[TomaytoTomaato]

För några veckor sedan så fick jag virus på vår familjedator. Det fanns fyra konton, varav mitt var det enda påverkade. Det som hände var att det helt plötsligt poppade upp det där fönstret som ber om administratörsbegäran. Jag klickade avbryt då jag inte skulle ladda ner något eller starta något program, och då flera sådana fönster öppnats. Det öppnades också ett program som hette Security Suite demo vilket gjorde en ''scanning'' och öppnade en explorer sida (jag använder firefox). Det fanns också ett liknande program som kallades malware bytes-nånting. Det fanns två tre ikoner i ikonfältet nere i höger (det var virusprogramen) och de spammande massa varningar som såg ut som windows. Dock visade ju pratbubblan att så inte var fallet.

Hur jag fick det vet jag inte, kanske från TPB, men vi har ett säkerhetspaket från com hem som ska skydda mot virus så man slipper använda anti-virus program (min mamma e inte bästis med datorer -.-), men tydligen fungerar inte det. I alla fall så ringde vi com hem som inte sa mer än att man kanske kunde radera kontot (inte mycket till expertis där inte). Jag gjorde dock som dem sa och skapade ett nytt konto. Men det gick åt pipan igen så jag fick radera det med. Nu laddade jag ner superantivirus och körde det, vilket hittade rätt mycket skräp. Jag lät det fixa problemen, och gjorde ett nytt konto. Nu fungerade det, dvs viruset syntes inte till.

Men nu i kväll så poppade genast samma grejer upp igen:

Först kommer ett meddelande om att omenacsxrw.exe är infekterad. Sedan står det ett ''windows'' (viruset) meddelande att ''4929050.exe har slutat fungera''
Härnäst vill kommandotolken ha administratörsbehörighet, vilket jag inte ger den. Då kommer två nya, likadana förfrågningar upp.
Sen öppnas Security Suite demo som gör sin scan och öppnar explorer.
Ett meddelande öppnas: The file wltuser.exe is infected (virusets anti-virus program).

Inget malware bytes program öppnades den här gången, eller hann i alla fall inte öppnas.

Vadd är det som har hänt och vad ska jag göra?

[Mats H]

Hej,
starta datorn i Fel/Säkert läge, tryck F8 upprepade gånger under datorns uppstart, välj Fel/Säkert med nätverk.
Installera Malwarebytes' Anti-Malware och kör en snabbskanner.
Återkom logg från skanningen, hittas under fliken loggar, om du missar den när den hoppar upp.
Malwarebytes kan be dig starta om datorn för att ta bort infektioner, gör då det.
Återkom om det inte går att installera eller köra Malwarebytes.
Mvh
Mats H

[TomaytoTomaato]

okej jag har gjort som du sa och det här är resulatet. Efter att den skannat klart fick jag rapporten:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Databasversion: 4495

Windows 6.0.6000 (Safe Mode)
Internet Explorer 7.0.6000.17037

2010-08-28 22:25:13
mbam-log-2010-08-28 (22-25-13).txt

Skanningstyp: Snabbskanning
Antal skannade objekt: 154014
Förfluten tid: 6 minut(er), 41 sekund(er)

Infekterade minnesprocesser: 0
Infekterade minnesmoduler: 0
Infekterade registernycklar: 0
Infekterade registervärden: 0
Infekterade registerdataposter: 0
Infekterade mappar: 1
Infekterade filer: 27

Infekterade minnesprocesser:
(Inga illasinnade poster hittades)

Infekterade minnesmoduler:
(Inga illasinnade poster hittades)

Infekterade registernycklar:
(Inga illasinnade poster hittades)

Infekterade registervärden:
(Inga illasinnade poster hittades)

Infekterade registerdataposter:
(Inga illasinnade poster hittades)

Infekterade mappar:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> No action taken.

Infekterade filer:
C:\Users\Isaac\AppData\Roaming\ohydy.exe (Worm.Palevo) -> No action taken.
C:\Users\Isaac\AppData\Local\Temp\35046.exe (Backdoor.Agent) -> No action taken.
C:\Users\Isaac\AppData\Local\Temp\692866.exe (Backdoor.Agent) -> No action taken.
C:\Users\Isaac\AppData\Local\Temp\7680740.exe (Trojan.Agent) -> No action taken.
C:\Users\Isaac\AppData\Local\Temp\hcnc.exe (Worm.Palevo) -> No action taken.
C:\Users\Isaac\AppData\Local\Temp\llipk.exe (Worm.Palevo) -> No action taken.
C:\Users\Isaac\AppData\Local\Temp\mwcsnxaoer.exe (Trojan.Dropper) -> No action taken.
C:\Users\Isaac\AppData\Local\Temp\nlweuqi.exe (Malware.Packer.Gen) -> No action taken.
C:\Users\Isaac\AppData\Local\Temp\nomcxawesr.exe (Trojan.Dropper) -> No action taken.
C:\Users\Isaac\AppData\Local\Temp\otnnhn.exe (Malware.Packer.Gen) -> No action taken.
C:\Users\Isaac\AppData\Local\Temp\ukdoi.exe (Adware.BHO) -> No action taken.
C:\Users\Isaac\AppData\Local\Temp\xjhjqiu.exe (Adware.BHO) -> No action taken.
C:\Users\Sven\AppData\Local\Temp\30349.exe (Trojan.Backdoor) -> No action taken.
C:\Users\Sven\AppData\Local\Temp\4929050.exe (Backdoor.Agent) -> No action taken.
C:\Users\Sven\AppData\Local\Temp\aemrncowxs.exe (Adware.BHO) -> No action taken.
C:\Users\Sven\AppData\Local\Temp\Bdh.exe (Trojan.Downloader) -> No action taken.
C:\Users\Sven\AppData\Local\Temp\Bdi.exe (Trojan.Downloader) -> No action taken.
C:\Users\Sven\AppData\Local\Temp\nlweuqi.exe (Trojan.Agent) -> No action taken.
C:\Users\Sven\AppData\Local\Temp\omenacsxrw.exe (Rootkit.Dropper) -> No action taken.
C:\Users\Sven\AppData\Local\Temp\onwmracxes.exe (Malware.Packer.Gen) -> No action taken.
C:\Users\Sven\AppData\Local\Temp\ybsidifk.exe (Trojan.Agent) -> No action taken.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> No action taken.
C:\Users\Sven\AppData\Roaming\ohydy.exe (Worm.Palevo) -> No action taken.
C:\Users\Isaac\Local Settings\Application Data\Windows Server\admin.txt (Malware.Trace) -> No action taken.
C:\Users\Sven\Local Settings\Application Data\Windows Server\admin.txt (Malware.Trace) -> No action taken.
C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> No action taken.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> No action taken.





Efter att ha tagit bort dem med programmet så fick jag denna rapport:
Malwarebytes' Anti-Malware 1.46
www.malwarebytes.org

Databasversion: 4495

Windows 6.0.6000 (Safe Mode)
Internet Explorer 7.0.6000.17037

2010-08-28 22:26:02
mbam-log-2010-08-28 (22-26-02).txt

Skanningstyp: Snabbskanning
Antal skannade objekt: 154014
Förfluten tid: 6 minut(er), 41 sekund(er)

Infekterade minnesprocesser: 0
Infekterade minnesmoduler: 0
Infekterade registernycklar: 0
Infekterade registervärden: 0
Infekterade registerdataposter: 0
Infekterade mappar: 1
Infekterade filer: 27

Infekterade minnesprocesser:
(Inga illasinnade poster hittades)

Infekterade minnesmoduler:
(Inga illasinnade poster hittades)

Infekterade registernycklar:
(Inga illasinnade poster hittades)

Infekterade registervärden:
(Inga illasinnade poster hittades)

Infekterade registerdataposter:
(Inga illasinnade poster hittades)

Infekterade mappar:
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811 (Trojan.Agent) -> Quarantined and deleted successfully.

Infekterade filer:
C:\Users\Isaac\AppData\Roaming\ohydy.exe (Worm.Palevo) -> Quarantined and deleted successfully.
C:\Users\Isaac\AppData\Local\Temp\35046.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
C:\Users\Isaac\AppData\Local\Temp\692866.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
C:\Users\Isaac\AppData\Local\Temp\7680740.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Isaac\AppData\Local\Temp\hcnc.exe (Worm.Palevo) -> Quarantined and deleted successfully.
C:\Users\Isaac\AppData\Local\Temp\llipk.exe (Worm.Palevo) -> Quarantined and deleted successfully.
C:\Users\Isaac\AppData\Local\Temp\mwcsnxaoer.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\Isaac\AppData\Local\Temp\nlweuqi.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\Isaac\AppData\Local\Temp\nomcxawesr.exe (Trojan.Dropper) -> Quarantined and deleted successfully.
C:\Users\Isaac\AppData\Local\Temp\otnnhn.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\Isaac\AppData\Local\Temp\ukdoi.exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Users\Isaac\AppData\Local\Temp\xjhjqiu.exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Users\Sven\AppData\Local\Temp\30349.exe (Trojan.Backdoor) -> Quarantined and deleted successfully.
C:\Users\Sven\AppData\Local\Temp\4929050.exe (Backdoor.Agent) -> Quarantined and deleted successfully.
C:\Users\Sven\AppData\Local\Temp\aemrncowxs.exe (Adware.BHO) -> Quarantined and deleted successfully.
C:\Users\Sven\AppData\Local\Temp\Bdh.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Sven\AppData\Local\Temp\Bdi.exe (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Users\Sven\AppData\Local\Temp\nlweuqi.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Sven\AppData\Local\Temp\omenacsxrw.exe (Rootkit.Dropper) -> Quarantined and deleted successfully.
C:\Users\Sven\AppData\Local\Temp\onwmracxes.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.
C:\Users\Sven\AppData\Local\Temp\ybsidifk.exe (Trojan.Agent) -> Quarantined and deleted successfully.
C:\RECYCLER\S-1-5-21-0243936033-3052116371-381863308-1811\Desktop.ini (Trojan.Agent) -> Quarantined and deleted successfully.
C:\Users\Sven\AppData\Roaming\ohydy.exe (Worm.Palevo) -> Delete on reboot.
C:\Users\Isaac\Local Settings\Application Data\Windows Server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\Users\Sven\Local Settings\Application Data\Windows Server\admin.txt (Malware.Trace) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{22116563-108C-42c0-A7CE-60161B75E508}.job (Trojan.Downloader) -> Quarantined and deleted successfully.
C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

E det till nån hjälp?

[Mats H]

Hej,
utmärkt, kan du nu köra en DDS?
Se till att du är inloggad som adminstratör.

Klistra in loggen/resultatet från programmet DDS. Spara DDS på Skrivbordet.
http://download.blee...om/sUBs/dds.scr
Starta programmet genom att dubbelklicka på det.
Tryck Yes/Ja om frågan om Optional Scan dyker upp.
I ditt svar klistrar du in loggen DSS.txt. Medan du bifogar Attach.txt som en fil.

DDS är ett program som listar processer som kör, program och tjänster som startas automatiskt samt filer i sådana mappar som är vanliga att skadliga program och som är nya eller ändrade under senaste 1-3 månader. DDS är ett mycket vanligt program bland oss som hjälper till att rensa datorer. Resultatet ger oss en grundläggande kunskap om vad som händer och har hänt nyligen i datorn, och från det kan vi dra slutsatser om vad som är nästa lämpliga steg i rensningen av datorn.

Obs! När du klistrar in en logg eller ett resultat i ditt inlägg använd inga knappar eller taggar utan kopiera det i programmet (oftast Anteckningar) och klistra in det direkt i rutan du skriver i.
Mvh
Mats H

[Thirteen]

Reflektion:

Kan tycka att det var information i minsta laget för tjänsten.

http://www.comhem.se...98/-/index.html

Avast Antivirus, Comodo Firewall, LibreOffice, Mozilla Firefox, PDF-XChange Viewer, Piriform CCleaner, Puran Defrag... Alla är de gratis!

[TomaytoTomaato]

DDS:

DDS (Ver_10-03-17.01) - NTFSx86
Run by Karin at 22:44:42,53 on 2010-08-28
Internet Explorer: 7.0.6000.17037 BrowserJavaVersion: 1.6.0_18
Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.46.1053.18.1014.139 [GMT 2:00]

AV: Norton Internet Security *On-access scanning enabled* (Outdated) {E10A9785-9598-4754-B552-92431C1C35F8}
SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}
SP: SUPERAntiSpyware *enabled* (Updated) {222A897C-5018-402e-943F-7E7AC8560DA7}
SP: Norton Internet Security *disabled* (Outdated) {CBB7EE13-8244-4DAB-8B55-D5C7AA91E59A}
FW: Norton Internet Security *disabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

============== Running Processes ===============

C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\svchost.exe -k rpcss
C:\Windows\System32\svchost.exe -k secsvcs
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\svchost.exe -k NetworkService
c:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe
c:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Windows\system32\svchost.exe -k bthsvcs
C:\Acer\Empowering Technology\eDataSecurity\eDSService.exe
C:\Acer\Empowering Technology\eLock\Service\eLockServ.exe
C:\Acer\Empowering Technology\eNet\eNet Service.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\Iaantmon.exe
C:\Program Files\Common Files\LightScribe\LSSrvc.exe
C:\Acer\Mobility Center\MobilityService.exe
C:\Windows\system32\PnkBstrA.exe
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Program Files\CyberLink\Shared Files\RichVideo.exe
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Windows\system32\SearchIndexer.exe
C:\Windows\system32\DRIVERS\xaudio.exe
C:\Acer\Empowering Technology\eRecovery\eRecoveryService.exe
C:\Acer\Empowering Technology\eSettings\Service\capuserv.exe
C:\Acer\Empowering Technology\ePower\ePowerSvc.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\taskeng.exe
C:\Program Files\Search Guard Plus\SearchGuardPlus.exe
C:\Program Files\Search Guard PlusU\sgpupdaters.exe
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Intel\Intel Matrix Storage Manager\IAAnotif.exe
C:\Windows\RtHDVCpl.exe
C:\Program Files\Common Files\Symantec Shared\ccApp.exe
C:\Windows\System32\igfxtray.exe
C:\Windows\System32\igfxpers.exe
C:\Program Files\Acer Arcade Deluxe\Play Movie\PMVService.exe
C:\Program Files\Synaptics\SynTP\SynTPStart.exe
C:\Acer\Empowering Technology\eAudio\eAudio.exe
C:\Acer\Empowering Technology\eDataSecurity\eDSLoader.exe
C:\Program Files\Launch Manager\LManager.exe
C:\Program Files\Synaptics\SynTP\SynTPEnh.exe
C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe
C:\Program Files\SGPSA\ie3sh.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program Files\WIDCOMM\Bluetooth Software\BTTray.exe
C:\Program Files\McAfee Security Scan\1.0.150\SSScheduler.exe
C:\Windows\system32\igfxsrvc.exe
C:\Users\Karin\AppData\Local\Temp\RtkBtMnt.exe
C:\Windows\system32\igfxext.exe
C:\Windows\system32\igfxsrvc.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Windows\system32\wuauclt.exe
C:\Program Files\Common Files\Java\Java Update\jucheck.exe
C:\Windows\system32\taskeng.exe
C:\Windows\system32\lpremove.exe
C:\Windows\system32\lpksetup.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Users\Karin\Downloads\dds.scr
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Users\Karin\AppData\Local\Temp\3B89.tmp\evP.exe
C:\Windows\system32\DllHost.exe
C:\Windows\system32\DllHost.exe
C:\Users\Karin\Downloads\dds.scr

============== Pseudo HJT Report ===============

uStart Page = hxxp://www.google.se/
uSearchMigratedDefaultURL = hxxp://search.yahoo.com/search?p={searchTerms}&ei=utf-8&fr=b1ie7
mStart Page = hxxp://sv.intl.acer.yahoo.com
mDefault_Page_URL = hxxp://sv.intl.acer.yahoo.com
uURLSearchHooks: Yahoo! Toolbar: {ef99bd32-c1fb-11d2-892f-0090271d4f88} - c:\program files\yahoo!\companion\installs\cpn\yt.dll
uURLSearchHooks: SearchHelper Class: {91c18ed5-5e1c-4ae5-a148-a861de8c8e16} - c:\program files\sgpsa\mtwb3sh.dll
BHO: Yahoo! Toolbar Helper: {02478d38-c3f9-4efb-9b51-7695eca05670} - c:\program files\yahoo!\companion\installs\cpn\yt.dll
BHO: Adobe PDF Reader Link Helper: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelper.dll
BHO: Windows Live Family Safety Browser Helper Class: {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - c:\program files\windows live\family safety\fssbho.dll
BHO: Search Helper: {6ebf7485-159f-4bff-a14f-b9e3aac4465b} - c:\program files\microsoft\search enhancement pack\search helper\SEPsearchhelperie.dll
BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll
BHO: ShowBarObj Class: {83a2f9b1-01a2-4aa5-87d1-45b6b8505e96} - c:\windows\system32\ActiveToolBand.dll
BHO: Windows Live inloggningshjälpen: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Java™ Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
BHO: Windows Live Toolbar Helper: {e15a8dc0-8516-42a1-81ea-dc94ec1acf10} - c:\program files\windows live\toolbar\wltcore.dll
BHO: Search Assistant: {f0626a63-410b-45e2-99a1-3f2475b2d695} - c:\program files\sgpsa\BHO.dll
BHO: Fast Browser Search Toolbar Helper: {fcbccb87-9224-4b8d-b117-f56d924beb18} - c:\program files\fast browser search\ie\FBStoolbar.dll
TB: Acer eDataSecurity Management: {5cbe3b7c-1e47-477e-a7dd-396db0476e29} - c:\windows\system32\eDStoolbar.dll
TB: Yahoo! Toolbar: {ef99bd32-c1fb-11d2-892f-0090271d4f88} - c:\program files\yahoo!\companion\installs\cpn\yt.dll
TB: Fast Browser Search Toolbar: {1bb22d38-a411-4b13-a746-c2a4f4ec7344} - c:\program files\fast browser search\ie\FBStoolbar.dll
TB: &Windows Live Toolbar: {21fa44ef-376d-4d53-9b0f-8a89d3229068} - c:\program files\windows live\toolbar\wltcore.dll
TB: {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - No File
uRun: [Sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun
uRun: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
uRun: [AdobeUpdater] c:\program files\common files\adobe\updater5\AdobeUpdater.exe
uRun: [SUPERAntiSpyware] c:\program files\superantispyware\SUPERAntiSpyware.exe
mRun: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
mRun: [IAAnotif] "c:\program files\intel\intel matrix storage manager\Iaanotif.exe"
mRun: [RtHDVCpl] RtHDVCpl.exe
mRun: [SynTPEnh] c:\program files\synaptics\syntp\SynTPEnh.exe
mRun: [ccApp] "c:\program files\common files\symantec shared\ccApp.exe"
mRun: [IS CfgWiz] "c:\program files\common files\symantec shared\opc\{31011d49-d90c-4da0-878b-78d28ad507af}\cltUIStb.exe" /MODULE CfgWiz /GUID {BC8D3EAF-F864-4d4b-AB4D-B3D0C32E2840} /MODE CfgWiz /CMDLINE "REBOOT"
mRun: [osCheck] "c:\program files\norton internet security\osCheck.exe"
mRun: [Acer Tour]
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [PLFSetL] c:\windows\PLFSetL.exe
mRun: [PlayMovie] "c:\program files\acer arcade deluxe\play movie\PMVService.exe"
mRun: [SynTPStart] c:\program files\synaptics\syntp\SynTPStart.exe
mRun: [eAudio] "c:\acer\empowering technology\eaudio\eAudio.exe"
mRun: [eDataSecurity Loader] c:\acer\empowering technology\edatasecurity\eDSloader.exe
mRun: [LManager] c:\progra~1\launch~1\LManager.exe
mRun: [eRecoveryService]
mRun: [WarReg_PopUp] c:\acer\wr_popup\WarReg_PopUp.exe
mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 8.0\reader\Reader_sl.exe"
mRun: [fssui] "c:\program files\windows live\family safety\fssui.exe" -autorun
mRun: [GrooveMonitor] "c:\program files\microsoft office\office12\GrooveMonitor.exe"
mRun: [FBSSA] c:\program files\sgpsa\ie3sh.exe
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mRun: [Malwarebytes Anti-Malware (reboot)] "c:\program files\malwarebytes' anti-malware\mbam.exe" /runcleanupscript
dRun: [msnmsgr] "c:\program files\windows live\messenger\msnmsgr.exe" /background
StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\bttray.lnk - c:\program files\widcomm\bluetooth software\BTTray.exe
StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\mcafee~1.lnk - c:\program files\mcafee security scan\1.0.150\SSScheduler.exe
IE: E&xportera till Microsoft Excel - c:\progra~1\micros~2\office12\EXCEL.EXE/3000
IE: Skicka bild till &Bluetooth-enhet... - c:\program files\widcomm\bluetooth software\btsendto_ie_ctx.htm
IE: Skicka sida till &Bluetooth-enhet... - c:\program files\widcomm\bluetooth software\btsendto_ie.htm
IE: {CCA281CA-C863-46ef-9331-5C8D4460577F} - c:\program files\widcomm\bluetooth software\btsendto_ie.htm
IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - c:\program files\windows live\writer\WriterBrowserExtension.dll
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~2\office12\ONBttnIE.dll
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab
Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\program files\microsoft office\office12\GrooveSystemServices.dll
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL
Notify: igfxcui - igfxdev.dll
SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll

================= FIREFOX ===================

FF - ProfilePath - c:\users\karin\appdata\roaming\mozilla\firefox\profiles\7ohoaxz8.default\
FF - prefs.js: browser.search.selectedEngine - Google
FF - component: c:\program files\mozilla firefox\extensions\{ab2ce124-6272-4b12-94a9-7303c7397bd1}\components\SkypeFfComponent.dll
FF - plugin: c:\program files\windows live\photo gallery\NPWLPG.dll
FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\dotnetassistantextension\
FF - HiddenExtension: Java Console: No Registry Reference - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----
c:\program files\mozilla firefox\greprefs\all.js - pref("browser.visited_color", "#551A8B");
c:\program files\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);
c:\program files\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");
c:\program files\mozilla firefox\defaults\pref\firefox.js - pref("browser.videoFeeds.handler", "ask");

============= SERVICES / DRIVERS ===============

R1 SASDIFSV;SASDIFSV;c:\program files\superantispyware\sasdifsv.sys [2010-2-17 12872]
R1 SASKUTIL;SASKUTIL;c:\program files\superantispyware\SASKUTIL.SYS [2010-5-10 67656]
R2 {49DE1C67-83F8-4102-99E0-C16DCC7EEC796};{49DE1C67-83F8-4102-99E0-C16DCC7EEC796};c:\program files\acer arcade deluxe\play movie\000.fcl [2008-6-18 39408]
S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2007-2-9 179712]
S3 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr.sys [2009-11-10 54632]
S3 fsssvc;Tjänsten Windows Live Family Safety;c:\program files\windows live\family safety\fsssvc.exe [2009-8-5 704864]
S3 IDSvix86;Symantec Intrusion Prevention Driver;c:\progra~2\symantec\defini~1\symcdata\idsdefs\20061025.029\IDSvix86.sys [2007-10-18 202872]

=============== Created Last 30 ================

2010-08-28 20:17:15 0 d-----w- c:\users\karin\appdata\roaming\Malwarebytes
2010-08-28 20:17:06 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2010-08-28 20:17:04 20952 ----a-w- c:\windows\system32\drivers\mbam.sys
2010-08-28 20:17:04 0 d-----w- c:\programdata\Malwarebytes
2010-08-28 20:17:04 0 d-----w- c:\program files\Malwarebytes' Anti-Malware
2010-08-28 11:59:26 0 d-----w- c:\users\karin\appdata\roaming\Spotify
2010-08-28 11:59:23 90866 ----a-w- c:\program files\Uninstall.exe
2010-08-19 13:45:50 4253584 ----a-w- c:\program files\spotify.exe
2010-08-18 17:16:41 0 d-----w- c:\users\karin\appdata\roaming\SUPERAntiSpyware.com
2010-08-18 17:16:41 0 d-----w- c:\programdata\SUPERAntiSpyware.com
2010-08-18 17:16:32 0 d-----w- c:\program files\SUPERAntiSpyware
2010-08-18 16:50:44 0 d-----w- c:\users\karin\appdata\roaming\uTorrent
2010-08-18 16:50:44 0 d-----w- c:\program files\uTorrent

==================== Find3M ====================

2010-08-28 14:11:08 81514 ----a-w- c:\windows\system32\perfc01D.dat
2010-08-28 14:11:08 472414 ----a-w- c:\windows\system32\perfh01D.dat
2009-08-28 18:39:33 86016 ----a-w- c:\windows\inf\infstrng.dat
2009-08-28 18:39:33 51200 ----a-w- c:\windows\inf\infpub.dat
2009-08-28 18:39:32 86016 ----a-w- c:\windows\inf\infstor.dat
2008-12-12 14:16:16 174 --sha-w- c:\program files\desktop.ini
2008-06-20 09:33:36 665600 ----a-w- c:\windows\inf\drvindex.dat
2007-10-18 04:14:16 35978 ----a-w- c:\windows\inf\perflib\041d\perfd.dat
2007-10-18 04:14:16 35978 ----a-w- c:\windows\inf\perflib\041d\perfc.dat
2007-10-18 04:14:16 290490 ----a-w- c:\windows\inf\perflib\041d\perfi.dat
2007-10-18 04:14:16 290490 ----a-w- c:\windows\inf\perflib\041d\perfh.dat
2006-11-02 09:20:21 287440 ----a-w- c:\windows\inf\perflib\0000\perfi.dat
2006-11-02 09:20:21 287440 ----a-w- c:\windows\inf\perflib\0000\perfh.dat
2006-11-02 09:20:19 30674 ----a-w- c:\windows\inf\perflib\0000\perfd.dat
2006-11-02 09:20:19 30674 ----a-w- c:\windows\inf\perflib\0000\perfc.dat
2010-01-20 09:16:08 16384 --sha-w- c:\windows\serviceprofiles\networkservice\appdata\local\microsoft\windows\history\history.ie5\index.dat
2010-01-20 09:16:08 32768 --sha-w- c:\windows\serviceprofiles\networkservice\appdata\local\microsoft\windows\temporary internet files\content.ie5\index.dat
2010-01-20 09:16:08 16384 --sha-w- c:\windows\serviceprofiles\networkservice\appdata\roaming\microsoft\windows\cookies\index.dat
2010-05-25 18:41:29 16384 --sha-w- c:\windows\temp\cookies\index.dat
2010-05-25 18:41:29 16384 --sha-w- c:\windows\temp\history\history.ie5\index.dat
2010-05-25 18:41:29 16384 --sha-w- c:\windows\temp\temporary internet files\content.ie5\index.dat

============= FINISH: 22:46:07,05 ===============

Bifogade filer

•  Attach.txt (6,42Kb)
  Antal nedladdningar: 32

[Brynäsarn]

Jag ser i DDS-loggen att det finns en gammal java-version med säkerhetshål
i datorn,avinstallera den i Kontrollpanelen Program och funktioner.Ladda
sedan hem uppdaterad version http://www.java.com/sv/ när datorn är ren.

Brynäsarn

[Mats H]

Hej,
ladda upp följande fil på Virustotal, http://www.virustotal.com/index.html
c:\program files\Uninstall.exe
Klicka på fliken Upload File, tryck på bläddraknappen, leta reda på filen,
Tryck Send File.
Återkom med svarslänken, när den är helt klar.
Mvh
Mats H

[TomaytoTomaato]

Det här kommer upp:
File already submitted: The file sent has already been analysed by VirusTotal in the past. This is same basic info regarding the sample itself and its last analysis: MD5:a26a30cc78ef9a415329ff16b775dd5b Date first seen:2010-08-24 18:30:26 (UTC) Date last seen:2010-08-24 18:30:26 (UTC) Detection ratio:0/42 What do you wish to do?

[Mats H]

Hej,
det betydde att filer med samma information skannats tidigare och befunnits virusfria.
I övrigt ser jag inget mera "infekterat" i din DDS.

Följande åtgärder föreslår jag.
Avinstallera följande program, Kontrollpanelen - Program!

Du har flera versioner av Norton i din dator, ta bort de du inte använder.
Om du är osäker på vilket, men har licensnyckel, kontakta deras support, alternativt avinstallera samtliga versioner, och installera den senaste versionen på nytt, och ange din licensnyckel.
Alternativt använd detta verktyg för Norton avinstallation.
http://www.symantec....3834EN&ln=en_US
Om ingen licens kvar, avinstallera samtliga Norton produkter och återkom här.
Den senaste heter Norton Internet Security 2010.
Norton Internet Security vilken version är detta?
Norton Internet Security (Symantec Corporation) Vilken version är detta ?
Norton Protection Center (utdaterad)
LiveUpdate 3.2 (Symantec Corporation) (Utdaterad)
McAfee Security Scan
Java™ 6 Update 18

Kolla efter vid My Tattoons avinstallation.
Fast Browser Search (My Tattoons)
Search Guard Plus (My Tattoons)
Search Guard Plus Updater (My Tattoons)

Program att uppdatera!
VLC media player 0.9.4 uppdatera till 1.1.4 http://www.videolan.org/
Java 6 Update 21 http://www.java.com/sv/

Uppstarts program, att inaktivera. skriv msconfig i startrutan, tryck Enter, klicka på fliken Autostart, inaktivera följande, om ngt inte vill fungera, av de stoppade autostarterna, gå till baka hit och aktivera.
[osCheck]
[PlayMovie]
[WarReg_PopUp]
[Adobe Reader Speed Launcher]
[fssui]
[GrooveMonitor]
[FBSSA]

Avsluta det hela med att köra en diskrensning och starta om datorn.
Skriv diskrensning i sökrutan o tryck Enter.
Återkom om du har frågor.

Kör Malwarebytes regelbundet, glöm ej att trycka på Uppdatera fliken före skanning.
Mvh
Mats H

[Cecilia]

Med tanke på vilka skadliga filer som MBAM hittade är det nog bäst att kontrollera datorn med ComboFix. Spara ComboFix på Skrivbordet:
http://download.blee...Bs/ComboFix.exe

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.
Hur? Se http://www.bleepingc...opic114351.html
Kör ComboFix och följ anvisningarna som visas.
Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

När den är färdig så ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

Om du får problem med att komma ut på internet:
Kontrollpanelen - Nätverksanslutningar
högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.