Hej og velkommen til Spywarefri.dk

Din log ser umiddelbart ren ud.

Du kan prøve dette:
Download og gem denne på skrivebordet. Du skal ikke aktivere den endnu.
ftp://ftp.drweb.com/pub/drweb/cureit/drweb-cureit.exe
Kig denne vejledning grundigt igennem.
http://fromsej.dk/Vejledninger/html/drweb.html

Genstart i fejlsikret tilstand - F8 i opstart.

Dobbeltklik på drweb-cureit.exe, den vil køre en expressscan, det siger du ja til.
Når den skriver Done nederst til venstre, skal du klikke på Options->Change settings.
Skift til fanebladet Scan, fjern fluebenet ved Heuristic analysis.
Skift til fanebladet Actions, her skal alle punkter under Malware sættes til Rename.
Klik så på det eller de drev du vil have scannet, der kommer en rød prik for at vise det/de er valgt.

Klik så på den grønne pil ovre til højre på siden, så starter scanningen.
Første gang Dr.Web finder noget, klik “Yes to All”, så fjerner den hvad den finder.
Klik så på Start->Søg, find filen drweb32w.log kopier det nederste af teksten herind, startende med:

Fandt scanneren noget?

Hej Resist.

Tak for velkomsten og fordi I vil hjælpe mig.
Jeg har gennem længere tid haft stor fornøjelse af Jeres forum, men altså først nu haft brug for, at oprette en bruger selv.

Vejledningen til Dr.Web er fulgt og her er loggen. Jeg undrer mig over alle “læse fejlene” - hvad skyldes de?
Jeg bemærkede godt der kun blev bedt om en del af loggen, da den kunne være meget lang. Det synes jeg nu ikke den var, så jeg lagde alligevel hele loggen herind, da den indeholder oplysninger om det jeg beskrev i mit første indlæg.
Dr.Web fandt og slettede også den fil, som AVG i første omgang skræppede op om, men i anden omgang ikke reagerede på.

Det skal bemærkes, at der ved siden af setup.exe lå en *.inf fil med følgende oplysninger:
[autorun]
open=setup.exe
icon=setup.exe,0

Den ligger stadig der, mens setup.exe er væk lige pt. Jeg er dog ret sikker på, at den dukker op igen, da det er helt det samme som skete med AVG.

Hvad pokker er det som fremkalder den fil igen og igen?

[Scan path] C:\
>C:\Documents and Settings\All Users\Dokumenter\setup.exe infected with Trojan.Spambot - deleted
C:\Documents and Settings\NetworkService\NTUSER.DAT - read error
C:\Documents and Settings\NetworkService\NTUSER~1.LOG - read error
C:\Documents and Settings\NetworkService\Lokale indstillinger\Application Data\Microsoft\Windows\UsrClass.dat - read error
C:\Documents and Settings\NetworkService\Lokale indstillinger\Application Data\Microsoft\Windows\USRCLA~1.LOG - read error
C:\Documents and Settings\such\NTUSER.DAT - read error
C:\Documents and Settings\such\NTUSER~1.LOG - read error
C:\Documents and Settings\such\Lokale indstillinger\Application Data\Microsoft\Windows\UsrClass.dat - read error
C:\Documents and Settings\such\Lokale indstillinger\Application Data\Microsoft\Windows\USRCLA~1.LOG - read error
>C:\Programmer\WinRAR\Dos.SFXC:\WINDOWS\system32\config\default - read error
C:\WINDOWS\system32\config\default.LOG - read error
C:\WINDOWS\system32\config\SAM - read error
C:\WINDOWS\system32\config\SAM.LOG - read error
C:\WINDOWS\system32\config\SECURITY - read error
C:\WINDOWS\system32\config\SECURITY.LOG - read error
C:\WINDOWS\system32\config\software - read error
C:\WINDOWS\system32\config\software.LOG - read error
C:\WINDOWS\system32\config\system - read error
C:\WINDOWS\system32\config\system.LOG - read error

[Scan path] D:\
——————————————————————————————————————-
Scan statistics
——————————————————————————————————————-
Objects scanned: 51624
Infected objects found: 1
Objects with modifications found: 0
Suspicious objects found: 0
Adware programs found: 0
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 0
Hacktool programs found: 0
Objects cured: 0
Objects deleted: 1
Objects renamed: 0
Objects moved: 0
Objects ignored: 0
Scan speed: 977 Kb/s
Scan time: 00:41:38
——————————————————————————————————————-

=============================================================================
Total session statistics
=============================================================================
Objects scanned: 51842
Infected objects found: 1
Objects with modifications found: 0
Suspicious objects found: 0
Adware programs found: 0
Dialer programs found: 0
Joke programs found: 0
Riskware programs found: 0
Hacktool programs found: 0
Objects cured: 0
Objects deleted: 1
Objects renamed: 0
Objects moved: 0
Objects ignored: 0
Scan speed: 986 Kb/s
Scan time: 00:42:02

Vi har lige haft et lignende tilfælde, hvor det foreløbig ser ud til at skyldes at brugeren har flere delte mapper (dvs. mapper, der deles over et netværk):
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=29374

Kunne det tænkes at noget lignende gør sig gældende her? Hvis nej, må vi nok ud i nogle ret omfattende analyser, idet de almindelige værktøjer foreløbig ikke finder andet end selve den inficerede fil—og altså ikke kilden til den.

Hej Ejvindh.

Åh nej - jeg tror du har noget rootkit halløj i tankerne og jeg frygter for det videre forløb her. [:0]

Til dit spørgsmål om om flere delte mapper over netværk kan jeg svare klart nej… Min computer er ikke på netværk med andre computere og ingen mapper er delte.

Hvad har du mon nu i tankerne?

Du har helt ret [:D], men hvis det er noget du nødig vil ud i, kan vi da godt lige prøve nogle alternativer først

—Hent Combofix, og gem den på dit skrivebord:
http://download.bleepingcomputer.com/sUBs/combofix.exe

— Kør så combofix.exe, som du hentede tidligere, og følg anvisningerne.
Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når combofix er færdig, og efter det har genstartet, skulle der gerne åbnes en logfil: combofix.txt
Indholdet af denne fil må du gerne lægge herind.

—Hent Silentrunners her:
http://www.silentrunners.org/Silent Runners.vbs

Kør programmet, klik på Ja. Klik på OK. Vent så indtil der kommer en besked om at logfilen er færdig. Find log-filen, og læg den herind (den lægger sig i samme mappe som silentrunner programmet ligger i).

Hvis ikke disse logs afslører noget nyt, tror jeg dog vi bliver nødt til at overføre dig til rootkit-kategorien—medmindre du vælger at leve med tingenes tilstand, eller at formatere computeren

Tak Ejvindh. [:D] Jeg er mere end glad for, at vi først lige prøver alternativerne. Jeg vil straks gå i gang og vender tilbage så hurtigt jeg kan.

Jeg kender godt til 24 timers reglen, men håber alligevel vi kan nå det i løbet af i dag og i morgen, da der ellers vil gå lang tid, inden jeg igen kan komme herind.

Hvis det ender med, at du skal ind i rootkit-kategorien, bliver det nok desværre svært at nå i løbet af weekenden. Dels er vi ikke så mange, der læser rootkit-logs. Dels skal man ofte igennem en del forskellige, for at få identificeret synderne. Dels er behandlingen af rootkits heller ikke altid lige enkel.

Bare lige så du kender estimatet . Men det kan selvfølgelig være, at du er heldig.

Jeg satser og håber.

Her er lidt læsestof, i form af de to logs!

such - 06-09-09 13:28:32,96
ComboFix 06.09.07 - Running from: D:\combofix

Microsoft Windows XP [version 5.1.2600]

(((((((((((((((((((((((((((((((  Files Created from 2006-08-09 to 2006-09-09 ))))))))))))))))))))))))))))))))))

No new files created in this timespan

((((((((((((((((((((((((((((((((((((((((((((((((  Find3M Report   )))))))))))))))))))))))))))))))))))))))))))))))))))))

2006-09-08 20:28————d————C:\Programmer\SpywareBlaster
2006-09-05 20:43————d————C:\Documents and Settings\such\Application Data\Skype
2006-08-18 00:04————d————C:\Documents and Settings\such\Application Data\AdobeUM
2006-08-16 17:40————d————C:\Documents and Settings\such\Application Data\Google
2006-08-16 17:39————d—h——- C:\Programmer\InstallShield Installation Information
2006-08-16 17:39————d—-s——C:\Documents and Settings\such\Application Data\Microsoft
2006-08-16 17:39————d————C:\Programmer\Google
2006-08-16 17:39————d————C:\Programmer\F‘lles filer\InstallShield
2006-08-16 17:39————d————C:\Programmer\F‘lles filer
2006-08-13 21:51————d————C:\Programmer\Internet Explorer
2006-08-10 14:08————d————C:\Programmer\RegSupreme
2006-08-09 21:52 777472—a———C:\WINDOWS\system32\drivers\avg7core.sys
2006-08-09 21:52 27904—a———C:\WINDOWS\system32\drivers\avg7rsxp.sys
2006-07-28 21:18————d————C:\Programmer\HP
2006-07-28 21:16————d————C:\Programmer\Hewlett-Packard
2006-07-28 21:15————d————C:\Programmer\F‘lles filer\Hewlett-Packard
2006-07-27 15:26 679424—a———C:\WINDOWS\system32\inetcomm.dll
2006-07-26 17:43————d————C:\Documents and Settings\such\Application Data\Adobe
2006-07-26 17:02————d————C:\Programmer\F‘lles filer\Adobe
2006-07-26 17:00 869—a———C:\Documents and Settings\such\Application Data\AdobeDLM.log
2006-07-26 17:00 0—a———C:\Documents and Settings\such\Application Data\dm.ini
2006-07-26 17:00————d————C:\Programmer\Adobe
2006-07-26 16:30————d————C:\Programmer\Foxitreader
2006-07-24 06:15————d————C:\Programmer\SUPERAntiSpyware
2006-07-21 18:22 0—a———C:\WINDOWS\system32\cmmgr32.exe
2006-07-21 10:27 72704—a———C:\WINDOWS\system32\hlink.dll
2006-07-16 22:45 45056—a———C:\WINDOWS\system32\sstunst2.exe
2006-07-13 18:33————d————C:\Programmer\MSN Messenger
2006-07-08 21:41 25992—a———C:\WINDOWS\system32\pgdfgsvc.exe
2006-07-08 16:52 62—ahs——C:\Documents and Settings\such\Application Data\desktop.ini
2006-07-08 16:52 499712—a———C:\WINDOWS\system32\msvcp71.dll
2006-07-08 16:52 348160—a———C:\WINDOWS\system32\msvcr71.dll
2006-07-08 16:29 4608—a———C:\WINDOWS\system32\w95inf32.dll
2006-07-08 16:29 2272—a———C:\WINDOWS\system32\w95inf16.dll
2006-07-08 15:10 0 -rahs——C:\MSDOS.SYS
2006-07-08 15:10 0 -rahs——C:\IO.SYS
2006-07-08 15:10 0—a———C:\CONFIG.SYS
2006-07-08 15:10 0—a———C:\AUTOEXEC.BAT
2006-06-16 01:03 172032—a———C:\WINDOWS\system32\cmuda.dll

((((((((((((((((((((((((((((((((((((((((((  Reg Loading Points   ))))))))))))))))))))))))))))))))))))))))))))))))

*Note* empty entries are not shown

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“Tweak UI”=“RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp”
“AVG7_CC”=“C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
“Installed”=“1”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
“Installed”=“1”
“NoChange”=“1”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
“Installed”=“1”

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“SUPERAntiSpyware”=“C:\\Programmer\\SUPERAntiSpyware\\SUPERAntiSpyware.exe”
“IE Privacy Keeper”=”\“C:\\Programmer\\UnH Solutions\\IE Privacy Keeper\\IEPrivacyKeeper.exe\” -startup”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system]
“dontdisplaylastusername”=dword:00000000
“legalnoticecaption”=”“
“legalnoticetext”=”“
“shutdownwithoutlogon”=dword:00000001
“undockwithoutlogon”=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
“NoDriveTypeAutoRun”=dword:00000091

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\Run]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components]
“DeskHtmlVersion”=dword:00000110
“DeskHtmlMinorVersion”=dword:00000005
“Settings”=dword:00000001
“GeneralFlags”=dword:00000001

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Desktop\Components\0]
“Source”=“About:Home”
“SubscribedURL”=“About:Home”
“FriendlyName”=“Min aktuelle startside”
“Flags”=dword:00000002
“Position”=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00,\
  00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00
“CurrentState”=hex:04,00,00,40
“OriginalStateInfo”=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff,\
  ff,ff,04,00,00,00
“RestoredStateInfo”=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00,\
  00,00,01,00,00,00

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\\WINDOWS\\system32\\CTFMON.EXE”
“AVG7_Run”=“C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE”

[HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
“NoDriveTypeAutoRun”=dword:00000091

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“C:\\WINDOWS\\system32\\CTFMON.EXE”
“AVG7_Run”=“C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE”

[HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer]
“NoDriveTypeAutoRun”=dword:00000091

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\shellexecutehooks]
“{AEB6717E-7E19-11d0-97EE-00C04FD91972}”=”“
“{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}”=”“

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupfolder\C:^Documents and Settings^All Users^Menuen Start^Programmer^Start^HP Digital Imaging Monitor.lnk]
“backup”=“C:\\WINDOWS\\pss\\HP Digital Imaging Monitor.lnkCommon Startup”
“location”=“Common Startup”
“command”=“C:\\PROGRA~1\\HP\\DIGITA~1\\bin\\hpqtra08.exe “
“item”=“HP Digital Imaging Monitor”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\HP Component Manager]
“key”=“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”
“item”=“hpcmpmgr”
“hkey”=“HKLM”
“command”=”\“C:\\Programmer\\HP\\hpcoretech\\hpcmpmgr.exe\”“
“inimapping”=“0”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\HP Software Update]
“key”=“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”
“item”=“HPWuSchd2”
“hkey”=“HKLM”
“command”=”\“C:\\Programmer\\HP\\HP Software Update\\HPWuSchd2.exe\”“
“inimapping”=“0”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\IncrediMail]
“key”=“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”
“item”=“IncMail”
“hkey”=“HKCU”
“command”=“C:\\Programmer\\IncrediMail\\bin\\IncMail.exe /c”
“inimapping”=“0”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\NeroFilterCheck]
“key”=“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”
“item”=“NeroCheck”
“hkey”=“HKLM”
“command”=“C:\\WINDOWS\\system32\\NeroCheck.exe”
“inimapping”=“0”

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Shared Tools\MSCONFIG\Startupreg\SunJavaUpdateSched]
“key”=“SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run”
“item”=“jusched”
“hkey”=“HKLM”
“command”=“C:\\Programmer\\Java\\jre1.5.0_06\\bin\\jusched.exe”
“inimapping”=“0”
 
HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\SASWinLogon


Completion time: 09-09-2006 13:28:58.36
ComboFix.txt

————————————————————————————————————————————————-

“Silent Runners.vbs”, revision 48, http://www.silentrunners.org/
Operating System: Windows XP SP2
Output limited to non-default values, except where indicated by “{++}”

Startup items buried in registry:
————————————————-

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
“SUPERAntiSpyware” = “C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe” [“SUPERAntiSpyware.com”]
“IE Privacy Keeper” = ““C:\Programmer\UnH Solutions\IE Privacy Keeper\IEPrivacyKeeper.exe” -startup” [“UnH Solutions”]

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ {++}
“Tweak UI” = “RUNDLL32.EXE TWEAKUI.CPL,TweakMeUp” [MS]
“AVG7_CC” = “C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP” [“GRISOFT, s.r.o.”]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\
{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}\(Default) = (no title provided)
  -> {HKLM…CLSID} = “Adobe PDF Reader Link Helper”
            \InProcServer32\(Default) = “C:\Programmer\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll” [“Adobe Systems Incorporated”]
{761497BB-D6F0-462C-B6EB-D4DAF1D92D43}\(Default) = (no title provided)
  -> {HKLM…CLSID} = “SSVHelper Class”
            \InProcServer32\(Default) = “C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll” [“Sun Microsystems, Inc.”]

HKLM\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Approved\
“{42071714-76d4-11d1-8b24-00a0c9068ff3}” = “Kontrolpanel-udvidelse til skærmpanorering”
  -> {HKLM…CLSID} = “Kontrolpanel-udvidelse til skærmpanorering”
            \InProcServer32\(Default) = “deskpan.dll” [file not found]
“{88895560-9AA2-1069-930E-00AA0030EBC8}” = “HyperTerminal-ikon”
  -> {HKLM…CLSID} = “HyperTerminal Icon Ext”
            \InProcServer32\(Default) = “C:\WINDOWS\system32\hticons.dll” [“Hilgraeve, Inc.”]
“{21569614-B795-46b1-85F4-E737A8DC09AD}” = “Shell Search Band”
  -> {HKLM…CLSID} = “Shell Search Band”
            \InProcServer32\(Default) = “C:\WINDOWS\system32\browseui.dll” [MS]
“{B41DB860-8EE4-11D2-9906-E49FADC173CA}” = “WinRAR shell extension”
  -> {HKLM…CLSID} = “WinRAR”
            \InProcServer32\(Default) = “C:\Programmer\WinRAR\rarext.dll” [null data]
“{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}” = “AVG7 Shell Extension”
  -> {HKLM…CLSID} = “AVG7 Shell Extension Class”
            \InProcServer32\(Default) = “C:\Programmer\Grisoft\AVG Free\avgse.dll” [“GRISOFT, s.r.o.”]
“{9F97547E-460A-42C5-AE0C-81C61FFAEBC3}” = “AVG7 Find Extension”
  -> {HKLM…CLSID} = “AVG7 Find Extension Class”
            \InProcServer32\(Default) = “C:\Programmer\Grisoft\AVG Free\avgse.dll” [“GRISOFT, s.r.o.”]
“{640167b4-59b0-47a6-b335-a6b3c0695aea}” = “Portable Media Devices”
  -> {HKLM…CLSID} = “Portable Media Devices”
            \InProcServer32\(Default) = “C:\WINDOWS\system32\Audiodev.dll” [MS]
“{cc86590a-b60a-48e6-996b-41d25ed39a1e}” = “Portable Media Devices Menu”
  -> {HKLM…CLSID} = “Portable Media Devices Menu”
            \InProcServer32\(Default) = “C:\WINDOWS\system32\Audiodev.dll” [MS]
“{42042206-2D85-11D3-8CFF-005004838597}” = “Microsoft Office HTML Icon Handler”
  -> {HKLM…CLSID} = (no title provided)
            \InProcServer32\(Default) = “C:\Programmer\Microsoft Office\OFFICE11\msohev.dll” [MS]

HKLM\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\
INFECTION WARNING! “{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}” = (no title provided)
  -> {HKLM…CLSID} = “SABShellExecuteHook Class”
            \InProcServer32\(Default) = “C:\Programmer\SUPERAntiSpyware\SASSEH.DLL” [“SuperAdBlocker.com”]

HKLM\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\
INFECTION WARNING! SASWinLogon\DLLName = “C:\Programmer\SUPERAntiSpyware\SASWINLO.DLL” [“SUPERAntiSpyware.com”]

HKLM\Software\Classes\PROTOCOLS\Filter\
INFECTION WARNING! text/xml\CLSID = “{807553E5-5146-11D5-A672-00B0D022E945}”
  -> {HKLM…CLSID} = (no title provided)
            \InProcServer32\(Default) = “C:\Programmer\Fælles filer\Microsoft Shared\OFFICE11\MSOXMLMF.DLL” [MS]

HKLM\Software\Classes\Folder\shellex\ColumnHandlers\
{F9DB5320-233E-11D1-9F84-707F02C10627}\(Default) = “PDF Column Info”
  -> {HKLM…CLSID} = “PDF Shell Extension”
            \InProcServer32\(Default) = “C:\Programmer\Adobe\Acrobat 7.0\ActiveX\PDFShell.dll” [“Adobe Systems, Inc.”]

HKLM\Software\Classes\*\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = “{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}”
  -> {HKLM…CLSID} = “AVG7 Shell Extension Class”
            \InProcServer32\(Default) = “C:\Programmer\Grisoft\AVG Free\avgse.dll” [“GRISOFT, s.r.o.”]
WinRAR\(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}”
  -> {HKLM…CLSID} = “WinRAR”
            \InProcServer32\(Default) = “C:\Programmer\WinRAR\rarext.dll” [null data]

HKLM\Software\Classes\Directory\shellex\ContextMenuHandlers\
WinRAR\(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}”
  -> {HKLM…CLSID} = “WinRAR”
            \InProcServer32\(Default) = “C:\Programmer\WinRAR\rarext.dll” [null data]

HKLM\Software\Classes\Folder\shellex\ContextMenuHandlers\
AVG7 Shell Extension\(Default) = “{9F97547E-4609-42C5-AE0C-81C61FFAEBC3}”
  -> {HKLM…CLSID} = “AVG7 Shell Extension Class”
            \InProcServer32\(Default) = “C:\Programmer\Grisoft\AVG Free\avgse.dll” [“GRISOFT, s.r.o.”]
WinRAR\(Default) = “{B41DB860-8EE4-11D2-9906-E49FADC173CA}”
  -> {HKLM…CLSID} = “WinRAR”
            \InProcServer32\(Default) = “C:\Programmer\WinRAR\rarext.dll” [null data]

Active Desktop and Wallpaper:
——————————————-

Active Desktop is disabled at this entry:
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellState

HKCU\Control Panel\Desktop\
“Wallpaper” = “C:\Documents and Settings\such\Lokale indstillinger\Application Data\Microsoft\Wallpaper1.bmp”

Startup items in “such” & “All Users” startup folders:
———————————————————————————

C:\Documents and Settings\All Users\Menuen Start\Programmer\Start
“Adobe Reader Hurtigstart” -> shortcut to: “C:\Programmer\Adobe\Acrobat 7.0\Reader\reader_sl.exe” [“Adobe Systems Incorporated”]

Winsock2 Service Provider DLLs:
———————————————-

Namespace Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\NameSpace_Catalog5\Catalog_Entries\ {++}
000000000001\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS]
000000000002\LibraryPath = “%SystemRoot%\System32\winrnr.dll” [MS]
000000000003\LibraryPath = “%SystemRoot%\System32\mswsock.dll” [MS]

Transport Service Providers

HKLM\System\CurrentControlSet\Services\Winsock2\Parameters\Protocol_Catalog9\Catalog_Entries\ {++}
0000000000##\PackedCatalogItem (contains) DLL [Company Name], (at) ## range:
%SystemRoot%\system32\mswsock.dll [MS], 01 - 03, 06 - 11
%SystemRoot%\system32\rsvpsp.dll [MS], 04 - 05

Toolbars, Explorer Bars, Extensions:
——————————————————

Explorer Bars

HKCU\Software\Microsoft\Internet Explorer\Explorer Bars\
{21569614-B795-46B1-85F4-E737A8DC09AD}\(Default) = (no title provided)
  -> {HKLM…CLSID} = “Shell Search Band”
            \InProcServer32\(Default) = “C:\WINDOWS\system32\browseui.dll” [MS]

Extensions (Tools menu items, main toolbar menu buttons)

HKLM\Software\Microsoft\Internet Explorer\Extensions\
{08B0E5C0-4FCB-11CF-AAA5-00401C608501}\
“MenuText” = “Sun Java Console”
“CLSIDExtension” = “{CAFEEFAC-0015-0000-0006-ABCDEFFEDCBC}”
  -> {HKCU…CLSID} = “Java Plug-in”
            \InProcServer32\(Default) = “C:\Programmer\Java\jre1.5.0_06\bin\ssv.dll” [“Sun Microsystems, Inc.”]
  -> {HKLM…CLSID} = “Java Plug-in 1.5.0_06”
            \InProcServer32\(Default) = “C:\Programmer\Java\jre1.5.0_06\bin\npjpi150_06.dll” [“Sun Microsystems, Inc.”]

{92780B25-18CC-41C8-B9BE-3C9C571A8263}\
“ButtonText” = “Opslag”

Running Services (Display Name, Service Name, Path {Service DLL}):
—————————————————————————————————

AVG E-mail Scanner, AVGEMS, “C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe” [“GRISOFT, s.r.o.”]
AVG7 Alert Manager Server, Avg7Alrt, “C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe” [“GRISOFT, s.r.o.”]
AVG7 Update Service, Avg7UpdSvc, “C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe” [“GRISOFT, s.r.o.”]
Windows User Mode Driver Framework, UMWdf, “C:\WINDOWS\system32\wdfmgr.exe” [MS]

Print Monitors:
———————-

HKLM\System\CurrentControlSet\Control\Print\Monitors\
hpzsnt10\Driver = “hpzsnt10.dll” [“HP”]
Microsoft Document Imaging Writer Monitor\Driver = “mdimon.dll” [MS]

—————
+ This report excludes default entries except where indicated.
+ To see *everywhere* the script checks and *everything* it finds,
  launch it from a command prompt or a shortcut with the -all parameter.
+ To search all directories of local fixed drives for DESKTOP.INI
  DLL launch points and all Registry CLSIDs for dormant Explorer Bars,
  use the -supp parameter or answer “No” at the first message box.
—————(total run time: 32 seconds, including 6 seconds for message boxes)

Synes ikke selv at kunne se noget “skidt”, men jeg er bestemt heller ikke ekspert som I er det.

Hejsa

Jeg er ikke supporter, men sidder selv med samme problem som dig. Jeg har iøvrigt også skrevet en besked til dig privat

Jeg kører lige nu det VBS-script der henvises til, selvom jeg HAR været mine opstartspunkter igennem med programmet autoruns fra sysinternals…

Regards

Hej Spiziuz.

Jeg troede ikke det ifølge reglerne her i forum var tilladt andre, end supporterne at kommentere i tråde med logs?

Jeg følger med i din tråd også og synes vi lader det blive ved det… jeg har slettet din mail.

Hej Such,
Der var desværre heller ikke bid i de sidste logs, som du lagde herind. Derfor flytter jeg dig nu over i rootkit-kategorien. I denne kategori er der lidt nogle andre regler, end i de øvrige kategorier på SWF. Dem kan du læse om her:
http://www.spywarefri.dk/forum/topic.asp?TOPIC_ID=29320

Som indledning til det påfølgende arbejde vil jeg bede dig om at lave følgende logs:

(1) Gå ned på bunden af denne side, og download Rootkitrevealer
http://www.sysinternals.com/Utilities/RootkitRevealer.html

Pak filen ud til en mappe på skrivebordet. Tag netstikket ud af computeren, og luk alle åbne vinduer. Åbn rootkitrevealer-mappen, og dobbeltklik på rootkitrevealer.exe
Klik på Options, og sørg for, at der er flueben ud for “Hide standard NTFS Metadata files”. Klik så på Scan, nederst til højre. Imens programmet scanner må du ikke bruge computeren til andre ting. Når scanningen er færdig, klik på File igen, vælg Save og gem logfilen.

Kopier RootkitReveal.txt herind.

(2) Hent Blacklight her https://europe.f-secure.com/blacklight/try.shtml Scroll ned på siden, og klik “iaccept”. På næste side kan du downloade Blacklight til skrivebordet. Dobbeltklik filen, og klik scan. Når den er færdig laver den en log på skrivebordet. Kopier loggen her ind. Du skal ikke lade Blacklight fjerne noget endnu.

(3) Download Gmer-rootkit scanner, og pak den ud til skrivebordet:
http://www.gmer.net/gmer111beta.zip

Kør programmet, klik på fanebladet “Rootkit”, og klik på “Scan”. Når scanningen er færdig, skal du klikke på “Copy”. Så dukker et vindue op, som fortæller at resultatet af rootkit-scanningen er blevet lagt ind i udklipsholderen. Du kan herefter gå ind i denne tråd, og kopiere indholdet herind, ved at stille dig i indtastningsfeltet, og trykke ctrl-v.

Hej igen.

Så har jeg gjort de ting du bad om, og præcis på den måde du foreskrev, men fik lidt problemer.

Da jeg ville gemme RootkitReveal.txt kunne jeg ikke få lov at bestemme hvor. Der kom en meddelelses boks op på skærmen med en forklaring om, at skrivebordet ikke kunne tilgåes og alt jeg kunne gøre var at klikke på ok. Imidlertid ville filen som udgangspunkt gemme sig i system32 mappen, hvilket jeg så accepterede, da jeg jo så vidste hvor jeg kunne finde den.

Da jeg fandt frem til den og åbnede den var den aldeles tom. Jeg prøvede endnu engang og denne gang var der lidt i loggen.

RootkiRevealer loggen:

C:\WINDOWS\Prefetch\CMD.EXE-087B4001.pf 09-09-2006 23:03 16.25 KB Hidden from Windows API.

Her er loggen fra BlackLite:

09/09/06 22:19:20 [Info]: BlackLight Engine 1.0.46 initialized
09/09/06 22:19:20 [Info]: OS: 5.1 build 2600 (Service Pack 2)
09/09/06 22:19:20 [Note]: 7019 4
09/09/06 22:19:20 [Note]: 7005 0
09/09/06 22:19:27 [Note]: 7006 0
09/09/06 22:19:27 [Note]: 7011 1416
09/09/06 22:19:27 [Note]: 7026 0
09/09/06 22:19:27 [Note]: 7026 0
09/09/06 22:19:30 [Note]: FSRAW library version 1.7.1019
09/09/06 22:25:29 [Note]: 7007 0

Og her loggen fra Gmer scanneren:

GMER 1.0.11.11181 - http://www.gmer.net
Rootkit 2006-09-09 22:59:55
Windows 5.1.2600 Service Pack 2

——Devices - GMER 1.0.11——

Device \Driver\Tcpip \Device\Ip IRP_MJ_INTERNAL_DEVICE_CONTROL       [F8AE685A] avgtdi.sys
Device \Driver\Tcpip \Device\Tcp IRP_MJ_INTERNAL_DEVICE_CONTROL       [F8AE685A] avgtdi.sys
Device \Driver\Tcpip \Device\Udp IRP_MJ_INTERNAL_DEVICE_CONTROL       [F8AE685A] avgtdi.sys
Device \Driver\Tcpip \Device\RawIp IRP_MJ_INTERNAL_DEVICE_CONTROL     [F8AE685A] avgtdi.sys
Device \Driver\Tcpip \Device\IPMULTICAST IRP_MJ_INTERNAL_DEVICE_CONTROL [F8AE685A] avgtdi.sys

——Files - GMER 1.0.11——

ADS   ...                                         
ADS   ...                                         

——EOF - GMER 1.0.11——

Håber du kan bruge det til noget.

Der var desværre ikke bid i disse logs. Næste række af scannere er endnu i beta-stadiet. Jeg vil derfor anbefale dig at lave en backup af dine dokumenter og lignende.

(1) Hent Rootkit Unhooker herfra, og pak det ud til en selvstændig mappe på skrivebordet:
http://rkunhooker.narod.ru/binaries/rkunhooker_v202/RKU2022.rar
(Bemærk: Siden hvor RU ligger, har en skummel fremtoning. Det skal du ikke lade dig skræmme af, hvis du forvilder dig ind på siden. Blot vil jeg fraråde, at du downloader andre ting derindefra!)

Kør RkUnhooker, klik på fanebladet “Report”, klik på knappen “Refresh”, klik på “File-Save Report”, og gem rapporten et sted, hvor du kan finde den igen. Læg indholdet af denne rapport herind.

(2) Hent RAIDE-scanneren herfra, og pak den ud til en mappe på skrivebordet:
http://www.rootkit.com/vault/petersilberman/RAIDE_BETA_1.zip

Kopiér indholdet mellem de stiplede linier, ind i et notepad-vindue, og gem indholdet i den mappe, hvor “RAIDE” ligger. Når du gemmer filen, skal du kalde den runrcc.bat, og du skal sikre dig, at der under “Filtyper” står “Alle filer”:

——————
@echo off
echo yes|rcc.exe scan_all log>%systemdrive%\rcclog.txt
start %windir%\notepad.exe %systemdrive%\rcclog.txt
——————
Dobbeltklik herefter på runrcc.bat. Så vil et blankt sort vindue dukke op, med en masse tekst. Efter lidt tid lukker dette vindue ned, et notepad-vindue vil åbnes. Læg indholdet af denne fil herind.

(3) Hent Sophos AntiRootkit herfra:
http://www.sophos.com/support/cleaners/sarsfx.exe

Dobbeltklik på filen, og følg instruksionerne for at installere Scanneren. Gå så ind i den mappe, hvor scanneren blev installeret (som default installeres den i følgende mappe: C:\SOPHTEMP\), og dobbeltklik på filen sargui.exe. Sæt alle 3 flueben, og tryk på “Start Scan”. Hvis scanneren finder noget, så marker de fundne elementer, og kopier den detaljerede beskrivelse nederst i vinduet herind.

Hej igen Ejvindh.

Når jeg forsøger at hente Rootkit Unhooker fra den side får jeg at vide, at mine sikkerhedsindstillinger er for høje til at kunne hente filen. Siden ligger i øvrigt i klassificerede websteder - om det skyldes jeg bruger IE-Spyad, eller om jeg bruger den “udvidede” HOSTS fil ved jeg ikke.
Kan den evt. hentes et andet sted?

De andre ting har jeg hentet uden problemer og er klar til at gennemføre det du skriver.

Skal jeg gennemføre uden den første fil, eller vente på et andet link, hvorfra jeg kan hente den?

Hmm… jeg tog chancen og kørte de to andre filer. De fandt absolut intet og der er således ikke noget at kopiere herind (tomme logs).

Det oprindelige problem med, at AVG fandt “setup.exe” i “C:\Documents and Settings\All Users\Dokumenter” - altså Delte Dokumenter, har ikke optrådt siden og “setup.exe” er da heller ikke at finde på den pladsering længere. Selv ikke efter flere genstarter i løbet af i går og i dag.

Måske skulle vi lige se tiden lidt an, inden vi fortsætter her. Jeg fatter ikke hvad der er sket og om de ting vi allerede har forsøgt har ændret noget, men jeg bryder mig ikke om det.

Med mindre det lader sig gøre at finde en løsning i løbet af dagen/aftenen i dag, kan vi så lade tråden stå åben til om ca. 14 dage? Før får jeg nemlig ikke mulighed for at komme herind igen.