Email Spider, mass send og annet rot som er kommet.

[DementedAlbino]

Jeg har store problemer med pcene mine her i hus om dagen. Når jeg logget på filserveren merket jeg at et program som heter email spider kjørte og samlet drøssevis med epostadresser. I tillegg har jeg fått et program som heter mass send, og regner med dette henger samme på et vis. I tillegg er der kommet et program som heter team viewer.

 

Dette har nå skjedd på to av maskinene mine, en med xp og en med vista.

 

Jeg kjører avg free på de begge sammen med windows sin brannmur, det er stort sett alt som er av sikkerhet på maskinene.

 

Problemet er jo at maskinene står på konstant, og jeg på ett vis må klare å sikre de bedre mot slike ting, samt fjerne det som alt er kommet.

 

Spørsmålet mitt er da hvordan jeg enkelt og greit kan bli kvitt alt dritt på maskinen uten å måtte formatere og legge inn alt på nytt.

[Svenni212000]

Start med å poste loggene fra følgende fire programmer:

SUPERAntiSpyware Free {-Kjør Full Scan-}

Dr.Web CureIt! {-Kjør Full Scan-}

Combofix

og til slutt; HijackThis

Endret 25. september 2008 av Svenni212000

[DementedAlbino]

Her er resultatene:

 

Antispyware fant 1 sak: bluescreen.scr

 

 

 

 

ComboFix 08-09-25.01 - Administrator 2008-09-25 19:34:12.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1044.18.482 [GMT 2:00]

Running from: C:\Documents and Settings\Administrator\Skrivebord\ComboFix.exe

* Created a new restore point

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((( Files Created from 2008-08-25 to 2008-09-25 )))))))))))))))))))))))))))))))

.

 

2008-09-25 03:00 . 2008-09-25 03:00 <DIR> d-------- C:\WINDOWS\LastGood.Tmp

2008-09-24 20:57 . 2008-09-25 16:58 <DIR> dr-h----- C:\Documents and Settings\Administrator\Siste

2008-09-24 16:44 . 2008-09-24 16:44 <DIR> d-------- C:\nt

2008-09-24 15:31 . 2001-10-06 13:36 12,160 --a------ C:\WINDOWS\system32\drivers\mouhid.sys

2008-09-24 15:31 . 2008-04-13 20:45 10,368 --a------ C:\WINDOWS\system32\drivers\hidusb.sys

2008-09-24 11:18 . 2004-08-04 02:03 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

2008-09-24 11:13 . 2008-09-24 11:13 <DIR> d-------- C:\WINDOWS\system32\no

2008-09-24 11:13 . 2008-09-24 11:13 <DIR> d-------- C:\WINDOWS\system32\bits

2008-09-24 11:13 . 2008-09-24 11:13 <DIR> d-------- C:\WINDOWS\l2schemas

2008-09-24 11:11 . 2008-09-24 11:11 <DIR> d-------- C:\WINDOWS\ServicePackFiles

2008-09-24 04:34 . 2003-06-28 08:56 229,487 --a------ C:\WINDOWS\system32\jpicpl32.cpl

2008-09-24 04:29 . 2008-09-24 20:27 <DIR> d-------- C:\Documents and Settings\Administrator\temp

2008-09-15 18:14 . 2008-09-15 18:14 <DIR> d-------- C:\Programfiler\HD Tune Pro

2008-09-10 18:41 . 2008-06-27 16:40 1,315,776 --a------ C:\WINDOWS\system32\drivers\athw.sys

2008-09-08 08:38 . 2008-09-08 08:38 <DIR> d-------- C:\Programfiler\SUPERAntiSpyware

2008-09-08 08:38 . 2008-09-08 08:38 <DIR> d-------- C:\Documents and Settings\All Users\Programdata\SUPERAntiSpyware.com

2008-09-08 08:38 . 2008-09-08 08:38 <DIR> d-------- C:\Documents and Settings\Administrator\Programdata\SUPERAntiSpyware.com

2008-09-08 07:01 . 2008-09-08 07:01 <DIR> d-------- C:\Documents and Settings\Administrator\Programdata\Malwarebytes

2008-09-08 07:00 . 2008-09-08 07:00 <DIR> d-------- C:\Documents and Settings\All Users\Programdata\Malwarebytes

2008-09-03 11:04 . 2008-04-14 18:21 1,888,992 --------- C:\WINDOWS\system32\ati3duag.dll

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-09-25 17:35 --------- d-----w C:\Documents and Settings\Administrator\Programdata\uTorrent

2008-09-25 17:34 --------- d-----w C:\Programfiler\LogMeIn

2008-09-25 17:13 --------- d-----w C:\Programfiler\Fellesfiler\Nero

2008-09-24 18:50 --------- d-----w C:\Documents and Settings\All Users\Programdata\avg8

2008-09-24 02:34 --------- d--h--w C:\Programfiler\InstallShield Installation Information

2008-09-24 02:34 --------- d-----w C:\Programfiler\Java

2008-09-24 02:34 --------- d-----w C:\Programfiler\Fellesfiler\InstallShield

2008-09-08 06:38 --------- d-----w C:\Programfiler\Fellesfiler\Wise Installation Wizard

2008-08-30 07:15 97,928 ----a-w C:\WINDOWS\system32\drivers\avgldx86.sys

2003-09-02 05:55 1,406 ----a-w C:\Programfiler\favicon.ico

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 15360]

"DAEMON Tools Lite"="C:\Programfiler\DAEMON Tools Lite\daemon.exe" [2008-02-14 486856]

"uTorrent"="C:\Programfiler\uTorrent\uTorrent.exe" [2008-08-13 267056]

"Gadwin PrintScreen"="C:\Programfiler\Gadwin Systems\PrintScreen\PrintScreen.exe" [2007-08-20 495616]

"G6FTP Server Tray Monitor"="C:\Programfiler\Gene6 FTP Server\G6FTPTray.exe" [2007-02-05 78336]

"Orb"="C:\Programfiler\Orb Networks\Orb\bin\OrbTray.exe" [2007-12-18 471040]

"SUPERAntiSpyware"="C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2008-09-03 1576176]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="C:\WINDOWS\system32\igfxtray.exe" [2007-04-20 142104]

"HotKeysCmds"="C:\WINDOWS\system32\hkcmd.exe" [2007-04-20 162584]

"Persistence"="C:\WINDOWS\system32\igfxpers.exe" [2007-04-20 138008]

"SoundMAXPnP"="C:\Programfiler\Analog Devices\Core\smax4pnp.exe" [2007-03-16 868352]

"TrueImageMonitor.exe"="C:\Programfiler\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-09-14 2595480]

"AcronisTimounterMonitor"="C:\Programfiler\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-09-14 905056]

"Acronis Scheduler2 Service"="C:\Programfiler\Fellesfiler\Acronis\Schedule2\schedhlp.exe" [2007-09-14 140568]

"LogMeIn GUI"="C:\Programfiler\LogMeIn\x86\LogMeInSystray.exe" [2007-08-03 63048]

"AVG8_TRAY"="C:\PROGRA~1\AVG\AVG8\avgtray.exe" [2008-08-30 1235736]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

"nltide_3"="advpack.dll" [2008-06-23 C:\WINDOWS\system32\advpack.dll]

 

C:\Documents and Settings\Administrator\Start-meny\Programmer\Oppstart\

No-IP DUC.lnk - C:\Programfiler\No-IP\DUC20.exe [2008-03-04 1172992]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"ForceClassicControlPanel"= 1 (0x1)

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "C:\Programfiler\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2008-07-23 16:28 352256 C:\Programfiler\SUPERAntiSpyware\SASWINLO.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]

2008-05-28 12:32 87352 C:\WINDOWS\system32\LMIinit.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=avgrsstx.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"C:\\Programfiler\\RealVNC\\VNC4\\winvnc4.exe"=

"C:\\Programfiler\\uTorrent\\uTorrent.exe"=

"C:\\Programfiler\\Gene6 FTP Server\\G6FTPServer.exe"=

"C:\\Programfiler\\Orb Networks\\Orb\\bin\\Orb.exe"=

"C:\\Programfiler\\Orb Networks\\Orb\\bin\\OrbTray.exe"=

"C:\\Programfiler\\Orb Networks\\Orb\\bin\\OrbStreamerClient.exe"=

"C:\\Programfiler\\Orb Networks\\Orb\\bin\\OrbChannelScan.exe"=

"C:\\Programfiler\\AVG\\AVG8\\avgupd.exe"=

"C:\\Programfiler\\AVG\\AVG8\\avgemc.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

 

R0 tdrpman;Acronis Try&Decide and Restore Points filter;C:\WINDOWS\system32\DRIVERS\tdrpman.sys [2008-03-05 368736]

R1 AvgLdx86;AVG AVI Loader Driver x86;C:\WINDOWS\system32\Drivers\avgldx86.sys [2008-08-30 97928]

R2 avg8emc;AVG8 E-mail Scanner;C:\PROGRA~1\AVG\AVG8\avgemc.exe [2008-08-30 875288]

R2 avg8wd;AVG8 WatchDog;C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe [2008-08-30 231704]

R2 AvgTdiX;AVG8 Network Redirector;C:\WINDOWS\system32\Drivers\avgtdix.sys [2008-07-06 76040]

R2 G6FTPServer;Gene6 FTP Server;C:\Programfiler\Gene6 FTP Server\G6FTPSERVER.EXE [2007-02-05 423936]

R2 LMIInfo;LogMeIn Kernel Information Provider;C:\Programfiler\LogMeIn\x86\RaInfo.sys [2008-02-28 12856]

R2 LMIRfsDriver;LogMeIn Remote File System Driver;C:\WINDOWS\system32\drivers\LMIRfsDriver.sys [2008-03-07 45848]

R2 NMSAccessU;NMSAccessU;C:\Programfiler\CDBurnerXP\NMSAccessU.exe [2008-03-09 71096]

R2 TryAndDecideService;Acronis Try And Decide Service;C:\Programfiler\Fellesfiler\Acronis\Fomatik\TrueImageTryStartService.exe [2007-09-14 492600]

S0 SI3112R;SI3112R;C:\WINDOWS\system32\drivers\SI3112R.sys [2008-01-14 110128]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{0422c8e3-ea3f-11dc-8012-0018f303e241}]

\Shell\AutoRun\command - E:\Launch.exe /run

.

Contents of the 'Scheduled Tasks' folder

.

.

------- Supplementary Scan -------

.

R0 -: HKCU-Main,Start Page = hxxp://www.google.no/

R1 -: HKCU-Internet Connection Wizard,ShellNext = hxxp://dt-updates.com/activate?query=2fLDnrjsmki9gPH8xytveaHUYqMb37LpJgABbnyMWqlDBGOFs8DurUSQWE2vzMPtGDHTrMm4XoK8FaOocgDq

LTCJd5OeUa3w1cQUogGsw7rzUTZ3r%2b00XiAyXP7TVVWXlQL5cawr3rVIcRisvz8hMlkd7lCyo4RrwQZLSkvEGoh8sEEAgztUiuj4%2fFaXJ70Dayz708sKgGred6lAvtfnPfl0Ri%2bJbBd4qUarObGlMEaSZg%2bUehu%2b2SdjBdMEO8Bkq0y2oXC%2bCrk14HJSTQwztOQhgBYZhdX24UPEAfnwfo%3d

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-09-25 19:37:41

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

PROCESS: C:\WINDOWS\explorer.exe

-> ?:\WINDOWS\System32\CSCDLL.dll

.

------------------------ Other Running Processes ------------------------

.

C:\Programfiler\Windows Defender\MsMpEng.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Programfiler\LogMeIn\x86\LMIGuardian.exe

C:\Programfiler\Fellesfiler\Acronis\Schedule2\schedul2.exe

C:\Programfiler\Orb Networks\Orb\bin\Orb.exe

C:\Programfiler\LogMeIn\x86\ramaint.exe

C:\Programfiler\LogMeIn\x86\LogMeIn.exe

C:\Programfiler\LogMeIn\x86\LMIGuardian.exe

C:\Programfiler\RealVNC\VNC4\winvnc4.exe

C:\WINDOWS\system32\WgaTray.exe

C:\ComboFix\pv.cfexe

C:\Programfiler\AVG\AVG8\avgrsx.exe

.

**************************************************************************

.

Completion time: 2008-09-25 19:39:43 - machine was rebooted

ComboFix-quarantined-files.txt 2008-09-25 17:39:37

 

Pre-Run: 24 407 015 424 byte ledig

Post-Run: 24,463,130,624 byte ledig

 

154 --- E O F --- 2008-09-25 01:00:25

 

 

 

 

ComboFix.exe\32788R22FWJFW\C.bat;C:\Documents and Settings\Administrator\Skrivebord\ComboFix.exe;Sannsynlighvis BATCH.Virus;;

ComboFix.exe\32788R22FWJFW\List-C.bat;C:\Documents and Settings\Administrator\Skrivebord\ComboFix.exe;Sannsynlighvis BATCH.Virus;;

ComboFix.exe\32788R22FWJFW\psexec.cfexe;C:\Documents and Settings\Administrator\Skrivebord\ComboFix.exe;Program.PsExec.171;;

ComboFix.exe;C:\Documents and Settings\Administrator\Skrivebord;Arkiv inneholder infiserte objekter;;

scan.exe;C:\nt\nt;Exploit.ANIFile;Slettet.;

A0000003.bat;C:\System Volume Information\_restore{DBE0D060-520B-490D-A073-964D63160026}\RP2;Sannsynlighvis BATCH.Virus;;

A0000033.EXE;C:\System Volume Information\_restore{DBE0D060-520B-490D-A073-964D63160026}\RP2;Program.PsExec.170;;

A0000037.bat;C:\System Volume Information\_restore{DBE0D060-520B-490D-A073-964D63160026}\RP2;Sannsynlighvis BATCH.Virus;;

A0000106.exe;C:\System Volume Information\_restore{DBE0D060-520B-490D-A073-964D63160026}\RP2;Exploit.ANIFile;Slettet.;

ic3D3.cab\ck.exe;D:\Shares\Software\PC\Easy Divx\EasyDivX_0820_standard.exe\ic3D3.cab;Tool.Prockill;;

ic3D3.cab;D:\Shares\Software\PC\Easy Divx\EasyDivX_0820_standard.exe;Arkiv inneholder infiserte objekter;;

EasyDivX_0820_standard.exe;D:\Shares\Software\PC\Easy Divx;Arkiv inneholder infiserte objekter;Flyttet.;

ic3D3.cab\ck.exe;D:\System Volume Information\_restore{DBE0D060-520B-490D-A073-964D63160026}\RP2\A0000125.exe\ic3D3.cab;Tool.Prockill;;

ic3D3.cab;D:\System Volume Information\_restore{DBE0D060-520B-490D-A073-964D63160026}\RP2\A0000125.exe;Arkiv inneholder infiserte objekter;;

A0000125.exe;D:\System Volume Information\_restore{DBE0D060-520B-490D-A073-964D63160026}\RP2;Arkiv inneholder infiserte objekter;Flyttet.;

 

 

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:55:17, on 25.09.2008

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.20861)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Programfiler\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Programfiler\Fellesfiler\Acronis\Schedule2\schedul2.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\Programfiler\Gene6 FTP Server\G6FTPSERVER.EXE

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\Programfiler\LogMeIn\x86\RaMaint.exe

C:\Programfiler\LogMeIn\x86\LogMeIn.exe

C:\Programfiler\LogMeIn\x86\LMIGuardian.exe

C:\Programfiler\CDBurnerXP\NMSAccessU.exe

C:\Programfiler\Fellesfiler\Acronis\Fomatik\TrueImageTryStartService.exe

C:\Programfiler\RealVNC\VNC4\WinVNC4.exe

C:\PROGRA~1\AVG\AVG8\avgemc.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\igfxtray.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\Programfiler\Analog Devices\Core\smax4pnp.exe

C:\Programfiler\Acronis\TrueImageHome\TrueImageMonitor.exe

C:\Programfiler\Acronis\TrueImageHome\TimounterMonitor.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Programfiler\Fellesfiler\Acronis\Schedule2\schedhlp.exe

C:\Programfiler\LogMeIn\x86\LogMeInSystray.exe

C:\PROGRA~1\AVG\AVG8\avgtray.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Programfiler\LogMeIn\x86\LMIGuardian.exe

C:\Programfiler\DAEMON Tools Lite\daemon.exe

C:\Programfiler\uTorrent\uTorrent.exe

C:\Programfiler\Gadwin Systems\PrintScreen\PrintScreen.exe

C:\WINDOWS\System32\svchost.exe

C:\Programfiler\Gene6 FTP Server\G6FTPTray.exe

C:\Programfiler\Orb Networks\Orb\bin\OrbTray.exe

C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Programfiler\No-IP\DUC20.exe

C:\Programfiler\Orb Networks\Orb\bin\Orb.exe

C:\Torrent\launch.exe

C:\DOCUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\_start.exe

C:\DOCUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\setup.exe

C:\Documents and Settings\Administrator\Skrivebord\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.no/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://dt-updates.com/activate?query=2fLDn...X24UPEAfnwfo%3d

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Programfiler\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [soundMAXPnP] C:\Programfiler\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [TrueImageMonitor.exe] C:\Programfiler\Acronis\TrueImageHome\TrueImageMonitor.exe

O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Programfiler\Acronis\TrueImageHome\TimounterMonitor.exe

O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Programfiler\Fellesfiler\Acronis\Schedule2\schedhlp.exe"

O4 - HKLM\..\Run: [LogMeIn GUI] "C:\Programfiler\LogMeIn\x86\LogMeInSystray.exe"

O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Programfiler\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [uTorrent] "C:\Programfiler\uTorrent\uTorrent.exe"

O4 - HKCU\..\Run: [Gadwin PrintScreen] C:\Programfiler\Gadwin Systems\PrintScreen\PrintScreen.exe /nosplash

O4 - HKCU\..\Run: [G6FTP Server Tray Monitor] "C:\Programfiler\Gene6 FTP Server\G6FTPTray.exe"

O4 - HKCU\..\Run: [Orb] C:\Programfiler\Orb Networks\Orb\bin\OrbTray.exe

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Programfiler\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'LOKAL TJENESTE')

O4 - HKUS\S-1-5-19\..\RunOnce: [nltide_3] rundll32 advpack.dll,LaunchINFSectionEx nLite.inf,C,,4,N (User 'LOKAL TJENESTE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'NETTVERKSTJENESTE')

O4 - HKUS\S-1-5-18\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\RunOnce: [nltide_2] regsvr32 /s /n /i:U shell32 (User 'Default user')

O4 - Startup: No-IP DUC.lnk = C:\Programfiler\No-IP\DUC20.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Programfiler\AVG\AVG8\avgpp.dll

O20 - AppInit_DLLs: avgrsstx.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Programfiler\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Programfiler\Fellesfiler\Acronis\Schedule2\schedul2.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: Indexing Service (CiSvc) - Unknown owner - C:\WINDOWS\system32\cisvc.exe (file missing)

O23 - Service: Gene6 FTP Server (G6FTPServer) - Gene6 - C:\Programfiler\Gene6 FTP Server\G6FTPSERVER.EXE

O23 - Service: LogMeIn Maintenance Service (LMIMaint) - LogMeIn, Inc. - C:\Programfiler\LogMeIn\x86\RaMaint.exe

O23 - Service: LogMeIn - LogMeIn, Inc. - C:\Programfiler\LogMeIn\x86\LogMeIn.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Programfiler\CDBurnerXP\NMSAccessU.exe

O23 - Service: Acronis Try And Decide Service (TryAndDecideService) - Unknown owner - C:\Programfiler\Fellesfiler\Acronis\Fomatik\TrueImageTryStartService.exe

O23 - Service: VNC Server Version 4 (WinVNC4) - RealVNC Ltd. - C:\Programfiler\RealVNC\VNC4\WinVNC4.exe

 

--

End of file - 7238 bytes

 

 

 

 

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 09/26/2008 at 10:35 PM

 

Application Version : 4.21.1004

 

Core Rules Database Version : 3579

Trace Rules Database Version: 1567

 

Scan type : Complete Scan

Total Scan Time : 00:18:01

 

Memory items scanned : 449

Memory threats detected : 0

Registry items scanned : 3995

Registry threats detected : 0

File items scanned : 18124

File threats detected : 1

 

NotHarmful.Sysinternals Bluescreen Screen Saver

C:\SYSTEM VOLUME INFORMATION\_RESTORE{DBE0D060-520B-490D-A073-964D63160026}\RP2\A0000123.SCR

 

 

 

Så hva kan jeg gjøre her for å unngå at email spider og annet kommer tilbake, samt få alt fjernet for godt?

Endret 26. september 2008 av svortevik

[DementedAlbino]

Ingen som har noen tips her og kan tyde logfilene for meg?

[DementedAlbino]

Ett merkelig problem til nå. Når jeg velger "tøm papirkurven" får jeg spørsmål om jeg er sikker på at jeg vil slette windows.

 

Åpner jeg papirkurven er den tom.

 

Skjønner ikke en dritt av pcen min om dagen.

[r2d290]

Hvis du nylig har kjørt SUPERAntiSpyware og/eller MBAM, bør du poste logge de lager.

Endret 26. september 2008 av r2d290

[DementedAlbino]

Hva er MBAM? Skal få lagt ut log av de programmene du be om også i tillegg til de loggene jeg alt har lagt ut.

[DementedAlbino]

Da er posten lengre oppe oppdatert med ny logg fra super antispyware.

[Mr Morden]

MBAM står for Malwarebytes' Anti-Malware og er et gratis anti-malware program sånn som SUPERAntiSpyware, det kan hentes her http://www.malwarebytes.org

[r2d290]

MBAM står for Malwarebytes' Anti-Malware og er et gratis anti-malware program sånn som SUPERAntiSpyware, det kan hentes her http://www.malwarebytes.org

 

...som igjen er noe TS har hatt siden 8. september:

 

2008-09-08 07:00 . 2008-09-08 07:00 <DIR> d-------- C:\Documents and Settings\All Users\Programdata\Malwarebytes

 

edit: men jeg klarer ikke hjelpe deg lenger nå... Får håpe noen av de andre har noen gode tips

Endret 26. september 2008 av r2d290

[Mr Morden]

Beklager var bare ment som hjelp siden han spurte om MBAM.

jeg skulle nok ha sett litt på loggene.

Mente ikke å blande meg inn altså

[DementedAlbino]

Mulig jeg har fått fjernet alt som var noe problem, så er bare å vente å se nå hvordan det går videre. To dager uten at email spider er kommet på plass igjen nå, det må jo være en bra ting:)

[snippsat]

Loggene ser greie ut.

 

Du har noe som kjører fra temp som er greit og få fjernet.

Start->kjør->%temp%

<slett alle filer her>

Problemer bruker du denne Unlocker

 

email spider kjørte og samlet drøssevis med epostadresser

Ja er vel noen som har innstalert denne da.

http://www.gsa-online.de/eng/email_parser.html

 

Du kan fjerne combofix ved å skrive combofix /u fra kjør-vinduet. Denne kommandoen gjør at filer i karantene og backups blir slette. Systemgjenopprettingsmappa nullstilt etc.

 

Surf trygt.

Endret 27. september 2008 av SNIPPSAT

[DementedAlbino]

Ja jeg skjønner jo at noen har lagt inn email spider. Men er ingen som har tilgang til maskinen. Den styres via vnc og logmein, og står plassert innelåst i en bod.

 

Sletter ikke ccleaner temp filer?

 

Er forresten ikke den spideren du linker til der, men en som kjører i java, ser utrolig crapy ut.

 

Endret 27. september 2008 av svortevik

[snippsat]

Sletter ikke ccleaner temp filer?

Ikke alltid den tar med alt.

Var disse jeg tenkte på

 

C:\DOCUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\_start.exe

C:\DOCUME~1\ADMINI~1\LOKALE~1\Temp\RarSFX0\setup.exe

 

Ja noen har innstalert denne oss deg.

Den er ikke maleware som innstalerer seg selv.

http://www.email-business.com/products/email_spider_en.htm

Endret 27. september 2008 av SNIPPSAT

[DementedAlbino]

Så da vil det jo si at noen har tilgang til maskinen min på ett vis:(

 

Må vel være via vnc, orb eller logmein?

 

Hvem tror dere her kan være synderen?

 

Når jeg kom hjem i dag så jeg at de har brukt min maskin til å surfe på nett. En del sider i loggen, og den maskinen brukes aldri til slikt.

 

Hva bør jeg gjøre her for å bli kvitt en eventuelt bruker som har tilgang?

[snippsat]

Du må bytte passord på logmein.

Har du andrer passord vnc,orb,msn bytter du ut passord dem og.

 

Innstalerer er brannmur,anbefaler Comodo som er gratis.

Endret 28. september 2008 av SNIPPSAT

[inigomontoya]

Sjekk også at alle systemene du bruker til remote access er satt opp med kryptering da flere løsninger sender passordet i klartekst. Noe som lett kan fanges opp av folk som vet hva de gjør (uten å nevne spesifikke programnavn her)

[DementedAlbino]

Jeg fjernet logmein og orb, byttet passord på vnc, men er likevel noe som skjer på maskinen min.

 

I dag når jeg kom hjem var følgende ting nytt på maskinen:

 

- Tarantula

 

I tillegg kan dere se på bildet under en ting som kjørte når jeg sjekket pcen. Kanskje noen her kan tyde hva som skjer. Blir helt stresset jeg. Hva kan jeg gjøre for å slippe unna dette styret? Tar imot alt av tips her.

 

[snippsat]

Dem kommer inn mellom real vnc.

 

Fjern den må du bruke den last ned nyeste versjon og nytt passord.

Ikke samme slengen innstalerer du comodo som er en super brannvegg.

Den stenger alle porter på pc,kun de program du godkjenner åpener den porter til.

 

Ikke så ukjent dette med real vnc.

http://www.google.no/search?hl=no&q=re...3%B8k&meta=

Endret 1. oktober 2008 av SNIPPSAT