loadlibrary (pythondll) failed

[Cecilia]

Har du läst inlägg 22?

[Mållgan]

Ja, läst men kanske inte begripit som jag borde.

[Cecilia]

Fungerar ditt AOMEI-backupprogram ordentligt?

 

Spara SystemLook på Skrivbordet från:
http://jpshortstuff.247fixes.com/SystemLook_x64.exe

Dubbelklicka på SystemLook-filen för att köra den.

Kopiera alla rader i rutan

:dir
C:\ProgramData\boost_interprocess
:file
C:\ProgramData\boost_interprocess\Nobu64AgentService
C:\ProgramData\boost_interprocess\Nobu64TrayIcon

och klistra in i det stora textfältet i SýstemLook.
Tryck på knappen Look för att starta sökningen.
När det är klart så kommer Anteckningar upp med en logg, och den klistrar du in här. Om loggen inte kommer upp så finns den som SystemLook.txt på Skrivbordet.

[Mållgan]

Aomei fungerar perfekt och är det tredje backupprogram som jag använder (tidigare Norton Ghost och Paragon Backu&Recovery).

 

 

SystemLook 30.07.11 by jpshortstuff
Log created at 18:39 on 11/03/2014 by Anders
Administrator - Elevation successful

========== dir ==========

C:\ProgramData\boost_interprocess - Parameters: "(none)"

---Files---
Nobu64AgentService    --a---- 21032 bytes    [20:02 10/03/2014]    [22:26 10/03/2014]
Nobu64TrayIcon    --a---- 21032 bytes    [20:02 10/03/2014]    [22:26 10/03/2014]

---Folders---
None found.

========== file ==========

C:\ProgramData\boost_interprocess\Nobu64AgentService - Unable to find/read file.

C:\ProgramData\boost_interprocess\Nobu64TrayIcon - Unable to find/read file.

-= EOF =-

[Cecilia]

Mycket skumt beteende att det inte går att få ut information om de två filerna.

 

1. Funkar följande?

På sidan http://www.virustotal.com klickar du på Choose File -knappen och klistrar in ett av följande filnamn i fältet "Filnamn", klicka på Öppna och sedan på Scan it!. Om det kommer upp en fråga om filen ska analyseras om så välj det alternativet. Vänta tills resultatet är klart. Klistra in länken (webbadressen) till resultatet här. Upprepa med nästa filnamn.

C:\ProgramData\boost_interprocess\Nobu64AgentService
C:\ProgramData\boost_interprocess\Nobu64TrayIcon

 

2. Spara TDSSKiller på Skrivbordet:
http://support.kaspersky.com/downloads/utils/tdsskiller.exe

Stäng av dina vanliga program, men du kan lämna antivirusprogram och liknande igång.
Kör programmet TDSSKiller.exe.

Klicka på Start Scan.

Om några malicious hittas så välj Cure och klicka på Continue. Om inte Cure finns så välj Skip. Om några suspicious hittas så välj Skip och klicka på Continue. Välj INTE Quarantine eller Delete. Eventuellt behöver datorn startas om.

Klistra in innehållet i loggen som du hittar i C:\ med namnet TDSSKiller följt av version och tidpunkt.

 

3. Spara ComboFix på Skrivbordet: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram, men lämna brandväggen på.
Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html
Kör ComboFix och följ anvisningarna som visas.
Om det kommer upp en fråga om du vill installera återställningskonsolen så svara Ja.
Mer detaljerad vägledning finns på http://www.bleepingcomputer.com/combofix/se/hur-combofix-ska-anvandas

Om det kommer upp något meddelande, t ex att ett rootkit har hittats, från ComboFix skriv ner det och skriv det sedan i ditt svar.

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när det körs eftersom så det kan hänga upp sig då.

När ComboFix är färdig ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

Om du får problem med att komma ut på internet:
Kontrollpanelen - Nätverksanslutningar
högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

[Mållgan]

1.

https://www.virustotal.com/sv/file/386d65d82858ff247695343a6cd1b5bbbb1e7842153e14e68c7c41c65ae86da6/analysis/1394563742/

 

https://www.virustotal.com/sv/file/386d65d82858ff247695343a6cd1b5bbbb1e7842153e14e68c7c41c65ae86da6/analysis/1394563742/

 

2.TDSS Killer. Inga "threats" funna

 

3. ComboFix: Följande ruta kommer uipå när jag ska köra programmet: "ComboFIx is not meant to run in Compability Mode. The program shall now exit". Det går inte att komma vidare där.

[Cecilia]

Verkar inte vara skadliga filer trots allt det konstiga beteendet.

 

Märker du av något konstigt i datorn nu?

[Mållgan]

Nej, den fungerar som den borde, tycker åtminstone jag. Jag kanske manuellt kan/bör ta bort mappen "C-ProgramData-boost_interprocess" där det fortfarande finns två filer: 

 

Nobu64AgentService

Nobu64TrayIcon

 

?

 

Om inte ditt tålamod är på väg att ta slut kanske jag får din hjälp med min Windows 7-dator som nog har 4-5 år på nacken och som fick sig en mindre chock när jag rensade bort allt som SpyHunter hittade för någon vecka sedan. Lyckligtvis hade jag en någon vecka gammal AOEMI Backupper-spegling av C-disken som jag kunde återställa C-disken med. 

 

C-disken på denna Windows 7-dator är en SSD-disk som jag själv installerade för ca ett år sedan. Till SSD-disken "körde" (recoverykörning) jag då en Norton Ghost-spegling av den bortmonterade C-disken men när jag startade datorn, efter denna recoverykörning, stannade uppstarten i under proceduren. Då körde jag Windows 7-startreparationsskivan och då sparkade det igång och har därefter funkat bra. Någon vajsing med filsystemet är det nog att döma av de kontroller av detta som jag gjort.

 

Om du biträder analysen av denna dator kanske jag ska börja med

 

1, Farbar Recovery Scan Tool (FRST)

 

2. Browse Smart?

 

3. Köra AdwCleaner

 

enligt din vägledning för Windows 8.1-datorn?

[Cecilia]

Visst kan du försöka ta bort mappen manuellt men jag tror inte att det går eftersom den verkar vara låst och bli återskapad efter en omstart av datorn.

 

Starta helst en ny tråd för den andra datorn så att jag inte råkar blanda ihop loggar från två datorer. Det räcker att du börjar med FRST så får vi se om det finns något behov av AdwCleaner.

 

Nu återstår bara att avinstallera specialprogrammen:

1. Stäng alla program, inklusive webbläsare.
Dubbelklicka på AdwCleaner för att starta programmet.
Klicka på Uninstall-knappen.

2. Ladda ner avinstallationsprogrammet OTC till Skrivbordet: http://oldtimer.geekstogo.com/OTC.exe
Dubbelklicka på filen för att starta programmet.
Tryck på knappen CleanUp! och FRST m.fl. rensningsprogram kommer att avinstalleras efter en omstart av datorn. Om något sådant program är kvar efter det så fråga hur du ska ta bort det. Ta bort eventuella loggar.

3. Förbättra skyddet i datorn, se mina Råd för en säkrare dator: http://ceciliasec.wordpress.com/rad/
Det är mycket viktigt att hålla alla småprogram i datorn uppdaterade, gamla versioner av t ex Flash, Java och Adobe Reader innehåller kända säkerhetshål, vilka kan användas av en webbsida för att infektera datorn. Jag tycker att Secunias program (länk på min webbsida) är en bra hjälp för att kontrollera hur det står till med säkerhetshål i datorn och ange vad som behöver åtgärdas.

[Mållgan]

Jag högerklickade på mappen"C-ProgramData-boost_interprocess" där de två filerna fanns och då kom bl a "SuperDeleteFileRemoval" som ett möjligt val. Jag valde detta och hips vips försvann den nämnda mappen.

[Cecilia]

Är den fortfarande borta efter att du har startat om datorn?

 

Nu återstår bara att avinstallera specialprogrammen:

1. Stäng alla program, inklusive webbläsare.
Dubbelklicka på AdwCleaner för att starta programmet.
Klicka på Uninstall-knappen.

2. Ladda ner avinstallationsprogrammet OTC till Skrivbordet: http://oldtimer.geekstogo.com/OTC.exe
Dubbelklicka på filen för att starta programmet.
Tryck på knappen CleanUp! och FRST m.fl. rensningsprogram kommer att avinstalleras efter en omstart av datorn. Om något sådant program är kvar efter det så fråga hur du ska ta bort det. Ta bort eventuella loggar.

3. Förbättra skyddet i datorn, se mina Råd för en säkrare dator: http://ceciliasec.wordpress.com/rad/
Det är mycket viktigt att hålla alla småprogram i datorn uppdaterade, gamla versioner av t ex Flash, Java och Adobe Reader innehåller kända säkerhetshål, vilka kan användas av en webbsida för att infektera datorn. Jag tycker att Secunias program (länk på min webbsida) är en bra hjälp för att kontrollera hur det står till med säkerhetshål i datorn och ange vad som behöver åtgärdas.

[Mållgan]

.. men mappen med Nobu-filerna är kvar efter omstart av datorn! Hur tusan ska de tas bort?? Jag ser när jag googlar att detta är ett knepigt elände.

[Cecilia]

Det var det jag misstänkte. Det betyder att det finns något program eller tjänst som återinstallerar mappen. Du får då helt enkelt pröva dig fram till vilket av alla program och tjänster som startas automatiskt som återinstallerar den.

 

På Startskärmen skriver du msconfig och trycker sedan på Enter.

Välj fliken Tjänster i dialogrutan Systemkonfiguration.
Markera kryssrutan Dölj alla Microsoft-tjänster.

Sedan kan du ju genom att bocka i resp. ta bort bockar pröva dig fram till om det är en tjänst som gör det.

 

Välj fliken Autostart.
Klicka på Öppna Aktivitetshanteraren.

Här kan du genom att klicka på varje program, följt av en klick på knappen Inaktivera, pröva dig fram till om det är ett automatiskt startande program som gör det.

 

Första gången kan du t ex inaktivera alla program men låta alla tjänster starta för att avgöra om det är en tjänst eller ett program som återinstallerar mappen. När du vet det låter du hälften av tjänsterna resp. hälften av programmen startas osv.

Återställ datorn till Normal Start:
1. På Startskärmen skriver du msconfig och trycker sedan på Enter.
2. Välj fliken Allmänt.
3. Klicka på Normal start.
4. Välj fliken Tjänster.
5. Klicka på Aktivera alla.
6. Välj fliken Autostart.
7. Klicka på Öppna Aktivitetshanteraren, aktivera alla Autostart-objekt.
8. Stäng Aktivitetshanteraren.
9. Klicka på Verkställ/OK i dialogrutan Systemkonfiguration.
10. Starta om datorn.

[Mållgan]

De två Nobuflerna:C-ProgramData (mapp)-boost_interprocess (mapp):

med filerna

Nobu64AgentService

Nobu64TrayIcon

 

Jag kontaktade Symantec-chattsupporten eftersom jag abonnerar på Norton 360 och efter fjärrstyrning av min datorn fick jag beskedet att de två Nobu64-filerna är en del av NortonOnlineBackup-programmet och att filerna försvinner om detta program avinstalleras. Filerna är absolut inte "farliga" på något sätt enligt supportkillen. Tills vidare valde jag att ha kvar programmet även om jag inte använder det.

Kan ju vara bra att veta (om det nu är en riktig information förstås) för andra som störs av detta.

Sedan föreslog han att han, för min räkning, skulle ta bort programmen "Malwarebytes, SUPERAntiSpyware, Spybot Search & Destroy och IOBit Malware Fighter med motivet att "det inte är bra att ha så många sådana program installerade samtidigt". Adware System Care nämnde han dock ingenting om. Jag valde dock att behålla dessa program tills vidare.

[Cecilia]

R2 NOBU; C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe [3943104 2012-08-15] (Symantec Corporation)

Trodde Norton Backup skulle hålla sig till sin egen mapp.

 

Gratis Malwarebytes Anti-Malware stör inte eftersom den inte har något som startar automatiskt, men de andra tre drar igång en massa så fort du startar datorn och förutom att det slöar ner datorn kan det leda till konflikter om två av dem vill göra något åt samma fil samtidigt,