win32/filcout

[spinnare357]

Har fått detta på datorn. När jag loggade in fanns ett meddelande från (tror det var) Microsoft Security Software men är inte säker, att win32/filcout hittats och tagits bort.Uppdaterade då Malwarebytes Anti-Malware och scannade. Flera oönskade filer hittades och sattes i karantän.

 

Laddat ner FRST och klickat på scanna. Verkar som programmet kör men det går långsamt. Har stått och gått i ett par timmar.

 

Skall man vänta ut det hela eller något annat?

[Cecilia]

Det är ju inte normalt att det tar så lång tid, men tiden kan beror på mycket. Om du har externa hårddiskar eller liknande anslutet så ta bort dem.

[spinnare357]

Här kommer loggar från FRST bl a.

 

 

 

 

FRST.txtHär kommer loggar från FRST bl a.

 

 

 

 

 

Addition.txt

 

 

MBAM 19 maj -14.docx

 

 

 

[Cecilia]

1. Avinstallera:

 

PrivDog http://www.systemlookup.com/CLSID/80066-trustedads_dll.html

 

Java 7 Update 51 eftersom det är en gammal version med kända säkerhetshål som gör det lätt att infektera datorn från en webbsida och med tanke på att du redan har en Windows-version med kända säkerhetshål är det dumt att ha fler.

 

2. Spara AdwCleaner av Xplode på Skrivbordet: http://general-changelog-team.fr/fr/downloads/finish/20-outils-de-xplode/2-adwcleaner

Stäng alla program, inklusive webbläsare.
Dubbelklicka på AdwCleaner för att starta programmet.

Klicka på Scan-knappen.
Vänta tills sökningen är klar.
Klicka på Report-knappen.
En rapport kommer upp, kopiera innehållet och klistra in i ditt svar.
Om rapporten inte kommer upp, så finns den även som C:\AdwCleaner[R0].txt
 

[spinnare357]

Priv Dog måste funnits med Comodo. Har inte surfat med XP-datorn på ett antal veckor. Det enda som anslutit till nätet är auto uppdateringar som Avira mm. Jag har bara uppdaterat Comodo och Malwarebytes manuellt. Java har jag stängt av i kontrollpanelen, trodde att det räckte. Har fått meddelande från Java om att uppdatera men det har inte gått att göra.

 

Har laddat ner AdwCleaner och den håller på att starta men på 1,5 tim så har bara rutan med att godkänna dykt upp. Klickade på godkänn och efter ca 20min försvann den rutan, sedan har inget hänt förutom att Comodo frågar om jag vill tillåta olika åtgärder.

Vad göra? 

[Cecilia]

Kan du inaktivera Comodo eftersom det låter som att den vill lägga sig vad FRST och AdwCleaner gör?

[spinnare357]

Comodo inaktiverad. AwdCleaner har startat skanningen pågår

[spinnare357]

Här kommer AwdCleaner

 

 

# AdwCleaner v3.210 - Report created 21/05/2014 at 18:07:06
# Updated 19/05/2014 by Xplode
# Operating System : Microsoft Windows XP Service Pack 3 (32 bits)
# Username : User - DEFAULT
# Running from : C:\Documents and Settings\User\Skrivbord\AdwCleaner.exe
# Option : Scan

***** [ Services ] *****

***** [ Files / Folders ] *****

Folder Found : C:\Documents and Settings\Default User\Lokala inställningar\Application Data\AskToolbar
Folder Found : C:\Documents and Settings\Kent\Application Data\adawaretb
Folder Found : C:\Documents and Settings\Kent\Application Data\AskToolbar
Folder Found : C:\Documents and Settings\LocalService\Application Data\adawaretb
Folder Found : C:\Documents and Settings\UpdatusUser\Lokala inställningar\Application Data\AskToolbar
Folder Found : C:\Documents and Settings\User\Application Data\PerformerSoft
Folder Found : C:\Documents and Settings\User\Lokala inställningar\Application Data\PackageAware
Folder Found : C:\Program\Allin1Convert_8hEI
Folder Found : C:\Program\Ask.com
Folder Found : C:\Program\file scout
Folder Found : C:\Program\SimilarSites
Folder Found : C:\Program\Toolbar Cleaner

***** [ Shortcuts ] *****

***** [ Registry ] *****

Key Found : HKCU\Software\filescout
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{6C97A91E-4524-4019-86AF-2AA2D567BF5C}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6C97A91E-4524-4019-86AF-2AA2D567BF5C}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Found : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Key Found : HKCU\Software\Softonic
Key Found : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Key Found : HKLM\SOFTWARE\Classes\CLSID\{6C97A91E-4524-4019-86AF-2AA2D567BF5C}
Key Found : HKLM\SOFTWARE\Classes\CLSID\{AF175732-0D59-716D-F757-9F1492D808D9}
Key Found : HKLM\SOFTWARE\Classes\Interface\{A36BCB13-778D-4A40-99C1-D686086D268F}
Key Found : HKLM\SOFTWARE\Classes\protector_dll.protectorbho
Key Found : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1
Key Found : HKLM\SOFTWARE\Classes\TypeLib\{CCA8F2AB-BE4E-41F0-A289-4D960CEA58EA}
Key Found : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater
Key Found : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}
Key Found : HKLM\Software\Toolbar Cleaner
Key Found : HKLM\Software\Uniblue
Value Found : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]

***** [ Browsers ] *****

-\\ Internet Explorer v8.0.6001.18702

-\\ Mozilla Firefox v28.0 (sv-SE)

[ File : C:\Documents and Settings\Kent\Application Data\Mozilla\Firefox\Profiles\9gqxra37.default\prefs.js ]

Line Found : user_pref("browser.search.selectedEngine", "Blekko");

[ File : C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\piiq4r9b.default\prefs.js ]

Line Found : user_pref("browser.search.selectedEngine", "Blekko");
Line Found : user_pref("extensions.trusted-ads.serpInject", "{\"u\":{\"v\":\"2.70\",\"d\":\"040814\"},\"l\":\"hxxp://search.adtrustmedia.com/search_safecontent.php\",\"e\":[{\"u\":\"hxxp://ads.adtrustmedia.com/con[...]
Line Found : user_pref("extensions.trusted-ads.serp_mywebsearch", "\"%2F*!%20serp-mywebsearch%20-%20v0.1.10%20-%202014-04-07%2018%3A21%3A58%20*%2F%0D%0Avar%20u%20%3D%20%7B%7D%3B%0A%0Avar%20Util%20%3D%20%7B%0A%09de[...]
Line Found : user_pref("extensions.trusted-ads.suggestions", "{\"u\":{\"v\":\"1.19\",\"d\":\"041614\"},\"t\":\"Verified Official Site\",\"s\":[{\"k\":\"amaz\",\"t\":\"amazon.com\",\"v\":\"www.amazon.com\",\"s\":\"[...]

-\\ Google Chrome v34.0.1847.137

[ File : C:\Documents and Settings\Kent\Lokala inställningar\Application Data\Google\Chrome\User Data\Default\preferences ]

Found [Extension] : kdcnnmifdmlmjffdgeieikcokcogpbej
Found [Extension] : kincjchfokkeneeofpeefomkikfkiedl

*************************

AdwCleaner[R0].txt - [4755 octets] - [21/05/2014 18:07:06]

########## EOF - C:\AdwCleaner\AdwCleaner[R0].txt - [4815 octets] ##########

[Cecilia]

1. Stäng alla program, inklusive webbläsare.
Dubbelklicka på AdwCleaner för att starta programmet.

Klicka på Scan-knappen.
Vänta tills sökningen är klar.

Klicka på Clean-knappen.
Tryck på OK.
Tryck på OK fler gånger om det kommer upp meddelanden.

Datorn kommer att startas om.
En rapport kommer upp, kopiera innehållet och klistra in i ditt svar.
Om rapporten inte kommer upp, så finns den även som C:\AdwCleaner[s0].txt

 

2. Skanna datorn online på http://www.eset.com/onlinescan/
För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

Avbocka alternativet Remove found threats
Bocka för Scan Archives

Klicka på Advanced Settings
Bocka för:
Scan for potentially unwanted applications
Scan for potentially unsafe applications
Enable Anti-Stealth Technology

Klicka på Start

När skanningen är klar klicka på List of found threats, följt av Export to a text file. Spara till en fil på skrivbordet, öppna filen, kopiera resultatet och klistra sedan in det i ditt svar.

 

3. Kör FRST igen och klistra in den nya FRST.txt (Addition.txt behövs inte denna gång).

[spinnare357]

Äntligen klar med AdwCleaner. Logg följer.

 

 

 

 

 

# AdwCleaner v3.210 - Report created 21/05/2014 at 21:16:17
# Updated 19/05/2014 by Xplode
# Operating System : Microsoft Windows XP Service Pack 3 (32 bits)
# Username : User - DEFAULT
# Running from : C:\Documents and Settings\User\Skrivbord\AdwCleaner.exe
# Option : Clean

***** [ Services ] *****

***** [ Files / Folders ] *****

Folder Deleted : C:\Program\Allin1Convert_8hEI
Folder Deleted : C:\Program\Ask.com
Folder Deleted : C:\Program\file scout
Folder Deleted : C:\Program\SimilarSites
Folder Deleted : C:\Program\Toolbar Cleaner
Folder Deleted : C:\Documents and Settings\Default User\Lokala inställningar\Application Data\AskToolbar
Folder Deleted : C:\Documents and Settings\Kent\Application Data\adawaretb
Folder Deleted : C:\Documents and Settings\Kent\Application Data\AskToolbar
Folder Deleted : C:\Documents and Settings\LocalService\Application Data\adawaretb
Folder Deleted : C:\Documents and Settings\UpdatusUser\Lokala inställningar\Application Data\AskToolbar
Folder Deleted : C:\Documents and Settings\User\Lokala inställningar\Application Data\PackageAware
Folder Deleted : C:\Documents and Settings\User\Application Data\PerformerSoft

***** [ Shortcuts ] *****

***** [ Registry ] *****

Key Deleted : HKLM\SOFTWARE\Classes\AppID\escort.DLL
Key Deleted : HKLM\SOFTWARE\Classes\protector_dll.protectorbho
Key Deleted : HKLM\SOFTWARE\Classes\protector_dll.protectorbho.1
Key Deleted : HKLM\SOFTWARE\Microsoft\Shared Tools\MSConfig\startupreg\ApnUpdater
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{6C97A91E-4524-4019-86AF-2AA2D567BF5C}
Key Deleted : HKLM\SOFTWARE\Classes\CLSID\{AF175732-0D59-716D-F757-9F1492D808D9}
Key Deleted : HKLM\SOFTWARE\Classes\Interface\{A36BCB13-778D-4A40-99C1-D686086D268F}
Key Deleted : HKLM\SOFTWARE\Classes\TypeLib\{CCA8F2AB-BE4E-41F0-A289-4D960CEA58EA}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{2EECD738-5844-4A99-B4B6-146BF802613B}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{6C97A91E-4524-4019-86AF-2AA2D567BF5C}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{98889811-442D-49DD-99D7-DC866BE87DBC}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{D4027C7F-154A-4066-A1AD-4243D8127440}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{2EECD738-5844-4A99-B4B6-146BF802613B}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{6C97A91E-4524-4019-86AF-2AA2D567BF5C}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{98889811-442D-49DD-99D7-DC866BE87DBC}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Ext\Settings\{D4027C7F-154A-4066-A1AD-4243D8127440}
Value Deleted : HKCU\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser [{D4027C7F-154A-4066-A1AD-4243D8127440}]
Key Deleted : HKCU\Software\filescout
Key Deleted : HKCU\Software\Softonic
Key Deleted : HKLM\Software\Toolbar Cleaner
Key Deleted : HKLM\Software\Uniblue
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\Uninstall\{79A765E1-C399-405B-85AF-466F52E918B0}
Key Deleted : HKCU\Software\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{79A765E1-C399-405B-85AF-466F52E918B0}
Key Deleted : HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\App Management\ARPCache\{86D4B82A-ABED-442A-BE86-96357B70F4FE}

***** [ Browsers ] *****

-\\ Internet Explorer v8.0.6001.18702

-\\ Mozilla Firefox v28.0 (sv-SE)

[ File : C:\Documents and Settings\Kent\Application Data\Mozilla\Firefox\Profiles\9gqxra37.default\prefs.js ]

Line Deleted : user_pref("browser.search.selectedEngine", "Blekko");

[ File : C:\Documents and Settings\User\Application Data\Mozilla\Firefox\Profiles\piiq4r9b.default\prefs.js ]

Line Deleted : user_pref("browser.search.selectedEngine", "Blekko");
Line Deleted : user_pref("extensions.trusted-ads.serpInject", "{\"u\":{\"v\":\"2.70\",\"d\":\"040814\"},\"l\":\"hxxp://search.adtrustmedia.com/search_safecontent.php\",\"e\":[{\"u\":\"hxxp://ads.adtrustmedia.com/con[...]
Line Deleted : user_pref("extensions.trusted-ads.serp_mywebsearch", "\"%2F*!%20serp-mywebsearch%20-%20v0.1.10%20-%202014-04-07%2018%3A21%3A58%20*%2F%0D%0Avar%20u%20%3D%20%7B%7D%3B%0A%0Avar%20Util%20%3D%20%7B%0A%09de[...]
Line Deleted : user_pref("extensions.trusted-ads.suggestions", "{\"u\":{\"v\":\"1.19\",\"d\":\"041614\"},\"t\":\"Verified Official Site\",\"s\":[{\"k\":\"amaz\",\"t\":\"amazon.com\",\"v\":\"www.amazon.com\",\"s\":\"[...]

-\\ Google Chrome v34.0.1847.137

[ File : C:\Documents and Settings\Kent\Lokala inställningar\Application Data\Google\Chrome\User Data\Default\preferences ]

Deleted [Extension] : kdcnnmifdmlmjffdgeieikcokcogpbej
Deleted [Extension] : kincjchfokkeneeofpeefomkikfkiedl

*************************

AdwCleaner[R0].txt - [4895 octets] - [21/05/2014 18:07:06]
AdwCleaner[R1].txt - [4955 octets] - [21/05/2014 19:16:00]
AdwCleaner[s0].txt - [4962 octets] - [21/05/2014 21:16:17]

########## EOF - C:\AdwCleaner\AdwCleaner[s0].txt - [5022 octets] ##########

 

 

 

 

Skall Köra Eset i natt. Återkommer i morgon.

[spinnare357]

Här kommer Eset

Är osäker på om jag bockade för rätt i Advanced Settings, men i så fall får du säga till om det inte ser rätt ut

 

 

 

 

 

Eset online.txt

 

 

 

Och FRST

 

 

FRST 2.txt

 

 

 

[Cecilia]

Jag kan omöjligen se i loggen om Esets skanner har ställts in för att t ex söka efter "potentially unwanted applications". Om du inte är säker på vad du gjorde tycker jag att du kör skannern igen.

 

Starta Anteckningar.

Kopiera alla rader i rutan:

C:\Documents and Settings\User\Lokala inställningar\Application Data\Mozilla\Firefox\Profiles\piiq4r9b.default\Cache\A\9E\68E90d01
HKU\.DEFAULT\...\RunOnce: [SetDefaultMidi] - C:\WINDOWS\MIDIDEF.EXE [49152 2003-06-20] (Creative Technology Ltd)
HKU\.DEFAULT\...\RunOnce: [adaware] - reg.exe delete "HKCU\Software\AppDataLow\Software\adaware" /f
HKU\.DEFAULT\...\RunOnce: [adaware_XP] - reg.exe delete "HKCU\Software\adaware" /f
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab
DPF: {BB21F850-63F4-4EC9-BF9D-565BD30C9AE9} http://ax.emsisoft.com/emsisoft_webscan.cab
DPF: {CAFEEFAC-0017-0000-0004-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} http://java.sun.com/update/1.7.0/jinstall-1_7_0_04-windows-i586.cab
S3 esgiguard; \??\C:\Program\Enigma Software Group\SpyHunter\esgiguard.sys [X]
S3 Lavasoft Kernexplorer; \??\C:\Program\Lavasoft\Ad-Aware\KernExplorer.sys [X]
S0 Lbd; system32\DRIVERS\Lbd.sys [X]
U3 TlntSvr; 
S3 xpsec; \SystemRoot\system32\drivers\xpsec.sys [X]

och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

[spinnare357]

Fixlog

 

 

Fixlog.txt 

[spinnare357]

Ny scanning från Eset

 

 

Eset 2.txt

 

 

 

[spinnare357]

Gjorde en scanning med AdwCleaner också. Vet att du inte bett om det men hör är en logg ändå

 

 

AdwCleanerR2.txt

[Cecilia]

1. Den första och fjärde filen ligger i AdwCleaners resp. FRST:s karantän och är alltså redan oskadliggjorda.

 

C:\Documents and Settings\User\Mina dokument\Hämtade filer\ccsetup317.exe Win32/Bundled.Toolbar.Google.E potentially unsafe application

I din mapp "Hämtade filer" ligger installationsprogrammet för CCleaner och det kommer att vilja installera Googles toolbar när du kör det.

 

Ett antal filer tillhör Avira och listas därför att Avira försöker installera en variant av Ask Toolbar.

 

I din mapp J:\kent\installationer finns ett antal installationsfiler som kommer att vilja installera onödiga toolbars.

 

J:\kent\installationer\Adobe\installer_adobe_flash_player_Swedish.exe Win32/Toolbar.Babylon potentially unwanted application

Hämta aldrig Adobe Flash Player från någon annan webbplats än Adobes, eftersom andra webbplatser kan ha lagt till onödiga tillägg/program, t ex Babylon toolbar som i detta fall.

 

J:\kent\installationer\Virusskydd\avira_antivir_personal_en.exe Win32/SoftonicDownloader.A potentially unwanted application

J:\kent\installationer\webbradio\SoftonicDownloader_for_radiosure.exe Win32/SoftonicDownloader.E potentially unwanted application

Hämta inte program på Softonics webbplats eftersom de paketerar om programmen tillsammans med onödiga toolbars och/eller program för att få in pengar till servrar och internetförbindelse mm.

 

Mapparna "Hämtade filer" och J:\kent\installationer får du gå igenom och rensa själv.

 

2. Starta Anteckningar.

Kopiera alla rader i rutan:

C:\Documents and Settings\Kent\Lokala inställningar\temp\AskSLib.dll
C:\WINDOWS\Installer\MSI352.tmp

och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på skrivbordet med namnet fixlist.txt.

 

Starta FRST som finns på skrivbordet.

Klicka på knappen Fix.

Vänta tills programmet är klart.

 

Programmet skapar en logg Fixlog.txt på skrivbordet.

Klistra in innehållet i den i ditt svar.

 

3. Några fler frågor eller problem innan du får instruktionen för att avinstallera specialprogrammen?

[spinnare357]

Här är fixlog

 

 

Fixlog.txt

 

 

 

En gul sköld med meddelande om nya uppdateringar dök upp nu? Har inte det upphört? Ser ut som normal uppdatering från Microsoft.

 

Finns det något skydd som är bra att använda utöver dom jag har, Avira, Spybot-Search & Destroy?

 

Andra åtgärder för att förbättra skyddet? Har en nyare dator med Win7 men kommer att använda XP till div prog. som jag inte kan köra annars ex Bokföring, Fakturering. Slutade för en del år sedan att bet för licensen och sade upp det, men så länge programmet fungerar kan jag använda det.

[Cecilia]

Använd XP-datorn bara till bokföring mm och surfa inte med den eller installera andra program, för det är nog det viktigaste skyddet. Byt från Spybot S&D till Malwarebytes Anti-Malware som komplettering till antivirusprogrammet.

 

Nu återstår bara att avinstallera specialprogrammen:

 

1. Stäng alla program, inklusive webbläsare.

Dubbelklicka på AdwCleaner för att starta programmet.

Klicka på Uninstall-knappen.

 

2. Ladda ner avinstallationsprogrammet OTC till Skrivbordet: http://oldtimer.geekstogo.com/OTC.exe

Dubbelklicka på filen för att starta programmet.

Tryck på knappen CleanUp! och FRST kommer att avinstalleras efter en omstart av datorn. Ta bort eventuella loggar.

[spinnare357]

Tack för hjälp med datorn. Härligt att det finns personer som delar med sig av sin kunskap på detta utmärkta forum som jag varmt rekommenderat till andra.

 

Skulle gett poäng men vet inte hur man gör? Ser inte denna symbol nere i höger hörn för +

[mbgtmari]

Plustecknet i högra hörnet har ersatts av gilla-knappen. Så vill du ge Cecilia poäng klickar du på "Gilla detta" i hennes inlägg.