Misstänkt program, meddelande kommer upp

2009-07-20, 21:06 #1

Medlem

Reg: Maj 2007

Inlägg: 242

OBS: Är detta skrivet i fel tråd så flytta.

Hejsan flashbackare!
Igår installerade jag VentriloMIX (från www.ventrilomix.net). När jag laddade ner filen så fick jag ett meddelande om att filen är skadlig men valde ändå att installera den eftersom en kompis hade programmet installerat.

Sökte igenom installationsfilen med Norton Antivirus men hittade inget. Men idag när jag spelade CSS så hörde jag ett windows-ljud (ni vet när man ska spara någonting men trycker utanför rutan). Jag stängde ner CSS och såg ett meddelande som löd:
infektor jest uruchomiony, wersja: 2.1.0 (polskt skit). Öppnade aktivitetshanteraren och stängde ner processen WinCE3.exe, då försvann rutan. Sökt lite på goggle utan resultat.
Filen ligger under: C:\Documents and Settings\(namn)\Start-meny\Program\Autostart\WinCE3.exe

Nu när jag tittar på sidan i efterhand ser jag ett det är en gratishemsida och att kontaktinformationen består av en gmail.

Prövar att ha HijackThis loggen som en spoiler.

Kan tilläggas att winCE3.exe alltid startar när jag har startat datorn.

C:\Program\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe
C:\WINDOWS\system32\PnkBstrA.exe
C:\WINDOWS\system32\PnkBstrB.exe
C:\Program\SMART Technologies\SMART Board Drivers\SMARTBoardService.exe
C:\Program\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe
C:\WINDOWS\System32\svchost.exe
C:\Program\Lavasoft\Ad-Aware\AAWTray.exe
C:\Program\Internet Explorer\iexplore.exe
C:\Program\Internet Explorer\iexplore.exe
C:\WINDOWS\system32\svchost.exe
C:\Program\Internet Explorer\iexplore.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: SMART Notebook Download Plugin - {67BCF957-85FC-4036-8DC4-D4D80E00A77B} - C:\Program\SMART Technologies\Notebook Software\NotebookPlugin.dll
O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program\Norton AntiVirus\Engine\16.5.0.134\IPSBHO.DLL
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin. dll
O4 - HKLM\..\Run: [SoundMAXPnP] C:\Program\Analog Devices\SoundMAX\SMax4PNP.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program\Adobe\Reader 9.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program\Java\jre6\bin\jusched.exe"
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [Steam] "c:\program\steam\steam.exe" -silent
O4 - HKCU\..\Run: [BitTorrent DNA] "C:\Program\DNA\btdna.exe"
O4 - HKCU\..\Run: [VOIPlay] "C:\Program\VOIPlay\voiplay.exe"
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program\DAEMON Tools Lite\daemon.exe" -autorun
O4 - Startup: WinCE3.exe
O4 - Global Startup: SMART Board Tools.lnk = C:\Program\SMART Technologies\SMART Board Drivers\SMARTBoardTools.exe
O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\Program\MICROS~3\Office12\EXCEL.EXE/3000
O9 - Extra button: Send to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: S&end to OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program\MICROS~3\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~3\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Plugin Control) - http://appldnld.apple.com.edgesuite....x/qtplugin.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262E} (System Requirements Lab) - http://www.systemrequirementslab.com...reqlab_srl.cab
O16 - DPF: {1E54D648-B804-468d-BC78-4AFFED8E262F} (System Requirements Lab) - http://www.nvidia.com/content/Driver...reqlab_nvd.cab
O16 - DPF: {215B8138-A3CF-44C5-803F-8226143CFC0A} (Trend Micro ActiveX Scan Agent 6.6) - http://housecall65.trendmicro.com/ho...vex/hcImpl.cab
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1227885450625
O16 - DPF: {784797A8-342D-4072-9486-03C8D0F2F0A1} (Battlefield Heroes Updater) - https://www.battlefieldheroes.com/st...r_4.0.21.0.cab
O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} - http://www.yougamers.com/systeminfo/FMSI.cab
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program\Microsoft Office\Office12\GrooveSystemServices.dll
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe
O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program\Lavasoft\Ad-Aware\AAWService.exe
O23 - Service: Norton AntiVirus - Symantec Corporation - C:\Program\Norton AntiVirus\Engine\16.5.0.134\ccSvcHst.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe
O23 - Service: PnkBstrB - Unknown owner - C:\WINDOWS\system32\PnkBstrB.exe
O23 - Service: SMART Board-tjänsten (SMART Board Service) - SMART Technologies - C:\Program\SMART Technologies\SMART Board Drivers\SMARTBoardService.exe
O23 - Service: SMART SNMP Agent Service - SMART Technologies ULC - C:\Program\SMART Technologies\SMART Board Drivers\SMARTSNMPAgent.exe
O23 - Service: SMART Webbserver (SMART Web Server) - Unknown owner - C:\Program\SMART Technologies\SMART Board Drivers\WebServer.exe

--
End of file - 7539 bytes

Tacksam för all hjälp.

__________________
Senast redigerad av QuackDuck 2009-07-20 kl. 21:12. Anledning: Bättre rubrik.

Citera

2009-07-20, 21:22 #2

Medlem

Reg: Maj 2006

Inlägg: 3 685

Den ligger i autostart om du läser vad du själv skrev.. Därför den startar. Ladda ner mbam och se om det kan hitta och lösa problemet.

Citera

2009-07-20, 22:06 #3

Medlem

Reg: Maj 2007

Inlägg: 242

Hittade en fil när jag körde en snabb sökning, raderades. Programmet är kvar. Sökte även i mapen, testade även att avinstallera ventriloMIX. Programmet fortfarande kvar.

Citera

2009-07-20, 22:18 #4

Medlem

Reg: Aug 2003

Inlägg: 2 868

Inpackad i installationsfilen (ventriloMIX.exe) så ligger det ytterligare en exe-fil som ser mycket misstänkt ut som heter ner.exe

Virustotal på den visar att det är väldigt dålig detektion på den [4/41], så antivirus lär inte hjälpa dig speciellt mycket innan de har detektion:

http://www.virustotal.com/sv/analisi...693-1248119795

Den verkar installera dessa filer:

%Programs%\Startup\WinCE3.exe
%Windir%\inout2.dll
C:\Documents and Settings\Administrator\Start Menu\Programs\Startup\RCX2.tmp

Threatexpert rapport:
http://www.threatexpert.com/report.a...e9bf85b0d305b4

Citera

2009-07-20, 22:34 #5

Medlem

Reg: Maj 2007

Inlägg: 242

Ohshit, detta var inte kul. Ser detta nu i Nortons historik. Ventrilomix.exe har modifierat ner.exe. Sedan har ner.exe gjort 4 ändringar i Windows startinställningar: inout2.dll , wince3.exe , rcx94.tmp (2 gånger där).
Hjälper en systemåterställning, och vad kommer att förloras förutan det som har hänt efter återställningspunkten?

Citera

2009-07-21, 05:57 #6

Medlem

Reg: Mar 2007

Inlägg: 12 238

och tankar man från brothersoft så följer det med en en fil som heter svchost.exe, jag har skickat båda filerna till avira, kaspersky och malwarebytes

Citera

2009-07-21, 11:12 #7

Medlem

Reg: Maj 2007

Inlägg: 242

Det är bra, såg i en annan tråd att någon hade skickat till avira också.

Citera

2009-07-21, 12:35 #8

Medlem

Reg: Aug 2003

Inlägg: 2 868

Jag skickade in ner.exe till F-secure igår och de detekterar den som Trojan:W32/Delf.DSU nu.

Citera

Misstänkt program, meddelande kommer upp

Skapa ett konto eller logga in för att kommentera

Skapa ett konto

Logga in