Hem | Forum | Chatt | Om webbplatsen | Kontakta oss

Svenska antispywareforum

Grundat 2005

Adware spyware problem

Här läggs de trådar gällande systemrensningar m.m., som är lösta eller som inte har besökts av trådskaparen. Även äldre instruktionsinlägg läggs här. OBS! I den här forumdelen går det inte att posta inlägg. Det går enbart att läsa trådarna.
Tråden låst

Inläggav Malou » tor 03 nov 2005, 20.12

Hej Jeppe :)

försöker igen inlägget kanske blev för långt.

Det tror jag inte (får plats en del i ett inlägg).

Har städat i temp mappar register mm och scannat med Norton, Ad-aware, spybot search and destroy, ewido, och microsoft anti spyware, samtliga uppdaterade utan att hitta nåt bara spyware cookies.

Ok.
Mycket bra (då är det rent och snyggt) :wink:
Hur gick det med att hämta hem SP2 samt övriga säkerhetsuppdateringar?

Lyckades uppdatera m-s antispyware genom tillfälligt avaktivera brandväggen som med ewido, fick dock samma varning från norton intrångsupptäckt som tidigare,

Bra.
Ser att Plun har hoppat på tråden och hjälper dig ang intrångförsöken som Norton varnar för :wink:

återkommer om en stund ang hur datorn mår samt kvarstående problem.

Du är välkommen :wink:

MVH/Malou
Malou
 
Upp

Inläggav Jeppe » tor 03 nov 2005, 21.20

Hej igen malou Ang hur datorn mår så verkar den ganska kry ( har inte hunnit testa så mycket än) tills man kopplar upp sig mot internet då verkar den bli väldigt instabil emellanåt. Har tele2 som operatör.

Ska försöka beskriva fel som kvarstår.

1.Outlook express hittar inte servern för in och utgående mail hos Tele2 har varit i kontakt med deras support enligt den jag pratade med så var inställningarna i datorn rätt och han kunde inte se nåt fel hos dom.

2. Windows felrapportering funkar inte det står skapar felrapport i fönstret som kommer upp sen händer inget mer försöker man stänga det så får man till svar att programmet svarar inte skicka felrapport o.s.v o.s.v, samma problem uppstår om man t.e.x försöker uppdatera Ad-aware med den inbyggda funktionen ( får ladda ner Ref filen från hemsidan ), eller om man försöker öppna nortons loggbok när man är uppkopplad mot internet, det går inte heller att stänga med enhetshanteraren, och det går inte att stänga av datorn på normalt sätt enda sättet att bli av med fönstret är att stänga av datorn med knappen.

3. Msn messenger funkar inte ( Dottern gnisslar tänder! ) det står loggar in sen händer inget mer men det går att stänga ner utan att datorn hänger sig.

4. har även några återkommande felvarningar i loggboken i "kontrollpanelen\prestanda och underhåll\adnimistratinsverktyg\loggboken\program" däribland msn messenger så jag provade att installera om det men det hjälpte inte.

Det finns säkert fler som jag inte märkt än. Gjorde även några online scanningar återkommer strax med fler detaljer om det m.v.h\ Jeppe
Jeppe
 
Inlägg: 61
Blev medlem: mån 31 okt 2005, 18.40
Upp

Inläggav Jeppe » tor 03 nov 2005, 22.18

Är tillbaka angående online scanningarna.
scannade med BitDefender den hittade inget.
Försökte även med McAffe men det stod att inställningarna för cookies var fel i internet explorer säkerhet\sekretess provade att ställa in enligt deras anvisningar men det funkade inte ändå så jag ställde tillbaka till standard igen.
Försökte sen med TrendMicro scanningen startade men efter en stund kom ett meddelande om att internet explorer stött på ett problem och måste avslutas ( Dom verkade ha en ny version av programmet har funkat tidigare ).
Scannade även med panda som hittade en del igen,

Här kommer loggen


Incident Status Location

Adware:adware/mpgcom No disinfected Windows Registry
Dialer:dialer.ags No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{018B7EC3-EECA-11D3-8E71-0000E82C6C0D}
Adware:adware/mirar No disinfected Windows Registry
Dialer:dialer.adn No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{5F426A93-0821-47D2-A126-5A48A874B289}
Adware:adware/delta No disinfected Windows Registry
Dialer:dialer.yz No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{02C20140-76F8-4763-83D5-B660107B7A90}
Dialer:dialer.yy No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{23273a1c-c870-43c4-a3e3-67dc98630ac6}
Dialer:dialer.yx No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{6ed16eff-3b18-11d6-9139-00e02964e8e3}
Adware:adware/commandertoolbarNo disinfected Windows Registry
Dialer:dialer.yc No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{e8edb60c-951e-4130-93dc-faf1ad25f8e7}
Adware:adware/powerstrip No disinfected Windows Registry
Dialer:dialer.xs No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{ceb29da4-7afa-4f24-b3cd-17351d590df0}
Adware:adware/hungryhands No disinfected Windows Registry
Dialer:dialer.py No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{8522F9B3-38C5-4AA4-AE40-7401F1BBC851}
Spyware:spyware/media-motor No disinfected Windows Registry
Dialer:dialer.ix No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{73F0FD85-BD47-4A95-86D1-DE38860462C1}
Adware:adware/virtualbouncer No disinfected Windows Registry
Dialer:dialer.cn No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{511F9316-771B-4953-A268-1C36DA667FE9}
Adware:adware/lop No disinfected Windows Registry
Dialer:dialer.bz No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{5C3A9EA6-4068-46B8-8B5A-692FB10607B1}
Spyware:spyware/dctoolbar No disinfected Windows Registry
Dialer:dialer.ap No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{0CB2BD5A-7A80-4BA9-B49A-02DC51144BDF}
Spyware:spyware/adclicker No disinfected Windows Registry
Dialer:dialer.b No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{C6760A07-A574-4705-B113-7856315922C3}

Scannade även med nåt som hette panda spyXposer som fanns på samma sida,

Här är den loggen


Incident Status Location

Adware:adware/mpgcom Reported Windows Registry
Dialer:dialer.ags Reported HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{018B7EC3-EECA-11D3-8E71-0000E82C6C0D}
Adware:adware/mirar Reported Windows Registry
Dialer:dialer.adn Reported HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{5F426A93-0821-47D2-A126-5A48A874B289}
Adware:adware/delta Reported Windows Registry
Dialer:dialer.yz Reported HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{02C20140-76F8-4763-83D5-B660107B7A90}
Dialer:dialer.yy Reported HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{23273a1c-c870-43c4-a3e3-67dc98630ac6}
Dialer:dialer.yx Reported HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{6ed16eff-3b18-11d6-9139-00e02964e8e3}
Adware:adware/commandertoolbarReported Windows Registry
Dialer:dialer.yc Reported HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{e8edb60c-951e-4130-93dc-faf1ad25f8e7}
Adware:adware/powerstrip Reported Windows Registry
Dialer:dialer.xs Reported HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{ceb29da4-7afa-4f24-b3cd-17351d590df0}
Adware:adware/hungryhands Reported Windows Registry
Dialer:dialer.py Reported HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{8522F9B3-38C5-4AA4-AE40-7401F1BBC851}
Spyware:spyware/media-motor Reported Windows Registry
Dialer:dialer.ix Reported HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{73F0FD85-BD47-4A95-86D1-DE38860462C1}
Adware:adware/virtualbouncer Reported Windows Registry
Dialer:dialer.cn Reported HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{511F9316-771B-4953-A268-1C36DA667FE9}
Adware:adware/lop Reported Windows Registry
Dialer:dialer.bz Reported HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{5C3A9EA6-4068-46B8-8B5A-692FB10607B1}
Spyware:spyware/dctoolbar Reported Windows Registry
Dialer:dialer.ap Reported HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{0CB2BD5A-7A80-4BA9-B49A-02DC51144BDF}
Spyware:spyware/adclicker Reported Windows Registry
Dialer:dialer.b Reported HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{C6760A07-A574-4705-B113-7856315922C3}
Dom verkade i allafall hitta samma saker men inget av dom kunde ta bort något.Har panda platinium internet security 2005 med 3 månaders fria uppdateringar funderar på att installera det istället vore intressant att se vad det säger eller om det är falskt alarm.
Har tidigare haft en hel del ohyra som rensats bort med Norton, Ad-awre, spybot s-d, och pest patrol, det kan ju ha ställt till en del ,kanske en reparations installation av windows ovanpå den gamla kan hjälpa, annars är det väl formatering av härddisk som gäller. Har inte installerat SP-2 och office-xp uppdateringarna ännu m.v.h\ Jeppe
Jeppe
 
Inlägg: 61
Blev medlem: mån 31 okt 2005, 18.40
Upp

Inläggav Malou » tor 03 nov 2005, 23.37

Hej Jeppe :)

Har tidigare haft en hel del ohyra som rensats bort med Norton, Ad-awre, spybot s-d, och pest patrol, det kan ju ha ställt till en del ,kanske en reparations installation av windows ovanpå den gamla kan hjälpa, annars är det väl formatering av härddisk som gäller.

Ok.
Ser ut att finnas kvar en hel del otyg :x
En reparation av Win XP hjälper föga i det här fallet (otygen kommer att finnas kvar) samt en formatering skall inte behövas.
Vi skall nog få ordning på det här skall du se :wink:

Vänta med att installera SP2 ett tag.

OBS:
Undvik att använda datorn till andra aktiviteter under tiden vi går till botten med otygen och försöker eliminera dessa.

Vi börjar med nedanstående scannerverktyg och ser vad den hittar och vad den kan åtgärda. Därefter går vi vidare med ett annat skarpt verktyg om så skulle behövas (beroende på vad som hittas och vad som åtgärdas och inte åtgärdas).

Hämta hem nedanstående verktyg:
"mwaw"
http://www.spywareinfo.dk/download/mwav.exe

Spara ner den till skrivbordet. Dubbelklicka på mwav.exe sen klicka Unzip och den skapar automatiskt en ny mapp C:\Kapersky
Sen öppna Kapersky mappen och dubbelklicka på kavupd.exe och leta uppdateringar.
När den är klar så tryck på nån tangent och det blir automatiskt 2 nya mappar på C:\
C:\Bases
C:\Downloads

Öppna Downloads-mappen och måla alla filer och Klipp ut
Klicka på Kapersky-mappen och klistra in och svara ja till alla.
Sen öppna Kapersky-mappen och dubbelklicka på mwavscan.com
Bocka i Drive och Scan All Files.
Sen klicka på Scan och låt den scanna klart.
(OBS: Scanningen kan ta upp till 2 timmar)
Kopiera det som blir i nedre fönster.
Först måla svart sen Ctrl+C (kopiera)
Sen Ctrl+V (klista in).
Kopiera in loggen hit.

MVH/Malou
Malou
 
Upp

Inläggav Jeppe » lör 05 nov 2005, 16.18

Hej Malou.
Det har du rätt i reparations installation hjälper nog inte så länge otygen finns kvar. Jag får även passa på att tacka Plun för svaret på min fråga tidigare om varningen från Norton intrångsupptäckt.
Tror du att det går att få ordning på det här utan att formatera så får vi väl ta nya tag, har nu laddat ner och scannat med Kaperky här kommer loggen.

File C:\Documents and Settings\PC\Mina dokument\Advanced Uninstaller Pro 2004 Version 6.7\uruninst39.exe tagged as not-a-virus:AdWare.Win32.HotBar.bi. No Action Taken.
File C:\Documents and Settings\PC\Mina dokument\Ad Aware pro 1.06\Ceština.awl infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Mvh\Jeppe
Jeppe
 
Inlägg: 61
Blev medlem: mån 31 okt 2005, 18.40
Upp

Inläggav Malou » lör 05 nov 2005, 16.30

Hej Jeppe :)

Tror du att det går att få ordning på det här utan att formatera så får vi väl ta nya tag,

Klart att det skall gå att få ordning på det hela.
Formatering är det sista man tar till då Ingenting annat hjälper (en sista utväg).

File C:\Documents and Settings\PC\Mina dokument\Advanced Uninstaller Pro 2004 Version 6.7\uruninst39.exe tagged as not-a-virus:AdWare.Win32.HotBar.bi. No Action Taken.

Vad är det här för program (rödmarkerade)????

File C:\Documents and Settings\PC\Mina dokument\Ad Aware pro 1.06\Ceština.awl infected by "BkCln.Unknown" Virus. Action Taken: File Renamed.

Nu blir jag lite konfunderad här.
Har du Ad-Aware SE Professional installerad????

MVH/Malou
Malou
 
Upp

Inläggav Jeppe » lör 05 nov 2005, 17.07

Hej Malou.

Fick låna en skiva av en bekant där dessa var med så båda två är en kopia från skivan som ligger sparade här.
Advanced uninstaller pro 2004 är ett städprogram har aldrig varit installerat.
Ad-aware se pro har varit installerat efter att problemen med datorn uppstod
tänkte att det kunde lösa problemet men det gick inte att uppdatera så det avinstallerades igen och jag laddade hem Ad-aware se personal från deras hemsida igen.

Mvh\Jeppe
Jeppe
 
Inlägg: 61
Blev medlem: mån 31 okt 2005, 18.40
Upp

Inläggav Malou » lör 05 nov 2005, 17.25

Hej Jeppe :)

Ok.
Inte bra att installera ett licensierat program som tillhör någon annan. Därav anledningen till att uppdateringarna inte går att genomföra.
Men nog om detta :wink:

För att hitta de mappar du nu skall leta upp, måste du klicka (windowstangent+E) och i verktygsfältet klicka på "Verktyg>mappalternativ" och under "Visa" klicka på "Visa dolda filer och mappar" samt avbocka "dölj filnamstillägg för kända filtyper" och "Dölj skyddade operativsystemfiler"

Sök/leta upp
Delita de rödmarkerade mapparna
C:\Documents and Settings\PC\Mina dokument\Advanced Uninstaller Pro 2004 Version 6.7\uruninst39.exe <=Delita hela mappen Advanced Uninstaller Pro 2004 Version 6.7 med innehåll:

C:\Documents and Settings\PC\Mina dokument\Ad Aware pro 1.06\Ceština.awl <=Delita hela mappen Ad Aware pro 1.06 med innehåll:

Töm papperskorgen:
Starta om datorn:

Gör en ny scanning med Panda Online, kopiera in resultatet hit så får vi se hur det ser ut (innan vi gör något annat) :wink:

MVH/Malou
Malou
 
Upp

Inläggav Jeppe » lör 05 nov 2005, 19.25

Hej Malou.
Har nu gjort som du sa och sen scannat med panda den verkade hitta samma saker som förut. Har du verkligen tid med det här på en lördagskväll jag kan återkomma vid en bättre tidpunkt annars.


Mvh\Jeppe

Här kommer panda loggen.



Incident Status Location

Adware:adware/mpgcom No disinfected Windows Registry
Dialer:dialer.ags No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{018B7EC3-EECA-11D3-8E71-0000E82C6C0D}
Adware:adware/mirar No disinfected Windows Registry
Dialer:dialer.adn No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{5F426A93-0821-47D2-A126-5A48A874B289}
Adware:adware/delta No disinfected Windows Registry
Dialer:dialer.yz No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{02C20140-76F8-4763-83D5-B660107B7A90}
Dialer:dialer.yy No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{23273a1c-c870-43c4-a3e3-67dc98630ac6}
Dialer:dialer.yx No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{6ed16eff-3b18-11d6-9139-00e02964e8e3}
Adware:adware/commandertoolbarNo disinfected Windows Registry
Dialer:dialer.yc No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{e8edb60c-951e-4130-93dc-faf1ad25f8e7}
Adware:adware/powerstrip No disinfected Windows Registry
Dialer:dialer.xs No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{ceb29da4-7afa-4f24-b3cd-17351d590df0}
Adware:adware/hungryhands No disinfected Windows Registry
Dialer:dialer.py No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{8522F9B3-38C5-4AA4-AE40-7401F1BBC851}
Spyware:spyware/media-motor No disinfected Windows Registry
Dialer:dialer.ix No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{73F0FD85-BD47-4A95-86D1-DE38860462C1}
Adware:adware/virtualbouncer No disinfected Windows Registry
Dialer:dialer.cn No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{511F9316-771B-4953-A268-1C36DA667FE9}
Adware:adware/lop No disinfected Windows Registry
Dialer:dialer.bz No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{5C3A9EA6-4068-46B8-8B5A-692FB10607B1}
Spyware:spyware/dctoolbar No disinfected Windows Registry
Dialer:dialer.ap No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{0CB2BD5A-7A80-4BA9-B49A-02DC51144BDF}
Spyware:spyware/adclicker No disinfected Windows Registry
Dialer:dialer.b No disinfected HKEY_LOCAL_MACHINE\Software\Microsoft\Internet Explorer\ActiveX Compatibility\{C6760A07-A574-4705-B113-7856315922C3}
Jeppe
 
Inlägg: 61
Blev medlem: mån 31 okt 2005, 18.40
Upp

Inläggav Malou » lör 05 nov 2005, 19.33

Hej Jeppe :)

Har du verkligen tid med det här på en lördagskväll

Ingen fara (frågan är om du har tid en lördagskväll :wink: ).
Ett Supporter forum skall alltid vara tillgängligt för den/de som behöver hjälp :wink:

Återkommer om en stund till dig (skall titta lite extra på Pandaloggen). Kan ta en bra stund innan jag är klar, så håll ut så länge.

MVH/Malou
Malou
 
Upp

Inläggav Malou » lör 05 nov 2005, 19.48

Hej Jeppe :)

Hämta hem nedanstående verktyg så får jag ta en titt även på den loggen.

"Finditnt2000xp.zip"

http://www.thatcomputerguy.us/downloads ... 2000xp.zip

Spara ner det till skrivbordet. Packa upp och extrahera filen. Den skapar en egen mapp som den lägger på skrivbordet (FindItnt2000xp)

Öppna nu mappen FindItnt2000xp. Dubbelklicka på Find.bat. Den vill nu scanna i några minuter, den producerar nu en log (Ignorera "File not found" meddelandet på skärmen, den fortsätter ändå). Då den är klar.
Kopiera och klistra in den loggen hit till din tråd.

MVH/Malou
Malou
 
Upp

Inläggav Jeppe » lör 05 nov 2005, 20.32

Hej Malou.
Vilken service och får man så här proffsig hjälp så får man väl ta sig tid.

Här kommer loggen Mvh\ Jeppe.

Warning! This utility will find legitimate files in addition to malware.
Do not remove anything unless you are sure you know what you're doing.

Find.bat is running from: C:\Documents and Settings\PC\Skrivbord\finditnt2000xp\Find It NT-2K-XP

------- System Files in System32 Directory -------

Volymen i enhet C har etiketten SNI800S
Volymens serienummer „r 4815-F8C8

Inneh†ll i katalogen C:\WINDOWS\System32

2005-10-31 10:34 <KAT> dllcache
2005-10-01 14:29 5 AuxDrv32ds_k.ods
2004-01-05 13:34 0 AuxDrv32.dat
2002-11-16 00:29 <KAT> Microsoft
2002-09-09 22:07 569ÿ344 oleaut32.dll
2002-09-09 22:07 401ÿ462 msvcp60.dll
2002-09-09 22:07 323ÿ072 msvcrt.dll
2001-09-07 13:00 50ÿ688 msvcirt.dll
2001-09-07 13:00 995ÿ383 mfc42.dll
2001-09-07 13:00 106ÿ496 olepro32.dll
2001-09-07 13:00 9ÿ728 regsvr32.exe
9 fil(er) 2ÿ456ÿ178 byte
2 katalog(er) 20ÿ850ÿ720ÿ768 byte ledigt

------- Hidden Files in System32 Directory -------

Volymen i enhet C har etiketten SNI800S
Volymens serienummer „r 4815-F8C8

Inneh†ll i katalogen C:\WINDOWS\System32

2005-10-31 10:34 <KAT> dllcache
2005-10-01 14:29 5 AuxDrv32ds_k.ods
2004-01-25 05:59 4ÿ212 zllictbl.dat
2004-01-05 13:34 0 AuxDrv32.dat
2002-09-09 22:07 569ÿ344 oleaut32.dll
2002-09-09 22:07 401ÿ462 msvcp60.dll
2002-09-09 22:07 323ÿ072 msvcrt.dll
2002-01-10 07:04 488 logonui.exe.manifest
2002-01-10 07:04 488 WindowsLogon.manifest
2002-01-10 07:04 749 wuaucpl.cpl.manifest
2002-01-10 07:04 749 cdplayer.exe.manifest
2002-01-10 07:04 749 nwc.cpl.manifest
2002-01-10 07:04 749 sapi.cpl.manifest
2002-01-10 07:04 749 ncpa.cpl.manifest
2001-09-07 13:00 995ÿ383 mfc42.dll
2001-09-07 13:00 50ÿ688 msvcirt.dll
2001-09-07 13:00 9ÿ728 regsvr32.exe
2001-09-07 13:00 106ÿ496 olepro32.dll
17 fil(er) 2ÿ465ÿ111 byte
1 katalog(er) 20ÿ850ÿ716ÿ672 byte ledigt

------------ Files Named "Guard" ---------------

Volymen i enhet C har etiketten SNI800S
Volymens serienummer „r 4815-F8C8

Inneh†ll i katalogen C:\WINDOWS\System32


------ Temp Files in System32 Directory ------

Volymen i enhet C har etiketten SNI800S
Volymens serienummer „r 4815-F8C8

Inneh†ll i katalogen C:\WINDOWS\System32


------------------ User Agent ----------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\User Agent\Post Platform]


------------- Keys Under Notify -------------

REGEDIT4

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify]

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt32chain]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,33,32,2e,64,6c,6c,00
"Logoff"="ChainWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cryptnet]
"Asynchronous"=dword:00000000
"Impersonate"=dword:00000000
"DllName"=hex(2):63,72,79,70,74,6e,65,74,2e,64,6c,6c,00
"Logoff"="CryptnetWlxLogoffEvent"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\cscdll]
"DLLName"="cscdll.dll"
"Logon"="WinlogonLogonEvent"
"Logoff"="WinlogonLogoffEvent"
"ScreenSaver"="WinlogonScreenSaverEvent"
"Startup"="WinlogonStartupEvent"
"Shutdown"="WinlogonShutdownEvent"
"StartShell"="WinlogonStartShellEvent"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ScCertProp]
"DLLName"="wlnotify.dll"
"Logon"="SCardStartCertProp"
"Logoff"="SCardStopCertProp"
"Lock"="SCardSuspendCertProp"
"Unlock"="SCardResumeCertProp"
"Enabled"=dword:00000001
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\Schedule]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"StartShell"="SchedStartShell"
"Logoff"="SchedEventLogOff"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\sclgntfy]
"Logoff"="WLEventLogoff"
"Impersonate"=dword:00000000
"Asynchronous"=dword:00000001
"DllName"=hex(2):73,63,6c,67,6e,74,66,79,2e,64,6c,6c,00

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\SensLogn]
"DLLName"="WlNotify.dll"
"Lock"="SensLockEvent"
"Logon"="SensLogonEvent"
"Logoff"="SensLogoffEvent"
"Safe"=dword:00000001
"MaxWait"=dword:00000258
"StartScreenSaver"="SensStartScreenSaverEvent"
"StopScreenSaver"="SensStopScreenSaverEvent"
"Startup"="SensStartupEvent"
"Shutdown"="SensShutdownEvent"
"StartShell"="SensStartShellEvent"
"PostShell"="SensPostShellEvent"
"Disconnect"="SensDisconnectEvent"
"Reconnect"="SensReconnectEvent"
"Unlock"="SensUnlockEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\termsrv]
"Asynchronous"=dword:00000000
"DllName"=hex(2):77,6c,6e,6f,74,69,66,79,2e,64,6c,6c,00
"Impersonate"=dword:00000000
"Logoff"="TSEventLogoff"
"Logon"="TSEventLogon"
"PostShell"="TSEventPostShell"
"Shutdown"="TSEventShutdown"
"StartShell"="TSEventStartShell"
"Startup"="TSEventStartup"
"MaxWait"=dword:00000258
"Reconnect"="TSEventReconnect"
"Disconnect"="TSEventDisconnect"

[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\wlballoon]
"DLLName"="wlnotify.dll"
"Logon"="RegisterTicketExpiredNotificationEvent"
"Logoff"="UnregisterTicketExpiredNotificationEvent"
"Impersonate"=dword:00000001
"Asynchronous"=dword:00000001


------------- Locate.com Results -------------

C:\WINDOWS\SYSTEM32\
auxdrv~1.ods Sat 2005-10-01 14.29.58 A.SH. 5 0,00 K

1 item found: 1 file, 0 directories.
Total of file sizes: 5 bytes 0,00 K

-------- Strings.exe Qoologic Results --------


--------- Strings.exe Aspack Results ---------

C:\WINDOWS\system32\MRT.exe: (ASPack)
C:\WINDOWS\system32\MRT.exe: (AsPack2k)
C:\WINDOWS\system32\MRT.exe: (ASPack 1.00b)
C:\WINDOWS\system32\MRT.exe: (ASPack 2.1)
C:\WINDOWS\system32\MRT.exe: (ASPack 2.12)
C:\WINDOWS\system32\MRT.exe: (ASPack 2.11)
C:\WINDOWS\system32\MRT.exe: (ASPack 2.000)
C:\WINDOWS\system32\MRT.exe: (ASPack 2.001)
C:\WINDOWS\system32\MRT.exe: (ASPack 2.11x)
C:\WINDOWS\system32\MRT.exe: ASPack2000
C:\WINDOWS\system32\MRT.exe: ASPack 1.61
C:\WINDOWS\system32\MRT.exe: ASPack 1.084
C:\WINDOWS\system32\MRT.exe: ASPack 1.083
C:\WINDOWS\system32\MRT.exe: ASPack 1.08.02b
C:\WINDOWS\system32\MRT.exe: ASPack 1.07b
C:\WINDOWS\system32\MRT.exe: ASPack 1.05b
C:\WINDOWS\system32\MRT.exe: ASPack 1.02
C:\WINDOWS\system32\MRT.exe: ASPACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: (ASPack)
C:\WINDOWS\system32\MRT.exe: (AsPack2k)
C:\WINDOWS\system32\MRT.exe: (ASPack 1.00b)
C:\WINDOWS\system32\MRT.exe: (ASPack 2.1)
C:\WINDOWS\system32\MRT.exe: (ASPack 2.12)
C:\WINDOWS\system32\MRT.exe: (ASPack 2.11)
C:\WINDOWS\system32\MRT.exe: (ASPack 2.000)
C:\WINDOWS\system32\MRT.exe: (ASPack 2.001)
C:\WINDOWS\system32\MRT.exe: (ASPack 2.11x)
C:\WINDOWS\system32\MRT.exe: ASPack2000
C:\WINDOWS\system32\MRT.exe: ASPack 1.61
C:\WINDOWS\system32\MRT.exe: ASPack 1.084
C:\WINDOWS\system32\MRT.exe: ASPack 1.083
C:\WINDOWS\system32\MRT.exe: ASPack 1.08.02b
C:\WINDOWS\system32\MRT.exe: ASPack 1.07b
C:\WINDOWS\system32\MRT.exe: ASPack 1.05b
C:\WINDOWS\system32\MRT.exe: ASPack 1.02
C:\WINDOWS\system32\MRT.exe: ASPACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK
C:\WINDOWS\system32\MRT.exe: aspACK

-------------- HKLM Run Key ----------------

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"NvCplDaemon"="RUNDLL32.EXE C:\\WINDOWS\\System32\\NvCpl.dll,NvStartup"
"ccApp"="\"C:\\Program\\Delade filer\\Symantec Shared\\ccApp.exe\""
"Symantec NetDriver Monitor"="C:\\Program\\SYMNET~1\\SNDMon.exe /Consumer"
"SSC_UserPrompt"="C:\\Program\\Delade filer\\Symantec Shared\\Security Center\\UsrPrmpt.exe"
"Nwiz"="nwiz.exe /install"
"gcasServ"="\"C:\\Program\\Microsoft AntiSpyware\\gcasServ.exe\""

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\IMAIL]
"Installed"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MAPI]
"Installed"="1"
"NoChange"="1"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\OptionalComponents\MSFS]
"Installed"="1"



Jeppe
 
Inlägg: 61
Blev medlem: mån 31 okt 2005, 18.40
Upp

Inläggav Malou » lör 05 nov 2005, 20.57

Hej Jeppe :)

Tack för dina vänliga ord (värmer att höra) :emb:

Find.bat.-loggen ser bra ut :wink:

Fortsätter att gå igenom Panda-loggen. Det mesta tyder på att det som Pandan visar upp är tidigare otrevligheter som har funnits i datorn och att du har rensat den från detta, men registernycklarna har blivit kvarlämnade i Windows register (regedit). Kan det här stämma?

Återkommer så snart jag är klar (tar tid att söka igenom). Kommer även att lägga med en procedur hur du går tillväga för att delita registernycklarna :wink:

MVH/Malou
Malou
 
Upp

Inläggav Jeppe » lör 05 nov 2005, 22.14

Hej Malou.
Det mesta tyder på att det som Pandan visar upp är tidigare otrevligheter som har funnits i datorn och att du har rensat den från detta, men registernycklarna har blivit kvarlämnade i Windows register (regedit). Kan det här stämma?

Datorn har stått och tuggat på sen 2002 nångång utan att formaterats om och en del otrevligheter har ju passerat både in och ut så det kan nog stämma, Känner dock inte igen namnen på dom pandan hittar, men det verkar i och för sig som att säkerhetsföretagen kan ha olika namn på samma hot om man söker i deras databaser.

Mvh\jeppe
Jeppe
 
Inlägg: 61
Blev medlem: mån 31 okt 2005, 18.40
Upp

Inläggav Malou » lör 05 nov 2005, 22.24

Hej Jeppe :)

Känner dock inte igen namnen på dom pandan hittar, men det verkar i och för sig som att säkerhetsföretagen kan ha olika namn på samma hot om man söker i deras databaser.

Stämmer alldeles utmärkt att de olika säkerhetsföretagen har olika namn på samma hot.


Är strax klar med genomgång samt procedur.
Ber om ursäkt för att du får vänta så, försöker att hjälpa en annan användare samtidigt som har mycket stora datorproblem :cry:

MVH/Malou
Malou
 
Upp
FöregåendeNästa
Tråden låst

Återgå till Lösta och gamla problem/arkiv

Vilka är online

Användare som besöker denna kategori: Inga registrerade användare och 2 gäster

Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Swedish translation by Peetra & phpBB Sweden © 2006-2009