Just nu i M3-nätverket
Jump to content

Problem vid borttagning av virus - Agent.SC


uffetuff

Recommended Posts

Hej!

 

Jag har ett problem med ett virus, som jag fick igår. Mitt antivirusprogram Panda Titanum meddelar mig följande:

 

En infekterad fil har hittats, men filen används just nu. För att viruset ska kunna tas bort helt måste du först stänga alla program och starta om datorn.

 

Virusnamn: Trj/Agent.SC

 

Virusets plats: c:\windows\inf\taskcab.dll

 

Jag har prövat att starta om och sedan ta bort filen "taskcab.dll" på alla möjliga sätt. Panda Titanum kan inte ta bort filen efter uppstart. Jag har testat följande program för att försöka ta bort filen, utan positivt resultat: KillBox, MoveOnBoot, Security Task Manager och AVG. Jag har testat att ta bort filen i felsäkert läge och jag har testat kommandotolken. Jag gjorde också ett försök med att skapa en ny fil med samma namn i Anteckningar och spara över "taskcab.dll"-filen. Men inget av detta har funkat...:thumbsdown:

 

Filen gör att alla processer i datorn går väldigt segt. Men jag vet inte på vilket sätt den fungerar. Förmodligen är det nån slags Spyware. Hursomhelst så skulle jag vilja få bort den.

 

När jag tittar på egenskaperna för "taskcab.dll" säger den att filen är senast ändrad 2005-04-21 och senast använd samma tidpunkt som man tittar på den.

 

Är jag tvungen att installera om Windows eller går det här problemet att lösa på något annat sätt?

 

Jag har följande Operativsystem och Virusprogram intsallerade:

 

Windows XP Home Edition, Version 2002, Service Pack 2

Panda Titanum Antivirus 2005, Version 4.01.00, senast uppdaterad 2005-05-06

 

Mycket tacksam för svar!

[inlägget ändrat 2005-05-07 00:47:50 av uffetuff]

Link to comment
Share on other sites

mambofeber

hej! sökte på internet, fick ingen träff på varken filen eller viruset.

har du prövat med att söka efter namnen i registret? kanske kan ta bort ev sökväg eller dylikt som är förknippad med filen och sedan starta om. och sen ta bort filen.

 

lycka till!

 

Link to comment
Share on other sites

Scanna med HijackThis och posta loggen här.

 

Hur ska HijackThis hjälpa här?

HijackThis är inte mot virus, utan snarare mot webhijackers?

 

Link to comment
Share on other sites

Eftersom trojanen tillåter hackare att gå in i datorn och stjäl personlig information så bör du nog ha en riktig brandvägg (ej XPs inbyggda) så att du får stopp på trafiken. Det finns gratis från t ex Sygate och Kerio.

http://smb.sygate.com/products/spf_standard.htm

http://www.kerio.com/kpf_download.html

 

Tillägg:

Trojan-informationen hämtad från Pandas webb:

http://www.pandasoftware.com/virus_info/encyclopedia/overview.aspx?lst=vis&idvirus=72805

 

 

[inlägget ändrat 2005-05-07 17:34:47 av Cecilia]

Link to comment
Share on other sites

Tack för tipsen! Men det går tyvärr fortfarande dåligt i försöken att ta bort filen.

 

Jag har testat att söka efter filen i Registereditorn och jag hittade den också, först under en sökväg som jag inte antecknade. Men vid en andra sökning, efter en ny uppstart hade filen lagt sig på ett annat ställe och den sökvägen var:

"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ComDlg32\OpenSaveMRU\*"

Filen har där namnet "c", typen "REG_SZ" och har sökväg "c:\windows\inf\taskcab.dll".

 

Första gången testade jag att ta bort filen, utan något bra resultat. Det verkar inte gå att ta bort filen under några förhållanden i Windows, jag har en aning om att det beror på att filen laddas upp tidigt i bootningen av datorn och sedan körs hela tiden. Och filer som körs går väl inte att ta bort, eller?

 

Jag har nu också scannat med HijackThis och logen finns här:

 

[log]

Logfile of HijackThis v1.99.1

Scan saved at 17:46:03, on 2005-05-07

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\Java\j2re1.4.2_03\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\QuickTime\qttask.exe

C:\Program\ScanSoft\OmniPageSE\opware32.exe

C:\Program\MSN Apps\Updater\01.02.3000.1001\sv\msnappau.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Program\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program\Grisoft\AVGFRE~1\avgamsvr.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program\Delade filer\EPSON\EBAPI\SAgent2.exe

C:\Program\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe

C:\Program\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

C:\Program\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

C:\Program\Delade filer\Panda Software\PavShld\pavprsrv.exe

C:\Program\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE

C:\Program\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

C:\Program\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\alg.exe

C:\Program\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe

C:\Program\Panda Software\Panda Titanium Antivirus 2005\avciman.exe

C:\Documents and Settings\Ulf\Skrivbord\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\inf\taskcab.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\01.02.4000.1001\sv\msntb.dll

O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\01.02.4000.1001\sv\msntb.dll

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Omnipage] C:\Program\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [msnappau] "C:\Program\MSN Apps\Updater\01.02.3000.1001\sv\msnappau.exe"

O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB002" /M "Stylus C44"

O4 - HKLM\..\Run: [AVG7_CC] C:\Program\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -

O16 - DPF: {230C3D02-DA27-11D2-8612-00A0C93EEA3C} (SAXFile FileUpload ActiveX Control) - http://www.fujidirekt.se/SAXFile/saxfile.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by1fd.bay1.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {9600F64D-755F-11D4-A47F-0001023E6D5A} (Shutterfly Picture Upload Plugin) - http://web1.shutterfly.com/downloads/Uploader.cab

O16 - DPF: {A42889C5-62E1-419A-90C2-C9E958D69990} (Genline Family Finder Component) - http://www.genline.se/GFFControl.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.mypix.se/XUpload.ocx

O20 - Winlogon Notify: req - C:\WINDOWS\system32\req.dat (file missing)

O20 - Winlogon Notify: taskcab - C:\WINDOWS\inf\taskcab.dll

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program\Delade filer\EPSON\EBAPI\SAgent2.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Program\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Program\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program\Delade filer\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Program\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program\DELADE~1\SONYSH~1\AVLib\Sptisrv.exe

[/log]

 

Någon som har något bra tips på hur jag kan lösa den här skiten på?

 

Link to comment
Share on other sites

Du har både filer som hör ihop med AVG och Panda igång på datorn. Det är inte rekommendabelt att ha två antivirus igång, det kan leda till konstiga konflikter och en seg dator.

 

Vi får väl se om kombinationen av HijackThis och Killbox hjälper. Filen startas upp så vitt jag kan se när man loggar in.

 

Var säker på att du förstår allt nedan innan du fortsätter, fråga annars.

 

För att du inte ska råka återställa datorn till ett läge med dessa och tidigare otrevligheter i så bör du ta bort alla systemåterställningspunkter genom att avaktivera systemåterställningsfunktionen.

Den här datorn - högerklick - Egenskaper - Systemåterställning

Funktionen ska sedan sättas på när datorn är ren.

 

HijackThis kommer att spara säkerhetskopior på samma ställe som den ligger och det blir nog lite rörigt på ditt Skrivbord, så skapa en särskild mapp, t ex C:\HjT och lägg HijackThis i den mappen.

 

[log]Kör HijackThis och skanna. Bocka för dessa rader:

 

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\inf\taskcab.dll

O3 - Toolbar: (no name) - {0494D0D9-F8E0-41ad-92A3-14154ECE70AC} - (no file)

O16 - DPF: {1D6711C8-7154-40BB-8380-3DEA45B69CBF} -

O20 - Winlogon Notify: req - C:\WINDOWS\system32\req.dat (file missing)

O20 - Winlogon Notify: taskcab - C:\WINDOWS\inf\taskcab.dll

 

Avsluta alla program och fönster förutom HijackThis.

 

Tryck på Fix checked.

 

Starta Killbox. Markera Delete on Reboot. Ange filen

C:\WINDOWS\inf\taskcab.dll

Tryck på krysset på röd botten. Svara Ja på båda frågorna och låt datorn startas om i felsäkert läge (F8 upprepade gånger under uppstarten).

 

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

Bocka för Visa innehållet i systemmappar

 

Ta bort filerna (om de finns kvar):

C:\WINDOWS\inf\taskcab.dll

C:\WINDOWS\system32\req.dat

 

Starta om datorn i normalt läge och ta ut en ny HijackThis-logg, som du lägger ut i ditt svar här.[/log]

 

Link to comment
Share on other sites

Tack för att du tar dig tid och hjälper!

 

Jag har avinstallerat AVG nu, eftersom det ändå inte verkade hitta något virus. Så nu kör jag bara Panda. Jag har också flyttat HijackThis till en egen mapp nu.

 

Jag följde dina instruktioner och det gick bra i HijackThis, sen när jag körde KillBox så gick det inte att ta bort filen. Fönstret får symptomer av hängning(hänger sig inte helt) när jag har skrivit in hela sökvägen. Det går då inte att trycka på den röda ta-bort-knappen. Det är som att masken själv känner av att jag håller på att ta bort den och därför fryser fönstret...;)

 

Trots missödet med KillBox fullföljde jag instruktionerna och startade om datorn i Felsäkert läge. Öppnade utforskaren och checkade i inställningarna som du skrev. Filen "C:\WINDOWS\inf\taskcab.dll" fanns fortfarande kvar och den gick inte att ta bort(Åtkomst nekad o.s.v...). Den andra filen("C:\WINDOWS\system32\req.dat") verkar däremot ha försvunnit.

 

Den nya HijackThis-loggen efter detta försök är den här:

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 19:10:18, on 2005-05-07

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\csrss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

C:\Program\Panda Software\Panda Titanium Antivirus 2005\WebProxy.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\EPSON\EBAPI\SAgent2.exe

C:\Program\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe

C:\WINDOWS\system32\userinit.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\Java\j2re1.4.2_03\bin\jusched.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\QuickTime\qttask.exe

C:\Program\ScanSoft\OmniPageSE\opware32.exe

C:\Program\MSN Apps\Updater\01.02.3000.1001\sv\msnappau.exe

C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE

C:\Program\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

C:\Program\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

C:\Program\Delade filer\Panda Software\PavShld\pavprsrv.exe

C:\Program\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe

C:\Program\Panda Software\Panda Titanium Antivirus 2005\AVENGINE.EXE

C:\Program\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

C:\Program\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe

C:\WINDOWS\System32\svchost.exe

c:\hijackthis\HijackThis.exe

C:\Program\Panda Software\Panda Titanium Antivirus 2005\avciman.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

F2 - REG:system.ini: UserInit=C:\WINDOWS\system32\userinit.exe

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\inf\taskcab.dll (file missing)

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\01.02.4000.1001\sv\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\01.02.4000.1001\sv\msntb.dll

O4 - HKLM\..\Run: [APVXDWIN] "C:\Program\Panda Software\Panda Titanium Antivirus 2005\APVXDWIN.EXE" /s

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Program\Java\j2re1.4.2_03\bin\jusched.exe

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [Omnipage] C:\Program\ScanSoft\OmniPageSE\opware32.exe

O4 - HKLM\..\Run: [NeroCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [msnappau] "C:\Program\MSN Apps\Updater\01.02.3000.1001\sv\msnappau.exe"

O4 - HKLM\..\Run: [EPSON Stylus C44 Series] C:\WINDOWS\System32\spool\DRIVERS\W32X86\3\E_S10IC2.EXE /P23 "EPSON Stylus C44 Series" /O6 "USB002" /M "Stylus C44"

O4 - HKLM\..\Run: [AdaptecDirectCD] "C:\Program\Roxio\Easy CD Creator 5\DirectCD\DirectCD.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program\MSN Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {230C3D02-DA27-11D2-8612-00A0C93EEA3C} (SAXFile FileUpload ActiveX Control) - http://www.fujidirekt.se/SAXFile/saxfile.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by1fd.bay1.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {9600F64D-755F-11D4-A47F-0001023E6D5A} (Shutterfly Picture Upload Plugin) - http://web1.shutterfly.com/downloads/Uploader.cab

O16 - DPF: {A42889C5-62E1-419A-90C2-C9E958D69990} (Genline Family Finder Component) - http://www.genline.se/GFFControl.cab

O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/msnmessengersetupdownloader.cab

O16 - DPF: {E87F6C8E-16C0-11D3-BEF7-009027438003} (Persits Software XUpload) - http://www.mypix.se/XUpload.ocx

O20 - Winlogon Notify: taskcab - C:\WINDOWS\inf\taskcab.dll (file missing)

O23 - Service: EPSON Printer Status Agent2 (EPSONStatusAgent2) - SEIKO EPSON CORPORATION - C:\Program\Delade filer\EPSON\EBAPI\SAgent2.exe

O23 - Service: Panda Firewall Service (PAVFIRES) - Panda Software - C:\Program\Panda Software\Panda Titanium Antivirus 2005\Firewall\PavFires.exe

O23 - Service: Panda Function Service (PAVFNSVR) - Panda Software - C:\Program\Panda Software\Panda Titanium Antivirus 2005\PavFnSvr.exe

O23 - Service: Panda Pavkre (Pavkre) - Panda Software - C:\Program\Panda Software\Panda Titanium Antivirus 2005\Pavkre.exe

O23 - Service: Panda PavProt (PavProt) - Panda Software - C:\Program\Panda Software\Panda Titanium Antivirus 2005\PavProt.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Software - C:\Program\Delade filer\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda anti-virus service (PAVSRV) - Panda Software - C:\Program\Panda Software\Panda Titanium Antivirus 2005\pavsrv51.exe

O23 - Service: Panda Preventium+ Service (PREVSRV) - Panda Software - C:\Program\Panda Software\Panda Titanium Antivirus 2005\prevsrv.exe

O23 - Service: Panda IManager Service (PSIMSVC) - Panda Software Internacional - C:\Program\Panda Software\Panda Titanium Antivirus 2005\PsImSvc.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program\DELADE~1\SONYSH~1\AVLib\Sptisrv.exe

 

[/log]

 

Jag har nu återigen sökt efter "taskcab" i Registereditorn och kommit på att filen hittas på flera ställen. Nämligen dessa:

 

1. HKEY_CLASSES_ROOT\CLSID\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}\InprocServer32

 

2. HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44}\InprocServer32

 

3. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\taskcab

 

På den 2 första ställena är den datat till filerna(?) som heter (Standard)

 

På det 3:e stället verkar den ha sin egna lilla mapp, med 6 filer(eller vad det nu är) i :

[ "(Standard)", "Asynchronous", "DllName", "Impersonate", "Logoff" och "Startup"]

 

Kanske kan det funka om jag tar bort hela katalogen i "punkt 3" här ovan? Eller vad ska jag göra? Det känns i alla fall som att jag hela tiden kommer närmare nu, tack vare all hjälp!

 

Link to comment
Share on other sites

Du har tydligen fått in något som heter vundo, det krävs lite specialare för att få bort det.

 

Spara denna fil på ditt Skrivbord genom att högerklicka och välja Spara mål som (tror jag det heter i Internet Explorer).

http://www.bleepingcomputer.com/files/spyware/fixvundo.reg

Den kommer om en stund att ta bort alla nödvändiga saker i registret.

 

Ladda ner Process Explorer här:

http://www.sysinternals.com/files/procexpnt.zip

 

Stäng alla program.

 

Packa upp filen procexpnt.zip och starta procexp.exe.

I övre halvan av det fönstret dubbelklicka på winlogon.exe för att få upp dess Egenskaper (properties). Klicka på Threads fliken.

Välj en i taget av alla ställen där det står taskcab.dll och klicka sedan på Kill-knappen. När alla taskcab.dll är "kill"-ade, tryck Ok.

 

Dubbelklicka på explorer.exe och upprepa samma sak med de taskcab.dll som syns där. Tryck Ok igen. Avsluta Process explorer.

 

Starta HijackThis och bocka för dessa rader.

O2 - BHO: MSEvents Object - {44240BB5-BD7D-4D49-A1AA-8AB0F3D3CB44} - C:\WINDOWS\inf\taskcab.dll (file missing)

O20 - Winlogon Notify: taskcab - C:\WINDOWS\inf\taskcab.dll (file missing)

 

Tryck Fix checked och stäng HijackThis.

 

Dubbelklicka på fixvundo.reg och tillåt det att ändra ditt register.

 

Starta Killbox, välj Delete on reboot.

Ange C:\WINDOWS\inf\taskcab.dll, tryck på X på röd botten. Låt datorn starta om.

 

Ta ut en ny HijackThis-logg.

Jag håller tummarna för att det är borta nu.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...