CIO Tech Eksperten IT-JOB IT-Kurser Events Podcast Søg
Cookie ikon
Avatar billede KP410501 Nybegynder
28. december 2009 - 23:03 Der er 8 kommentarer

Malware Defense

Jeg kan se at der er andre der har haft besøg af Malware Defense, og det samme gælder altså her.

PC'eren kører XP.

Jeg har med baggrund i fromsej's indlæg fra februar i år foretaget følgende:

Ccleaner
Malwarebytes
Combofix
Hijackthis

Nendefor de forskellige logs - håber en af jer kan hjælpe med et tjek.

Det skal siges at computeren kører væsentligt bedre efter ovenstående, men at der fx fortsat er Malware Defense logo i værktøjslinjen nederst i skærmen.

Malwarebytes:
Malwarebytes' Anti-Malware 1.42
Database version: 3289
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

27-12-2009 23:11:25
mbam-log-2009-12-27 (23-11-25).txt

Skan type: Fuldstændig skanning (C:\|)
Objekter skannet: 135026
Tid tilbagelagt: 49 minute(s), 29 second(s)

Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 0
Inficerede Registeringsdatabase Værdier: 0
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 0
Inficerede Filer: 2

Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Værdier:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)

Combofix:
ComboFix 09-12-27.04 - Grethe og Svend 28-12-2009  22:37:44.2.1 - x86
Microsoft Windows XP Professional  5.1.2600.3.1252.45.1030.18.511.233 [GMT 1:00]
Kører fra: c:\documents and settings\Grethe og Svend\Skrivebord\ComboFix.exe
Kommandoer benyttet :: c:\combofix\CFScript.txt
AV: avast! antivirus 4.8.1368 [VPS 091227-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

advarsel -DENNE MASKINE HAR IKKE GENOPRETTELSESKONSOL INSTALLERET !!
.
PEV Error: LocalSettingsFile

(((((((((((((((((((((((((((((  Filer skabt fra 2009-11-28 til 2009-12-28  )))))))))))))))))))))))))))))))))))
.

2009-12-28 20:52 . 2009-12-28 20:52    --------    d-----w-    c:\documents and settings\LocalService\Lokale indstillinger\Application Data\Threat Expert
2009-12-28 20:51 . 2009-12-28 20:51    --------    d-----r-    c:\documents and settings\LocalService\Foretrukne
2009-12-27 21:19 . 2009-12-27 21:19    --------    d-----w-    c:\documents and settings\Grethe og Svend\Application Data\Malwarebytes
2009-12-27 21:19 . 2009-12-03 15:14    38224    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2009-12-27 21:19 . 2009-12-27 21:19    --------    d-----w-    c:\documents and settings\All Users\Application Data\Malwarebytes
2009-12-27 21:19 . 2009-12-27 21:19    --------    d-----w-    c:\programmer\Malwarebytes' Anti-Malware
2009-12-27 21:19 . 2009-12-03 15:13    19160    ----a-w-    c:\windows\system32\drivers\mbam.sys
2009-12-27 18:19 . 2009-12-27 18:19    --------    d-----w-    c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com
2009-12-27 16:35 . 2009-12-27 16:35    --------    d-----w-    c:\documents and settings\Grethe og Svend\Lokale indstillinger\Application Data\Threat Expert
2009-12-27 16:10 . 2009-12-27 16:10    --------    d-sh--w-    c:\documents and settings\LocalService\IETldCache
2009-12-27 16:01 . 2009-11-10 09:26    767952    ----a-w-    c:\windows\BDTSupport.dll
2009-12-27 16:01 . 2009-11-10 09:28    149456    ----a-w-    c:\windows\SGDetectionTool.dll
2009-12-27 16:01 . 2009-10-28 00:36    1152444    ----a-w-    c:\windows\UDB.zip
2009-12-27 16:01 . 2008-11-26 11:08    131    ----a-w-    c:\windows\IDB.zip
2009-12-27 16:01 . 2009-11-10 09:28    165840    ----a-w-    c:\windows\PCTBDRes.dll
2009-12-27 16:01 . 2009-11-10 09:28    1640400    ----a-w-    c:\windows\PCTBDCore.dll
2009-12-27 15:59 . 2009-10-30 10:11    233136    ----a-w-    c:\windows\system32\drivers\pctgntdi.sys
2009-12-27 15:58 . 2009-11-09 10:20    207792    ----a-w-    c:\windows\system32\drivers\PCTCore.sys
2009-12-27 15:58 . 2009-10-06 15:31    87784    ----a-w-    c:\windows\system32\drivers\PCTAppEvent.sys
2009-12-27 15:58 . 2009-09-03 08:45    70408    ----a-w-    c:\windows\system32\drivers\pctplsg.sys
2009-12-27 15:58 . 2009-12-28 21:35    --------    d-----w-    c:\programmer\Spyware Doctor
2009-12-27 15:58 . 2009-12-27 16:02    --------    d-----w-    c:\programmer\Fælles filer\PC Tools
2009-12-27 15:58 . 2009-12-27 15:58    --------    d-----w-    c:\documents and settings\Grethe og Svend\Application Data\PC Tools
2009-12-27 15:58 . 2009-12-27 15:58    --------    d-----w-    c:\documents and settings\All Users\Application Data\PC Tools
2009-12-27 15:57 . 2009-12-28 21:15    --------    d---a-w-    c:\documents and settings\All Users\Application Data\TEMP
2009-12-27 15:32 . 2009-12-27 15:32    --------    d-----w-    c:\programmer\CCleaner
2009-12-26 10:26 . 2009-12-26 10:26    --------    d-----w-    C:\sh4ldr
2009-12-26 10:25 . 2009-12-26 10:25    --------    d-----w-    c:\programmer\Enigma Software Group
2009-12-26 10:18 . 2009-12-26 10:18    --------    d-----w-    c:\programmer\SUPERAntiSpyware
2009-12-26 10:18 . 2009-12-26 10:18    --------    d-----w-    c:\documents and settings\Grethe og Svend\Application Data\SUPERAntiSpyware.com
2009-12-26 10:18 . 2009-12-26 10:18    --------    d-----w-    c:\programmer\Fælles filer\Wise Installation Wizard
2009-12-26 10:14 . 2009-12-26 10:14    411368    ----a-w-    c:\windows\system32\deploytk.dll
2009-12-26 10:10 . 2009-12-26 10:13    152576    ----a-w-    c:\documents and settings\Grethe og Svend\Application Data\Sun\Java\jre1.6.0_17\lzma.dll
2009-12-26 10:10 . 2009-12-26 10:13    79488    ----a-w-    c:\documents and settings\Grethe og Svend\Application Data\Sun\Java\jre1.6.0_17\gtapi.dll
2009-12-26 09:13 . 2009-12-26 09:13    --------    d-sh--w-    c:\documents and settings\Grethe og Svend\IECompatCache
2009-12-26 09:00 . 2009-11-24 23:48    23120    ----a-w-    c:\windows\system32\drivers\aswRdr.sys
2009-12-26 09:00 . 2009-11-24 23:49    48560    ----a-w-    c:\windows\system32\drivers\aswTdi.sys
2009-12-26 09:00 . 2009-11-24 23:47    27408    ----a-w-    c:\windows\system32\drivers\aavmker4.sys
2009-12-26 09:00 . 2009-11-24 23:47    97480    ----a-w-    c:\windows\system32\AvastSS.scr
2009-12-26 09:00 . 2009-11-24 23:50    114768    ----a-w-    c:\windows\system32\drivers\aswSP.sys
2009-12-26 09:00 . 2009-11-24 23:50    20560    ----a-w-    c:\windows\system32\drivers\aswFsBlk.sys
2009-12-26 09:00 . 2009-11-24 23:51    93424    ----a-w-    c:\windows\system32\drivers\aswmon.sys
2009-12-26 09:00 . 2009-11-24 23:50    94160    ----a-w-    c:\windows\system32\drivers\aswmon2.sys
2009-12-26 08:59 . 2009-11-24 23:54    1280480    ----a-w-    c:\windows\system32\aswBoot.exe
2009-12-26 08:59 . 2009-12-26 08:59    --------    d-----w-    c:\programmer\Alwil Software
2009-12-26 08:49 . 2009-12-26 08:49    --------    d-----w-    c:\windows\system32\LogFiles
2009-12-26 08:48 . 2009-12-26 10:28    --------    d-----w-    c:\programmer\Malware Defense
2009-12-26 08:42 . 2009-12-26 08:42    --------    d-sh--w-    c:\windows\system32\config\systemprofile\IETldCache

.
((((((((((((((((((((((((((((((((((((((((  Find3M Rapport  ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-12-26 10:13 . 2007-09-01 14:40    --------    d-----w-    c:\programmer\Java
2009-12-23 03:13 . 2007-12-07 12:28    --------    d-----w-    c:\documents and settings\Grethe og Svend\Application Data\OpenOffice.org2
2009-12-10 12:21 . 2002-12-31 12:00    62474    ----a-w-    c:\windows\system32\perfc006.dat
2009-12-10 12:21 . 2002-12-31 12:00    394772    ----a-w-    c:\windows\system32\perfh006.dat
2009-11-11 12:28 . 2009-08-17 15:04    0    ----a-w-    c:\documents and settings\Grethe og Svend\temp.dat
2009-11-09 14:10 . 2009-11-09 14:10    --------    dc-h--w-    c:\documents and settings\All Users\Application Data\{237893C1-591F-47E9-9771-FF1BC748C7F6}
2009-11-09 14:10 . 2009-11-09 14:10    --------    d-----w-    c:\programmer\DanID
2009-10-29 07:43 . 2002-12-31 12:00    916480    ------w-    c:\windows\system32\wininet.dll
2009-10-21 05:39 . 2002-12-31 12:00    75776    ----a-w-    c:\windows\system32\strmfilt.dll
2009-10-21 05:39 . 2002-12-31 12:00    25088    ----a-w-    c:\windows\system32\httpapi.dll
2009-10-20 16:20 . 2002-12-31 12:00    265728    ----a-w-    c:\windows\system32\drivers\http.sys
2009-10-13 10:34 . 2002-12-31 12:00    270848    ----a-w-    c:\windows\system32\oakley.dll
2009-10-12 13:40 . 2002-12-31 12:00    79872    ----a-w-    c:\windows\system32\raschap.dll
2009-10-12 13:40 . 2002-12-31 12:00    150016    ----a-w-    c:\windows\system32\rastls.dll
2009-10-05 08:14 . 2007-12-07 12:32    1    ----a-w-    c:\documents and settings\Grethe og Svend\Application Data\OpenOffice.org2\user\uno_packages\cache\stamp.sys
.

(((((((((((((((((((((((((((((  SnapShot@2009-12-27_22.32.56  )))))))))))))))))))))))))))))))))))))))))
.
+ 2009-12-28 15:52 . 2009-12-28 15:52    16384              c:\windows\Temp\Perflib_Perfdata_74c.dat
+ 2009-12-28 15:52 . 2009-12-28 15:52    16384              c:\windows\Temp\Perflib_Perfdata_6a8.dat
+ 2009-12-28 15:51 . 2009-12-28 15:51    16384              c:\windows\Temp\Perflib_Perfdata_4ac.dat
.
(((((((((((((((((((((((((((((((((((  Start steder i reg.basen  ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke 
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"SUPERAntiSpyware"="c:\programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-02-29 1481968]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"C-Media Mixer"="Mixer.exe" [2002-10-15 1818624]
"SunJavaUpdateSched"="c:\programmer\Java\jre6\bin\jusched.exe" [2009-12-26 149280]
"Adobe Reader Speed Launcher"="c:\programmer\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 34672]
"HP Software Update"="c:\programmer\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]
"avast!"="c:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]
"SpyHunter Security Suite"="c:\programmer\Enigma Software Group\SpyHunter\SpyHunter3.exe" [2009-12-09 866200]
"ISTray"="c:\programmer\Spyware Doctor\pctsTray.exe" [2009-11-18 1243088]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Menuen Start\Programmer\Start\
HP Digital Imaging Monitor.lnk - c:\programmer\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-4 258048]
HP Image Zone Hurtig start.lnk - c:\programmer\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-4 53248]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\programmer\SUPERAntiSpyware\SASSEH.DLL" [2006-12-20 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 11:41    294912    ----a-w-    c:\programmer\SUPERAntiSpyware\SASWINLO.dll

[HKEY_LOCAL_MACHINE\software\microsoft\security center]
"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Programmer\\Messenger\\msmsgs.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [27-12-2009 16:58 207792]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [26-12-2009 10:00 114768]
R1 SASDIFSV;SASDIFSV;c:\programmer\SUPERAntiSpyware\sasdifsv.sys [29-02-2008 16:03 8944]
R1 SASKUTIL;SASKUTIL;c:\programmer\SUPERAntiSpyware\SASKUTIL.SYS [29-02-2008 16:03 51440]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [26-12-2009 10:00 20560]
R2 Browser Defender Update Service;Browser Defender Update Service;c:\programmer\Spyware Doctor\BDT\BDTUpdateService.exe [27-12-2009 17:02 112592]
R2 sdAuxService;PC Tools Auxiliary Service;c:\programmer\Spyware Doctor\pctsAuxs.exe [27-12-2009 16:58 359624]
R3 SASENUM;SASENUM;c:\programmer\SUPERAntiSpyware\SASENUM.SYS [16-02-2006 16:51 4096]

--- Andre Services/Drivers i Hukommelsen ---

*Deregistered* - PCTSDInjDriver32
.
------- Yderligere scanning -------
.
uStart Page =
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
Trusted Zone: danid.dk
Trusted Zone: danid.dk
FF - ProfilePath - c:\documents and settings\Grethe og Svend\Application Data\Mozilla\Firefox\Profiles\p4rto9le.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.dk/
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-12-28 22:45
Windows 5.1.2600 Service Pack 3 NTFS

detected NTDLL code modification:
ZwClose

scanner skjulte processer ... 

scanner skjulte autostarter ...

scanner skjulte filer ... 

scanning gennemført med succes
skjulte filer: 0

**************************************************************************
.
--------------------- DLLs startet under kørende Processer ---------------------

- - - - - - - > 'winlogon.exe'(536)
c:\programmer\SUPERAntiSpyware\SASWINLO.dll
c:\programmer\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll

- - - - - - - > 'lsass.exe'(592)
c:\programmer\Enigma Software Group\SpyHunter\SpyHunterMonitor.dll

- - - - - - - > 'explorer.exe'(2096)
c:\programmer\Spyware Doctor\pctgmhk.dll
c:\windows\system32\webcheck.dll
.
Gennemført tid: 2009-12-28  22:48:53
ComboFix-quarantined-files.txt  2009-12-28 21:48
ComboFix2.txt  2009-12-27 22:35

Pre-Kørsel: 28.742.664.192 byte ledig
Post-Kørsel: 28.722.823.168 byte ledig

- - End Of File - - 84208EA4B0AFD769AA893130DCDC1EEC

Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 21:21:37, on 27-12-2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
C:\Programmer\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Spyware Doctor\BDT\BDTUpdateService.exe
C:\Programmer\Java\jre6\bin\jqs.exe
C:\Programmer\Spyware Doctor\pctsAuxs.exe
C:\Programmer\Spyware Doctor\pctsSvc.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Spyware Doctor\pctsTray.exe
C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe
C:\Programmer\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\System32\alg.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\WgaTray.exe
C:\WINDOWS\Mixer.exe
C:\Programmer\Java\jre6\bin\jusched.exe
C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
C:\Programmer\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
C:\Programmer\HP\Digital Imaging\bin\hpqgalry.exe
C:\Documents and Settings\Grethe og Svend\Skrivebord\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Browser Defender BHO - {2A0F3D1B-0909-4FF4-B272-609CCE6054E7} - C:\Programmer\Spyware Doctor\BDT\PCTBrowserDefender.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmer\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmer\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: PC Tools Browser Guard - {472734EA-242A-422B-ADF8-83D1E48CC825} - C:\Programmer\Spyware Doctor\BDT\PCTBrowserDefender.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmer\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programmer\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [ISTray] "C:\Programmer\Spyware Doctor\pctsTray.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [richtx64.exe] C:\DOCUME~1\GRETHE~1\LOKALE~1\Temp\richtx64.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Hurtig start.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.danid.dk
O15 - Trusted Zone: http://*.danid.dk (HKLM)
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O20 - Winlogon Notify: !SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Programmer\Alwil Software\Avast4\aswUpdSv.exe
O23 - Service: avast! Antivirus - ALWIL Software - C:\Programmer\Alwil Software\Avast4\ashServ.exe
O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Programmer\Alwil Software\Avast4\ashMaiSv.exe
O23 - Service: avast! Web Scanner - ALWIL Software - C:\Programmer\Alwil Software\Avast4\ashWebSv.exe
O23 - Service: Browser Defender Update Service - Threat Expert Ltd. - C:\Programmer\Spyware Doctor\BDT\BDTUpdateService.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmer\Java\jre6\bin\jqs.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Programmer\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Programmer\Spyware Doctor\pctsSvc.exe

--
End of file - 6144 bytes
Avatar billede Computer Hjælp (Gratis) Mester
29. december 2009 - 06:42 #1
Velkommen til E. ...

Under alle omstændigheder så skal du OPDATERE Malwarebytes - se fanebladet [Opdater] ->
Din version: 3289
Nyværende version: 3449

og en ny scanning...
Avatar billede KP410501 Nybegynder
30. december 2009 - 16:56 #2
Hej igen og tak,

Beklager det lange svare, men det er mine forældres computer, så er ikke ved den hele tiden. Nedenfor opdateret log fra Malwarebytes.
                                                       
                                           
Malwarebytes' Anti-Malware 1.42
Database version: 3449
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

30-12-2009 11:08:32
mbam-log-2009-12-30 (11-07-41).txt

Skan type: Fuldstændig skanning (C:\|)
Objekter skannet: 138142
Tid tilbagelagt: 1 hour(s), 13 minute(s), 55 second(s)

Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 0
Inficerede Registeringsdatabase Værdier: 0
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 2
Inficerede Filer: 6

Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Værdier:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)

Inficerede Mapper:
C:\Programmer\malware Defense (Rogue.MalwareDefense) -> No action taken.
C:\Documents and Settings\Grethe og Svend\Menuen Start\Programmer\malware Defense (Rogue.MalwareDefense) -> No action taken.

Inficerede Filer:
C:\Programmer\malware Defense\help.ico (Rogue.MalwareDefense) -> No action taken.
C:\Programmer\malware Defense\md.db (Rogue.MalwareDefense) -> No action taken.
C:\Documents and Settings\Grethe og Svend\Menuen Start\Programmer\malware Defense\Malware Defense Support.lnk (Rogue.MalwareDefense) -> No action taken.
C:\Documents and Settings\Grethe og Svend\Menuen Start\Programmer\malware Defense\Malware Defense.lnk (Rogue.MalwareDefense) -> No action taken.
C:\Documents and Settings\Grethe og Svend\Menuen Start\Programmer\malware Defense\Uninstall Malware Defense.lnk (Rogue.MalwareDefense) -> No action taken.
C:\Documents and Settings\Grethe og Svend\Application Data\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> No action taken.
Avatar billede Computer Hjælp (Gratis) Mester
30. december 2009 - 19:36 #3
Æv - hvad tror du " No action taken. " betyder ???

Du lukked bare MalwareBytes programmet UDEN at bruge den væsentlige knap [FJERN DET VALGTE]...
Sååå - om igen med scanning og husk så den væsentlige knap [FJERN DET VALGTE] når du får mulighed for det...

---

Der er mere 'snavs' - men det EFTER ovenstående procedure...
OG en frisk log fra HiJackThis derefter...

Begge logtekster her i tråden...
Avatar billede Computer Hjælp (Gratis) Mester
02. januar 2010 - 21:19 #4
(Hvad endte denne med ?)
Avatar billede KP410501 Nybegynder
03. januar 2010 - 15:01 #5
Malwarebytes' Anti-Malware 1.42
Database version: 3449
Windows 5.1.2600 Service Pack 3
Internet Explorer 8.0.6001.18702

03-01-2010 14:58:45
mbam-log-2010-01-03 (14-58-45).txt

Skan type: Fuldstændig skanning (C:\|)
Objekter skannet: 139453
Tid tilbagelagt: 59 minute(s), 37 second(s)

Inficerede Hukommelses Processer: 0
Inficerede Hukommelses Moduler: 0
Inficerede Registeringsdatabase Nøgler: 0
Inficerede Registeringsdatabase Værdier: 0
Inficerede Registeringsdatabase Filer: 0
Inficerede Mapper: 2
Inficerede Filer: 6

Inficerede Hukommelses Processer:
(Ingen mistænkelige filer fundet)

Inficerede Hukommelses Moduler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Nøgler:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Værdier:
(Ingen mistænkelige filer fundet)

Inficerede Registeringsdatabase Filer:
(Ingen mistænkelige filer fundet)

Inficerede Mapper:
C:\Programmer\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Documents and Settings\Grethe og Svend\Menuen Start\Programmer\malware Defense (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

Inficerede Filer:
C:\Programmer\malware Defense\help.ico (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Programmer\malware Defense\md.db (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Documents and Settings\Grethe og Svend\Menuen Start\Programmer\malware Defense\Malware Defense Support.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Documents and Settings\Grethe og Svend\Menuen Start\Programmer\malware Defense\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Documents and Settings\Grethe og Svend\Menuen Start\Programmer\malware Defense\Uninstall Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.
C:\Documents and Settings\Grethe og Svend\Application Data\Microsoft\Internet Explorer\Quick Launch\Malware Defense.lnk (Rogue.MalwareDefense) -> Quarantined and deleted successfully.

C:\WINDOWS\Mixer.exe
C:\Programmer\Java\jre6\bin\jusched.exe
C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
C:\Programmer\Enigma Software Group\SpyHunter\SpyHunter3.exe
C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
C:\WINDOWS\System32\alg.exe
C:\Programmer\Norton Internet Security\Engine\17.1.0.19\ccSvcHst.exe
C:\Programmer\HP\Digital Imaging\bin\hpqgalry.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\NOTEPAD.EXE
C:\Documents and Settings\Grethe og Svend\Skrivebord\HiJackThis.exe
C:\WINDOWS\system32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page =
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: Symantec NCO BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Programmer\Norton Internet Security\Engine\17.1.0.19\coIEPlg.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Programmer\Norton Internet Security\Engine\17.1.0.19\IPSBHO.DLL
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmer\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmer\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Programmer\Norton Internet Security\Engine\17.1.0.19\coIEPlg.dll
O4 - HKLM\..\Run: [C-Media Mixer] Mixer.exe /startup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programmer\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmer\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [HP Software Update] C:\Programmer\HP\HP Software Update\HPWuSchd2.exe
O4 - HKLM\..\Run: [SpyHunter Security Suite] C:\Programmer\Enigma Software Group\SpyHunter\SpyHunter3.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Programmer\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [SUPERAntiSpyware] C:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\RunOnce: [FlashPlayerUpdate] C:\WINDOWS\system32\Macromed\Flash\FlashUtil10b.exe
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqtra08.exe
O4 - Global Startup: HP Image Zone Hurtig start.lnk = C:\Programmer\HP\Digital Imaging\bin\hpqthb08.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.danid.dk
O15 - Trusted Zone: http://*.danid.dk (HKLM)
O16 - DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} (Get_ActiveX Control) - https://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx
O20 - Winlogon Notify: !SASWinLogon - C:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmer\Java\jre6\bin\jqs.exe
O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Programmer\Norton Internet Security\Engine\17.1.0.19\ccSvcHst.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

--
End of file - 5314 bytes
Avatar billede Computer Hjælp (Gratis) Mester
03. januar 2010 - 15:43 #6
Bingo...

Malwarebytes har nappet 'utøjet' !

Hvordan er status så nu ?

PS: Virker din Symantec/Norton stadig ?
Avatar billede f-arn Guru
03. januar 2010 - 16:45 #7
@KP410501
Hvorfor skanner du med samme version af malwarebytes i dag som du gjorde 30-12-2009?

@karise_larry
O23 - Service: Norton Internet Security (NIS) - Symantec Corporation - C:\Programmer\Norton Internet Security\Engine\17.1.0.19\ccSvcHst.exe
Det er NIS 2010, der iøvrigt er kommet til siden sidste log.
Avatar billede Computer Hjælp (Gratis) Mester
03. januar 2010 - 17:36 #8
Godt du/I har fået noget sikkerhed på 'dyret' ...

Principielt: Opdatér Malwarebytes (Fanen [Opdater]) og en frisk scanning...
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
Se alle it-kurser fra Computerworld Kurser
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.
Se alle it-kurser

Flere spørgsmål fra Virus kategorien

Titel Indlæg Oprettet Seneste aktivitet
Er gratis Bitdefender værd at installere ? Af Ikke-ekspert i Virus 8 31/08/202519:08 01/09/202514:18
Ukendte filer på min Pc Af jonpet i Virus 10 03/02/202514:20 04/02/202511:05
mulig ukendt virus Af jackie18 i Virus 3 18/01/202514:07 18/01/202516:39
virus popper op med jævne mellemrum Af Malm i Virus 13 18/01/202511:40 20/01/202517:53
Total AV Af Malm i Virus 10 16/01/202516:48 17/01/202520:47
Se alle spørgsmål i kategorien Opret spørgsmål

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Opret Log ind

Du kan også logge ind via nedenstående tjenester



Alle kategorier på Eksperten
Seneste spørgsmål Seneste aktivitet
I går 13:46 fra 23h2 til 24h2 Af valby i Windows
06/0923:26 Skærm skriver aging... Af kurtba i Skærme
06/0918:41 facebook - redigere oplysninger om mig. Af nu_igen i Sociale medier
05/0915:22 googlesites Af Joergen Skaastrup i Andet software
04/0919:10 Samsung Galaxy A21s Af nu_igen i Mobiltelefoner
White papers
Flere white papers »


Premium
Teaser billede
Microsoft skrotter projekt-værktøj efter mere end 10 år: "En betydelig ændring"
Læs mere »
Det næste store it-slag mellem EU og USA i gang: Er du rustet i din virksomhed?
Kritik af TDC's sagsanlæg: Vil have staten til at betale for kulsejlet sats på kinesisk teknologi
Nyt topjob til tidligere Microsoft-direktør Maria Damborg Hald
Se alle »
Computerworld
Teaser billede
Apple er vippet af tronen: Er ikke længere klodens førende smartwatch-producent
Læs mere »
Trump har indkaldt USA’s it-elite til fællesmøde: En mand mangler
Windows 11 gemmer på gratis adgang til ChatGPT’s premium-funktioner
Test af BYD Sealion: Verdens største elbil-producent har en del at lære endnu
Se alle »
CIO
Teaser billede
Tryg skiller sig af med 225 it-medarbejdere: Outsourcer stor del af sin it-drift til indere
Læs mere »
De gyldne tider som it-konsulent er forbi: Noget er i gang med at ødelægge den guldrandede forretningsmodel
Her er de mest magtfulde offentlige profiler i it-Danmark
Stor kortlægning: Her er de 100 mest magtfulde it-personer i Danmark - se hele listen her
Se alle »
Job & Karriere
Teaser billede
Tryg skiller sig af med 225 it-medarbejdere: Outsourcer stor del af sin it-drift til indere
Læs mere »
Lille dansk it-virksomhed fra Vanløse lander drømmekontrakt, der rækker langt ind i stifterens pension
Her er fidusen: Sådan fastholder KMD og Twoday deres it-folk i lang tid
Medarbejderflugt? Disse danske it-selskaber har sværest ved at holde på deres it-folk
Se alle »
White paper
Teaser billede
Sikre og skalerbare datacentre med fokus på drift, energi og fremtid
Læs mere »
Cybersikkerhed 2025: Er din branche blandt de mest udsatte?
Tidsbegrænset kampagne: Overvejer du at udskifte eller tilføje printere i din forretning? Vi kan tilbyde én eller flere maskiner gratis
IT i front: Sådan bliver netværk en strategisk driver
Se alle »

Events
Flere events »
White papers
Flere white papers »
IT-Kurser
Se alle vores it-kurser »