Msn virus fra "photobucket"-link

norbat · 12. januar 2008

Har fått et virus fra en youtube fil, jeg sletta den ntmngr.exe fila.

Jeg tror det er bra men hver gang jeg starter opp maskinen så kommer vil du kjøre ntmngr.exe filen?

hva skal jeg gjøre? er 11 år og er på gråten her (drit redd)

Edit:

Kjører avast på grundig skanning nå!

Ikke noe å begynne å gråte for. I første omgang kan du kjøre en scan med Combofix. Den lager en logg som du poster. Du kan godt opprette en egen tråd (klikk Nytt emne-knappen) der du legger loggen.

Hent Combofix, og legg det på skrivebordet

Kjør combofix.exe, og følg veiledningen.

Du må ikke klikke på vinduet mens programmet kjører.

Post loggfilen fra combofix (c:\combofix.txt)

Tharos. · 12. januar 2008

Jeg lurer på om det er noe standardmåte/smørbrødsliste for hvordan å identifisere at en har fått viruset, og deretter for fjerning. Eventuellt om det er noen av anti-virus-programmene som tar dette?

Dette fordi det ser ut til at en god del har fått dette, og hadde vært fint å sende til evt de som har fått dette viruset pga av meg. Disse har gjerne ikke noe særlig datakunnskaper, så hadde vært best med et program som gjorde hele greien.

Ser ut som om du har peil norbat, noen innspill?

Jeg henger meg på den. Begynner å bli faretruende mange venner som hyler etter hjelp. :ph34r:

norbat · 12. januar 2008

Jeg lurer på om det er noe standardmåte/smørbrødsliste for hvordan å identifisere at en har fått viruset, og deretter for fjerning. Eventuellt om det er noen av anti-virus-programmene som tar dette?

Dette fordi det ser ut til at en god del har fått dette, og hadde vært fint å sende til evt de som har fått dette viruset pga av meg. Disse har gjerne ikke noe særlig datakunnskaper, så hadde vært best med et program som gjorde hele greien.

Ser ut som om du har peil norbat, noen innspill?

Vil tro man merker at man har dette da msn begynner å sende dette ut til kontaktene.

Fordi dette er en 'ny' infeksjon, tar det litt tid før av-programmene har fått laget en fix for dette. Problemfilene er i all hovedsak knyttet til følgende to filer:

C:\Windows\ntmngr.exe: Dette er en Backdoor.Win32.IRCBot-fil (Kaspersky) eller IRC/BackDoor.SdBot3.XAT (AVG) som gjør at andre kan få tilgang til PC-en

C:\Windows:\Issas.exe. Prevx kaller den for SystemPoser:Trojan. Få av-prog tar denne foreløpig. I forbindelse med denne fila så dukker også fila 62916400BB40211E"]445930.exe[/b] opp (gjør bla. til at Issas.exe fila starter opp sammen med windows)

Hvordan løse dette:

MSNFix fjerner bla. noen images.zip filer som opprettes.

ComboFix klarer å fjerne 445930.exe og images.zip fila og vil avsløre om Issas.exe og ntmngr.exe ligger på PC-en.

Issas.exe og ntmngr.exe kan man da fjerne manuelt (de vil mest sannsynlig være skjulte filer og man må da sette mappealt. til å vise skjulte filer samt vise beskyttede operativsystemfiler). Ofte så er det best å slette filene fra sikker modus da det kan være vanskelig å slette dem om de er i bruk. Alt. er å stoppe prosessene vha. oppgavebehandlingen.

Alt. er å spørre om hjelp på forumet. Kjør Combofix og legg loggen i en egen tråd som du oppretter ved å klikke Nytt emne-knappen.

Endret 12. januar 2008 av norbat

NorwegianAssassin · 12. januar 2008

Har fått et virus fra en youtube fil, jeg sletta den ntmngr.exe fila.

Jeg tror det er bra men hver gang jeg starter opp maskinen så kommer vil du kjøre ntmngr.exe filen?

hva skal jeg gjøre? er 11 år og er på gråten her (drit redd)

Edit:

Kjører avast på grundig skanning nå!

Ikke noe å begynne å gråte for. I første omgang kan du kjøre en scan med Combofix. Den lager en logg som du poster. Du kan godt opprette en egen tråd (klikk Nytt emne-knappen) der du legger loggen.

Hent Combofix, og legg det på skrivebordet

Kjør combofix.exe, og følg veiledningen.

Du må ikke klikke på vinduet mens programmet kjører.

Post loggfilen fra combofix (c:\combofix.txt)

har gjort det, vær så snill se på den

Tharos. · 12. januar 2008

Hva heter dette viruset (eller hva det nå er)? Jeg så Avast ble oppdatert idag, men siden jeg ikke vet navnet på styggedommen, vet jeg ikke om oppdateringen innholder en fix for dette...

hardkjerne · 12. januar 2008

Takk for god oppsummering norbat, men nå har tingene viklet seg enda mere sammen for min del:

Jeg får ikke combofix til å fungere. Når det starter ser det fint ut, det står at den skal søke og det kan ta opptil 10 min, men så forsvinner vinduet av seg selv (har ikke trykket på det el.) og nå har nettverkstilkoblingen min sluttet å fungere (kommer ikke på internett)...

norbat · 12. januar 2008

Se om du får kjørt en systemgjenoppretting til da nettverkstilkoblingen fungerte ok

(I XP så finner man gjenopprettingen på Tilbehør->systemverktøy->systemgjenoppretting).

Evt. det kan være at winsock har blitt korrupt. Fra kjør/søk-feltet i vista kan du skrive følgende (en restart er antakelig nødvendig):

netsh winsock reset catalog

Pjunin · 12. januar 2008

Pjunin:

Gå til nettstedet http://virusscan.jotti.org/ og last opp følgende fil for sjekk: C:\WINDOWS\system32\drivers\qbqydcex.sys

(Du må antakelig slå på "Vis skjulte filer og mapper" og slå av "Skjul beskyttede operativsystemfiler" for å se den). Gi tilbakemelding på om de ble funnet noe.

Fann ingenting :hmm:

Kjørte combofix en gang til og fekk denna følgende rapport;

ComboFix 08-01-11.3 - Eldar Godø 2008-01-12 17:38:50.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.681 [GMT 1:00]

Running from: C:\Documents and Settings\Eldar Godø\Desktop\ComboFix.exe

Command switches used :: C:\Documents and Settings\Eldar Godø\Desktop\CFScript.txt

* Created a new restore point

FILE

C:\ojbehyqa.bat

.

((((((((((((((((((((((((( Files Created from 2007-12-12 to 2008-01-12 )))))))))))))))))))))))))))))))

.

2008-01-12 03:19 . 2008-01-12 03:19 1,159 --a------ C:\zia02540

2008-01-12 03:12 . 2008-01-12 03:12 60,416 --a------ C:\WINDOWS\system32\drivers\vcannlmg.sys

2008-01-12 02:38 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-12 02:34 . 2008-01-12 03:12 <DIR> d-------- C:\Program Files\Avenger

2008-01-12 01:52 . 2008-01-12 01:52 <DIR> d-------- C:\Program Files\Opera

2008-01-11 22:45 . 2008-01-11 22:46 <DIR> d-------- C:\Program Files\Crimson Editor

2008-01-07 15:57 . 2008-01-12 17:24 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-01-07 15:57 . 2008-01-07 15:57 1,409 --a------ C:\WINDOWS\QTFont.for

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-12 05:42 --------- d-----w C:\Program Files\Trillian

2008-01-12 02:15 202 ----a-w C:\Program Files\lmktpuyv.txt

2008-01-11 20:58 9,344 ----a-w C:\WINDOWS\system32\drivers\NSDriver.sys

2008-01-11 20:58 8,320 ----a-w C:\WINDOWS\system32\drivers\AWRTRD.sys

2008-01-11 20:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-01-11 20:57 12,632 ----a-w C:\WINDOWS\system32\lsdelete.exe

2007-11-30 15:25 --------- d-----w C:\Documents and Settings\Eldar Godø\Application Data\Ventrilo

2007-11-14 16:43 --------- d-----w C:\Program Files\Ventrilo

2007-11-14 16:43 --------- d-----w C:\Program Files\Common Files\Wise Installation Wizard

2007-03-02 00:25 21,822,168 ----a-w C:\Program Files\AdbeRdr80_en_US.exe

2007-03-02 00:19 7,050,552 ----a-w C:\Program Files\psa30se_en_us.exe

.

((((((((((((((((((((((((((((( snapshot@2008-01-12_ 2.43.15.10 )))))))))))))))))))))))))))))))))))))))))

.

- 2008-01-12 01:42:05 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

+ 2008-01-12 16:38:45 229,376 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000001\NTUSER.DAT

- 2008-01-12 01:42:05 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

+ 2008-01-12 16:38:45 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000002\UsrClass.dat

- 2008-01-12 01:42:05 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

+ 2008-01-12 16:38:45 233,472 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000003\NTUSER.DAT

- 2008-01-12 01:42:05 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

+ 2008-01-12 16:38:45 12,288 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000004\UsrClass.dat

- 2008-01-12 01:42:05 6,238,208 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT

+ 2008-01-12 16:38:46 6,238,208 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000005\NTUSER.DAT

- 2008-01-12 01:42:05 102,400 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat

+ 2008-01-12 16:38:46 102,400 ----a-w C:\WINDOWS\erdnt\Hiv-backup\Users\00000006\UsrClass.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTSyncU.exe"="C:\Program Files\Creative\Sync Manager Unicode\CTSyncU.exe" [2007-05-30 12:52 868352]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2004-01-08 19:54 65536 C:\WINDOWS\SOUNDMAN.EXE]

"ATIPTA"="C:\Program Files\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-12-12 10:31 335872]

"EM_EXEC"="C:\PROGRA~1\Logitech\MOUSEW~1\SYSTEM\EM_EXEC.EXE" [2001-09-19 08:41 35328]

"MULTIMEDIA KEYBOARD"="C:\Program Files\Netropa\Multimedia Keyboard\MMKeybd.exe" [2002-06-12 22:50 167936]

"SunJavaUpdateSched"="C:\Program Files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 12:03 36975]

"nod32kui"="C:\Program Files\Eset\nod32kui.exe" [2006-09-22 17:59 921600]

"Adobe Photo Downloader"="C:\Program Files\Adobe\Photoshop Album Starter Edition\3.0\Apps\apdproxy.exe" [ ]

"Launch LGDCore"="C:\Program Files\Logitech\G-series Software\LGDCore.exe" [2006-03-06 16:31 1122304]

"Launch LCDMon"="C:\Program Files\Logitech\G-series Software\LCDMon.exe" [2006-03-06 16:14 497152]

"QuickTime Task"="C:\Program Files\QuickTime\QTTask.exe" [2007-06-29 05:24 286720]

"dieayepa"="C:\gexfsth^.bat" [ ]

"jlxmaswg"="C:\bqeixjyd.bat" [ ]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 02:07 15360]

C:\Documents and Settings\All Users\Start Menu\Programs\Startup\

Wireless Config.lnk - C:\Program Files\Wireless Technology Corporation\Wireless LAN 802.11b USB\ZDConfig.exe [2006-09-22 17:51:37]

R1 ewido security suite driver;ewido security suite driver;C:\Program Files\ewido anti-malware\guard.sys [2005-12-30 12:12]

R1 msikbd2k;Multimedia Keyboard Filter Driver;C:\WINDOWS\system32\DRIVERS\msikbd2k.sys [2001-12-20 08:02]

R2 nhksrv;Netropa NHK Server;C:\Program Files\Netropa\Multimedia Keyboard\nhksrv.exe [2001-08-06 05:41]

R3 ZD1201U(ZyDAS);ZyDAS ZD1201 IEEE 802.11b Wireless LAN Driver (USB)(ZyDAS);C:\WINDOWS\system32\DRIVERS\zd1201u.sys [2003-07-31 16:41]

R3 ZDNDIS5;ZDNDIS5 Protocol Driver;C:\WINDOWS\system32\ZDNDIS5.SYS [2002-10-30 10:43]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\G]

\Shell\AutoRun\command - G:\LaunchU3.exe -a

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{92bb3f4d-c08e-11dc-82a9-000e8e000fc2}]

\Shell\AutoRun\command - G:\LaunchU3.exe -a

.

Contents of the 'Scheduled Tasks' folder

"2008-01-12 04:02:50 C:\WINDOWS\Tasks\Se etter oppdateringer for Windows Live Toolbar.job"

- C:\Program Files\Windows Live Toolbar\MSNTBUP.EXE

.

**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-12 17:39:42

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

Completion time: 2008-01-12 17:40:03

ComboFix2.txt 2008-01-12 01:43:30

.

2007-07-11 15:48:16 --- E O F ---

EDIT:

Scannet følgende filer på virusscan.jotti

C:\WINDOWS\system32\drivers\vcannlmg.sys

Panda Antivirus Found Rootkit/Booto.C

C:\WINDOWS\NirCmd.exe

AntiVir Found APPL/NirCmd.3

Panda Antivirus Found Application/NirCmd.A

Endret 12. januar 2008 av Pjunin

norbat · 12. januar 2008

Last ned SDFix til skrivebordet.

Dobbeltklikk på SDFix.exe og det vil pakke seg ut til ei mappe i C:\SDFix

Restart PC-en i sikker modus (tapp F8 under oppstart, velg sikker modus)

Åpne SDFix-mappa og dobbeltklikk på 'RunThis.bat' for å starte programmet

Velg Y for å starte rensingen

PC-en vil restarte, og SDFix vil fortsette.

Post loggen den lager.

Edit: C:\WINDOWS\NirCmd.exe er en del av Combofix.

Endret 12. januar 2008 av norbat

BonoU2 · 12. januar 2008

du sier hele tida "post loggen", men hva er det godt for? Jeg har enda ikke sett et innlegg som sier: "Sånn blir du kvitt det" her

norbat · 12. januar 2008

du sier hele tida "post loggen", men hva er det godt for? Jeg har enda ikke sett et innlegg som sier: "Sånn blir du kvitt det" her

Så lenge det er ulike filer der noen filer må fjernes manuelt, så er jeg (vet ikke hva andre trenger) avhengig av å se disse loggene som kan fortelle hvilke filer som ligger der. Dette for å være sikker på at man fjerner de filene man skal, at ikke noe annet ligger og ulmer på PC-en etc. Jeg lover at jeg ikke ber dem post loggene for moro skyld.

Det ligger noen poster som forteller hvilke filer som er mest sentrale i denne epidemien (bla. lssas.exe og ntmngr.exe). Disse kan man selvfølgelig spore opp og slette, men om det ligger noen andre filer der som også bør vekk, ja det kan en logg fortelle.

Pjunin · 12. januar 2008

SDFix rapporten:

SDFix: Version 1.126

Run by Eldar Godø on 12.01.2008 at 18:44

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:

Checking Services:

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Rebooting...

Normal Mode:

Checking Files:

No Trojan Files Found

Removing Temp Files...

ADS Check:

C:\WINDOWS

No streams found.

C:\WINDOWS\system32

No streams found.

C:\WINDOWS\system32\svchost.exe

No streams found.

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-12 18:49:02

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s0"=dword:3a0df84a

"s1"=dword:dd1b4d47

"s2"=dword:2906352f

"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:dc,ee,47,03,e4,78,ce,19,a6,6a,27,63,2d,b1,a1,e4,06,a1,2d,37,70,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA40000001]

"a0"=hex:20,01,00,00,b8,52,77,80,29,f9,6c,43,a0,1e,93,51,fc,a3,5b,8c,9e,..

"khjeh"=hex:91,ff,e6,b7,4e,cc,10,49,a1,5b,0b,7f,4a,6e,e4,b0,99,12,01,d8,17,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA40000001Jf40]

"khjeh"=hex:d3,13,5a,fb,98,3c,5c,5b,56,d0,6c,6d,e8,f4,4f,5c,46,69,c9,97,fb,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:dc,ee,47,03,e4,78,ce,19,a6,6a,27,63,2d,b1,a1,e4,06,a1,2d,37,70,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA40000001]

"a0"=hex:20,01,00,00,b8,52,77,80,29,f9,6c,43,a0,1e,93,51,fc,a3,5b,8c,9e,..

"khjeh"=hex:91,ff,e6,b7,4e,cc,10,49,a1,5b,0b,7f,4a,6e,e4,b0,99,12,01,d8,17,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA40000001Jf40]

"khjeh"=hex:d3,13,5a,fb,98,3c,5c,5b,56,d0,6c,6d,e8,f4,4f,5c,46,69,c9,97,fb,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Remaining Services:

------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:

---------------

Files with Hidden Attributes:

Wed 31 May 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Finished!

Syns jeg har spammet nokk med rapporter no :blush:

Men du skal ha stor takk for all hjelpen du har gitt meg mr.Norbat :!:

Endret 12. januar 2008 av Pjunin

Crutiroran · 12. januar 2008

Er dere sikre på at denne greia er ufarlig, utenom å bare spre seg selv? Søstra mi fikk dette viruset i går (selv klarte jeg heldigvis å unngå det), og i dag har alt gått på dunken. Hun klarer ikke å starte Windows lenger, selv ikke i sikkerhetsmodus! :ohmy:

norbat · 12. januar 2008

Er dere sikre på at denne greia er ufarlig, utenom å bare spre seg selv? Søstra mi fikk dette viruset i går (selv klarte jeg heldigvis å unngå det), og i dag har alt gått på dunken. Hun klarer ikke å starte Windows lenger, selv ikke i sikkerhetsmodus!

Denne trojaneren er nok mer farlig enn at den bare sprer seg til andre. Den har en bakdørfunksjon, som gjør at andre kan få tilgang til pc og at den åpner for å hente inn andre filer av tvilsom karakter.

norbat · 12. januar 2008

SDFix rapporten:

SDFix: Version 1.126

Run by Eldar Godø on 12.01.2008 at 18:44

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:

Checking Services:

Restoring Windows Registry Values

Restoring Windows Default Hosts File

Rebooting...

Normal Mode:

Checking Files:

No Trojan Files Found

Removing Temp Files...

ADS Check:

C:\WINDOWS

No streams found.

C:\WINDOWS\system32

No streams found.

C:\WINDOWS\system32\svchost.exe

No streams found.

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

Final Check:

catchme 0.3.1344.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-12 18:49:02

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden services & system hive ...

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s0"=dword:3a0df84a

"s1"=dword:dd1b4d47

"s2"=dword:2906352f

"h0"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:dc,ee,47,03,e4,78,ce,19,a6,6a,27,63,2d,b1,a1,e4,06,a1,2d,37,70,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA40000001]

"a0"=hex:20,01,00,00,b8,52,77,80,29,f9,6c,43,a0,1e,93,51,fc,a3,5b,8c,9e,..

"khjeh"=hex:91,ff,e6,b7,4e,cc,10,49,a1,5b,0b,7f,4a,6e,e4,b0,99,12,01,d8,17,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA40000001Jf40]

"khjeh"=hex:d3,13,5a,fb,98,3c,5c,5b,56,d0,6c,6d,e8,f4,4f,5c,46,69,c9,97,fb,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="C:\Program Files\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:dc,ee,47,03,e4,78,ce,19,a6,6a,27,63,2d,b1,a1,e4,06,a1,2d,37,70,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA40000001]

"a0"=hex:20,01,00,00,b8,52,77,80,29,f9,6c,43,a0,1e,93,51,fc,a3,5b,8c,9e,..

"khjeh"=hex:91,ff,e6,b7,4e,cc,10,49,a1,5b,0b,7f,4a,6e,e4,b0,99,12,01,d8,17,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA40000001Jf40]

"khjeh"=hex:d3,13,5a,fb,98,3c,5c,5b,56,d0,6c,6d,e8,f4,4f,5c,46,69,c9,97,fb,..

scanning hidden registry entries ...

scanning hidden files ...

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

Remaining Services:

------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

Remaining Files:

---------------

Files with Hidden Attributes:

Wed 31 May 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Finished!

Syns jeg har spammet nokk med rapporter no

Men du skal ha stor takk for all hjelpen du har gitt meg mr.Norbat :!:

Hvis du legger loggene dine mellom spoiler-tagger, så får du dem slik jeg har gjort med din logg over (i skjul). Ingen kommer til å beskylde deg for spamming av rapporter.

Vil anta problemet ditt med 'MSN-viruset' er borte.

Problemet du evt. har nå er at det kan ligge en rootkit på PC-en din. Verken combofix eller sdfix sier noe klart fra om dette, men loggen viser en fil som virker suspekt.

Isteden for å slette fila vcannlmg.sys, kan du forandre filnavnet til f.eks. vcannlmg.sys.vir

Mulig du må gjøre dette fra sikker modus.

Jeg ønsker å se en ny combofix-logg etter at du har gjort dette, men skal ikke tvinge deg.

Pjunin · 12. januar 2008

Ny combofix Rapport:

ComboFix 08-01-11.3 - Eldar Godø 2008-01-12 20:28:47.3 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1033.18.779 [GMT 1:00]

Running from: C:\Documents and Settings\Eldar Godø\Desktop\ComboFix.exe

.

((((((((((((((((((((((((( Files Created from 2007-12-12 to 2008-01-12 )))))))))))))))))))))))))))))))

.

2008-01-12 18:43 . 2008-01-12 18:43 <DIR> d-------- C:\WINDOWS\ERUNT

2008-01-12 03:19 . 2008-01-12 03:19 1,159 --a------ C:\zia02540

2008-01-12 03:12 . 2008-01-12 03:12 60,416 --a------ C:\WINDOWS\system32\drivers\vcannlmg.sys.vir

2008-01-12 02:38 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-12 02:34 . 2008-01-12 03:12 <DIR> d-------- C:\Program Files\Avenger

2008-01-12 01:52 . 2008-01-12 01:52 <DIR> d-------- C:\Program Files\Opera

2008-01-11 22:45 . 2008-01-11 22:46 <DIR> d-------- C:\Program Files\Crimson Editor

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-12 19:28 --------- d-----w C:\Program Files\Trillian