORITY

.
((((((((((((((((((((((((((((((((((((((((  Find3M Report  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-06-25 10:59    ---------    d-----w    C:\Documents and Settings\All Users\Application Data\Lavasoft
2008-06-22 15:30    ---------    d-----w    C:\Documents and Settings\Louise\Application Data\LimeWire
2008-05-16 09:58    12,632    ----a-w    C:\WINDOWS\system32\lsdelete.exe
2008-05-08 12:28    202,752    ----a-w    C:\WINDOWS\system32\drivers\rmcast.sys
2008-05-08 12:28    202,752    ------w    C:\WINDOWS\system32\dllcache\rmcast.sys
2008-05-07 05:16    1,291,776    ----a-w    C:\WINDOWS\system32\quartz.dll
2008-05-07 05:16    1,291,776    ------w    C:\WINDOWS\system32\dllcache\quartz.dll
2008-04-29 09:20    15,648    ----a-w    C:\WINDOWS\system32\drivers\NSDriver.sys
2008-04-29 09:19    15,648    ----a-w    C:\WINDOWS\system32\drivers\Awrtrd.sys
2008-04-29 09:19    12,960    ----a-w    C:\WINDOWS\system32\drivers\Awrtpd.sys
2008-04-23 23:20    3,591,680    ------w    C:\WINDOWS\system32\dllcache\mshtml.dll
2008-04-22 07:39    13,824    ------w    C:\WINDOWS\system32\dllcache\ieudinit.exe
2008-04-22 07:38    70,656    ------w    C:\WINDOWS\system32\dllcache\ie4uinit.exe
2008-04-22 07:38    625,664    ------w    C:\WINDOWS\system32\dllcache\iexplore.exe
2008-04-20 05:07    161,792    ------w    C:\WINDOWS\system32\dllcache\ieakui.dll
.

(((((((((((((((((((((((((((((  snapshot@2008-06-25_18.37.33.57  )))))))))))))))))))))))))))))))))))))))))
.
- 2008-06-25 16:34:15    2,048    --s-a-w    C:\WINDOWS\bootstat.dat
+ 2008-06-25 18:24:17    2,048    --s-a-w    C:\WINDOWS\bootstat.dat
.
(((((((((((((((((((((((((((((((((((((  Reg Loading Points  ))))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Note* empty entries & legit default entries are not shown
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-27 13:00 15360]
"MsnMsgr"="C:\Programmer\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 12:34 5724184]
"SUPERAntiSpyware"="C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-05-28 10:33 1506544]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Apoint"="C:\Programmer\Apoint\Apoint.exe" [2004-09-13 17:33 155648]
"SunJavaUpdateSched"="C:\Programmer\Java\jre1.6.0_05\bin\jusched.exe" [2008-02-22 04:25 144784]
"ATIPTA"="C:\Programmer\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-12-03 22:00 344064]
"IntelWireless"="C:\Programmer\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 15:59 385024]
"Dell QuickSet"="C:\Programmer\Dell\QuickSet\quickset.exe" [2005-03-04 12:26 606208]
"DVDLauncher"="C:\Programmer\r\CyberLink\PowerDVD\DVDLauncher.exe" [2005-02-23 17:19 53248]
"ISUSScheduler"="C:\Programmer\Fælles filer\InstallShield\UpdateService\issch.exe" [ ]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"AVG7_CC"="C:\PROGRA~1\Grisoft\AVG7\avgcc.exe" [2008-04-15 16:54 579584]
"QuickTime Task"="C:\Programmer\QuickTime\qttask.exe" [2006-10-25 18:58 282624]
"iTunesHelper"="C:\Programmer\iTunes\iTunesHelper.exe" [2006-10-30 09:36 256576]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-27 13:00 15360]
"AVG7_Run"="C:\PROGRA~1\Grisoft\AVG7\avgw.exe" [2008-03-28 11:25 219136]

C:\Documents and Settings\All Users\Menuen Start\Programmer\Start\
Digital Line Detect.lnk - C:\Programmer\Digital Line Detect\DLG.exe [2005-06-27 09:55:28 24576]
Printkey2000.lnk - C:\Programmer\PrintKey2000\Printkey2000.exe [2008-03-27 15:59:55 869376]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Programmer\SUPERAntiSpyware\SASSEH.DLL [2008-05-13 10:13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
C:\Programmer\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Programmer\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]
C:\Programmer\Intel\Wireless\Bin\LgNotify.dll 2004-09-07 17:08 110592 C:\Programmer\Intel\Wireless\Bin\LgNotify.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]
"VIDC.ACDV"= ACDV.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"C:\\Programmer\\Messenger\\msmsgs.exe"=
"C:\\Programmer\\Windows Live\\Messenger\\msnmsgr.exe"=
"C:\\Programmer\\Windows Live\\Messenger\\livecall.exe"=
"C:\\Programmer\\Grisoft\\AVG7\\avginet.exe"=
"C:\\Programmer\\Grisoft\\AVG7\\avgamsvr.exe"=
"C:\\Programmer\\Grisoft\\AVG7\\avgcc.exe"=
"C:\\Programmer\\Grisoft\\AVG7\\avgemc.exe"=
"C:\\Programmer\\LimeWire\\LimeWire.exe"=
"C:\\Programmer\\iTunes\\iTunes.exe"=


.
Contents of the 'Scheduled Tasks' folder
"2008-06-22 17:00:08 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"
- C:\Programmer\Apple Software Update\SoftwareUpdate.exe
.
**************************************************************************

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-06-25 20:25:05
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully
hidden files: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\ati2evxx.exe
C:\Programmer\Intel\Wireless\Bin\EvtEng.exe
C:\Programmer\Intel\Wireless\Bin\S24EvMon.exe
C:\Programmer\Intel\Wireless\Bin\WLKEEPER.exe
C:\Programmer\Intel\Wireless\Bin\ZCfgSvc.exe
C:\WINDOWS\system32\ati2evxx.exe
C:\Programmer\Lavasoft\Ad-Aware\aawservice.exe
C:\PROGRA~1\Intel\Wireless\Bin\1XConfig.exe
C:\WINDOWS\system32\brss01a.exe
C:\PROGRA~1\Grisoft\AVG7\avgamsvr.exe
C:\PROGRA~1\Grisoft\AVG7\avgupsvc.exe
C:\PROGRA~1\Grisoft\AVG7\avgemc.exe
C:\Programmer\Dell\NicConfigSvc\NicConfigSvc.exe
C:\Programmer\Intel\Wireless\Bin\RegSrvc.exe
C:\Programmer\Apoint\ApntEx.exe
C:\Programmer\iPod\bin\iPodService.exe
C:\WINDOWS\system32\wscntfy.exe
.
**************************************************************************
.
Completion time: 2008-06-25 20:28:12 - machine was rebooted
ComboFix-quarantined-files.txt  2008-06-25 18:28:04
ComboFix2.txt  2008-06-25 16:38:00

Pre-Run: 3,464,179,712 byte ledig
Post-Run: 3,451,838,464 byte ledig

181    --- E O F ---    2008-06-10 23:09:51
Avatar billede forevernewbie Nybegynder
25. juni 2008 - 20:51 #8
Den er helt ok. Du kan gå i Start/Kør og i tekstboksen skriver du combofix /u (bemærk mellemrummet imellem combofix og /) og klikker ok.

Nu håber jeg ikke, at dette starter familiestridigheder, men skidtet er kommet ind via din datters brug af fildelingsprogrammet LimeWire. Dette og lignende programmer er altid en kilde til skidt og møg. Så med mindre din datter har fået sig en forskrækkelse med denne oplevelse, og indstiller fildelingen, så tror jeg vi snart ses igen ;)
Avatar billede ps76 Forsker
25. juni 2008 - 21:09 #9
Muligt - men det må vi tage en snak om herhjemme! Tak for hjælpen ihvertfald!
Avatar billede forevernewbie Nybegynder
25. juni 2008 - 21:12 #10
Velbekomme, og tak for point
Avatar billede Computer Hjælp (Gratis) Mester
25. juni 2008 - 21:23 #11
Psssst: Opdatér din AVG7.X til AVG8.X -> Direkte http://www.grisoft.cz/filedir/inst/avg_free_stf_all_8_101a1327.exe
(Evt. komplet scanning med den efter Opdatering...)

Jeg ville da gerne have set en HiJackThis Log også ->
PS: Brug denne version af HJT -> http://www.trendsecure.com/portal/en-US/_download/HiJackThis.exe pga en mistanke...
Avatar billede ps76 Forsker
25. juni 2008 - 21:43 #12
Det vil jeg gøre - men hvad med fremtidige "malware"...hvordan kan jeg bedst sikre hende mod disse reklameindslag, hvis hun skulle snige sig ind på Limewire el.lign. igen?
Avatar billede forevernewbie Nybegynder
25. juni 2008 - 22:02 #13
"men hvad med fremtidige "malware"...hvordan kan jeg bedst sikre hende mod disse reklameindslag, hvis hun skulle snige sig ind på Limewire el.lign. igen?"

Der er ikke meget du kan gøre. Du kan selvfølgelig plastre maskinen til med sikkerhedsprogrammer, men det vil ikke hjælpe meget. F,eks den infektion "Vundo" der har været inde her, bliver "opdateret" flere gange dagligt, for at undgå detektion af sikkerhedsprogrammer. Der er kun en "sikker" måde at undgå det på ;)
Avatar billede ps76 Forsker
25. juni 2008 - 22:44 #14
jo jo, sætte en eller anden form for "spærre" ind så de unge mennesker slet ikke kan komme til disse programmer. Hvis man kan det. Måske via husets router. Må ind og kigge lidt på mulighederne der.
Foreløbig er xp firewall sat til igen, og "ingen undtagelser" er valgt.
Avatar billede forevernewbie Nybegynder
25. juni 2008 - 23:19 #15
Ah okay, du mente restriktioner. Der findes dette program. Har dog ikke prøvet det http://www.softpedia.com/get/Security/Lockdown/File-Sharing-Sentinel.shtml
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Firewalls kategorien

Titel Indlæg Oprettet Seneste aktivitet
Fejlmeddelse i Easy Firewall Af cyperbent i Firewalls 22 21/01/202418:54 08/03/202415:31
Abelssoft EasyFirewall Af valby i Firewalls 9 12/10/202319:21 13/10/202319:17
Firewals og antivirus med videre Af mogens8000 i Firewalls 4 24/06/202213:54 24/06/202215:30
Din internetadgang er blokeret Af sigyn i Firewalls 1 04/01/202218:04 04/01/202220:25
Den afsatte tid til at gennemføre dit køb, er desværre udløbet. Men dit produkt er sandsynligvis stadig tilgængeligt i sortimentet. Forsøg gerne igen" Af gh0stry i Firewalls 3 25/09/202114:52 25/09/202120:39
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I dag 14:01 Oprette / gemme et par fotos i en mappe - Samsung Galaxy A 14 5G ? Af Ikke-ekspert i Mobiltelefoner
I dag 11:14 Bærbar til Sims 3? Af idamarie i PC
I dag 10:49 Adobe til excel Af densortehingst i Andet software
I dag 09:26 Chrome Af fjorbak i Andet netværk
I går 21:08 Hvor kan man se Alan Turings mekaniske apparat til at løse Enignas koder Af KurtG i Andet hardware
White papers
Flere white papers »


Premium
Teaser billede
5.000 flyafgange i verden blev aflyst som følge af Crowdstrike-nedbrud: Vil Københavns Lufthavn søge erstatning?
Læs mere »
Hackere udnytter CrowdStrike-nedbruddet: Spreder malware ved hjælp af falske løsninger
Microsoft skyder dele af skylden for CrowdStrike-nedbrud på 15 år gammel EU-aftale
Derfor står Danske Bank foran en kæmpe AWS-transformation: Ellers skulle vi bygge en ny infrastruktur for at følge med
Se alle »
Computerworld
Teaser billede
Microsoft-nedbrud spreder sig: It-systemer i lufthavne verden over er ramt
Læs mere »
Test: Denne mikro-pc er smartere end de stærkeste desktop-maskiner - men flopper alligevel
Elon Musk dropper CrowdStrike efter kæmpe nedbrud
Hundredevis af flyafgange ramt af stort Microsoft-nedbrud
Se alle »
CIO
Teaser billede
Microsoft er på sagen: I gang med at løse kæmpe nedbrud efter katastrofal Crowdstrike-fejl
Læs mere »
Så mange Microsoft-enheder blev ramt af gigantisk Crowdstrike-koks
Telenor skrotter ældre it-system: Nyt system er en hyldevare
Peter Lüth udlever CTO-drømmen: Bygger et system fra bunden og tjener kassen på det
Se alle »
Job & Karriere
Teaser billede
Efter 12 år er NNIT's hovedkvarter i Søborg nu ryddet og tomt - alle arbejder hjemme: "Det er med et vist vemod"
Læs mere »
Norlys skal splittes op i fem selskaber: Nu bliver flere ansatte og ledere fyret
Dansk top-profil trækker sig fra Microsoft: Skal være direktør i TDC Erhverv
KMD-direktør forlader selskabet: Det skal hun nu
Se alle »
White paper
Teaser billede
Guide: Sådan udvikler du en moderne netværksstrategi
Læs mere »
Sådan høster du forretningsfordelene ved Internet of Things
Få mere ud af din cloudinfrastruktur og gør op med de konstant stigende omkostninger
MDR: Transparent sikkerhed og overvågning i realtid
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »