Just nu i M3-nätverket
Gå till innehåll

Pelirally

Rekommendera Poster

Hej.
Fick en rar fil på mailen.
Superantispyware tyckte den va grön men den visade sig innehålla en trojan.
Nu har varenda fil fått filnamnstillägget ,ljobxra
Då jag ändrar tillbaka till tex jpeg visas bilden normalt som miniatyr, men den går inte att öppna.
Detsamma för docx, txt mfl.
 

Win 7 Pro 64 ligger på SSD, C:
HDD D: hittas inte heller längre av enhetshanteraren eller partitionmanager, ej heller Z: som är en partition av D

Trodde jag var lite safe som sparat allt på D:

Blir lite orolig...

Vad att göra?

Länk till kommentar
Dela på andra webbplatser

Nu är jag riktigt olycklig.
Hela bildarkivet och vår ekonomiska redovisning i xls har blivit korrupt och går inte att öppna.
SSD C: ren från virus, tycker åtminstone SAS och RK.
HDD D: funnen men går inte att använda. Ej heller part Z: Bcp.
Både säkerhetskopia och återställningspunkter är förstörda.

Länk till kommentar
Dela på andra webbplatser

Det låter ju inte bra :(

 

Tyvärr är det ju svårt att veta vad du har råkat ut för med så lite information, det skulle kunna vara en sånt skadligt program som krypterar filer med tanke på din beskrivning även om jag inte vet om de brukar byta filändelser. Möjligen att det går att undersöka mer om man tar ut hårddisken och ansluter den till en annan dator som extradisk.

 

Jag tycker ju inte att man ska betala kriminella men de skadliga programmen som krypterar filer kommer att visa ett meddelande om att man kan betala en bra slant för att få dekrypteringsnyckeln. Det kanske först visas efter att man har startat om datorn eller efter något annat villkor, typ när allt har hunnit bli krypterat.

 

SuperAntiSpyware är ett antispionprogram. Vad är RK för program?

Länk till kommentar
Dela på andra webbplatser

Synd att du drabbats och speciellt med viktiga filer även bilder.

Googlat på detta, finns mycket som kan gå fel också.

Men att läsa gör ingen skada.

"virus krypterar filer"

Något liknade gammalt med andra filändelser som kan ha bytts ut mot ditt "ljobxra".

Måste du betala för lösenord, eller händer inget än att filerna har ändrats så de är låsta utan varning?

http://www.sweclockers.com/forum/52-nyhetskommentarer/1104939-ny-trojan-krypterar-filer-kraver-pengar-losenordet/

Tveksam om det bara skulle gå att backa en vecka som någon föreslår i felsäkert läge ovan?

http://blogg.tkj.se/cryptolocker/

http://se.pcthreat.com/parasitebyid-41051se.html

http://sakerhet.idg.se/2.1070/1.166629/allvarligt-virus-kidnappar-dina-filer


Finns även vissa förslag på vissa sidor men kan vara suspekta enligt mig och det kan bli värre :(

Länk till kommentar
Dela på andra webbplatser

Eftersom en systemåterställning inte rör ens egna filer så hjälper inte en sån i detta fall.

 

De där krypteringsprogrammen har ju kommit ut i flera varianter vid det här laget och blir allt värre för varje variant. En av de senare typerna kallas för CryptoWall. Om allt inte har blivit krypterat än och om det är CryptoWall kan Bitdefenders CryptoWall Vaccine hjälpa: http://labs.bitdefender.com/2014/12/bitdefender-offers-free-cryptowall-vaccine/

http://labs.bitdefender.com/projects/cryptowall-vaccine-2/bitdefender-offers-cryptowall-vaccine/

Länk till kommentar
Dela på andra webbplatser

Jag har inte gått online sen igår...har inte fått nåt erbjudande om "upplåsning".

RK = Rouge Killer 64

Det går inte backa en vecka - Både säkerhetskopia och återställningspunkter är förstörda.

Filerna som var nerpackade hette .CAB förklädd till screensaver och en vanlig .pdf

Länk till kommentar
Dela på andra webbplatser

Har du inget antivirusprogram installerat?

 

Liknar ju detta: http://www.bleepingcomputer.com/forums/t/563800/virus-renamed-and-encrypted-my-files/

och det är CTB-Locker, även kallad Critroni.

Kolla efter nya txt/html-filer i "Mina dokument" och/eller andra mappar med krypterade filer.

Beskrivs här: http://www.bleepingcomputer.com/virus-removal/ctb-locker-ransomware-information

och där finns två förslag som ibland tydligen kan återställa en del filer men då gäller det att krypteringsprogrammet är borta från datorn först eller blockerat.

Länk till kommentar
Dela på andra webbplatser

Den där  *:*.Rar filen startade väl inte själv, klickade du på något efter att den packades upp, bara för att varna andra så dom inte drabbas som du blev?

Den hade väl något namn innan?

Länk till kommentar
Dela på andra webbplatser

Jag har MS Security Essential.

Den meddelade ingenting.

Vid högerklick/sök med Superantispyware blev svaret ok. Så jag kollade på pdf:en.

Sen var det kört

Länk till kommentar
Dela på andra webbplatser

HDD - D: inte längre nåbar - betyder det att den krypterad?

 

RogueKiller V10.2.0.0 (x64) [Jan 19 2015] by Adlice Software
mail : http://www.adlice.com/contact/
Feedback : http://forum.adlice.com
Website : http://www.adlice.com/softwares/roguekiller/
Blog : http://www.adlice.com

Operating System : Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Started in : Normal mode
User : Pelirally [Administrator]
Mode : Scan -- Date : 01/29/2015  01:10:14

¤¤¤ Processes : 0 ¤¤¤

¤¤¤ Registry : 11 ¤¤¤
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Interfaces\{B2AFB2AD-4DD5-4062-BA26-D2AD851FC6C3} | DhcpNameServer : 172.20.10.1 [(Private Address) (XX)]  -> Found
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet001\Services\Tcpip\Parameters\Interfaces\{B2AFB2AD-4DD5-4062-BA26-D2AD851FC6C3} | DhcpNameServer : 172.20.10.1 [(Private Address) (XX)]  -> Found
[PUM.Dns] (X64) HKEY_LOCAL_MACHINE\System\ControlSet002\Services\Tcpip\Parameters\Interfaces\{B2AFB2AD-4DD5-4062-BA26-D2AD851FC6C3} | DhcpNameServer : 172.20.10.1 [(Private Address) (XX)]  -> Found
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-4056408683-279367234-2699016255-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> Found
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-4056408683-279367234-2699016255-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> Found
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-4056408683-279367234-2699016255-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> Found
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-4056408683-279367234-2699016255-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\ClassicStartMenu | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> Found
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-4056408683-279367234-2699016255-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> Found
[PUM.DesktopIcons] (X64) HKEY_USERS\S-1-5-21-4056408683-279367234-2699016255-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> Found
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-4056408683-279367234-2699016255-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {59031A47-3F72-44A7-89C5-5595FE6B30EE} : 1  -> Found
[PUM.DesktopIcons] (X86) HKEY_USERS\S-1-5-21-4056408683-279367234-2699016255-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel | {20D04FE0-3AEA-1069-A2D8-08002B30309D} : 1  -> Found

¤¤¤ Tasks : 1 ¤¤¤
[suspicious.Path] \\kneiyxc -- C:\Users\PELIRA~1\AppData\Local\Temp\oklelac.exe -> Found

¤¤¤ Files : 0 ¤¤¤

¤¤¤ Hosts File : 0 ¤¤¤

¤¤¤ Antirootkit : 0 (Driver: Loaded) ¤¤¤

¤¤¤ Web browsers : 0 ¤¤¤

¤¤¤ MBR Check : ¤¤¤
+++++ PhysicalDrive0: INTEL SSDSC2CW120A3 +++++
--- User ---
[MBR] 5ae70e95306adc2471a77c8f298817a6
[bSP] fdda2199d3d633fc8ea5dd8f4c78a197 : Windows Vista/7/8 MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x7) [VISIBLE] Offset (sectors): 2048 | Size: 100 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
1 - [XXXXXX] NTFS (0x7) [VISIBLE] Offset (sectors): 206848 | Size: 114371 MB [Windows Vista/7/8 Bootstrap | Windows Vista/7/8 Bootloader]
User = LL1 ... OK
User = LL2 ... OK

+++++ PhysicalDrive1: ST9750420AS +++++
--- User ---
[MBR] 0c1f905f671228e1415cfe17bd77a3bc
[bSP] 0d4c50f51bb62b1ea6453626d431d919 : Windows Vista/7/8 MBR Code
Partition table:
0 - [XXXXXX] LINUX-SWP (0x42) [VISIBLE] Offset (sectors): 63 | Size: 715403 MB
User = LL1 ... OK
User = LL2 ... OK


============================================

 

ComboFix 15-01-29.01 - Pelirally 2015-01-30  11:32:56.1.8 - x64
Microsoft Windows 7 Professional   6.1.7601.1.1252.46.1053.18.8085.6068 [GMT 1:00]
Körs från: c:\users\Pelirally\Downloads\ComboFix.exe
AV: Microsoft Security Essentials *Enabled/Updated* {4F35CFC4-45A3-FC37-EF17-759A02E39AB1}
SP: Microsoft Security Essentials *Enabled/Updated* {F4542E20-6399-F3B9-D5A7-4EE87964D00C}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
 * Skapade en ny återställningspunkt
.
.
((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\program files (x86)\Common Files\lpuninstall.exe
c:\programdata\ntuser.pol
c:\programdata\Roaming
c:\users\Pelirally\AppData\Roaming\Local
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\af_ZA\af_ZA.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\af_ZA\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ar_EG\ar_EG.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ar_EG\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ar_SA\ar_SA.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ar_SA\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\az_AZ\az_AZ.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\az_AZ\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\be_BY\be_BY.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\be_BY\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\bg_BG\bg_BG.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\bg_BG\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\bn_BD\bn_BD.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\bn_BD\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\bs_BA\bs_BA.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\bs_BA\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ca_ES\ca_ES.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ca_ES\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\cs_CZ\cs_CZ.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\cs_CZ\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\da_DK\da_DK.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\da_DK\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\de_DE\de_DE.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\de_DE\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\de_DE\messages.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\de_DE\wxstd.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\el_GR\el_GR.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\el_GR\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\en_AU\en_AU.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\en_AU\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\en_GB\en_GB.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\en_GB\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\en_US\en_US.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\en_US\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\eo_US\eo_US.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\eo_US\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\es_ES\es_ES.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\es_ES\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\es_MX\es_MX.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\es_MX\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\et_EE\et_EE.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\et_EE\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\fa_IR\fa_IR.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\fa_IR\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\fa_IR\messages.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\fi_FI\fi_FI.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\fi_FI\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\fo_FO\fo_FO.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\fo_FO\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\fr_CA\fr_CA.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\fr_CA\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\fr_FR\fr_FR.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\fr_FR\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\fr_FR\messages.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ga_IE\ga_IE.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ga_IE\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\gl_ES\gl_ES.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\gl_ES\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\gu_IN\gu_IN.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\gu_IN\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\he_IL\he_IL.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\he_IL\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\he_IL\messages.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\hi_IN\hi_IN.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\hi_IN\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\hr_HR\hr_HR.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\hr_HR\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\hu_HU\hu_HU.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\hu_HU\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\id_ID\id_ID.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\id_ID\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\is_IS\is_IS.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\is_IS\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\it_IT\it_IT.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\it_IT\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ja_JP\ja_JP.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ja_JP\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ka_GE\ka_GE.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ka_GE\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\kn_IN\kn_IN.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\kn_IN\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ko_KR\ko_KR.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ko_KR\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\lt_LT\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\lt_LT\lt_LT.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\lv_LV\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\lv_LV\lv_LV.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\mg_MG\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\mg_MG\mg_MG.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\mk_MK\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\mk_MK\mk_MK.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ml_IN\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ml_IN\ml_IN.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\mr_IN\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\mr_IN\mr_IN.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ms_MY\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ms_MY\ms_MY.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\nb_NO\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\nb_NO\nb_NO.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ne_NP\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ne_NP\ne_NP.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\nl_NL\junk.html
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\nl_NL\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\nl_NL\messages.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\nl_NL\nl_NL.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\nn_NO\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\nn_NO\nn_NO.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\pa_IN\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\pa_IN\pa_IN.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\pl_PL\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\pl_PL\pl_PL.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\pt_BR\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\pt_BR\pt_BR.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\pt_PT\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\pt_PT\pt_PT.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ro_RO\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ro_RO\ro_RO.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ru_RU\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ru_RU\ru_RU.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\si_LK\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\si_LK\si_LK.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\sk_SK\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\sk_SK\sk_SK.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\sl_SI\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\sl_SI\sl_SI.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\sq_AL\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\sq_AL\sq_AL.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\sr_RS\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\sr_RS\sr_RS.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\sv_SE\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\sv_SE\messages.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\sv_SE\sv_SE.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ta_IN\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ta_IN\ta_IN.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\th_TH\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\th_TH\th_TH.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\tl_PH\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\tl_PH\tl_PH.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\tr_TR\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\tr_TR\tr_TR.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\uk_UA\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\uk_UA\uk_UA.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ur_PK\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\ur_PK\ur_PK.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\vi_VN\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\vi_VN\vi_VN.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\zh_CN\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\zh_CN\zh_CN.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\zh_TW\lastpass.mo
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\languages\zh_TW\zh_TW.xpm
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\lp_languages.zip
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\nplastpass.dll
c:\users\Pelirally\AppData\Roaming\Local\Temp\lptmp\nplastpass64.dll
c:\windows\SysWow64\DEBUG.log
c:\windows\TEMP\ea61bc6a-15ba-440c-8065-d70e53d325ff\AgileDotNetRT64.dll
c:\windows\TEMP\fe783e8b-f0bc-4703-9683-464fedcba743\AgileDotNetRT64.dll
.
.
((((((((((((((((((((((((   Filer skapade från 2014-12-28 till 2015-01-30  ))))))))))))))))))))))))))))))
.
.
2015-01-30 10:35 . 2015-01-30 10:35    --------    d-----w-    c:\users\Default\AppData\Local\temp
2015-01-30 09:21 . 2015-01-30 09:21    75888    ----a-w-    c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{6840084B-391D-4CE9-A37C-9D0CB6998EFE}\offreg.dll
2015-01-30 08:59 . 2015-01-30 08:59    --------    d-----w-    c:\users\Pelirally\AppData\Roaming\Enigma Software Group
2015-01-30 08:59 . 2015-01-30 08:59    --------    d-----w-    C:\sh4ldr
2015-01-30 08:58 . 2015-01-30 08:58    22704    ----a-w-    c:\windows\system32\drivers\EsgScanner.sys
2015-01-30 08:58 . 2015-01-30 08:58    --------    d-----w-    c:\program files\Enigma Software Group
2015-01-30 08:49 . 2014-12-02 10:26    11870360    ----a-w-    c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{6840084B-391D-4CE9-A37C-9D0CB6998EFE}\mpengine.dll
2015-01-29 00:51 . 2014-12-02 10:26    11870360    ----a-w-    c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2015-01-24 19:59 . 2015-01-24 19:59    --------    d-----w-    c:\windows\SysWow64\NV
2015-01-24 19:59 . 2015-01-24 19:59    --------    d-----w-    c:\windows\system32\NV
2015-01-24 19:59 . 2015-01-24 19:59    --------    d-----w-    c:\programdata\NVIDIA
2015-01-24 19:22 . 2015-01-09 23:30    6860432    ----a-w-    c:\windows\system32\nvcpl.dll
2015-01-24 19:22 . 2015-01-09 23:30    3517256    ----a-w-    c:\windows\system32\nvsvc64.dll
2015-01-24 19:22 . 2015-01-09 23:29    935056    ----a-w-    c:\windows\system32\nvvsvc.exe
2015-01-24 19:22 . 2015-01-09 23:29    2558608    ----a-w-    c:\windows\system32\nvsvcr.dll
2015-01-24 19:22 . 2015-01-09 23:29    75080    ----a-w-    c:\windows\system32\nv3dappshextr.dll
2015-01-24 19:22 . 2015-01-09 23:29    62608    ----a-w-    c:\windows\system32\nvshext.dll
2015-01-24 19:22 . 2015-01-09 23:29    385352    ----a-w-    c:\windows\system32\nvmctray.dll
2015-01-24 19:22 . 2015-01-09 23:29    1097872    ----a-w-    c:\windows\system32\nv3dappshext.dll
2015-01-24 19:22 . 2015-01-09 19:47    4173527    ----a-w-    c:\windows\system32\nvcoproc.bin
2015-01-22 05:01 . 2014-09-10 15:30    1188440    ----a-w-    c:\programdata\Microsoft\Microsoft Antimalware\Definition Updates\{3F61C4F5-8944-4CE2-9C7F-611E65648690}\gapaengine.dll
2015-01-12 14:48 . 2015-01-12 14:48    --------    d-----w-    c:\windows\SysWow64\Adobe
2015-01-12 14:47 . 2015-01-12 14:47    --------    d-----w-    c:\program files (x86)\Common Files\Adobe
2015-01-12 14:47 . 2015-01-28 07:42    71344    ----a-w-    c:\windows\SysWow64\FlashPlayerCPLApp.cpl
2015-01-12 14:47 . 2015-01-28 07:42    701616    ----a-w-    c:\windows\SysWow64\FlashPlayerApp.exe
2015-01-12 14:46 . 2015-01-28 07:42    --------    d-----w-    c:\users\Pelirally\AppData\Local\Adobe
2015-01-12 14:45 . 2015-01-12 14:45    --------    d-----w-    c:\users\Pelirally\AppData\Local\Apple
2015-01-01 19:27 . 2015-01-01 19:27    48648    ----a-w-    c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup-2\Markup.dll
2015-01-01 19:27 . 2015-01-01 19:27    346960    ----a-w-    c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight-2\SpotlightResources.dll
.
.
.
(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2015-01-29 00:05 . 2014-12-17 15:18    37624    ----a-w-    c:\windows\system32\drivers\TrueSight.sys
2015-01-28 23:39 . 2014-11-17 16:51    129752    ----a-w-    c:\windows\system32\drivers\MBAMSwissArmy.sys
2015-01-16 06:41 . 2014-11-18 15:07    1316184    ----a-w-    c:\windows\SysWow64\nvspbridge.dll
2015-01-16 06:41 . 2014-11-18 15:07    1278920    ----a-w-    c:\windows\SysWow64\nvspcap.dll
2015-01-16 06:41 . 2014-11-18 15:07    1756424    ----a-w-    c:\windows\system32\nvspbridge64.dll
2015-01-16 06:41 . 2014-11-18 15:07    1514528    ----a-w-    c:\windows\system32\nvspcap64.dll
2015-01-15 18:16 . 2014-11-02 12:34    113365784    ----a-w-    c:\windows\system32\MRT.exe
2015-01-09 23:29 . 2015-01-24 19:22    935056    ----a-w-    c:\windows\system32\nvvsvc.exe
2015-01-08 13:44 . 2014-12-30 18:33    346960    ----a-w-    c:\programdata\Microsoft\eHome\Packages\MCESpotlight\MCESpotlight\SpotlightResources.dll
2015-01-07 18:38 . 2014-12-30 18:33    48648    ----a-w-    c:\programdata\Microsoft\eHome\Packages\MCEClientUX\UpdateableMarkup\Markup.dll
2014-12-31 11:14 . 2010-11-21 03:27    298120    ------w-    c:\windows\system32\MpSigStub.exe
2014-12-13 17:40 . 2014-12-13 17:40    98216    ----a-w-    c:\windows\SysWow64\WindowsAccessBridge-32.dll
2014-12-13 05:09 . 2014-12-19 13:58    144384    ----a-w-    c:\windows\system32\ieUnatt.exe
2014-12-13 03:33 . 2014-12-19 13:58    115712    ----a-w-    c:\windows\SysWow64\ieUnatt.exe
2014-11-27 01:43 . 2014-12-10 18:00    389296    ----a-w-    c:\windows\system32\iedkcs32.dll
2014-11-22 10:46 . 2014-12-17 17:59    38032    ----a-w-    c:\windows\system32\drivers\nvvad64v.sys
2014-11-22 10:46 . 2014-12-17 17:59    32400    ----a-w-    c:\windows\SysWow64\nvaudcap32v.dll
2014-11-22 10:46 . 2014-11-18 15:02    35472    ----a-w-    c:\windows\system32\nvaudcap64v.dll
2014-11-22 03:13 . 2014-12-10 18:00    25059840    ----a-w-    c:\windows\system32\mshtml.dll
2014-11-22 03:06 . 2014-12-10 18:00    2724864    ----a-w-    c:\windows\system32\mshtml.tlb
2014-11-22 03:06 . 2014-12-10 18:00    4096    ----a-w-    c:\windows\system32\ieetwcollectorres.dll
2014-11-22 02:50 . 2014-12-10 18:00    66560    ----a-w-    c:\windows\system32\iesetup.dll
2014-11-22 02:50 . 2014-12-10 18:00    580096    ----a-w-    c:\windows\system32\vbscript.dll
2014-11-22 02:49 . 2014-12-10 18:00    48640    ----a-w-    c:\windows\system32\ieetwproxystub.dll
2014-11-22 02:49 . 2014-12-10 18:00    2885120    ----a-w-    c:\windows\system32\iertutil.dll
2014-11-22 02:48 . 2014-12-10 18:00    88064    ----a-w-    c:\windows\system32\MshtmlDac.dll
2014-11-22 02:41 . 2014-12-10 18:00    54784    ----a-w-    c:\windows\system32\jsproxy.dll
2014-11-22 02:40 . 2014-12-10 18:00    34304    ----a-w-    c:\windows\system32\iernonce.dll
2014-11-22 02:37 . 2014-12-10 18:00    633856    ----a-w-    c:\windows\system32\ieui.dll
2014-11-22 02:35 . 2014-12-10 18:00    114688    ----a-w-    c:\windows\system32\ieetwcollector.exe
2014-11-22 02:34 . 2014-12-10 18:00    814080    ----a-w-    c:\windows\system32\jscript9diag.dll
2014-11-22 02:34 . 2014-12-10 18:00    6039552    ----a-w-    c:\windows\system32\jscript9.dll
2014-11-22 02:26 . 2014-12-10 18:00    968704    ----a-w-    c:\windows\system32\MsSpellCheckingFacility.exe
2014-11-22 02:22 . 2014-12-10 18:00    490496    ----a-w-    c:\windows\system32\dxtmsft.dll
2014-11-22 02:20 . 2014-12-10 18:00    2724864    ----a-w-    c:\windows\SysWow64\mshtml.tlb
2014-11-22 02:14 . 2014-12-10 18:00    77824    ----a-w-    c:\windows\system32\JavaScriptCollectionAgent.dll
2014-11-22 02:09 . 2014-12-10 18:00    199680    ----a-w-    c:\windows\system32\msrating.dll
2014-11-22 02:08 . 2014-12-10 18:00    92160    ----a-w-    c:\windows\system32\mshtmled.dll
2014-11-22 02:07 . 2014-12-10 18:00    501248    ----a-w-    c:\windows\SysWow64\vbscript.dll
2014-11-22 02:07 . 2014-12-10 18:00    62464    ----a-w-    c:\windows\SysWow64\iesetup.dll
2014-11-22 02:06 . 2014-12-10 18:00    47616    ----a-w-    c:\windows\SysWow64\ieetwproxystub.dll
2014-11-22 02:05 . 2014-12-10 18:00    64000    ----a-w-    c:\windows\SysWow64\MshtmlDac.dll
2014-11-22 02:05 . 2014-12-10 18:00    316928    ----a-w-    c:\windows\system32\dxtrans.dll
2014-11-22 01:54 . 2014-12-10 18:00    620032    ----a-w-    c:\windows\SysWow64\jscript9diag.dll
2014-11-22 01:49 . 2014-12-10 18:00    718848    ----a-w-    c:\windows\system32\ie4uinit.exe
2014-11-22 01:49 . 2014-12-10 18:00    800768    ----a-w-    c:\windows\system32\msfeeds.dll
2014-11-22 01:47 . 2014-12-10 18:00    1359360    ----a-w-    c:\windows\system32\mshtmlmedia.dll
2014-11-22 01:46 . 2014-12-10 18:00    2125312    ----a-w-    c:\windows\system32\inetcpl.cpl
2014-11-22 01:43 . 2014-12-10 18:00    14412800    ----a-w-    c:\windows\system32\ieframe.dll
2014-11-22 01:40 . 2014-12-10 18:00    60416    ----a-w-    c:\windows\SysWow64\JavaScriptCollectionAgent.dll
2014-11-22 01:29 . 2014-12-10 18:00    4299264    ----a-w-    c:\windows\SysWow64\jscript9.dll
2014-11-22 01:28 . 2014-12-10 18:00    2358272    ----a-w-    c:\windows\system32\wininet.dll
2014-11-22 01:22 . 2014-12-10 18:00    2052096    ----a-w-    c:\windows\SysWow64\inetcpl.cpl
2014-11-22 01:21 . 2014-12-10 18:00    1155072    ----a-w-    c:\windows\SysWow64\mshtmlmedia.dll
2014-11-22 01:15 . 2014-12-10 18:00    1548288    ----a-w-    c:\windows\system32\urlmon.dll
2014-11-22 01:03 . 2014-12-10 18:00    800768    ----a-w-    c:\windows\system32\ieapfltr.dll
2014-11-22 01:00 . 2014-12-10 18:00    1888256    ----a-w-    c:\windows\SysWow64\wininet.dll
2014-11-21 05:14 . 2014-11-02 18:05    63704    ----a-w-    c:\windows\system32\drivers\mwac.sys
2014-11-21 05:14 . 2014-11-02 18:05    93400    ----a-w-    c:\windows\system32\drivers\mbamchameleon.sys
2014-11-21 05:14 . 2014-11-02 18:05    25816    ----a-w-    c:\windows\system32\drivers\mbam.sys
2014-11-18 13:56 . 2014-11-18 13:56    1202848    ----a-w-    c:\windows\SysWow64\FM20.DLL
2014-11-11 03:09 . 2014-12-10 17:59    1424384    ----a-w-    c:\windows\system32\WindowsCodecs.dll
2014-11-11 03:08 . 2014-11-20 18:38    241152    ----a-w-    c:\windows\system32\pku2u.dll
2014-11-11 03:08 . 2014-11-20 18:38    728064    ----a-w-    c:\windows\system32\kerberos.dll
2014-11-11 02:44 . 2014-12-10 17:59    1230336    ----a-w-    c:\windows\SysWow64\WindowsCodecs.dll
2014-11-11 02:44 . 2014-11-20 18:38    186880    ----a-w-    c:\windows\SysWow64\pku2u.dll
2014-11-11 02:44 . 2014-11-20 18:38    550912    ----a-w-    c:\windows\SysWow64\kerberos.dll
2014-11-11 01:46 . 2014-12-10 17:59    119296    ----a-w-    c:\windows\system32\drivers\tdx.sys
2014-11-08 03:16 . 2014-12-10 17:59    2048    ----a-w-    c:\windows\system32\tzres.dll
2014-11-08 02:45 . 2014-12-10 17:59    2048    ----a-w-    c:\windows\SysWow64\tzres.dll
2014-11-02 13:14 . 2014-11-02 13:14    194048    ----a-w-    c:\windows\SysWow64\elshyph.dll
2014-11-02 13:14 . 2014-11-02 13:14    942592    ----a-w-    c:\windows\system32\jsIntl.dll
2014-11-02 13:14 . 2014-11-02 13:14    90112    ----a-w-    c:\windows\system32\SetIEInstalledDate.exe
2014-11-02 13:14 . 2014-11-02 13:14    86016    ----a-w-    c:\windows\SysWow64\iesysprep.dll
2014-11-02 13:14 . 2014-11-02 13:14    86016    ----a-w-    c:\windows\system32\RegisterIEPKEYs.exe
2014-11-02 13:14 . 2014-11-02 13:14    81408    ----a-w-    c:\windows\system32\icardie.dll
2014-11-02 13:14 . 2014-11-02 13:14    77312    ----a-w-    c:\windows\system32\tdc.ocx
2014-11-02 13:14 . 2014-11-02 13:14    74240    ----a-w-    c:\windows\SysWow64\SetIEInstalledDate.exe
2014-11-02 13:14 . 2014-11-02 13:14    71680    ----a-w-    c:\windows\SysWow64\RegisterIEPKEYs.exe
2014-11-02 13:14 . 2014-11-02 13:14    645120    ----a-w-    c:\windows\SysWow64\jsIntl.dll
2014-11-02 13:14 . 2014-11-02 13:14    62464    ----a-w-    c:\windows\SysWow64\tdc.ocx
2014-11-02 13:14 . 2014-11-02 13:14    616104    ----a-w-    c:\windows\system32\ieapfltr.dat
2014-11-02 13:14 . 2014-11-02 13:14    52224    ----a-w-    c:\windows\system32\msfeedsbs.dll
2014-11-02 13:14 . 2014-11-02 13:14    48640    ----a-w-    c:\windows\SysWow64\mshtmler.dll
2014-11-02 13:14 . 2014-11-02 13:14    48640    ----a-w-    c:\windows\system32\mshtmler.dll
2014-11-02 13:14 . 2014-11-02 13:14    413696    ----a-w-    c:\windows\system32\html.iec
2014-11-02 13:14 . 2014-11-02 13:14    36352    ----a-w-    c:\windows\SysWow64\imgutil.dll
2014-11-02 13:14 . 2014-11-02 13:14    337408    ----a-w-    c:\windows\SysWow64\html.iec
2014-11-02 13:14 . 2014-11-02 13:14    30208    ----a-w-    c:\windows\system32\licmgr10.dll
2014-11-02 13:14 . 2014-11-02 13:14    247808    ----a-w-    c:\windows\system32\msls31.dll
2014-11-02 13:14 . 2014-11-02 13:14    24576    ----a-w-    c:\windows\SysWow64\licmgr10.dll
2014-11-02 13:14 . 2014-11-02 13:14    243200    ----a-w-    c:\windows\system32\webcheck.dll
2014-11-02 13:14 . 2014-11-02 13:14    235520    ----a-w-    c:\windows\system32\url.dll
2014-11-02 13:14 . 2014-11-02 13:14    235008    ----a-w-    c:\windows\system32\elshyph.dll
2014-11-02 13:14 . 2014-11-02 13:14    182272    ----a-w-    c:\windows\SysWow64\msls31.dll
2014-11-02 13:14 . 2014-11-02 13:14    151552    ----a-w-    c:\windows\SysWow64\iexpress.exe
2014-11-02 13:14 . 2014-11-02 13:14    139264    ----a-w-    c:\windows\SysWow64\wextract.exe
2014-11-02 13:14 . 2014-11-02 13:14    13312    ----a-w-    c:\windows\SysWow64\mshta.exe
2014-11-02 13:14 . 2014-11-02 13:14    13312    ----a-w-    c:\windows\system32\msfeedssync.exe
2014-11-02 13:14 . 2014-11-02 13:14    131072    ----a-w-    c:\windows\system32\IEAdvpack.dll
.
.
(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Not* tomma poster & legitima standardposter visas inte.
REGEDIT4
.
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"iCloudServices"="c:\program files (x86)\Common Files\Apple\Internet Services\iCloudServices.exe" [2014-11-21 43816]
"Xmarks"="c:\program files (x86)\Xmarks\IE Extension\xmarkssync.exe" [2014-11-06 1178680]
"iCloudDrive"="c:\program files (x86)\Common Files\Apple\Internet Services\iCloudDrive.exe" [2014-11-21 43816]
"ApplePhotoStreams"="c:\program files (x86)\Common Files\Apple\Internet Services\ApplePhotoStreams.exe" [2014-11-21 43816]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run]
"USB3MON"="c:\program files (x86)\Intel\Intel® USB 3.0 eXtensible Host Controller Driver\Application\iusb3mon.exe" [2012-01-26 291608]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]
"ConsentPromptBehaviorUser"= 3 (0x3)
"EnableLUA"= 0 (0x0)
"EnableUIADesktopToggle"= 0 (0x0)
"PromptOnSecureDesktop"= 0 (0x0)
.
[HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\windows]
"LoadAppInit_DLLs"=1 (0x1)
"AppInit_DLLs"=c:\windows\SysWOW64\nvinit.dll
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\!SASCORE]
@=""
.
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MsMpSvc]
@="Service"
.
R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [x]
R2 Garmin Core Update Service;Garmin Core Update Service;c:\program files (x86)\Garmin\Core Update Service\Garmin.Cartography.MapUpdate.CoreService.exe;c:\program files (x86)\Garmin\Core Update Service\Garmin.Cartography.MapUpdate.CoreService.exe [x]
R3 AMPPALP;Intel® Centrino® Wireless Bluetooth® 3.0 + High Speed-protokoll;c:\windows\system32\DRIVERS\amppal.sys;c:\windows\SYSNATIVE\DRIVERS\amppal.sys [x]
R3 btmaux;Intel Bluetooth Auxiliary Service;c:\windows\system32\DRIVERS\btmaux.sys;c:\windows\SYSNATIVE\DRIVERS\btmaux.sys [x]
R3 btmhsf;btmhsf;c:\windows\system32\DRIVERS\btmhsf.sys;c:\windows\SYSNATIVE\DRIVERS\btmhsf.sys [x]
R3 dmvsc;dmvsc;c:\windows\system32\drivers\dmvsc.sys;c:\windows\SYSNATIVE\drivers\dmvsc.sys [x]
R3 EsgScanner;EsgScanner;c:\windows\system32\DRIVERS\EsgScanner.sys;c:\windows\SYSNATIVE\DRIVERS\EsgScanner.sys [x]
R3 ibtfltcoex;ibtfltcoex;c:\windows\system32\DRIVERS\iBtFltCoex.sys;c:\windows\SYSNATIVE\DRIVERS\iBtFltCoex.sys [x]
R3 IEEtwCollectorService;Internet Explorer ETW Collector Service;c:\windows\system32\IEEtwCollector.exe;c:\windows\SYSNATIVE\IEEtwCollector.exe [x]
R3 intaud_WaveExtensible;Intel WiDi Audio Device;c:\windows\system32\drivers\intelaud.sys;c:\windows\SYSNATIVE\drivers\intelaud.sys [x]
R3 MyWiFiDHCPDNS;Wireless PAN DHCP Server;c:\program files\Intel\WiFi\bin\PanDhcpDns.exe;c:\program files\Intel\WiFi\bin\PanDhcpDns.exe [x]
R3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\DRIVERS\netaapl64.sys;c:\windows\SYSNATIVE\DRIVERS\netaapl64.sys [x]
R3 NisDrv;Microsoft Network Inspection System;c:\windows\system32\DRIVERS\NisDrvWFP.sys;c:\windows\SYSNATIVE\DRIVERS\NisDrvWFP.sys [x]
R3 NisSrv;Microsoft Nätverkskontroll;c:\program files\Microsoft Security Client\NisSrv.exe;c:\program files\Microsoft Security Client\NisSrv.exe [x]
R3 RdpVideoMiniport;Remote Desktop Video Miniport Driver;c:\windows\system32\drivers\rdpvideominiport.sys;c:\windows\SYSNATIVE\drivers\rdpvideominiport.sys [x]
R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys;c:\windows\SYSNATIVE\drivers\tsusbflt.sys [x]
R3 TsUsbGD;Remote Desktop Generic USB Device;c:\windows\system32\drivers\TsUsbGD.sys;c:\windows\SYSNATIVE\drivers\TsUsbGD.sys [x]
R3 USBAAPL64;Apple Mobile USB Driver;c:\windows\system32\Drivers\usbaapl64.sys;c:\windows\SYSNATIVE\Drivers\usbaapl64.sys [x]
R3 WatAdminSvc;Aktiveringsteknologier för Windows-tjänst;c:\windows\system32\Wat\WatAdminSvc.exe;c:\windows\SYSNATIVE\Wat\WatAdminSvc.exe [x]
S0 iusb3hcs;Switchdrivrutin för Intel® USB 3.0 Värdstyrenhet;c:\windows\system32\DRIVERS\iusb3hcs.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3hcs.sys [x]
S0 nvpciflt;nvpciflt;c:\windows\system32\DRIVERS\nvpciflt.sys;c:\windows\SYSNATIVE\DRIVERS\nvpciflt.sys [x]
S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys;c:\windows\SYSNATIVE\DRIVERS\dtsoftbus01.sys [x]
S1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\SASDIFSV64.SYS;c:\program files\SUPERAntiSpyware\SASDIFSV64.SYS [x]
S1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL64.SYS;c:\program files\SUPERAntiSpyware\SASKUTIL64.SYS [x]
S2 !SASCORE;SAS Core Service;c:\program files\SUPERAntiSpyware\SASCORE64.EXE;c:\program files\SUPERAntiSpyware\SASCORE64.EXE [x]
S2 AMPPALR3;Intel® Centrino® Wireless Bluetooth® 3.0 + High Speed Service;c:\program files\Intel\BluetoothHS\BTHSAmpPalService.exe;c:\program files\Intel\BluetoothHS\BTHSAmpPalService.exe [x]
S2 Bluetooth Device Monitor;Bluetooth Device Monitor;c:\program files (x86)\Intel\Bluetooth\devmonsrv.exe;c:\program files (x86)\Intel\Bluetooth\devmonsrv.exe [x]
S2 Bluetooth OBEX Service;Bluetooth OBEX Service;c:\program files (x86)\Intel\Bluetooth\obexsrv.exe;c:\program files (x86)\Intel\Bluetooth\obexsrv.exe [x]
S2 BTHSSecurityMgr;Intel® Centrino® Wireless Bluetooth® 3.0 + High Speed Security Service;c:\program files\Intel\BluetoothHS\BTHSSecurityMgr.exe;c:\program files\Intel\BluetoothHS\BTHSSecurityMgr.exe [x]
S2 GfExperienceService;NVIDIA GeForce Experience Service;c:\program files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe;c:\program files\NVIDIA Corporation\GeForce Experience Service\GfExperienceService.exe [x]
S2 IAStorDataMgrSvc;Intel® Rapid Storage Technology;c:\program files (x86)\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe;c:\program files (x86)\Intel\Intel® Rapid Storage Technology\IAStorDataMgrSvc.exe [x]
S2 igfxCUIService1.0.0.0;Intel® HD Graphics Control Panel Service;c:\windows\system32\igfxCUIService.exe;c:\windows\SYSNATIVE\igfxCUIService.exe [x]
S2 Intel® Capability Licensing Service Interface;Intel® Capability Licensing Service Interface;c:\program files\Intel\iCLS Client\HeciServer.exe;c:\program files\Intel\iCLS Client\HeciServer.exe [x]
S2 Intel® ME Service;Intel® ME Service;c:\program files (x86)\Intel\Intel® Management Engine Components\FWService\IntelMeFWService.exe;c:\program files (x86)\Intel\Intel® Management Engine Components\FWService\IntelMeFWService.exe [x]
S2 jhi_service;Intel® Dynamic Application Loader Host Interface Service;c:\program files (x86)\Intel\Intel® Management Engine Components\DAL\jhi_service.exe;c:\program files (x86)\Intel\Intel® Management Engine Components\DAL\jhi_service.exe [x]
S2 NovaPdfServer;novaPDF Server;c:\program files\Softland\novaPDF 8\Server\novapdfs.exe;c:\program files\Softland\novaPDF 8\Server\novapdfs.exe [x]
S2 NvNetworkService;NVIDIA Network Service;c:\program files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe;c:\program files (x86)\NVIDIA Corporation\NetService\NvNetworkService.exe [x]
S2 NvStreamSvc;NVIDIA Streamer Service;c:\program files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe;c:\program files\NVIDIA Corporation\NvStreamSrv\nvstreamsvc.exe [x]
S2 PowerBiosServer;PowerBiosServer;c:\program files (x86)\Hotkey\PowerBiosServer.exe;c:\program files (x86)\Hotkey\PowerBiosServer.exe [x]
S2 SpyHunter 4 Service;SpyHunter 4 Service;c:\program files\Enigma Software Group\SpyHunter\SH4Service.exe;c:\program files\Enigma Software Group\SpyHunter\SH4Service.exe [x]
S2 TeamViewer9;TeamViewer 9;c:\program files (x86)\TeamViewer\Version9\TeamViewer_Service.exe;c:\program files (x86)\TeamViewer\Version9\TeamViewer_Service.exe [x]
S2 UNS;Intel® Management and Security Application User Notification Service;c:\program files (x86)\Intel\Intel® Management Engine Components\UNS\UNS.exe;c:\program files (x86)\Intel\Intel® Management Engine Components\UNS\UNS.exe [x]
S2 VIAKaraokeService;VIA Karaoke digital mixer Service;c:\windows\system32\viakaraokesrv.exe;c:\windows\SYSNATIVE\viakaraokesrv.exe [x]
S2 ZeroConfigService;Intel® PROSet/Wireless Zero Configuration Service;c:\program files\Intel\WiFi\bin\ZeroConfigService.exe;c:\program files\Intel\WiFi\bin\ZeroConfigService.exe [x]
S3 AMPPAL;Intel® Centrino® Wireless Bluetooth® 3.0 + High Speed Virtuellt kort;c:\windows\system32\DRIVERS\AMPPAL.sys;c:\windows\SYSNATIVE\DRIVERS\AMPPAL.sys [x]
S3 Bluetooth Media Service;Bluetooth Media Service;c:\program files (x86)\Intel\Bluetooth\mediasrv.exe;c:\program files (x86)\Intel\Bluetooth\mediasrv.exe [x]
S3 esgiguard;esgiguard;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys;c:\program files\Enigma Software Group\SpyHunter\esgiguard.sys [x]
S3 ETD;ELAN PS/2 Port Input Device;c:\windows\system32\DRIVERS\ETD.sys;c:\windows\SYSNATIVE\DRIVERS\ETD.sys [x]
S3 IntcDAud;Intel® Bildskärmsljud;c:\windows\system32\DRIVERS\IntcDAud.sys;c:\windows\SYSNATIVE\DRIVERS\IntcDAud.sys [x]
S3 iusb3hub;Drivrutin för Intel® USB 3.0 Nav;c:\windows\system32\DRIVERS\iusb3hub.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3hub.sys [x]
S3 iusb3xhc;Drivrutin för Intel® USB 3.0 Utbyggbar värdstyrenhet;c:\windows\system32\DRIVERS\iusb3xhc.sys;c:\windows\SYSNATIVE\DRIVERS\iusb3xhc.sys [x]
S3 iwdbus;IWD Bus Enumerator;c:\windows\system32\DRIVERS\iwdbus.sys;c:\windows\SYSNATIVE\DRIVERS\iwdbus.sys [x]
S3 NvStreamKms;NvStreamKms;c:\program files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys;c:\program files\NVIDIA Corporation\NvStreamSrv\NvStreamKms.sys [x]
S3 nvvad_WaveExtensible;NVIDIA Virtual Audio Device (Wave Extensible) (WDM);c:\windows\system32\drivers\nvvad64v.sys;c:\windows\SYSNATIVE\drivers\nvvad64v.sys [x]
S3 RSBASTOR;Realtek PCIE CardReader Driver - BA;c:\windows\system32\DRIVERS\RtsBaStor.sys;c:\windows\SYSNATIVE\DRIVERS\RtsBaStor.sys [x]
S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys;c:\windows\SYSNATIVE\DRIVERS\Rt64win7.sys [x]
S3 VIAHdAudAddService;VIA High Definition Audio Driver Service;c:\windows\system32\drivers\viahduaa.sys;c:\windows\SYSNATIVE\drivers\viahduaa.sys [x]
S3 VMfilt;VMfilt;c:\windows\system32\drivers\VMfilt64.sys;c:\windows\SYSNATIVE\drivers\VMfilt64.sys [x]
.
.
--- Övriga tjänster/drivrutiner i minnet ---
.
*NewlyCreated* - ESGIGUARD
*NewlyCreated* - ESGSCANNER
.
Innehåll i mappen 'Schemalagda aktiviteter':
.
2015-01-30 c:\windows\Tasks\HP Photo Creations Communicator.job
- c:\programdata\HP Photo Creations\Communicator.exe [2011-02-21 10:11]
.
2015-01-30 c:\windows\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d-Logon.job
- c:\program files (x86)\Intel\Intel® ME FW Recovery Agent\bin\Bootstrap.exe [2011-11-25 12:41]
.
2015-01-28 c:\windows\Tasks\ISM-UpdateService-4e00205a-2ab1-4423-8f77-cc25b82cde1d.job
- c:\program files (x86)\Intel\Intel® ME FW Recovery Agent\bin\Bootstrap.exe [2011-11-25 12:41]
.
.
--------- X64 Entries -----------
.
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSC"="c:\program files\Microsoft Security Client\msseces.exe" [2014-08-22 1331288]
"CECAPLF"="c:\program files (x86)\ChiconyCam\CECAPLF.exe" [2011-07-06 121456]
"BTMTrayAgent"="c:\program files (x86)\Intel\Bluetooth\btmshell.dll" [2011-12-19 11406608]
"NvBackend"="c:\program files (x86)\NVIDIA Corporation\Update Core\NvBackend.exe" [2015-01-16 2585928]
"ShadowPlay"="c:\windows\system32\nvspcap64.dll" [2015-01-16 1514528]
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=c:\windows\System32\nvinitx.dll
.
------- Extra genomsökning -------
.
uLocal Page = c:\windows\system32\blank.htm
mLocal Page = c:\windows\SysWOW64\blank.htm
uInternet Settings,ProxyOverride = *.local
IE: E&xportera till Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000
IE: LastPass - file://c:\users\Pelirally\AppData\LocalLow\LastPass\context.html?cmd=lastpass
IE: LastPass-formulärifyllning - file://c:\users\Pelirally\AppData\LocalLow\LastPass\context.html?cmd=fillforms
TCP: DhcpNameServer = 192.168.1.1 192.168.1.1
FF - ProfilePath - c:\users\Pelirally\AppData\Roaming\Mozilla\Firefox\Profiles\3ejf8p64.default\
.
- - - - FÖRÄLDRALÖSA POSTER SOM TAGITS BORT - - - -
.
Wow6432Node-HKLM-Run-<NO NAME> - (no file)
HKLM-Run-ETDCtrl - c:\program files (x86)\Elantech\ETDCtrl.exe
.
.
.
--------------------- LÅSTA REGISTERNYCKLAR ---------------------
.
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Control\PCW\Security]
@Denied: (Full) (Everyone)
.
Sluttid: 2015-01-30  11:36:41
ComboFix-quarantined-files.txt  2015-01-30 10:36
.
Före genomsökningen: 47 257 645 056 byte ledigt
Efter genomsökningen: 47 988 174 848 byte ledigt
.
- - End Of File - - 853519AC4D6E64CAF21FFDA3C9AC21C5

 


============================================


RKreport_DEL_12172014_162723.log - RKreport_DEL_12172014_162736.log - RKreport_SCN_12172014_162543.logpost-49900-0-80483000-1422608786_thumb.jpg

post-49900-0-59175000-1422609414_thumb.jpg

Länk till kommentar
Dela på andra webbplatser

Så PDF filen startade programmet som förstörde dina filer?

Den kanske använde . Cab filen med?

 

Fanns ju något för en 14 år sen med liknande virus i PDF:er?

 

Oavsett väldigt tråkigt att det hände, varför kan dessa gubbar inte använda sin kapacitet till vettigare saker.

 

http://security.stackexchange.com/questions/8113/how-to-inject-executable-malicious-code-into-pdf-jpeg-mp3-etc

 

http://www.zdnet.com/article/the-real-dangers-of-pdf-executable-trickery/

Länk till kommentar
Dela på andra webbplatser

Vi lägger detta bakom oss nu.

Håller på med en ren ominstallation nu av Win7Pro64.

Det jävligaste är att det förefaller som om den sekundära HDD'n är stekt.

Hittas ej i BIOS

Länk till kommentar
Dela på andra webbplatser

Windows.old får du bort med diskrensningsprogrammet, men var säker på att det inte finns något viktigt där först.

 

Har du möjlighet att flytta över D-hårddisken till en annan dator?

Eller i alla fall dra ut kablarna till den och sätta tillbaks dem för att utesluta att det beror på glapp i kontakterna.

Länk till kommentar
Dela på andra webbplatser

Win.old bort med diskrens - oki

Filerna på D: var verkligen svårt krypterade.
Med random nycklar. Ibland windings, ibland unicode, ibland kinesiska tecken.
Märkligt nog skonades filmfiler, mp4, avi, divx, mkv.
D: är nu formaterad och fungerar klanderfritt i normalt läge.

Jag lyckades skapa en .pst från Outlook i felsäkert läge, kanske jag lyckas återskapa mapparna i mailen, eller så säger importverktyget att filen är av fel format.
Det visar sej imorrn...





 

Länk till kommentar
Dela på andra webbplatser

Verkligen tråkigt det du har råkat ut för  :thumbsdown:

 

Om du vill ha tips på antivirus- och backup-program så har vi en del sådana trådar.

Länk till kommentar
Dela på andra webbplatser

Pst:n fungerade - jag är med Outlook igen :)
Ca 5400 filer förstörda - 4200 hade jag på extern LaCie
1200 borta för ALLTID :thumbsdown:
Men nu lärde vi oss nåt.
En bcp är ingen bcp förrns den lämnat rummet...

Tack Vedex & Cecilia för uppmuntran och goda råd :thumbsup:


 

Länk till kommentar
Dela på andra webbplatser

Vad bra att du fick ordning på .pst-filen och så stor andel av de andra filerna i alla fall :)

 

Bara tråkigt att vi inte kunde hjälpa dig mer.

Länk till kommentar
Dela på andra webbplatser

Men nu lärde vi oss nåt.

En bcp är ingen bcp förrns den lämnat rummet

 

Om jag förstått det rätt kan man inte ha en extern disk för backup inkopplad hela tiden utan bara vid backuparbetet?

 

Extern disk med inbyggt backupprogram är alltså en stor risk?

Länk till kommentar
Dela på andra webbplatser

Dessa skadliga program som krypterar filer för att sen begära en lösensumma krypterar alla filer som de kommer åt. För närvarande har jag uppfattat det som att det är filer med vissa filändelser som ligger på enheter som har en enhetsbokstav och det spelar ingen om det är en hårddisk som finns inuti datorn (inkl. synkroniseringsmappar), är ansluten via USB eller ligger i en NAS mm.

 

Däremot är ju risken för att man råkar ut ett sånt skadligt program liten, men de ställer till stor skada när det händer.

Länk till kommentar
Dela på andra webbplatser

Extern disk med inbyggt backupprogram är alltså en stor risk?

Jag menar att ha en extern disk inkopplad hela tiden kan bli krypterad via ett virus som "jobxra"

 

Skulle det gjort någon skillnad att vara inloggad som användare i stället för admin, eller hade det blivit samma skada?

Länk till kommentar
Dela på andra webbplatser

Skulle det gjort någon skillnad att vara inloggad som användare i stället för admin, eller hade det blivit samma skada?

Jag tror det skulle blivit samma skada eftersom det är just ens egna filer som man kommer oavsett kontotyp som blir krypterade. Det vore en annan sak om det skulle ha varit systemfiler som krypterades.
Länk till kommentar
Dela på andra webbplatser

Jag tror det skulle blivit samma skada eftersom det är just ens egna filer som man kommer oavsett kontotyp som blir krypterade. Det vore en annan sak om det skulle ha varit systemfiler som krypterades.

Precis, en 7/24 inkopplad extern HDD för bcp är lika sårbar som en inbyggd HDD.

Det verkade som om viruset sa: kryptera filer *doc**xls**pdf**jpg**txt* osv på enheterna D:-Z:

För inget på C: krypterades utom Restore och Recovery.

Antagligen för att windows skulle funka hjälpligt så de kunde skicka ransom-krav - men nåt sådant erbjudande hann jag aldrig få.

Webhotellet xxx tog tacksamt emot det smittade mailet för att se över sitt virusfilter.

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.



×
×
  • Skapa nytt...