Filer dyker upp trots att jag tar bort dem!

28 september, 2004

Hej!

Har råkat ut för nått... Jag har 260 .exe filer som jag har råkat ladda ner med ett fildelningsprogram. Jag tar ständigt bort dem, men efter en omstart at datorn så kommer de tillbaka.

Jag har provat att tömma papperskorgen, men det hjälper inte heller.

Misstänker att råkat ut för något virus, eller något skumt med Windows XP. Någon som vet vad jag ska göra?

28 september, 2004

Prova kör SpyBot S&D http://beam.to/spybotsd

Adaware http://lavasoft.element5.com/software/adaware/

Och kanske en online skanning med houscall http://housecall.antivirus.com/housecall/start_corp.asp

Och se om du fått in något elende i maskinen som går att rensa ut.

Tunna/

29 september, 2004

Om du tror att du har fått virus kan du ringa till Microsoft och få gratis support.

Telefonnummer och öppettider finns på http://www.microsoft.com/sverige/security/.

29 september, 2004

Provat rensa återställningspunkterna?

Det kan faktiskt hjälpa också. :-)

---

C:\Eforum\Stefan Eklinder>|

Vem är General Failure och varför läser han min hårddisk? - Steven Wright

29 september, 2004

Okej...

Jag har letat i window-hjälpten men kan inte hitta hur jag ska ta bort dessa?

För det verkar ju onekligen som om Windows återskapar filerna. Fast jag förstår inte varför riktigt...

30 september, 2004

Du har nog fått in något virus eller annat liknande som startar upp varje gång som Windows startar och skapar de där filerna. Men visst ska det gå att få bort.

Vad har du för antivirus-program och brandvägg?

Är de uppdaterade ordentligt?

Är Windows uppdaterat ordentligt?

Vilket fildelningsprogram kör du?

Har du gjort vad Tunna föreslog dig?

Det är första steget i att undersöka vad som händer i din dator!

Här är de vanligaste programmen för att rensa en dator:

[log]Kör on-line skanningar:

http://housecall.trendmicro.com/housecall/start_corp.asp

http://www.pandasoftware.com/activescan/com/activescan_principal.

htm

Ladda hem och kör 2 program som kan rensa bort en del. Undrar du om något ska bort så lägg ut frågor eller loggfiler här och någon kommer att hjälpa dig.

Ad-aware med instruktioner:

http://www.lavasoft.de/swedish/support/download/

http://www.lavasoftsupport.com/index.php?showtopic=42066

Spybot:

http://www.safer-networking.org/en/download/index.html

Sedan laddar du hem programmet HijackThis, kör en scan i det och lägger ut dess loggfil här i ditt svar så ska vi se vad som behöver göras med datorn.

HijackThis samt instruktioner:

http://www.majorgeeks.com/download3155.html

//eforum.idg.se/viewmsg.asp?EntriesId=618259#618305[/log]

30 september, 2004

Okej...

Ingen av on-line-scaningarna verkade fungera...

Jag har redan kört i SpyBot och Ad-Aware, men de programmen har inte hittat någonting.

Här är i alla fall logfilen från Hijakthis

[log]Logfile of HijackThis v1.98.2

Scan saved at 10:19:27, on 2001-09-30

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

c:\windows\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\cisvc.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\Messenger Plus! 2\MsgPlus.exe

C:\Program\D-Tools\daemon.exe

C:\Program\Java\j2re1.4.2_01\bin\jusched.exe

C:\WINDOWS\System32\sndcfg16.exe

C:\Program\Winamp\winampa.exe

C:\WINDOWS\System32\ctfmon.exe

c:\program\intern~1\iexplore.exe

C:\Program\Messenger\msmsgs.exe

C:\Program\Skype\Phone\Skype.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Netscape\Netscape\Netscp.exe

C:\WINDOWS\System32\cidaemon.exe

C:\Program\WinRAR\WinRAR.exe

C:\DOCUME~1\Ernst\LOKALA~1\Temp\Rar$EX00.250\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.icgcuubdukq.com/DcA_cVgHaM6iwTTbPCGrSRLCIk4Hup5SQX4E6k3WzgE.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.tbctdstuqxfvecgzqplns.net/DcA_cVgHaM5HswgzS_2sU7uqTzhR9/KdcOocmrkYerCMJ1l7meouz416xRuj9N0s.cgi

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [MessengerPlus2] "C:\Program\Messenger Plus! 2\MsgPlus.exe"

O4 - HKLM\..\Run: [MOD] C:\Program\Microangelo\muamgr.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [junk great] C:\Program\SPAMLI~1\FindAtom.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\j2re1.4.2_01\bin\jusched.exe

O4 - HKLM\..\Run: [WinProfile] sndcfg16.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKLM\..\RunServices: [WinProfile] sndcfg16.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Program\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MessengerPlus2] "C:\Program\Messenger Plus! 2\MsgPlus.exe" /WinStart

O4 - HKCU\..\Run: [msnmsgr] "C:\Program\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab

[/log]

Jag har en hub som har en brandvägg inbyggd i sig, men hur bra den är har jag ingen aning om tyvärr... Och windows-uppdateraren verkar inte fungera heller

Får felet "0x80244010 - Den begärda sidan kan inte visas.." Och deras lösningar på det problemet gör ingen skillnad.

30 september, 2004

Citrus skrev:
Okej...

Jag har letat i window-hjälpten men kan inte hitta hur jag ska ta bort dessa?

För det verkar ju onekligen som om Windows återskapar filerna. Fast jag förstår inte varför riktigt...

Start/Inställningar/Kontrollpanelen/Prestanda & Underhåll

- Klicka på Frigör utrymme på hårddisken

- Peta på Fler alternativ

- Klicka på knappen Rensa... under rubriken Systemåterställning

Nu rensas alla återställningspunkterna utom den senaste.

---

C:\Eforum\Stefan Eklinder>|

Vem är General Failure och varför läser han min hårddisk? - Steven Wright

30 september, 2004

Du har inget antivirusprogram igång, bara så du vet.

Stäng av systemåterställningen medan du håller på med rensningen så du inte senare råkar backa tillbaks till en återställningspunkt som innehåller otrevligheter. Men sätt på den igen när datorn är ren. Man ändrar status för systemåterställning från Kontrollpanelen - System - Systemåterställning -

runtan Inaktivera Systemåterställning.

Till att börja med verkar du ha bakdörren SdBot.MB, den skapar filen sndcfg16.exe och förhindrar en massa säkerhetsprogram, bland annat vissa antivirus program och Windows update, från att fungera.

F-secure har ett verktyg och instruktioner för att ta bort SdBot.MB, se den här sidan:

http://www.f-secure.com/v-descs/sdbot_mb.shtml

Messenger Plus 2 innehåller också spyware så försök avinstallera den.

Vet du vad findatom.exe som finns i mappen c:\program\spam... är för något?

När du har fixat ovanstående så kör SpyBot, Ad-aware och HijackThis igen, så får vi se om något återstår. Pröva också om Windows Update funkar.

30 september, 2004

Tråden flyttad till Antivirus & Säkerhet

---

C:\Eforum\Stefan Eklinder> moderator WindowsXP|

Vem är General Failure och varför läser han min hårddisk? - Steven Wright

30 september, 2004

Jag hade precis samma problem i April då jag var tvungen att formatera om alltihopa pga dåligt och innaktivt virusprogram. Jag fick filer som inte gick att ta bort i mappen Windows/system32/backup/restore. Det var virusfiler nåt med backdoor_trojan som jag inte kunde avinstallera trots innaktiverad systemåterställning mm. filerna satt i restore mappen och gick inte att ta bort på något sätt. Så fort du tog bort manuellt backdoor.exe filen så kom den spöklikt tillbaka nästa sekund. Provade också leta i registret men det är svårt när man inte var man skall leta. Datorn betedde sig så som du beskriver med flera okontrollerade omstarter. Till slut så startade den inte alls.

Först slog viruset ut Antivirusprogrammet. F-secure, Sedan knep den systemet.

Kolla backup systemet om du har winXP

Soppkastrullen

[inlägget ändrat 2004-09-30 18:53:17 av soppkastrullen]

3 oktober, 2004

Okej okej...

Ett tag trodde jag att problemet var löst, men icke...

Problemet är att F-sdbot inte verkar hitta något att ta bort.

HijackThis-loggen ser ut så här:

[log]Logfile of HijackThis v1.98.2

Scan saved at 19:27:40, on 2004-10-03

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

c:\windows\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\cisvc.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\D-Tools\daemon.exe

C:\Program\Java\j2re1.4.2_01\bin\jusched.exe

C:\WINDOWS\System32\sndcfg16.exe

C:\Program\Winamp\winampa.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program\Skype\Phone\Skype.exe

c:\program\intern~1\iexplore.exe

C:\Program\Netscape\Netscape\Netscp.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\cidaemon.exe

E:\Program\Photoshop 6.0\Photoshp.exe

C:\WINDOWS\System32\svchost.exe

C:\Documents and Settings\Ernst\Skrivbord\f-sdbot.exe

C:\Program\WinRAR\WinRAR.exe

C:\DOCUME~1\Ernst\LOKALA~1\Temp\Rar$EX04.360\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.icgcuubdukq.com/DcA_cVgHaM6iwTTbPCGrSRLCIk4Hup5SQX4E6k3WzgE.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.bjnrrypjgrlyxtwcjxt.uk/DcA_cVgHaM5HswgzS_2sU7uqTzhR9/KdcOocmrkYerD4M7LyYQ6frY16xRuj9N0s.htm

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [MOD] C:\Program\Microangelo\muamgr.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\j2re1.4.2_01\bin\jusched.exe

O4 - HKLM\..\Run: [WinProfile] sndcfg16.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKLM\..\Run: [junk great] C:\Program\SPAMLI~1\FindAtom.exe

O4 - HKLM\..\RunServices: [WinProfile] sndcfg16.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Program\Skype\Phone\Skype.exe" /nosplash /minimized

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE (file missing)

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\MSMSGS.EXE (file missing)

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab

[/log]

Finns det något mer program man kan ladda ner eller nått man kan uppdatera? Jag håller på att bli tokig på det här problemet.

3 oktober, 2004

Ta bort denna mask.

O4 - HKLM\..\Run: [WinProfile] sndcfg16.exe

O4 - HKLM\..\RunServices: [WinProfile] sndcfg16.exe

C:\WINDOWS\System32\sndcfg16.exe

3 oktober, 2004

Jag fattar inte riktigt...

Jag checkar i de som du sa, och klickar på "Fix Checked", men de dyker ändå upp igen när jag kör en ny Scan.

Jag har kopplat av systemåterställningen...

Vad kan det bero på?

3 oktober, 2004

Hej Citrus

Ser att du lagt din HiJack This här

C:\DOCUME~1\Ernst\LOKALA~1\Temp\Rar$EX04.360\HijackThis.exe

Absolut inget bra ställe att ha den på.

Skapa en mapp på C:Enheten som du döper till något lämpligt

EX: C:\HiJack This <-Det här är mappen du skapat: \HiJack This.exe <-Det här är programmet:

Dra över HiJack Thisen till den nya mappen du skapat.

Ej kopiera eller skapa genväg:

Om du inte lyckas att flytta på den:

Ta bort den HiJack This du nu har och hämta hem en ny och gör om proceduren.

OBS: Det finns en ny version av HiJack This Version 1.98.2

Den kommer zippad. Spara ner zippen till skrivbordet:

1: Skapa en mapp direkt under C:Enheten. Döp mappen till något lämpligt (EX: HiJack This).

2: Öppna zippen som du sparat på skrivbordet. Ta tag i HiJack This och flytta över den till den mapp du nyss skapade på C:Enheten.

OBS: Ej kopiera eller skapa genväg:

3: Sedan kasta zippen som du sparat på skrivbordet.

http://www.majorgeeks.com/download3155.html

Då du gjort ovanstående samt laddat ner HiJack This:

Gör så här:

Bara dubbelklicka så öppnas den. Klicka *scan* och knappen visar *save logfile*. Lägg den någonstans och en textfil kommer upp, kopiera den hit, så får du hjälp att tolka den. Det mesta i logfilen är nödvändiga komponenter, så fixa inget själv.

Lägg loggen inom taggarna:

Lycka till

MVH/Malou

****Ha en fortsatt underbar dag****

Team Lavasoft

Lavasupporten

4 oktober, 2004

Okej...

Här är loggen...

[log]Logfile of HijackThis v1.98.2

Scan saved at 18:32:06, on 2004-10-04

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

c:\windows\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\cisvc.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\D-Tools\daemon.exe

C:\Program\Java\j2re1.4.2_01\bin\jusched.exe

C:\Program\Winamp\winampa.exe

C:\WINDOWS\System32\sndcfg16.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program\Skype\Phone\Skype.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\Program\Netscape\Netscape\Netscp.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\cidaemon.exe

C:\Program\WinRAR\WinRAR.exe

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.icgcuubdukq.com/DcA_cVgHaM6iwTTbPCGrSRLCIk4Hup5SQX4E6k3WzgE.html

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.adgwyfjddtjbcyscaex.net/DcA_cVgHaM5HswgzS_2sU7uqTzhR9/KdcOocmrkYerC3G/SPVY7sC416xRuj9N0s.html

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [MOD] C:\Program\Microangelo\muamgr.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\j2re1.4.2_01\bin\jusched.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKLM\..\Run: [WinProfile] sndcfg16.exe

O4 - HKLM\..\RunServices: [WinProfile] sndcfg16.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Program\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [msnmsgr] "C:\Program\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30149.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab

[/log]

4 oktober, 2004

Hej Citrus

Gör så här:

1. Gå till http://www.lavasofthelp.com/submit/ och ladda upp följande fil:

C:\WINDOWS\System32\sndcfg16.exe

Du kan ladda upp den. Det gör du effektivast genom att fylla i formuläret och sedan i fältet "Submission file" klistra in

C:\WINDOWS\System32\sndcfg16.exe

och sedan skicka. Detta hjälper Lavasoft att göra Ad-aware effektivare!

Vill även rekommendera dig att genast hämta hem ett antivirusprogram samt en brandvägg:

AVG 6 Free Edition (Gratis).

http://free.grisoft.com/freeweb.php/doc/2/

Brandväggar:

Zone Alarm (Gratis):

http://www.zonelabs.com/store/content/home.jsp

Sygate Personal Firewall (Gratis):

http://www.download.com/3000-2092-10049526.html?part=82835%2520&subj=dlpage&tag=button

Stäng ner Internet (logga ut):

Öppna HJT. Klicka på Scan-knappen. Bocka för nedanstående detaljer. Klicka på Fix Checked-knappen. Starta om datorn i felsäkert läge (tryck F8 upprepade gånger):

[log]R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://www.adgwyfjddtjbcyscaex.net/DcA_cVgHaM5HswgzS_2sU7uqTzhR9/

KdcOocmrkYerC3G/SPVY7sC416xRuj9N0s.html

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

O4 - HKLM\..\Run: [WinProfile] sndcfg16.exe

O4 - HKLM\..\RunServices: [WinProfile] sndcfg16.exe

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab30

149.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab30149.cab[/log]

Då du gjort ovanstående och startat om datorn i felsäkert läge:

För att hitta den fil du nu skall leta upp, måste du klicka (windowstangent+E) och i verktygsfältet klicka på "Verktyg>mappalternativ" och under "Visa" klicka på "Visa dolda filer och mappar" samt avbocka "dölj filnamstillägg för kända filtyper" och "Dölj skyddade operativsystemfiler"

Sök/leta reda på:

C:\WINDOWS\System32\sndcfg16.exe

(sndcfg16.exe)<-Delita: Virus:

Töm paperskorgen. Starta om datorn.

Vidare tömmer du tempmapparna:

C:\Windows\temp <-Töm tempmappen på innehåll: OBS: Ta ej bort tempmappen:

Töm även den här mappen:

C:\Documents and settings\Ditt Användarnamn\Lokala Inställningar\Temp <-Töm tempmappen på innehåll: OBS: Ta ej bort tempmappen:

Dessutom är den gömd, så att för att hitta den klicka på (Windowstangent+E) och i verktygsfältet klicka "Verktyg>Mappalternativ" och under "Visa" bocka för "Visa dolda filer och mappar"

Töm papperskorgen. Starta om datorn.

Kan hända att du får göra om proceduren några gånger beroende på hur mycket som finns i den:

Töm även de temporära Internetfilerna, Offlineinnehållet och Cookies.

Och hur har vi det med Ad-Awareprogrammet?????

Gör en ny scanning med ett uppdaterat Ad-Aware i Full System Scan, ta bort det som hittas. Lägg in loggen här.

Gör en ny HJT-log (HiJack This) och lägg in även den

***************************************************

[log]De här nedanstående:

Är det här en hemsida som du lagt som startsida?

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.icgcuubdukq.com/DcA_cVgHaM6iwTTbPCGrSRLCIk4Hup5SQX4E6k

3WzgE.html

Är även undrande över den här nedanstående?

O4 - HKLM\..\Run: [MOD] C:\Program\Microangelo\muamgr.exe[/log]

MVH/Malou

****Ha en fortsatt underbar dag****

Team Lavasoft

Lavasupporten

[inlägget ändrat 2004-10-04 19:05:47 av malou jansson]

[inlägget ändrat 2004-10-04 19:07:08 av malou jansson]

4 oktober, 2004

Okej...

Så här ser loggen från Ad-Aware ut:

[log]

Lavasoft Ad-aware Personal Build 6.181

Loggfil skapad på: den 4 oktober 2004 21:03:45

Created with Ad-aware Personal, free for private use.

Använder referensfil: 01R339 26.08.2004

______________________________________________________

Ad-aware Settings

=========================

Aktiverad : Aktivera djupsökning

Aktiverad : Säkert läge (begär alltid godkännande)

Aktiverad : Sök aktiva processer

Aktiverad : Sök i registret

Aktiverad : Djupsök i registret

2004-10-04 21:03:45 - Scan started. (Smart mode)

Visar aktuella processer

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

#:1 [smss.exe]

FilePath : \SystemRoot\System32 ThreadCreationTime : 2004-10-04 18:53:54

BasePriority : Normal

#:2 [winlogon.exe]

FilePath : \??\c:\windows\system32 ThreadCreationTime : 2004-10-04 18:53:56

BasePriority : High

#:3 [services.exe]

FilePath : C:\WINDOWS\system32 ThreadCreationTime : 2004-10-04 18:53:57

BasePriority : Normal

FileSize : 99 KB

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

CompanyName : Microsoft Corporation

FileDescription : Tj

InternalName : services.exe

OriginalFilename : services.exe

ProductName : Operativsystemet Microsoft

Created on : 2002-10-24 09:02:19

Last accessed : 2004-10-04 18:41:22

Last modified : 2002-09-11 14:00:00

#:4 [lsass.exe]

FilePath : C:\WINDOWS\system32 ThreadCreationTime : 2004-10-04 18:53:57

BasePriority : Normal

FileSize : 11 KB

FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)

ProductVersion : 5.1.2600.1106

CompanyName : Microsoft Corporation

FileDescription : LSA Shell (Export Version)

InternalName : lsass.exe

OriginalFilename : lsass.exe

ProductName : Microsoft

Created on : 2002-10-24 09:02:05

Last accessed : 2004-10-04 18:41:22

Last modified : 2002-09-11 14:00:00

#:5 [svchost.exe]

FilePath : C:\WINDOWS\system32 ThreadCreationTime : 2004-10-04 18:53:58

BasePriority : Normal

FileSize : 12 KB

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

OriginalFilename : svchost.exe

ProductName : Microsoft

Created on : 2002-10-24 09:02:24

Last accessed : 2004-10-04 18:41:27

Last modified : 2002-09-11 14:00:00

#:6 [svchost.exe]

FilePath : C:\WINDOWS\System32 ThreadCreationTime : 2004-10-04 18:53:58

BasePriority : Normal

FileSize : 12 KB

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

OriginalFilename : svchost.exe

ProductName : Microsoft

Created on : 2002-10-24 09:02:24

Last accessed : 2004-10-04 18:41:27

Last modified : 2002-09-11 14:00:00

#:7 [spoolsv.exe]

FilePath : C:\WINDOWS\system32 ThreadCreationTime : 2004-10-04 18:54:03

BasePriority : Normal

FileSize : 50 KB

FileVersion : 5.1.2600.0 (XPClient.010817-1148)

ProductVersion : 5.1.2600.0

CompanyName : Microsoft Corporation

FileDescription : Spooler SubSystem App

InternalName : spoolsv.exe

OriginalFilename : spoolsv.exe

ProductName : Microsoft

Created on : 2002-10-24 09:02:22

Last accessed : 2004-10-04 18:53:54

Last modified : 2002-09-11 14:00:00

#:8 [cisvc.exe]

FilePath : C:\WINDOWS\System32 ThreadCreationTime : 2004-10-04 18:54:10

BasePriority : Normal

FileSize : 5 KB

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

CompanyName : Microsoft Corporation

FileDescription : Content Index service

InternalName : cisvc.exe

OriginalFilename : cisvc.exe

ProductName : Microsoft

Created on : 2002-10-24 09:01:43

Last accessed : 2004-10-04 18:53:54

Last modified : 2002-09-11 14:00:00

#:9 [snmp.exe]

FilePath : C:\WINDOWS\System32 ThreadCreationTime : 2004-10-04 18:54:11

BasePriority : Normal

FileSize : 28 KB

FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)

ProductVersion : 5.1.2600.1106

CompanyName : Microsoft Corporation

FileDescription : SNMP-tj

InternalName : snmp.exe

OriginalFilename : snmp.exe

ProductName : Operativsystemet Microsoft

Created on : 2003-08-12 19:59:59

Last accessed : 2004-10-04 18:53:54

Last modified : 2002-09-11 14:00:00

#:10 [explorer.exe]

FilePath : C:\WINDOWS ThreadCreationTime : 2004-10-04 18:54:21

BasePriority : Normal

FileSize : 981 KB

FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)

ProductVersion : 6.00.2800.1106

CompanyName : Microsoft Corporation

FileDescription : Utforskaren

InternalName : explorer

OriginalFilename : EXPLORER.EXE

ProductName : Operativsystemet Microsoft

Created on : 2002-10-24 09:01:59

Last accessed : 2004-10-04 18:54:22

Last modified : 2002-09-11 14:00:00

#:11 [soundman.exe]

FilePath : C:\WINDOWS ThreadCreationTime : 2004-10-04 18:54:24

BasePriority : Normal

FileSize : 45 KB

FileVersion : 5.0.16

ProductVersion : 5.0.16

CompanyName : Realtek Semiconductor Corp.

FileDescription : Realtek Sound Manager

InternalName : ALSMTray

OriginalFilename : ALSMTray.exe

ProductName : Realtek Sound Manager

Created on : 2003-01-16 09:29:53

Last accessed : 2004-10-04 18:53:54

Last modified : 2003-01-07 23:09:53

#:12 [daemon.exe]

FilePath : C:\Program\D-Tools ThreadCreationTime : 2004-10-04 18:54:25

BasePriority : Normal

FileSize : 76 KB

FileVersion : 3.33.0.0

ProductVersion : 3.33.0.0

CompanyName : DAEMON'S HOME

FileDescription : Virtual DAEMON Manager

InternalName : DAEMON.EXE

OriginalFilename : daemon.exe

ProductName : DAEMON Tools

Created on : 2003-04-27 09:54:38

Last accessed : 2004-10-04 18:53:54

Last modified : 2003-04-27 09:54:38

#:13 [jusched.exe]

FilePath : C:\Program\Java\j2re1.4.2_01\bin ThreadCreationTime : 2004-10-04 18:54:25

BasePriority : Normal

FileSize : 32 KB

Created on : 2067-08-19 15:23:36

Last accessed : 2004-10-04 18:53:54

Last modified : 2003-08-19 15:23:34

#:14 [winampa.exe]

FilePath : C:\Program\Winamp ThreadCreationTime : 2004-10-04 18:54:25

BasePriority : Normal

FileSize : 33 KB

Created on : 2003-12-13 00:50:34

Last accessed : 2004-10-04 18:53:54

Last modified : 2003-12-13 00:50:34

#:15 [ctfmon.exe]

FilePath : C:\WINDOWS\System32 ThreadCreationTime : 2004-10-04 18:54:25

BasePriority : Normal

FileSize : 13 KB

FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)

ProductVersion : 5.1.2600.1106

CompanyName : Microsoft Corporation

FileDescription : CTF Loader

InternalName : CTFMON

OriginalFilename : CTFMON.EXE

ProductName : Microsoft

Created on : 2002-10-24 09:02:33

Last accessed : 2004-10-04 18:53:54

Last modified : 2002-09-11 14:00:00

#:16 [skype.exe]

FilePath : C:\Program\Skype\Phone ThreadCreationTime : 2004-10-04 18:54:25

BasePriority : Normal

FileSize : 9804 KB

Created on : 2004-08-17 15:44:32

Last accessed : 2004-10-04 18:54:41

Last modified : 2004-08-17 15:44:32

#:17 [msnmsgr.exe]

FilePath : C:\Program\MSN Messenger ThreadCreationTime : 2004-10-04 18:54:25

BasePriority : Normal

FileSize : 4768 KB

FileVersion : 6.2.0137

ProductVersion : Version 6.2

CompanyName : Microsoft Corporation

FileDescription : MSN Messenger

InternalName : msnmsgr

OriginalFilename : msnmsgr.exe

ProductName : MSN Messenger

Created on : 2004-05-28 20:22:04

Last accessed : 2004-10-04 18:53:56

Last modified : 2004-05-28 20:22:04

#:18 [wuauclt.exe]

FilePath : C:\WINDOWS\System32 ThreadCreationTime : 2004-10-04 18:55:15

BasePriority : Normal

FileSize : 111 KB

FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04)

ProductVersion : 5.4.3790.2182

CompanyName : Microsoft Corporation

FileDescription : Automatiska uppdateringar

InternalName : wuauclt.exe

OriginalFilename : wuauclt.exe

ProductName : Operativsystemet Microsoft

Created on : 2002-10-24 07:10:49

Last accessed : 2004-10-04 18:40:16

Last modified : 2004-08-03 11:58:26

#:19 [cidaemon.exe]

FilePath : C:\WINDOWS\System32 ThreadCreationTime : 2004-10-04 19:01:39

BasePriority : Idle

FileSize : 8 KB

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

CompanyName : Microsoft Corporation

FileDescription : Indexing Service filter daemon

InternalName : cidaemon.exe

OriginalFilename : cidaemon.exe

ProductName : Microsoft

Created on : 2002-10-24 09:01:43

Last accessed : 2004-10-04 19:01:39

Last modified : 2002-09-11 14:00:00

#:20 [ad-aware.exe]

FilePath : C:\Program\Lavasoft\Ad-aware 6 ThreadCreationTime : 2004-10-04 19:02:13

BasePriority : Normal

FileSize : 668 KB

FileVersion : 6.0.1.181

ProductVersion : 6.0.0.0

Copyright : Copyright

CompanyName : Lavasoft Sweden

FileDescription : Ad-aware 6 core application

InternalName : Ad-aware.exe

OriginalFilename : Ad-aware.exe

ProductName : Lavasoft Ad-aware Plus

Created on : 2001-01-03 02:24:40

Last accessed : 2004-10-04 19:02:13

Last modified : 2003-07-12 21:00:20

Resultat minnessökning:

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Nya objekt: 0

Hittills hittade objekt: 0

Söker i registret

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Resultat sökning i registret:

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Nya objekt: 0

Hittills hittade objekt: 0

Djupsökning i registret

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Resultat djupsökning i registret:

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Nya objekt: 0

Hittills hittade objekt: 0

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Tracking Cookie Igenkända objekt!

Typ : Fil

Data : ernst@ayb.lop[1].txt

Objekt : C:\Documents and Settings\Ernst\Cookies

Created on : 2004-10-01 10:24:59

Last accessed : 2004-10-04 19:06:05

Last modified : 2004-10-01 10:24:59

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Djupsöker och kontrollerar filer (C:)

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Performing conditional scans..

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Conditional scan result:

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Nya objekt: 0

Hittills hittade objekt: 1

21:07:45 Sökning avslutad

Resultat för denna sökning

¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯¯

Total söktid:00:03:59:47

Sökta objekt:46233

Identifierade objekt:1

Ignorerade objekt:0

Nya objekt:1

[/log]

Så här ser HJT loggen ut:

[log]Logfile of HijackThis v1.98.2

Scan saved at 21:12:31, on 2004-10-04

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

c:\windows\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\cisvc.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\D-Tools\daemon.exe

C:\Program\Java\j2re1.4.2_01\bin\jusched.exe

C:\Program\Winamp\winampa.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program\Skype\Phone\Skype.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\WINDOWS\System32\wuauclt.exe

C:\WINDOWS\System32\cidaemon.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program\Netscape\Netscape\Netscp.exe

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.icgcuubdukq.com/DcA_cVgHaM6iwTTbPCGrSRLCIk4Hup5SQX4E6k3WzgE.html

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [MOD] C:\Program\Microangelo\muamgr.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\j2re1.4.2_01\bin\jusched.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKLM\..\Run: [WinProfile] sndcfg16.exe

O4 - HKLM\..\RunServices: [WinProfile] sndcfg16.exe

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Program\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [msnmsgr] "C:\Program\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

[/log]

Jag har gjort allt som du skrev en gång, är det nödvändigt att göra om processen flera gånger?

4 oktober, 2004

Hej Citrus

Den Ad-Awareversion du har lagt in här är gammal. Finns nyare att hämta.

Gör så här:

Innan nya Ad-Aware SE installeras, gå till "Start>Kontrollpanelen>Lägg till/Ta bort Program" och avinstallera den äldre AdAware6.

Navigera sedan till "C:\Program\Lavasoft\AdAware6" och högerklicka på mappen "AdAware6" och välj "Ta bort". Den nya versionen av AdAware kommer sedan att installeras i "Lavasoft"-mappen.

Ladda ner Ad-Aware till datorn.

Läs/följ anvisningarna noga på sidan du får upp.

Uppdatera till senaste referensfilen innan du kör programmet på datorn:

Det mesta som hittas kan tas bort:

Här hämtar du programmet: Ad-Aware SE Personal 1.05 (Gratis):

http://www.majorgeeks.com/download506.html

Här läser du instruktionerna om hur du ställer in programmet:

Ställ in programmet på Full System Scan:

http://www.lavasoftsupport.com/index.php?showtopic=42066

Gör även OnlineScanningar:

TrendMicro:

http://housecall.trendmicro.com/

Panda OnlineScan:

http://www.pandasoftware.com/activescan/com/activescan_principal.htm

Jag har gjort allt som du skrev en gång, är det nödvändigt att göra om processen flera gånger?

Ibland är det nödvändigt att göra om procedurerna för att få en ren och fin dator.

Vad jag kan se så är inte en del av de detaljer jag uppgav borttagna, de finns kvar i din HJT-log.

Stäng ner Internet (logga ut):

Öppna HJT. Klicka på Scan-knappen. Bocka för nedanstående detaljer. Klicka på Fix Checked-knappen. Starta om datorn i felsäkert läge (tryck F8 upprepade gånger):

Klicka på plustecknet så du ser vad som skall bockas m.m.

[log]O4 - HKLM\..\Run: [WinProfile] sndcfg16.exe

O4 - HKLM\..\RunServices: [WinProfile] sndcfg16.exe[/log]

Då du gjort ovanstående och startat om datorn i felsäkert läge:

För att hitta den fil du nu skall leta upp, måste du klicka (windowstangent+E) och i verktygsfältet klicka på "Verktyg>mappalternativ" och under "Visa" klicka på "Visa dolda filer och mappar" samt avbocka "dölj filnamstillägg för kända filtyper" och "Dölj skyddade operativsystemfiler"

Sök/leta reda på:

C:\WINDOWS\System32\sndcfg16.exe

(sndcfg16.exe)<-Delita: Virus:

Töm papperskorgen. Starta om datorn.

************************************************

De här nedanstående:

Är det här en hemsida som du lagt som startsida?

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.icgcuubdukq.com/DcA_cVgHaM6iwTTbPCGrSRLCIk4Hup5SQX4E6k

3WzgE.html

Är även undrande över den här nedanstående?

O4 - HKLM\..\Run: [MOD] C:\Program\Microangelo\muamgr.exe

**************************************************

Gör en ny scanning med ett uppdaterat Ad-Aware i Full System Scan, ta bort det som hittas. Lägg in loggen här.

Gör en ny HJT-log (HiJack This) och lägg in även den

Glöm inte att hämta hem och installera ett antivirusprogram och brandvägg.

Annars är risken mycket stor att otrevligheterna kommer tillbaka med större kraft.

Jag la några länkar i mitt tidigare inlägg här ovan som du kan använda om du vill.

MVH/Malou

****Ha en fortsatt underbar dag****

Team Lavasoft

Lavasupporten

[inlägget ändrat 2004-10-04 21:44:29 av malou jansson]

[inlägget ändrat 2004-10-04 21:48:37 av malou jansson]

5 oktober, 2004

Hej igen!

Okej, jag har kört en test med AVG (programmet upptäcker virus hela tiden). De 260 (omkring) filerna som jag från början hade problem med har AVG tagit bort, men viruset verkar ha kopierat alla de filerna till en förbannat massa ställen på datorn. När AVG ville ta bort filerna där så gick inte det. Står ungefär "could nor be removed".

Viruset som AVG hittar är Worm/Krepper.C

Varför kan inte AVG ta bort dessa filer? Vad är det som gör att alla dessa filer har kopierats till en massa andra ställen på datorn. Bland annat i C:Windows... Beror det på den där sndcfg16.exe-filen som jag inte fick bort när jag försökte ta bort den i felsäkert läge?

5 oktober, 2004

sndcfg16.exe är den där bakdörren SdBot.MB och en bakdörr är ett program som öppnar din dator för intrång så att det går att komma åt din hårddisk och t ex lägga in filer med andra virus på den.

Filer som är öppna dvs används kan inte AVG ta bort.

Ska du lyckas få bort allt måste du göra som Malou skriver och skanna med uppdaterad Ad-aware och följa de andra anvisningarna gällande HijackThis.

5 oktober, 2004

Hej Citrus

Alla antivirusprogram kan inte ta bort alla virusfiler (tyvärr).

Men hellre att du har ett antivirusprogram än ingenting alls.

Nu är det otroligt viktigt att göra allt som skall göras precis som Cecilia säger:

Gör ytterligare en scanning med Ad-Awaren i Full System Scan, lägg in loggen här.

Gör även en ny HJT-log och lägg in, så går vi vidare.

Nu gäller det inte att ge upp här. Nu är det jobba som gäller för att bli av med otyget/otygen.

Det här skall vi fixa :thumbsup:

MVH/Malou

****Ha en fortsatt underbar dag****

Team Lavasoft

Lavasupporten

5 oktober, 2004

Hej!

Ja, jag tackar ödmjukast för all hjälp ni ger mig!

Så här ser den (jättelånga) logfilen från Ad-aware ut:

[log]

Ad-Aware SE Build 1.05

Logfile Created on:den 5 oktober 2004 21:05:15

Created with Ad-Aware SE Personal, free for private use.

Using definitions file:SE1R10 28.09.2004

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

MRU List(TAC index:0):12 total references

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Ad-Aware SE Settings

===========================

Set : Search for negligible risk entries

Set : Safe mode (always request confirmation)

Set : Scan active processes

Set : Scan registry

Set : Deep-scan registry

Set : Scan my IE Favorites for banned URLs

Set : Scan within archives

Set : Scan my Hosts file

Extended Ad-Aware SE Settings

===========================

Set : Unload recognized processes & modules during scan

Set : Scan registry for all users instead of current user only

Set : Always try to unload modules before deletion

Set : During removal, unload Explorer and IE if necessary

Set : Let Windows remove files in use at next reboot

Set : Delete quarantined objects after restoring

Set : Include basic Ad-Aware settings in log file

Set : Include additional Ad-Aware settings in log file

Set : Include reference summary in log file

Set : Include alternate data stream details in log file

Set : Play sound at scan completion if scan locates critical objects

2004-10-05 21:05:15 - Scan started. (Full System Scan)

MRU List Object Recognized!

Location: : S-1-5-21-3737418364-4108352934-3410630452-1007\software\microsoft\windows\currentversion\applets\wordpad\recent file list

Description : list of recent files opened using wordpad

MRU List Object Recognized!

Location: : S-1-5-21-3737418364-4108352934-3410630452-1007\software\microsoft\search assistant\acmru

Description : list of recent search terms used with the search assistant

MRU List Object Recognized!

Location: : S-1-5-21-3737418364-4108352934-3410630452-1007\software\microsoft\windows\currentversion\explorer\comdlg32\opensavemru

Description : list of recently saved files, stored according to file extension

MRU List Object Recognized!

Location: : S-1-5-21-3737418364-4108352934-3410630452-1007\software\microsoft\windows\currentversion\explorer\comdlg32\lastvisitedmru

Description : list of recent programs opened

MRU List Object Recognized!

Location: : S-1-5-21-3737418364-4108352934-3410630452-1007\software\microsoft\windows\currentversion\explorer\recentdocs

Description : list of recent documents opened

MRU List Object Recognized!

Location: : S-1-5-21-3737418364-4108352934-3410630452-1007\software\microsoft\mediaplayer\player\recentfilelist

Description : list of recently used files in microsoft windows media player

MRU List Object Recognized!

Location: : software\microsoft\directdraw\mostrecentapplication

Description : most recent application to use microsoft directdraw

MRU List Object Recognized!

Location: : software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct3d

MRU List Object Recognized!

Location: : software\microsoft\direct3d\mostrecentapplication

Description : most recent application to use microsoft direct X

MRU List Object Recognized!

Location: : S-1-5-21-3737418364-4108352934-3410630452-1007\software\microsoft\windows media\wmsdk\general

Description : windows media sdk

MRU List Object Recognized!

Location: : C:\Documents and Settings\Ernst\Application Data\microsoft\office\recent

Description : list of recently opened documents using microsoft office

MRU List Object Recognized!

Location: : C:\Documents and Settings\Ernst\recent

Description : list of recently opened documents

Listing running processes

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]

FilePath : \SystemRoot\System32 ProcessID : 448

ThreadCreationTime : 2004-10-05 14:00:54

BasePriority : Normal

#:2 [csrss.exe]

FilePath : \??\C:\WINDOWS\system32 ProcessID : 512

ThreadCreationTime : 2004-10-05 14:00:56

BasePriority : Normal

#:3 [winlogon.exe]

FilePath : \??\c:\windows\system32 ProcessID : 536

ThreadCreationTime : 2004-10-05 14:00:56

BasePriority : High

#:4 [services.exe]

FilePath : C:\WINDOWS\system32 ProcessID : 580

ThreadCreationTime : 2004-10-05 14:00:57

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Operativsystemet Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Tjänst- och styrenhetsprogram

InternalName : services.exe

LegalCopyright : © Microsoft Corporation. Med ensamrätt.

OriginalFilename : services.exe

#:5 [lsass.exe]

FilePath : C:\WINDOWS\system32 ProcessID : 592

ThreadCreationTime : 2004-10-05 14:00:57

BasePriority : Normal

FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)

ProductVersion : 5.1.2600.1106

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : LSA Shell (Export Version)

InternalName : lsass.exe

OriginalFilename : lsass.exe

#:6 [svchost.exe]

FilePath : C:\WINDOWS\system32 ProcessID : 764

ThreadCreationTime : 2004-10-05 14:00:58

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

OriginalFilename : svchost.exe

#:7 [svchost.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 816

ThreadCreationTime : 2004-10-05 14:00:58

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

OriginalFilename : svchost.exe

#:8 [svchost.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 928

ThreadCreationTime : 2004-10-05 14:00:59

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

OriginalFilename : svchost.exe

#:9 [svchost.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 940

ThreadCreationTime : 2004-10-05 14:00:59

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

OriginalFilename : svchost.exe

#:10 [spoolsv.exe]

FilePath : C:\WINDOWS\system32 ProcessID : 1148

ThreadCreationTime : 2004-10-05 14:01:02

BasePriority : Normal

FileVersion : 5.1.2600.0 (XPClient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Spooler SubSystem App

InternalName : spoolsv.exe

OriginalFilename : spoolsv.exe

#:11 [avgserv.exe]

FilePath : C:\Program\Grisoft\AVG6 ProcessID : 1404

ThreadCreationTime : 2004-10-05 14:01:11

BasePriority : Normal

FileVersion : 6.0.1.696

ProductVersion : 6.0.1.696

ProductName : AVG6

CompanyName : GRISOFT s.r.o

FileDescription : AvgServ - displays notification message

InternalName : AvgServ

OriginalFilename : AvgServ

#:12 [explorer.exe]

FilePath : C:\WINDOWS ProcessID : 1416

ThreadCreationTime : 2004-10-05 14:01:11

BasePriority : Normal

FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)

ProductVersion : 6.00.2800.1106

ProductName : Operativsystemet Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Utforskaren

InternalName : explorer

LegalCopyright : © Microsoft Corporation. Med ensamrätt.

OriginalFilename : EXPLORER.EXE

#:13 [cisvc.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 1460

ThreadCreationTime : 2004-10-05 14:01:11

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Content Index service

InternalName : cisvc.exe

OriginalFilename : cisvc.exe

#:14 [snmp.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 1592

ThreadCreationTime : 2004-10-05 14:01:13

BasePriority : Normal

FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)

ProductVersion : 5.1.2600.1106

ProductName : Operativsystemet Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : SNMP-tjänsten

InternalName : snmp.exe

LegalCopyright : © Microsoft Corporation. Med ensamrätt.

OriginalFilename : snmp.exe

#:15 [soundman.exe]

FilePath : C:\WINDOWS ProcessID : 1644

ThreadCreationTime : 2004-10-05 14:01:16

BasePriority : Normal

FileVersion : 5.0.16

ProductVersion : 5.0.16

ProductName : Realtek Sound Manager

CompanyName : Realtek Semiconductor Corp.

FileDescription : Realtek Sound Manager

InternalName : ALSMTray

OriginalFilename : ALSMTray.exe

Comments : Realtek AC97 Audio Sound Manager

#:16 [daemon.exe]

FilePath : C:\Program\D-Tools ProcessID : 1716

ThreadCreationTime : 2004-10-05 14:01:16

BasePriority : Normal

#:17 [jusched.exe]

FilePath : C:\Program\Java\j2re1.4.2_01\bin ProcessID : 1744

ThreadCreationTime : 2004-10-05 14:01:17

BasePriority : Normal

#:18 [winampa.exe]

FilePath : C:\Program\Winamp ProcessID : 1756

ThreadCreationTime : 2004-10-05 14:01:18

BasePriority : Normal

#:19 [avgcc32.exe]

FilePath : C:\Program\Grisoft\AVG6 ProcessID : 1772

ThreadCreationTime : 2004-10-05 14:01:18

BasePriority : Normal

FileVersion : 6, 0, 0, 515

ProductVersion : 6, 0, 0, 0

ProductName : AVG Anti-Virus System

CompanyName : GRISOFT s.r.o.

FileDescription : AVG Control Center

InternalName : AvgCC32

OriginalFilename : AvgCC32.EXE

#:20 [ctfmon.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 1800

ThreadCreationTime : 2004-10-05 14:01:19

BasePriority : Normal

FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)

ProductVersion : 5.1.2600.1106

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : CTF Loader

InternalName : CTFMON

OriginalFilename : CTFMON.EXE

#:21 [wuauclt.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 1540

ThreadCreationTime : 2004-10-05 14:02:26

BasePriority : Normal

FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04)

ProductVersion : 5.4.3790.2182

ProductName : Operativsystemet Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Automatiska uppdateringar

InternalName : wuauclt.exe

LegalCopyright : © Microsoft Corporation. Med ensamrätt.

OriginalFilename : wuauclt.exe

#:22 [netscp.exe]

FilePath : C:\Program\Netscape\Netscape ProcessID : 636

ThreadCreationTime : 2004-10-05 14:03:43

BasePriority : Normal

#:23 [cidaemon.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 776

ThreadCreationTime : 2004-10-05 14:08:38

BasePriority : Idle

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Indexing Service filter daemon

InternalName : cidaemon.exe

OriginalFilename : cidaemon.exe

#:24 [winamp.exe]

FilePath : C:\Program\Winamp ProcessID : 2912

ThreadCreationTime : 2004-10-05 18:59:03

BasePriority : Normal

FileVersion : 5.05

ProductVersion : 5.05

ProductName : Winamp

CompanyName : Nullsoft

FileDescription : Winamp

InternalName : WINAMP

LegalTrademarks : Nullsoft and Winamp are trademarks of Nullsoft, Inc.

OriginalFilename : Winamp.exe

Comments : Visit http://www.winamp.com/ for updates.

#:25 [ad-aware.exe]

FilePath : C:\Program\Lavasoft\Ad-Aware SE Personal ProcessID : 2092

ThreadCreationTime : 2004-10-05 19:04:51

BasePriority : Normal

FileVersion : 6.2.0.206

ProductVersion : VI.Second Edition

ProductName : Lavasoft Ad-Aware SE

CompanyName : Lavasoft Sweden

FileDescription : Ad-Aware SE Core application

InternalName : Ad-Aware.exe

OriginalFilename : Ad-Aware.exe

Memory scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 12

Started registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 12

Started deep registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 12

Started Tracking Cookie scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking cookie scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 12

Deep scanning and examining files (C:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 12

Deep scanning and examining files (E:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for E:»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 12

Scanning Hosts file......

Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

1 entries scanned.

New critical objects:0

Objects found so far: 12

Performing conditional scans...

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 12

21:26:09 Scan Complete

Summary Of This Scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Total scanning time:00:20:54.219

Objects scanned:157847

Objects identified:0

Objects ignored:0

New critical objects:0

[/log]

Och så här ser HJT-logen ut. Jag har faktiskt lyckats få bort de där filerna som irriterade tidigare:

[log]Logfile of HijackThis v1.98.2

Scan saved at 21:29:05, on 2004-10-05

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

c:\windows\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Grisoft\AVG6\avgserv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\cisvc.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\D-Tools\daemon.exe

C:\Program\Java\j2re1.4.2_01\bin\jusched.exe

C:\Program\Winamp\winampa.exe

C:\Program\Grisoft\AVG6\avgcc32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program\Netscape\Netscape\Netscp.exe

C:\WINDOWS\System32\cidaemon.exe

C:\Program\Winamp\Winamp.exe

C:\Program\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\Delade filer\Real\Update_OB\rnathchk.exe

C:\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program\SPYBOT~1\SDHelper.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [MOD] C:\Program\Microangelo\muamgr.exe

O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\j2re1.4.2_01\bin\jusched.exe

O4 - HKLM\..\Run: [WinampAgent] C:\Program\Winamp\winampa.exe

O4 - HKLM\..\Run: [AVG_CC] C:\Program\Grisoft\AVG6\avgcc32.exe /STARTUP

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [skype] "C:\Program\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [msnmsgr] "C:\Program\MSN Messenger\msnmsgr.exe" /background

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\WINDOWS\System32\msjava.dll

[/log]

AVG varnar fortfarande för nått virus, ska köra ännu en scan med det programmet, men det tar sådan jäkla tid så det får man ju planera. MAn måste ju hinna jobba med datorn också

tack igen!

5 oktober, 2004

Hej Citrus

Ser att Ad-Awaren inte är riktigt inställd.

Gör så här:

Öppna Ad-Awaren -> Klicka på Kugghjulet.

General-knappen -> Här skall alla prickar vara gröna:

Scanning-knappen -> Drivers & Folders -> Scan within archives (grön prick). I samma fönster -> Memory & Registry -> Alla skall vara gröna:

Advanced-knappen -> Logfile Detail Level -> Alla tre skall vara grön:

Klicka på Proced-knappen då du gjort ovanstående inställningar:

Nu är du på startsidan i Ad-Awareprogrammet:

Till vänster Klicka på Scan Now-knappen -> Klicka i Perform Full System Scan. Rödmarkera pricken Search for negligible risk entries (dessa är ofarliga).

Nu starta scanningen.

Då den scannat klart ta inte bort något, lägg in loggen här:

Gör en ny HJT-log och lägg in så går vi vidare.

Gör även OnlineScanningar

TrendMicro:

http://housecall.trendmicro.com/

Panda OnlineScan:

http://www.pandasoftware.com/activescan/com/activescan_principal.

htm

Det är det som är tjusningen med datorer *skratt*

Att det tar sådan tid att bli av med otygen men otroligt lätt att få in dem i datorn.

MVH/Malou

****Ha en fortsatt underbar dag****

Team Lavasoft

Lavasupporten

5 oktober, 2004

Okej okej...

Så här ser Ad-aware-logen ut:

[log]

Ad-Aware SE Build 1.05

Logfile Created on:den 5 oktober 2004 23:23:55

Created with Ad-Aware SE Personal, free for private use.

Using definitions file:SE1R10 28.09.2004

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

References detected during the scan:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking Cookie(TAC index:3):1 total references

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Definition File:

=========================

Definitions File Loaded:

Reference Number : SE1R10 28.09.2004

Internal build : 15

File location : C:\Program\Lavasoft\Ad-Aware SE Personal\defs.ref

File size : 352256 Bytes

Total size : 1115088 Bytes

Signature data size : 1091215 Bytes

Reference data size : 23361 Bytes

Signatures total : 30729

Fingerprints total : 203

Fingerprints size : 9194 Bytes

Target categories : 15

Target families : 573

Memory + processor status:

==========================

Number of processors : 1

Processor architecture : Intel Pentium IV

Memory available:16 %

Total physical memory:253424 kb

Available physical memory:38864 kb

Total page file size:620256 kb

Available on page file:253064 kb

Total virtual memory:2097024 kb

Available virtual memory:2049852 kb

OS:Microsoft Windows XP Home Edition Service Pack 1 (Build 2600)

Ad-Aware SE Settings

===========================

Set : Safe mode (always request confirmation)

Set : Scan active processes

Set : Scan registry

Set : Deep-scan registry

Set : Scan my IE Favorites for banned URLs

Set : Scan within archives

Set : Scan my Hosts file

Extended Ad-Aware SE Settings

===========================

Set : Unload recognized processes & modules during scan

Set : Scan registry for all users instead of current user only

Set : Always try to unload modules before deletion

Set : During removal, unload Explorer and IE if necessary

Set : Let Windows remove files in use at next reboot

Set : Delete quarantined objects after restoring

Set : Include basic Ad-Aware settings in log file

Set : Include additional Ad-Aware settings in log file

Set : Include reference summary in log file

Set : Include alternate data stream details in log file

Set : Play sound at scan completion if scan locates critical objects

2004-10-05 23:23:55 - Scan started. (Full System Scan)

Listing running processes

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

#:1 [smss.exe]

FilePath : \SystemRoot\System32 ProcessID : 448

ThreadCreationTime : 2004-10-05 14:00:54

BasePriority : Normal

#:2 [csrss.exe]

FilePath : \??\C:\WINDOWS\system32 ProcessID : 512

ThreadCreationTime : 2004-10-05 14:00:56

BasePriority : Normal

#:3 [winlogon.exe]

FilePath : \??\c:\windows\system32 ProcessID : 536

ThreadCreationTime : 2004-10-05 14:00:56

BasePriority : High

#:4 [services.exe]

FilePath : C:\WINDOWS\system32 ProcessID : 580

ThreadCreationTime : 2004-10-05 14:00:57

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Operativsystemet Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Tjänst- och styrenhetsprogram

InternalName : services.exe

OriginalFilename : services.exe

#:5 [lsass.exe]

FilePath : C:\WINDOWS\system32 ProcessID : 592

ThreadCreationTime : 2004-10-05 14:00:57

BasePriority : Normal

FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)

ProductVersion : 5.1.2600.1106

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : LSA Shell (Export Version)

InternalName : lsass.exe

OriginalFilename : lsass.exe

#:6 [svchost.exe]

FilePath : C:\WINDOWS\system32 ProcessID : 764

ThreadCreationTime : 2004-10-05 14:00:58

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

OriginalFilename : svchost.exe

#:7 [svchost.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 816

ThreadCreationTime : 2004-10-05 14:00:58

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

OriginalFilename : svchost.exe

#:8 [svchost.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 928

ThreadCreationTime : 2004-10-05 14:00:59

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

OriginalFilename : svchost.exe

#:9 [svchost.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 940

ThreadCreationTime : 2004-10-05 14:00:59

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

OriginalFilename : svchost.exe

#:10 [spoolsv.exe]

FilePath : C:\WINDOWS\system32 ProcessID : 1148

ThreadCreationTime : 2004-10-05 14:01:02

BasePriority : Normal

FileVersion : 5.1.2600.0 (XPClient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Spooler SubSystem App

InternalName : spoolsv.exe

OriginalFilename : spoolsv.exe

#:11 [avgserv.exe]

FilePath : C:\Program\Grisoft\AVG6 ProcessID : 1404

ThreadCreationTime : 2004-10-05 14:01:11

BasePriority : Normal

FileVersion : 6.0.1.696

ProductVersion : 6.0.1.696

ProductName : AVG6

CompanyName : GRISOFT s.r.o

FileDescription : AvgServ - displays notification message

InternalName : AvgServ

OriginalFilename : AvgServ

#:12 [explorer.exe]

FilePath : C:\WINDOWS ProcessID : 1416

ThreadCreationTime : 2004-10-05 14:01:11

BasePriority : Normal

FileVersion : 6.00.2800.1106 (xpsp1.020828-1920)

ProductVersion : 6.00.2800.1106

ProductName : Operativsystemet Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Utforskaren

InternalName : explorer

OriginalFilename : EXPLORER.EXE

#:13 [cisvc.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 1460

ThreadCreationTime : 2004-10-05 14:01:11

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Content Index service

InternalName : cisvc.exe

OriginalFilename : cisvc.exe

#:14 [snmp.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 1592

ThreadCreationTime : 2004-10-05 14:01:13

BasePriority : Normal

FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)

ProductVersion : 5.1.2600.1106

ProductName : Operativsystemet Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : SNMP-tjänsten

InternalName : snmp.exe

OriginalFilename : snmp.exe

#:15 [soundman.exe]

FilePath : C:\WINDOWS ProcessID : 1644

ThreadCreationTime : 2004-10-05 14:01:16

BasePriority : Normal

FileVersion : 5.0.16

ProductVersion : 5.0.16

ProductName : Realtek Sound Manager

CompanyName : Realtek Semiconductor Corp.

FileDescription : Realtek Sound Manager

InternalName : ALSMTray

OriginalFilename : ALSMTray.exe

Comments : Realtek AC97 Audio Sound Manager

#:16 [daemon.exe]

FilePath : C:\Program\D-Tools ProcessID : 1716

ThreadCreationTime : 2004-10-05 14:01:16

BasePriority : Normal

#:17 [jusched.exe]

FilePath : C:\Program\Java\j2re1.4.2_01\bin ProcessID : 1744

ThreadCreationTime : 2004-10-05 14:01:17

BasePriority : Normal

#:18 [winampa.exe]

FilePath : C:\Program\Winamp ProcessID : 1756

ThreadCreationTime : 2004-10-05 14:01:18

BasePriority : Normal

#:19 [avgcc32.exe]

FilePath : C:\Program\Grisoft\AVG6 ProcessID : 1772

ThreadCreationTime : 2004-10-05 14:01:18

BasePriority : Normal

FileVersion : 6, 0, 0, 515

ProductVersion : 6, 0, 0, 0

ProductName : AVG Anti-Virus System

CompanyName : GRISOFT s.r.o.

FileDescription : AVG Control Center

InternalName : AvgCC32

OriginalFilename : AvgCC32.EXE

#:20 [ctfmon.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 1800

ThreadCreationTime : 2004-10-05 14:01:19

BasePriority : Normal

FileVersion : 5.1.2600.1106 (xpsp1.020828-1920)

ProductVersion : 5.1.2600.1106

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : CTF Loader

InternalName : CTFMON

OriginalFilename : CTFMON.EXE

#:21 [wuauclt.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 1540

ThreadCreationTime : 2004-10-05 14:02:26

BasePriority : Normal

FileVersion : 5.4.3790.2182 built by: srv03_rtm(ntvbl04)

ProductVersion : 5.4.3790.2182

ProductName : Operativsystemet Microsoft® Windows®

CompanyName : Microsoft Corporation

FileDescription : Automatiska uppdateringar

InternalName : wuauclt.exe

OriginalFilename : wuauclt.exe

#:22 [netscp.exe]

FilePath : C:\Program\Netscape\Netscape ProcessID : 636

ThreadCreationTime : 2004-10-05 14:03:43

BasePriority : Normal

#:23 [cidaemon.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 776

ThreadCreationTime : 2004-10-05 14:08:38

BasePriority : Idle

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Indexing Service filter daemon

InternalName : cidaemon.exe

OriginalFilename : cidaemon.exe

#:24 [winamp.exe]

FilePath : C:\Program\Winamp ProcessID : 2912

ThreadCreationTime : 2004-10-05 18:59:03

BasePriority : Normal

FileVersion : 5.05

ProductVersion : 5.05

ProductName : Winamp

CompanyName : Nullsoft

FileDescription : Winamp

InternalName : WINAMP

LegalTrademarks : Nullsoft and Winamp are trademarks of Nullsoft, Inc.

OriginalFilename : Winamp.exe

Comments : Visit http://www.winamp.com/ for updates.

#:25 [realsched.exe]

FilePath : C:\Program\Delade filer\Real\Update_OB ProcessID : 2504

ThreadCreationTime : 2004-10-05 19:07:54

BasePriority : Normal

FileVersion : 0.1.0.1622

ProductVersion : 0.1.0.1622

ProductName : RealOne Player (32-bit)

CompanyName : RealNetworks, Inc.

FileDescription : RealNetworks Scheduler

InternalName : schedapp

LegalTrademarks : RealAudio is a trademark of RealNetworks, Inc.

OriginalFilename : realsched.exe

#:26 [rnathchk.exe]

FilePath : C:\Program\Delade filer\Real\Update_OB ProcessID : 2672

ThreadCreationTime : 2004-10-05 19:07:58

BasePriority : Normal

FileVersion : 7.0.0.1176

ProductVersion : 7.0.0.1176

ProductName : RealOne Player (32-bit)

CompanyName : RealNetworks, Inc.

FileDescription : RealNetworks ATH Check App

InternalName : rnathchk

LegalTrademarks : RealAudio is a trademark of RealNetworks, Inc.

OriginalFilename : rnathchk.EXE

#:27 [photoshp.exe]

FilePath : E:\Program\Photoshop 6.0 ProcessID : 1384

ThreadCreationTime : 2004-10-05 20:07:15

BasePriority : Normal

FileVersion : 6.0

ProductVersion : 6.0

ProductName : Adobe Photoshop

CompanyName : Adobe Systems, Incorporated

FileDescription : Adobe Photoshop

InternalName : Photoshp

OriginalFilename : Photoshp.exe

#:28 [svchost.exe]

FilePath : C:\WINDOWS\System32 ProcessID : 2816

ThreadCreationTime : 2004-10-05 20:07:19

BasePriority : Normal

FileVersion : 5.1.2600.0 (xpclient.010817-1148)

ProductVersion : 5.1.2600.0

ProductName : Microsoft® Windows® Operating System

CompanyName : Microsoft Corporation

FileDescription : Generic Host Process for Win32 Services

InternalName : svchost.exe

OriginalFilename : svchost.exe

#:29 [cutehtml.exe]

FilePath : E:\Program\CuteHTML ProcessID : 2516

ThreadCreationTime : 2004-10-05 20:42:09

BasePriority : Normal

FileVersion : 10, 5, 1, 0

ProductVersion : 1, 0, 0, 0

ProductName : CUTEHTML LE

CompanyName : GlobalSCAPE, Inc.

FileDescription : CuteHTML text editor

InternalName : CUTEHTML LE

OriginalFilename : CUTEHTML.EXE

Comments : CuteHTML text editor

#:30 [ftpx.exe]

FilePath : E:\Program\FTP Explorer ProcessID : 2704

ThreadCreationTime : 2004-10-05 20:53:52

BasePriority : Normal

FileVersion : 1.00.010

ProductVersion : 1.00.010

ProductName : FTP Explorer

CompanyName : FTPx Corp.

FileDescription : FTP Explorer Application

InternalName : FTPX

LegalTrademarks : FTP Explorer is a trademark of FTPx Corp.

OriginalFilename : ftpx.exe

Comments : Release Version

#:31 [winword.exe]

FilePath : C:\Program\Microsoft Office\Office10 ProcessID : 3340

ThreadCreationTime : 2004-10-05 21:07:21

BasePriority : Normal

#:32 [ad-aware.exe]

FilePath : C:\Program\Lavasoft\Ad-Aware SE Personal ProcessID : 584

ThreadCreationTime : 2004-10-05 21:21:36

BasePriority : Normal

FileVersion : 6.2.0.206

ProductVersion : VI.Second Edition

ProductName : Lavasoft Ad-Aware SE

CompanyName : Lavasoft Sweden

FileDescription : Ad-Aware SE Core application

InternalName : Ad-Aware.exe

OriginalFilename : Ad-Aware.exe

Memory scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 0

Started registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Registry Scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 0

Started deep registry scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Deep registry scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 0

Started Tracking Cookie scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Tracking Cookie Object Recognized!

Type : IECache Entry

Data : ernst@2o7[1].txt

Category : Data Miner

Comment : Hits:1

Value : Cookie:ernst@2o7.net/

Expires : 2009-10-04 22:24:10

LastSync : Hits:1

UseCount : 0

Tracking cookie scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 1

Objects found so far: 1

Deep scanning and examining files (C:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for C:»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 1

Deep scanning and examining files (E:)

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Disk Scan Result for E:»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 1

Scanning Hosts file......

Hosts file location:"C:\WINDOWS\system32\drivers\etc\hosts".

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Hosts file scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

1 entries scanned.

New critical objects:0

Objects found so far: 1

Performing conditional scans...

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Conditional scan result:

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

New critical objects: 0

Objects found so far: 1

23:46:45 Scan Complete

Summary Of This Scan

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»

Total scanning time:00:22:49.531

Objects scanned:158231

Objects identified:1

Objects ignored:0

New critical objects:1

[/log]

och så HJT:

[log]Logfile of HijackThis v1.98.2

Scan saved at 23:50:17, on 2004-10-05

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Running processes:

C:\WINDOWS\System32\smss.exe

c:\windows\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Grisoft\AVG6\avgserv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\System32\cisvc.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\D-Tools\daemon.exe

C:\Program\Java\j2re1.4.2_01\bin\jusched.exe

C:\Program\Winamp\winampa.exe

C:\Program\Grisoft\AVG6\avgcc32.exe

C:\WINDOWS\System32\ctfmon.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program\Netscape\Netscape\Netscp.exe

C:\WINDOWS\System32\cidaemon.exe

C:\Program\Winamp\Winamp.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\Delade filer\Real\Update_OB\rnathchk.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Lavasoft\Ad-Aware SE Personal\Ad-Aware.exe

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\TSC.EXE