Ta reda på vad som orsakar omstart

10 Maj, 2006

Har problem med en XP SP2 dator som bootar om ca 10 sec efter den gått in i grafisk läge (dvs. när man ser inloggnings dialogen). Går alltid ca 10sec, oavsett om man loggar in som en användare eller inte gör något. Efter jag avinstallera grafikdrivrutinerna i felsäkert läge så hinner jag se en blåskärm innan den bootar om. Hinner dock inte läsa vad som står.

I c:\Windows\minidump skapas en 88kB stor dmp fil för varje krasch. Kan denna användas för att ta reda på vad som går fel? Eftersom jag aldrig kommer in i Windows i normalläge får jag aldrig chansen att skicka en kraschrapport och få felet analyserat.

Hur gör jag för att identifera felet/komma vidare.

Jättetacksam för hjälp.

Mvh. John

10 Maj, 2006

Stäng av automatiska omstarter vid systemfel så att du hinner se vad som står på blåskärmen:

Högerklick på Den här datorn - Egenskaper - Avancerat - Start...Inställningar

Det ska väl gå bra även i felsäkert läge.

Det viktiga på blåskärmen är högt upp ett meddelande med stora bokstäver (t ex BAD_POOL), långt ner rad(er) med mest siffror och efter det eventuellt ett filnamn.

Hade du installlerat/uppdaterat något innan detta började inträffa?

Skillnaden mellan felsäkert läge och normalt läge är att färre drivrutiner och program laddas i felsäkert läge.

11 Maj, 2006

Då får jag felet:

STOP: 0x0000008E (0xC0000005, 0x00000156, 0xF5644824, 0x00000000)

Har sökt lite på STOP: 0x0000008E, det jag hittar ska vara fixat i och med att SP2 är installerat. Fast det verkar vara ett allmänt fel? Kan någon hårdvara vara korrupt?

11 Maj, 2006

Om det beror på fel på minne eller hårddisk så borde datorn inte heller fungera i felsäkert läge.

0x0000008E: KERNEL_MODE_EXCEPTION_NOT_HANDLED
A kernel mode program generated an exception which the error handler didn’t catch. These are nearly always hardware compatibility issues (which sometimes means a driver issue or a need for a BIOS upgrade).

http://aumha.org/win5/kbestop.php#0x8e

Parameter 1: ...
0xC0000005: STATUS_ACCESS_VIOLATION

A memory access violation occurred.

http://msdn.microsoft.com/library/default.asp?url=/library/en-us/DevTest_g/hh/DevTest_g/t05_bugs_60_299217d6-98d1-4d1d-8068-883e89933845.xml.asp

Låter som problem med programvara som t ex en drivrutin eller tjänst.

Läs det här om selektiv start:

http://support.microsoft.com/kb/310353/

Pröva dig fram med lite olika kryssmarkeringar och försök komma på vad det är som gör att datorn inte startar.

11 Maj, 2006

Hej Johnj!

Enligt Ms advanced search så kan felmeddelandet orsakas av en "bakdörr":

"Viruset HaxDoor kan ge upphov till felmeddelandet "STOP 0x00000050" eller "STOP 0x0000008e"" se mer på: http://support.microsoft.com/kb/903251/sv

Om haxdoor: "Summary

Haxdoor is a powerful backdoor with rootkit capabilities. It can hide its presence (processes and files) on an infected system, so it can be only detected by anti-virus programs that use kernel drivers and by rootkit detectors (like our F-Secure BlackLight for example).

This backdoor has spying capabilities and according to reports, it has been lately used to steal bank-related information (logins and passwords for online bank accounts) and other information. "

Läs mer om det på: http://www.f-secure.com/v-descs/haxdoor.shtml

från vilket ovan citat är citerat!

Rådet blir med andra ord att koppla loss hårddisken och lägga in den som slav i en annan dator och kopiera över alla mappar du vill spara (typ:documents and settings) samt bränna dessa till CD/DVD.

Därefter installera om datorn HELT! dvs. genom att RADERA befintlig partition och därefter skapa en ny!

Givetvis installerar du om datorn utan att ha nätverkssladden inkopplad!

Denna gång bör du även installera ett bra virusskydd samt endast logga in som användare... vilket begränsar huvuddelen av all smittas inverkan på din dator!

När Rootkits är inblandade är sedvanliga "rensningar" tämligen ineffektiva då mer kan döljas än man känner till... Därav rådet att utföra en ren nyinstallation.

Efter installationen rekommenderar jag dej att byta samtliga lösenord som du använder via din dator!

Lycka till!

/Thomas

Ladda ner professionella väl genomtänkta installationsanvisningar som ger hög säkerhet mot virus & angrepp, stabil drift samt optimal prestanda på: http://www.winguider.se Finns för Win2000 Pro & för XP Pro (3 olika versioner) Ej för XP home

(Vilka virusskydd som gör skäl för namnet kan du se på: http://www.virus.gr/english/fullxml/default.asp?id=72&mnu=72 )

[inlägget ändrat 2006-05-11 11:31:03 av /Thomas]

[inlägget ändrat 2006-05-11 11:32:53 av /Thomas]

11 Maj, 2006

Detta låter mycket intressant. Sa jag testa så snart som möjligt. Återkommer.

Tackar!

11 Maj, 2006

Vi kan kolla om du (jonJ) skulle ha råkat få in Haxdoor om du kan föra över filer mellan den dåliga datorn och en annan via diskett eller CD. I så fall kan du föra över det här programmet:

http://www.thespykiller.co.uk/files/HJTsetup.exe

Installera, kör, skanna och spara loggen (inget annat).

För över loggen och klistra in den i ditt svar här på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

När Rootkits är inblandade är sedvanliga "rensningar" tämligen ineffektiva då mer kan döljas än man känner till... Därav rådet att utföra en ren nyinstallation.

Nja, för välkända infektioner som Haxdoor så finns det ju ett specialutvecklat borttagningsprogram. När man har tagit fram det så har man naturligtvis undersökt noga exakt vilka filer resp. registernycklar som har tillkommit och ändrats före och efter en infektion med Haxdoor.

11 Maj, 2006

Nja, för välkända infektioner som Haxdoor så finns det ju ett specialutvecklat borttagningsprogram. När man har tagit fram det så har man naturligtvis undersökt noga exakt vilka filer resp. registernycklar som har tillkommit och ändrats före och efter en infektion med Haxdoor.

Ehh... Det är en BAKDÖRR! Med ROOTKIT !!

En bakdörr innebär att någon har kontrollerat datorn..

Vilket i sin tur innebär fler ändringar än den bakdörren i sig skapar!

Ändringar som dessutom kan döljas med hjälp av rootkitet!

"ett specialutvecklat borttagningsprogram" kan ta bort de KÄNDA delarna av smittan... Men hur går det med de ev. övriga???

En bakdörr innebär t.ex. att man kan ha kört NTFSHIDE på datorn och skapat en dold utdelning som innehåller en hel massa skojiga saker som du helt enkelt inte kan se från windows!

Skulle ett "specialutvecklade borttagningsprogram" ta bort den mappen???

Nä!

Varför jag envist rekommenderar att man rensar rent maskinen innan den installeras igen..

Att förlita sig på en programvara som kan ha skapats för en annan VERSION av smittan (och därmed ev. missar delar av den) är inte tilllämpbart i detta fall!

Speciellt när programvaran inte tar bort det som kan ha lagts till utöver grundsmittan! Ett rootkit döljer som sagt sin närvaro och de kan programmeras till att känna igen när för dom negativa programvaror körs och därmed motverka effekten av programmet i fråga!

Jag rekommenderar normalt inte ominstallationer annat än om det behövs, vilket det gör ifall ett rootkit är inblandat (av ovan nämda skäl!)

:0)

/Thomas

Ladda ner professionella väl genomtänkta installationsanvisningar som ger hög säkerhet mot virus & angrepp, stabil drift samt optimal prestanda på: http://www.winguider.se Finns för Win2000 Pro & för XP Pro (3 olika versioner) Ej för XP home

[inlägget ändrat 2006-05-11 13:29:58 av /Thomas]

11 Maj, 2006

Ja du får tycka vad du vill. Men F-secure lär väl tycka annat, varför skulle de annars utveckla Blacklight och anse att man kan ta bort rootkit med hjälp av det.

Ändringar som dessutom kan döljas med hjälp av rootkitet!

med fler av dina meningar.

Döljs ju inte om man inte har Windows och otrevligheten igång. Ett exempel är ju att köra en lågnivå-diff på hårddisken före och efter.

Jag rekommenderar normalt inte ominstallationer annat än om det behövs, vilket det gör ifall ett rootkit är inblandat (av ovan nämda skäl!)

Har du inte varit inne i trådar med förslag på hur folk ska fixa dator som har drabbats av SpywareQuake eller andra otrevligheter av Smitfraud-släktet? Det är rootkit-baserat. Man kan inte se att någon process kör i HijackThis-loggen eller Aktivitesthanteraren men ändå finns den där och specialverktyget letar upp filerna ändå.

12 Maj, 2006

Ja du får tycka vad du vill. Men F-secure lär väl tycka annat, varför skulle de annars utveckla Blacklight och anse att man kan ta bort rootkit med hjälp av det.

Läs mitt inlägg!

Du kan bli av med rootkitet, men hur VET du att du inte har fått in något annat "på köpet"

Ett rootkit i sig är inte skadlig! (den utför faktiskt inget direkt skadligt!)

Det är tillbehören till rootkiten som är skadliga.

Dessa tillbehör kan t.ex. vara ytterligare ett rootkit som inte aktiveras förren orginalet har "försvunnit"

Hänger du med! Rootkitet kan i bästa fall tas bort, men det gör inte att det som rootkitet har dragit med in i din dator också försvinner!!

Det gäller att se hela bilden!

Ber om ursäkt för att det kan ha varit otydligt! :0)

Ett exempel är ju att köra en lågnivå-diff på hårddisken före och efter.

Det är ju precis det en privatperson kastar sig på på en gång???

(JaTjenare!)

Har du inte varit inne i trådar med förslag på hur folk ska fixa dator som har drabbats av SpywareQuake eller andra otrevligheter av Smitfraud-släktet? Det är rootkit-baserat

Intressanta exempel du tar upp!

Om vi börjar med SpywareQuake så anger ingen av dessa att de har någon koppling till rootkits:

http://securityresponse.symantec.com/avcenter/venc/data/spywarequake.html

http://www.f-secure.com/sw-desc/spyaxe.shtml

http://vil.nai.com/vil/content/v_139050.htm

Ingenstans anges koppling till Rootkits!!!!!

Sedan tar vi och söker på Smitfraud och återigen, ingenstans anges en koppling till rootkits:

http://www.f-secure.com/v-descs/agent_eo.shtml

(se även: http://www.f-secure.com/v-descs/smitfraud_c.shtml )

http://securityresponse.symantec.com/avcenter/venc/data/trojan.alemod.html

Ingenstans anges någon koppling till Rootkits! Ingenstans!

Att Smitfraud (för att ta som exempel) är "svår" att få "bort" beror endast av en anledning, nämligen den att den använder sig av "Codeinjection"

dvs. den "skjuter in" sin skadliga kod i "tomma delar" av en redan befintlig fil.

I fallet med smitfraud är det wininet.dll som kryddas med lite extra kod.

Kod som INTE försvinner av att man raderar andra filer eller registerentryn.

Citat från F-secures beskrivning: "WININET.DLL infection

The spying component oleadm.dll is activated by installing hooks in Windows system component WININET.DLL. The hook code traps WININET.DLL entry point and exported symbol 'HttpSendRequestA'. When these entry points are called, oleadm.dll is loaded into the address space of process. Infected WININET.DLL is detected as 'Virus.Win32.Nsag.a'. "

För att lyckas fullt ut med "rensningen" måste man m.a.o. ÄVEN rensa wininet.dll eller helt enkelt återställa orginalet från I386-mappen!

Men dessa har INGENTING MED ROOTKITS ATT GÖRA!

Rootkits är en helt annan sak! En totalt annan sak!

OK! det är lätt att ta miste mellan "code injection" och rootkits då man lätt tror att "code injection" kör "dolda processer"

Skillnaden är i Code injection"-fallet att processen faktiskt körs synlig för dej, men du tror inte att den du ser innehåller oönskade komponenter.

Rootkits är fristående processer som körs utan att dessa syns för windows eller virusskydd etc.

Problematiken är dock intressant! :0)

För i båda fallen räcker det inte att ta bort "smittan" utan man kan direkt utgå från att annat har följt med som man varken känner till eller direkt märker av!

Kort sagt! Smittan kan i bästa fall tas bort, men det gör inte att det som smittan har dragit med in i din dator också försvinner!!

:0)

/Thomas

Ladda ner professionella väl genomtänkta installationsanvisningar som ger hög säkerhet mot virus & angrepp, stabil drift samt optimal prestanda på: http://www.winguider.se Finns för Win2000 Pro & för XP Pro (3 olika versioner) Ej för XP home

[inlägget ändrat 2006-05-12 14:04:43 av /Thomas]

[inlägget ändrat 2006-05-12 14:06:28 av /Thomas]

12 Maj, 2006

Hänger du med! Rootkitet kan i bästa fall tas bort, men det gör inte att det som rootkitet har dragit med in i din dator också försvinner!!

Det andra går naturligtvis att ta bort på vanligt sätt, vad skulle vara så konstigt med det?

Men om datorn är normalt pigg, inga meddelanden, inget accessar internet, vad skulle då kunna ske?

Ett exempel är ju att köra en lågnivå-diff på hårddisken före och efter.

Det är ju precis det en privatperson kastar sig på på en gång???

(JaTjenare!)

Det sa jag väl inte, men de som utvecklar motmedel gör ju t ex sådant.

I fallet med smitfraud är det wininet.dll som kryddas med lite extra kod.

Smitfraud-varianten som gick runt i somras hade en infekterad wininet.dll som en del, men inte de som härjat under vintern och våren. Se den här tråden t ex:

//eforum.idg.se/viewmsg.asp?EntriesId=830921#830926

Det enda som syns i HijackThis-loggen är den här raden:

O2 - BHO: Nothing - {b0398eca-0bcd-4645-8261-5e9dc70248d0} - C:\WINDOWS\system32\hp2A42.tmp

En Browser Helper Object i IE, typ en toolbar. Infektionen döljer sig i processlistan, vilket är just vad man menar med en rootkit. Om det bara var frågan om en Browser Helper Object så skulle det ju bara vara att rensa bort toolbars etc från Internet Explorer, men här finns det något som körs i datorn eftersom det poppar upp meddelanden så fort datorn startas.

Längre ner så ser att det fanns följande infekterade filer på datorn:

C:\WINDOWS\system32\atmclk.exe FOUND !

C:\WINDOWS\system32\dcomcfg.exe FOUND !

C:\WINDOWS\system32\hp????.tmp FOUND !

C:\WINDOWS\system32\ld????.tmp FOUND !

C:\WINDOWS\system32\ot.ico FOUND !

C:\WINDOWS\system32\regperf.exe FOUND !

C:\WINDOWS\system32\reglogs.dll FOUND !

C:\WINDOWS\system32\simpole.tlb FOUND !

C:\WINDOWS\system32\stdole3.tlb FOUND !

C:\WINDOWS\system32\1024\ FOUND !

Alltså 3 exe-filer varav åtminstone någon kör hela tiden. Ingen av dem någon vanlig Windows-fil utan de ska bort från datorn.

I det här fallet så hade datorn NOD32.

Här Norton:

//eforum.idg.se/viewmsg.asp?EntriesId=824858

Här F-secure:

//eforum.idg.se/viewmsg.asp?EntriesId=829982

Så anledningen till att antivirusprogrammen är så dåliga på att ta bort det är kanske att de ignorerar rootkit-bitar. Annars så tycker de väl helt enkelt att det inte finns anledning att blanda in sådana tekniska termer i beskrivningar som vänder sig till vanliga konsumenter.

F-secure har ju utvecklat ett särskilt verktyg mot SpyAxe, det skulle man väl inte behöva göra om det bara var frågan om att radera några enklar filer och registernycklar på vanligt sätt. De är ju inte ens säkra på att filerna verkligen har blivit raderade efter att man har kört verktyget enligt deras egen beskrivning.

12 Maj, 2006

Hej! Äntligen fått lite tid att kika på detta igen. Gjorde som du sa, här är loggen. Jag körde detta i felsäkert läge.

/John

[log]Logfile of HijackThis v1.99.1

Scan saved at 17:58:00, on 2006-05-12

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\savedump.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.tele2.se/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=394

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunServices: [Windows DLL host] "C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

O4 - HKLM\..\RunServices: [nvviddrv32] dtgljkn.exe

O4 - HKLM\..\RunServices: [Microsoftkeysd] systemproc.exe

O4 - HKLM\..\RunServices: [Microsoft Services] explorer.exe

O4 - HKLM\..\RunServices: [Windows Firewall Manager] msfw.exe

O4 - HKLM\..\RunServices: [Win32 Usb Driver] svhosint32.exe

O4 - HKLM\..\RunServices: [*windows update] wrauclt.exe

O4 - HKLM\..\RunServices: [Microsoft Drivers] WSconf.exe

O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe

O4 - HKLM\..\RunServices: [system32 TCP Manager] systerm.exe

O4 - HKLM\..\RunServices: [MS SyS Restore] sysrestore.exe

O4 - HKLM\..\RunServices: [MSN Messenger /background] msnmsgr.exe

O4 - HKLM\..\RunServices: [Microsoft Legacy Device] trass.exe

O4 - HKLM\..\RunServices: [MS Windows Update] scguard.exe

O4 - HKCU\..\RunServices: [Windows DLL host] "C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

O4 - HKCU\..\RunServices: [0utlook Express] ygjmu.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~4\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Web Rebates - file://C:\Program\Web_Rebates\Sy1150\Tp1150\scri1150a.htm

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105649641921

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1147012388984

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

O23 - Service: Microsoft Windows Update (Microsoft Update) - Unknown owner - C:\WINDOWS\System32\svmhost.exe" -netsvcs (file missing)

O23 - Service: Microsoftkeysd (MicrosoftCorporations) - Unknown owner - C:\WINDOWS\system32\systemproc.exe" -netsvcs (file missing)

O23 - Service: Norton AntiVirus Auto Protect-tjänst (navapsvc) - Symantec Corporation - C:\Program\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program\DELADE~1\SYMANT~1\SCRIPT~1\SBServ.exe

[/log]

12 Maj, 2006

Använde verktyget dumpchk på en minidump. Är det någon av drivrutinerna längst ned som kraschar?

[log]----- 32 bit Kernel Mini Dump Analysis

DUMP_HEADER32:

MajorVersion 0000000f

MinorVersion 00000a28

DirectoryTableBase 037a5000

PfnDataBase 81cca000

PsLoadedModuleList 8055a420

PsActiveProcessHead 805604d8

MachineImageType 0000014c

NumberProcessors 00000001

BugCheckCode 1000008e

BugCheckParameter1 c0000005

BugCheckParameter2 00000156

BugCheckParameter3 f6e52824

BugCheckParameter4 00000000

PaeEnabled 00000000

KdDebuggerDataBlock 8054c060

MiniDumpFields 00000dff

TRIAGE_DUMP32:

ServicePackBuild 00000200

SizeOfDump 00010000

ValidOffset 0000fffc

ContextOffset 00000320

ExceptionOffset 000007d0

MmOffset 00001068

UnloadedDriversOffset 000010a0

PrcbOffset 00001878

ProcessOffset 000024c8

ThreadOffset 00002728

CallStackOffset 00002980

SizeOfCallStack 000007cc

DriverListOffset 000033e0

DriverCount 000000a8

StringPoolOffset 000065c0

StringPoolSize 00001740

BrokenDriverOffset 00000000

TriageOptions 00000041

TopOfStack f6e52834

DebuggerDataOffset 00003150

DebuggerDataSize 00000290

DataBlocksOffset 00007d00

DataBlocksCount 00000005

Windows XP Kernel Version 2600 (Service Pack 2) UP Free x86 compatible

Kernel base = 0x804d7000 PsLoadedModuleList = 0x8055a420

Debug session time: Tue May 09 21:11:46 2006

System Uptime: 0 days 0:00:37

start end module name

804d7000 806eb400 nt Checksum: 0021F55B Timestamp: Wed Mar 02 01:59:37 2005 (42250FF9)

Unloaded modules:

f7333000 f7336000 mdmxsdk.sys Timestamp: unavailable (00000000)

f9e6e000 f9e72000 usbscan.sys Timestamp: unavailable (00000000)

f9b82000 f9b8c000 processr.sys Timestamp: unavailable (00000000)

f9d72000 f9d77000 Cdaudio.SYS Timestamp: unavailable (00000000)

f96a9000 f96ac000 Sfloppy.SYS Timestamp: unavailable (00000000)

Finished dump check

[/log]

12 Maj, 2006

Haxdoor ser jag inte till men det var många andra otrevligheter där.

För över Ewido och rensa med det så får vi se vad som återstår sedan.

http://www.ewido.net/en/download/

Filen som man får ner när man trycker på knappen Download now

dessutom en uppdaterad databas från den här sidan:

http://www.ewido.net/en/download/updates/ Knappen under rubriken Full database.

Installera enligt anvisningarna här:

http://rstones12.geekstogo.com/ewidosetup.htm Bara den första punktlistan, du ska inte skanna än. Fast jag vet inte exakt hur du uppdaterar från databasfilen du har laddat ner, men det kanske löser sig när man väl sitter där.

Skanna med Ewido på detta sätt.

Tryck på Scanner.

Tryck på Settings

Kontrollera att allt är ibockat under "How to scan" och "Unwanted Software".

Under "What to scan" välj "Scan every file".

OK

Tryck på Complete System Scan.

Granska allt som Ewido vill ta bort för det händer att den vill ta bort sådant som ska vara kvar.

När skanningen är klar så tryck långt ner i fönstret på knappen Save Report, spara rapporten t ex på Skrivbordet.

Stäng Ewido.

Starta om datorn (se om det går med normalt läge men anslut den inte till internet innan den är ren).

Ta ut en ny HijackThis-logg.

Klistra in Ewidos rapport och HijackThis-loggen.

12 Maj, 2006

Hej! Tack för svaret. Fick tyvärr fortfarande STOP: 0x0000008E.

Nedan är loggarna du bad om:

[log]---------------------------------------------------------

ewido anti-malware - Scan report

---------------------------------------------------------

+ Created on: 19:15:25, 2006-05-12

+ Report-Checksum: 5159DA68

+ Scan result:

HKLM\SOFTWARE\180solutions -> Adware.180Solutions : Error during cleaning

HKLM\SOFTWARE\180solutions\msbb -> Adware.180Solutions : Error during cleaning

HKLM\SOFTWARE\Avenue Media -> Adware.InternetOptimizer : Error during cleaning

HKLM\SOFTWARE\Classes\YSBactivex.Installer.1 -> Adware.YourSiteBar : Cleaned with backup

HKLM\SOFTWARE\ClickSpring -> Adware.PurityScan : Error during cleaning

HKLM\SOFTWARE\ISTsvc -> Adware.ISTBar : Error during cleaning

HKLM\SOFTWARE\Microsoft\Internet Explorer\Main\ins -> Adware.WebRebates : Cleaned with backup

HKLM\SOFTWARE\ohbbackup -> Adware.EliteBar : Error during cleaning

HKLM\SOFTWARE\SearchRelevancy -> Adware.SearchRelevancy : Error during cleaning

HKLM\SOFTWARE\SearchRelevancy\Update -> Adware.SearchRelevancy : Error during cleaning

HKLM\SOFTWARE\SideFind -> Adware.SideFind : Error during cleaning

HKLM\SOFTWARE\twaintec -> Adware.BetterInternet : Error during cleaning

HKU\S-1-5-21-1163395192-1180395095-3134616843-1008\Software\180solutions -> Adware.180Solutions : Cleaned with backup

HKU\S-1-5-21-1163395192-1180395095-3134616843-1008\Software\180solutions\msbb -> Adware.180Solutions : Cleaned with backup

HKU\S-1-5-21-1163395192-1180395095-3134616843-1008\Software\Avenue Media -> Adware.InternetOptimizer : Cleaned with backup

HKU\S-1-5-21-1163395192-1180395095-3134616843-1008\Software\Avenue Media\Internet Optimizer -> Adware.InternetOptimizer : Cleaned with backup

HKU\S-1-5-21-1163395192-1180395095-3134616843-1008\Software\IST -> Adware.ISTBar : Cleaned with backup

HKU\S-1-5-21-1163395192-1180395095-3134616843-1008\Software\LQ -> Dialer.Generic : Cleaned with backup

HKU\S-1-5-21-1163395192-1180395095-3134616843-1008\Software\Microsoft\Internet Explorer\MenuExt\Web Rebates -> Adware.WebRebates : Cleaned with backup

HKU\S-1-5-21-1163395192-1180395095-3134616843-1008\Software\MxTarget -> Adware.BetterInternet : Cleaned with backup

HKU\S-1-5-21-1163395192-1180395095-3134616843-1008\Software\salm -> Adware.180Solutions : Cleaned with backup

HKU\S-1-5-21-1163395192-1180395095-3134616843-1008\Software\WebSiteViewer -> Dialer.Generic : Cleaned with backup

HKU\S-1-5-21-1163395192-1180395095-3134616843-1008\Software\WebSiteViewer\Settings -> Dialer.Generic : Cleaned with backup

C:\Documents and Settings\Lisa Maria\Cookies\lisa maria@adtech[2].txt -> TrackingCookie.Adtech : Cleaned with backup

C:\Documents and Settings\Lisa Maria\Cookies\lisa maria@advertising[1].txt -> TrackingCookie.Advertising : Cleaned with backup

C:\Documents and Settings\Lisa Maria\Cookies\lisa maria@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned with backup

C:\Documents and Settings\Lisa Maria\Cookies\lisa maria@ilead.itrack[1].txt -> TrackingCookie.Itrack : Cleaned with backup

C:\Documents and Settings\LocalService\Lokala inställningar\Temporary Internet Files\Content.IE5\6GHUVER7\sbar[1] -> Dropper.Agent.ad : Cleaned with backup

C:\Documents and Settings\Ove\Cookies\ove@ad.yieldmanager[1].txt -> TrackingCookie.Yieldmanager : Cleaned with backup

C:\Documents and Settings\Ove\Cookies\ove@ad1.clickhype[2].txt -> TrackingCookie.Clickhype : Cleaned with backup

C:\Documents and Settings\Ove\Cookies\ove@adtech[2].txt -> TrackingCookie.Adtech : Cleaned with backup

C:\Documents and Settings\Ove\Cookies\ove@advertising[1].txt -> TrackingCookie.Advertising : Cleaned with backup

C:\Documents and Settings\Ove\Cookies\ove@atdmt[2].txt -> TrackingCookie.Atdmt : Cleaned with backup

C:\Documents and Settings\Ove\Cookies\ove@doubleclick[1].txt -> TrackingCookie.Doubleclick : Cleaned with backup

C:\Documents and Settings\Ove\Cookies\ove@ilead.itrack[2].txt -> TrackingCookie.Itrack : Cleaned with backup

C:\Documents and Settings\Ove\Cookies\ove@image.masterstats[1].txt -> TrackingCookie.Masterstats : Cleaned with backup

C:\Documents and Settings\Ove\Cookies\ove@mediaplex[1].txt -> TrackingCookie.Mediaplex : Cleaned with backup

C:\Documents and Settings\Ove\Cookies\ove@overture[1].txt -> TrackingCookie.Overture : Cleaned with backup

C:\Documents and Settings\Ove\Cookies\ove@rotator.adjuggler[1].txt -> TrackingCookie.Adjuggler : Cleaned with backup

C:\Documents and Settings\Ove\Cookies\ove@statcounter[2].txt -> TrackingCookie.Statcounter : Cleaned with backup

C:\Documents and Settings\Ove\Cookies\ove@statse.webtrendslive[2].txt -> TrackingCookie.Webtrendslive : Cleaned with backup

C:\Documents and Settings\Ove\Cookies\ove@tacoda[1].txt -> TrackingCookie.Tacoda : Cleaned with backup

C:\Documents and Settings\Ove\Cookies\ove@tradedoubler[1].txt -> TrackingCookie.Tradedoubler : Cleaned with backup

C:\Documents and Settings\Ove\Cookies\ove@yadro[2].txt -> TrackingCookie.Yadro : Cleaned with backup

C:\Documents and Settings\Ove\Lokala inställningar\Temp\wu.exe -> Adware.SaveNow : Cleaned with backup

C:\Documents and Settings\Pär Johan\Lokala inställningar\Temp\iinstall.exe -> Downloader.IstBar.fk : Cleaned with backup

C:\Documents and Settings\Pär Johan\Start-meny\Program\Power Scan -> Adware.PowerScan : Cleaned with backup

C:\Documents and Settings\Pär Johan\Start-meny\Program\Power Scan\Power Scan.lnk -> Adware.PowerScan : Cleaned with backup

C:\System Volume Information\_restore{0C6E2BC2-5EA5-4CBA-9254-7A8E9E02CA29}\RP427\A0090687.vxd/C:/WINDOWS/System32/exdl.exe -> Adware.BargainBuddy : Cleaned with backup

C:\System Volume Information\_restore{0C6E2BC2-5EA5-4CBA-9254-7A8E9E02CA29}\RP427\A0090687.vxd/C:/WINDOWS/System32/mqexdlm.srg -> Adware.BargainBuddy : Cleaned with backup

C:\System Volume Information\_restore{0C6E2BC2-5EA5-4CBA-9254-7A8E9E02CA29}\RP427\A0090687.vxd/C:/WINDOWS/System32/exul.exe -> Adware.BargainBuddy : Cleaned with backup

C:\System Volume Information\_restore{0C6E2BC2-5EA5-4CBA-9254-7A8E9E02CA29}\RP427\A0090687.vxd/C:/WINDOWS/System32/javexulm.vxd -> Adware.BargainBuddy : Cleaned with backup

C:\WINDOWS\system32\dl.vbs -> Downloader.Small.b : Cleaned with backup

C:\WINDOWS\system32\drivers\etc\scwhost.exe -> Dropper.Small.na : Cleaned with backup

C:\WINDOWS\system32\msupdates.exe -> Dropper.Delf.ag : Cleaned with backup

C:\WINDOWS\unstall.exe -> Adware.MediaMotor : Cleaned with backup

::Report End[/log]

och

[log]Logfile of HijackThis v1.99.1

Scan saved at 19:16:09, on 2006-05-12

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\mmc.exe

C:\Program\ewido anti-malware\SecuritySuite.exe

C:\Program\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://start.tele2.se/

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=394

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Window Title = Microsoft Internet Explorer - Tele2

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKLM\..\RunServices: [Windows DLL host] "C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

O4 - HKLM\..\RunServices: [nvviddrv32] dtgljkn.exe

O4 - HKLM\..\RunServices: [Microsoftkeysd] systemproc.exe

O4 - HKLM\..\RunServices: [Microsoft Services] explorer.exe

O4 - HKLM\..\RunServices: [Windows Firewall Manager] msfw.exe

O4 - HKLM\..\RunServices: [Win32 Usb Driver] svhosint32.exe

O4 - HKLM\..\RunServices: [*windows update] wrauclt.exe

O4 - HKLM\..\RunServices: [Microsoft Drivers] WSconf.exe

O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe

O4 - HKLM\..\RunServices: [system32 TCP Manager] systerm.exe

O4 - HKLM\..\RunServices: [MS SyS Restore] sysrestore.exe

O4 - HKLM\..\RunServices: [MSN Messenger /background] msnmsgr.exe

O4 - HKLM\..\RunServices: [Microsoft Legacy Device] trass.exe

O4 - HKLM\..\RunServices: [MS Windows Update] scguard.exe

O4 - HKCU\..\RunServices: [Windows DLL host] "C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

O4 - HKCU\..\RunServices: [0utlook Express] ygjmu.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~4\Office10\EXCEL.EXE/3000

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O12 - Plugin for .spop: C:\Program\Internet Explorer\Plugins\NPDocBox.dll

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1105649641921

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1147012388984

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

O23 - Service: ewido security suite control - ewido networks - C:\Program\ewido anti-malware\ewidoctrl.exe

O23 - Service: ewido security suite guard - ewido networks - C:\Program\ewido anti-malware\ewidoguard.exe

O23 - Service: Microsoft Windows Update (Microsoft Update) - Unknown owner - C:\WINDOWS\System32\svmhost.exe" -netsvcs (file missing)

O23 - Service: Microsoftkeysd (MicrosoftCorporations) - Unknown owner - C:\WINDOWS\system32\systemproc.exe" -netsvcs (file missing)

O23 - Service: Norton AntiVirus Auto Protect-tjänst (navapsvc) - Symantec Corporation - C:\Program\Norton AntiVirus\navapsvc.exe

O23 - Service: SAVScan - Symantec Corporation - C:\Program\Norton AntiVirus\SAVScan.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\Program\DELADE~1\SYMANT~1\SCRIPT~1\SBServ.exe

[/log]

13 Maj, 2006

Ewido kunde ta bort mindre än jag hoppades så jag förstår att datorn fortfarande inte kan köra.

Har verkligen inte Norton klagat tidigare på att det har funnits otrevligheter i datorn? Alla kan väl inte ha kommit in på en gång.

Det finns flera maskar i datorn som stjäl lösenord för t ex banker, ebay, paypal, så har datorn använts för sådant så bör alla sådana lösenord ändras snarast möjligt och kontona kontrolleras noga.

Se till att nätverksanslutningen är urdragen tills vidare.

Det kan väl vara lämpligt att se vilka otrevligheter som går att ta bort lätt till att börja med, så får vi leta reda på specialåtgärder för de som kvarstår.

Kontrollpanelen - Administrationsverktyg - Tjänster

Leta upp "Microsoft Windows Update" i listan. Dubbelklicka på den och tryck på Stoppa om det går, välj Startmetod Inaktiverad.

Upprepa för Microsoftkeysd

Om det i Aktivitetshanteraren, fliken Processer finns en process wrauclt.exe så klicka på den och tryck på Avsluta process.

[log]Skanna med HijackThis och bocka för dessa rader:

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.makemesearch.com/?said=394

O4 - HKLM\..\RunServices: [Windows DLL host] "C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

O4 - HKLM\..\RunServices: [nvviddrv32] dtgljkn.exe

O4 - HKLM\..\RunServices: [Microsoftkeysd] systemproc.exe

O4 - HKLM\..\RunServices: [Microsoft Services] explorer.exe

O4 - HKLM\..\RunServices: [Windows Firewall Manager] msfw.exe

O4 - HKLM\..\RunServices: [Win32 Usb Driver] svhosint32.exe

O4 - HKLM\..\RunServices: [*windows update] wrauclt.exe

O4 - HKLM\..\RunServices: [Microsoft Drivers] WSconf.exe

O4 - HKLM\..\RunServices: [Microsoft Windows Update] svmhost.exe

O4 - HKLM\..\RunServices: [system32 TCP Manager] systerm.exe

O4 - HKLM\..\RunServices: [MS SyS Restore] sysrestore.exe

O4 - HKLM\..\RunServices: [MSN Messenger /background] msnmsgr.exe

O4 - HKLM\..\RunServices: [Microsoft Legacy Device] trass.exe

O4 - HKLM\..\RunServices: [MS Windows Update] scguard.exe

O4 - HKCU\..\RunServices: [Windows DLL host] "C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe"

O4 - HKCU\..\RunServices: [0utlook Express] ygjmu.exe

Avsluta alla andra program.

Tryck på Fix checked.

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

Ta bort filerna (om de finns kvar):

Kontrollera stavningen noga, då flera liknar normala Windows-filer.

C:\WINDOWS\system32\drivers\etc\winupd\winupd32.exe

dtgljkn.exe

systemproc.exe

explorer.exe

msfw.exe

svhosint32.exe

wrauclt.exe

WSconf.exe

svmhost.exe

systerm.exe

sysrestore.exe

msnmsgr.exe

trass.exe

scguard.exe

ygjmu.exe

Ovanstående filer finns troligen i C:\WINDOWS\system32 eller möjligen i C:\WINDOWS. Se till att inte ta bort den normala Windows-filen:

C:\WINDOWS\explorer.exe

Om du är osäker på om du har hittat rätt fil, så ta inte bort den utan byt namn på den i stället (t ex lägg till ordet skum) och fråga sedan.

Eftersom Ewido hittade otrevligheter bland de tillfälliga internet-filerna ta bort alla sådana så här:

Kontrollpanelen - Internet-alternativ - Ta bort filer - Kryssa i rutan - OK - OK

Likaså töm mappar för andra tillfälliga filer:

C:\Documents and Settings\Ove\Lokala inställningar\Temp

C:\Documents and Settings\Pär Johan\Lokala inställningar\Temp

Skanna igenom datorn med Norton om möjligt. Skriv ner allt den hittar och inte kan ta bort, både otrevlighetens namn och i vilken fil och mapp den finns.

Starta om datorn och ta ut en ny HijackThis-logg.

Klistra in den här samt skriv allt Norton hittade och inte kunde ta bort, skriv också hur det har gått att följa anvisningarna.[/log]

15 Maj, 2006

Hej! Tack för de utförliga instruktionerna. Har gjort som du skrev men tyvärr ligger det som orsakar STOP-felet kvar.

Jag hittade inga av de exe filer jag skulle ta bort (använda även filsöken) men det kanske beror på att HiJackThis tog bort dem?

Har inte haft koll på denna dator så jag vet inte hur Norton har fungerat riktigt. Men Norton fungerar inte för tillfället i felsäkert läge, den klagar på tjänsten Integrator. Tänkte då installera F-Secure eftersom jag har det i min ägo men man var tvungen att avinstallera Norton först men det går inte i felsäkert läge. Så jag körde f-secure och nortons online viruskontroll.

Logg från F-Secure:

[log]Finished: 120 viruses found

Scanned files: 72530 Warning: 120 file(s) still infected!

C:\Program\Norton AntiVirus\Quarantine\02D43D0B Trojan-Dropper.Win32.PurityScan.g

C:\Program\Norton AntiVirus\Quarantine\047B45E1 Backdoor.Win32.Rbot.gen

C:\Program\Norton AntiVirus\Quarantine\04967373.exe Backdoor.Win32.Wootbot.gen

C:\Program\Norton AntiVirus\Quarantine\068147B3 Trojan-Downloader.Win32.IstBar.ge

C:\Program\Norton AntiVirus\Quarantine\06E00A0F Exploit.Win32.RPCLsa.01.c

C:\Program\Norton AntiVirus\Quarantine\07482B14.htm Exploit.HTML.Mht

C:\Program\Norton AntiVirus\Quarantine\08B93836 Trojan-Downloader.JS.IstBar.j

C:\Program\Norton AntiVirus\Quarantine\08CC3F65 Backdoor.Win32.Rbot.gen

C:\Program\Norton AntiVirus\Quarantine\09420883 Trojan.Win32.StartPage.nk

C:\Program\Norton AntiVirus\Quarantine\097E379B Trojan-Downloader.JS.IstBar.j

C:\Program\Norton AntiVirus\Quarantine\09A97E8B Trojan-Downloader.Win32.IstBar.go

C:\Program\Norton AntiVirus\Quarantine\0B085377 Trojan.Win32.LowZones.p

C:\Program\Norton AntiVirus\Quarantine\0BAC7AFE Trojan-Proxy.Win32.Bobax.c

C:\Program\Norton AntiVirus\Quarantine\0D7534D1 Trojan-Proxy.Win32.Bobax.c

C:\Program\Norton AntiVirus\Quarantine\0F5660DA Trojan-Proxy.Win32.Bobax.c

C:\Program\Norton AntiVirus\Quarantine\0FA50BD9 Exploit.Win32.MS04-028.a

C:\Program\Norton AntiVirus\Quarantine\114A6F85 Trojan-Proxy.Win32.Bobax.c

C:\Program\Norton AntiVirus\Quarantine\16D11ADF Trojan.Win32.StartPage.nk

C:\Program\Norton AntiVirus\Quarantine\1B3647D7 Trojan-Proxy.Win32.Bobax.c

C:\Program\Norton AntiVirus\Quarantine\20630081 Trojan-Dropper.Win32.VB.cd

C:\Program\Norton AntiVirus\Quarantine\20FF2DAF.hta Trojan-Downloader.VBS.Small.ag

C:\Program\Norton AntiVirus\Quarantine\210A2158 Trojan.Win32.LowZones.p

C:\Program\Norton AntiVirus\Quarantine\25123ED6 Trojan-Downloader.Win32.IstBar.gm

C:\Program\Norton AntiVirus\Quarantine\256640AD Trojan-Proxy.Win32.Bobax.c

C:\Program\Norton AntiVirus\Quarantine\25924B09 Exploit.Win32.CAN.2003-0533

C:\Program\Norton AntiVirus\Quarantine\2BF33C7F Trojan.Win32.StartPage.nk

C:\Program\Norton AntiVirus\Quarantine\2DEA68B3 Trojan-Proxy.Win32.Agent.cs

C:\Program\Norton AntiVirus\Quarantine\2DEF58CF.exe Backdoor.Win32.Agobot.vr

C:\Program\Norton AntiVirus\Quarantine\2E377480.exe Backdoor.Win32.Wootbot.s

C:\Program\Norton AntiVirus\Quarantine\2E556E5F.exe Backdoor.Win32.Rbot.fa

C:\Program\Norton AntiVirus\Quarantine\2F6E3D49 Net-Worm.Win32.Padobot.k

C:\Program\Norton AntiVirus\Quarantine\326C21BD Trojan-Proxy.Win32.Agent.cs

C:\Program\Norton AntiVirus\Quarantine\338921EB Backdoor.Win32.Rbot.gen

C:\Program\Norton AntiVirus\Quarantine\37892E90 Trojan-Proxy.Win32.Bobax.c

C:\Program\Norton AntiVirus\Quarantine\37FC583A Trojan-Downloader.Win32.IstBar.gen

C:\Program\Norton AntiVirus\Quarantine\41182C0F Exploit.Win32.Locator.b

C:\Program\Norton AntiVirus\Quarantine\42D40BB0 Trojan-Downloader.BAT.Ftp.r

C:\Program\Norton AntiVirus\Quarantine\437A2A84 Trojan-Downloader.Win32.IstBar.go

C:\Program\Norton AntiVirus\Quarantine\43D72619 Trojan-Downloader.JS.IstBar.j

C:\Program\Norton AntiVirus\Quarantine\463C7C31 Trojan-Downloader.Win32.VB.ez

C:\Program\Norton AntiVirus\Quarantine\48D107CA Backdoor.Win32.Rbot.gen

C:\Program\Norton AntiVirus\Quarantine\4F0B6683 Trojan.Win32.LowZones.p

C:\Program\Norton AntiVirus\Quarantine\4F732243 Net-Worm.Win32.Padobot.h

C:\Program\Norton AntiVirus\Quarantine\52064399 Trojan-Downloader.Win32.IstBar.gp

C:\Program\Norton AntiVirus\Quarantine\563807E9 Trojan-Proxy.Win32.Agent.bz

C:\Program\Norton AntiVirus\Quarantine\59C42D21 Backdoor.Win32.Wootbot.u

C:\Program\Norton AntiVirus\Quarantine\5A9B2281 Trojan-Downloader.Win32.VB.ez

C:\Program\Norton AntiVirus\Quarantine\5AF86CF9.exe Constructor.Win32.MicroJoiner.17

C:\Program\Norton AntiVirus\Quarantine\5B1566D9.exe Trojan-Downloader.Win32.IstBar.gn

C:\Program\Norton AntiVirus\Quarantine\5B9D7225 Trojan.Win32.LowZones.p

C:\Program\Norton AntiVirus\Quarantine\5BE011FA.exe Trojan-Downloader.Win32.IstBar.gn

C:\Program\Norton AntiVirus\Quarantine\5CAA3D1B.exe Trojan-Downloader.Win32.IstBar.gn

C:\Program\Norton AntiVirus\Quarantine\5CCE0AF4 Trojan-Downloader.Win32.IstBar.gn

C:\Program\Norton AntiVirus\Quarantine\5CF502C8 Trojan-Proxy.Win32.Bobax.c

C:\Program\Norton AntiVirus\Quarantine\5D7B3C35.exe Trojan-Downloader.Win32.IstBar.gn

C:\Program\Norton AntiVirus\Quarantine\5DD4682B Trojan-Downloader.Win32.IstBar.go

C:\Program\Norton AntiVirus\Quarantine\5E660B32.exe Trojan-Downloader.Win32.IstBar.gn

C:\Program\Norton AntiVirus\Quarantine\5F27385E.exe Trojan-Downloader.Win32.IstBar.gn

C:\Program\Norton AntiVirus\Quarantine\5F785204 Trojan-Downloader.Win32.IstBar.gn

C:\Program\Norton AntiVirus\Quarantine\5F7F25FD Backdoor.Win32.SdBot.sy

C:\Program\Norton AntiVirus\Quarantine\5FB01BC7 Trojan-Proxy.Win32.Bobax.c

C:\Program\Norton AntiVirus\Quarantine\6002356E.exe Trojan-Downloader.Win32.IstBar.gn

C:\Program\Norton AntiVirus\Quarantine\601F2F4D Backdoor.Win32.Rbot.gen

C:\Program\Norton AntiVirus\Quarantine\60811AE1 Backdoor.Win32.Rbot.gen

C:\Program\Norton AntiVirus\Quarantine\608B18D7 Backdoor.Win32.SdBot.sy

C:\Program\Norton AntiVirus\Quarantine\60AB3CB3.exe Trojan-Downloader.Win32.IstBar.gn

C:\Program\Norton AntiVirus\Quarantine\60E95A6E Trojan-Downloader.Win32.IstBar.gn

C:\Program\Norton AntiVirus\Quarantine\60FE25D6 Trojan-Proxy.Win32.Bobax.c

C:\Program\Norton AntiVirus\Quarantine\618D0DBB.exe Trojan-Downloader.Win32.IstBar.gn

C:\Program\Norton AntiVirus\Quarantine\620976AD Trojan-Proxy.Win32.Bobax.c

C:\Program\Norton AntiVirus\Quarantine\624D3AE7.exe Trojan-Downloader.Win32.IstBar.gn

C:\Program\Norton AntiVirus\Quarantine\6391506A Trojan-Proxy.Win32.Bobax.c

C:\Program\Norton AntiVirus\Quarantine\65C56878 Trojan-Downloader.Win32.IstBar.gp

C:\Program\Norton AntiVirus\Quarantine\662B5E80 Trojan-Downloader.JS.IstBar.j

C:\Program\Norton AntiVirus\Quarantine\66A41097 Trojan-Downloader.BAT.Ftp.i

C:\Program\Norton AntiVirus\Quarantine\67A1020A Trojan-Proxy.Win32.Agent.cr

C:\Program\Norton AntiVirus\Quarantine\69696663.exe Backdoor.Win32.EggDrop.v

C:\Program\Norton AntiVirus\Quarantine\6D634D7D Backdoor.Win32.Rbot.gen

C:\Program\Norton AntiVirus\Quarantine\6DE65024 Net-Worm.Win32.Padobot.gen

C:\Program\Norton AntiVirus\Quarantine\6DE97A20 Net-Worm.Win32.Padobot.n

C:\Program\Norton AntiVirus\Quarantine\6E870B88 Trojan-Downloader.Win32.IstBar.go

C:\Program\Norton AntiVirus\Quarantine\6EDB1D17 Trojan-Dropper.Win32.Small.na

C:\Program\Norton AntiVirus\Quarantine\6EDE4713 Exploit.Win32.Imail.c

C:\Program\Norton AntiVirus\Quarantine\6EE1710F HackTool.Win32.Mydoomer.b

C:\Program\Norton AntiVirus\Quarantine\6EF56CFA Backdoor.Win32.Rbot.gen

C:\Program\Norton AntiVirus\Quarantine\6F712871 Net-Worm.Win32.Padobot.k

C:\Program\Norton AntiVirus\Quarantine\6F8B7855 Backdoor.Win32.Rbot.gen

C:\Program\Norton AntiVirus\Quarantine\6F9B4A43 Backdoor.Win32.SdBot.mb

C:\Program\Norton AntiVirus\Quarantine\6FB94422 Backdoor.Win32.Rbot.gen

C:\Program\Norton AntiVirus\Quarantine\6FBE6F35 Trojan.Win32.VB.is

C:\Program\Norton AntiVirus\Quarantine\6FE03BF7 Backdoor.Win32.Rbot.gen

C:\Program\Norton AntiVirus\Quarantine\6FE365F3 Backdoor.Win32.Rbot.gen

C:\Program\Norton AntiVirus\Quarantine\6FEA39EC Trojan-Proxy.Win32.Bobax.c

C:\Program\Norton AntiVirus\Quarantine\6FED63E9 Trojan-Proxy.Win32.Bobax.c

C:\Program\Norton AntiVirus\Quarantine\71BC1A7F Trojan-Downloader.Win32.Tibser.c

C:\Program\Norton AntiVirus\Quarantine\72EC6E9C Trojan.BAT.FormatC

C:\Program\Norton AntiVirus\Quarantine\74690E29.htm Exploit.HTML.Mht

C:\Program\Norton AntiVirus\Quarantine\76137125 Trojan.Win32.LowZones.p

C:\Program\Norton AntiVirus\Quarantine\76234313 Trojan-Dropper.Win32.Small.nm

C:\Program\Norton AntiVirus\Quarantine\76373EFD Trojan-Downloader.Win32.IstBar.go

C:\Program\Norton AntiVirus\Quarantine\763A68F9 Trojan.Win32.StartPage.nk

C:\Program\Norton AntiVirus\Quarantine\763D12F6 Trojan-Dropper.Win32.PurityScan.g

C:\Program\Norton AntiVirus\Quarantine\764710EB Trojan-Downloader.Win32.Agent.ga

C:\Program\Norton AntiVirus\Quarantine\764B3AE7 Trojan-Downloader.JS.IstBar.j

C:\Program\Norton AntiVirus\Quarantine\765862D9 Trojan-Downloader.Win32.IstBar.gen

C:\Program\Norton AntiVirus\Quarantine\765B0CD6 Trojan-Downloader.Win32.Small.abp

C:\Program\Norton AntiVirus\Quarantine\766160CE Trojan-Downloader.Win32.IstBar.go

C:\Program\Norton AntiVirus\Quarantine\79742E67 Trojan.Win32.LowZones.al

C:\Program\Norton AntiVirus\Quarantine\79B25386 Trojan-Downloader.JS.IstBar.x

C:\System Volume Information\_restore{0C6E2BC2-5EA5-4CBA-9254-7A8E9E02CA29}\RP427\A0613325.vbs Trojan-Downloader.VBS.Small.b

C:\System Volume Information\_restore{0C6E2BC2-5EA5-4CBA-9254-7A8E9E02CA29}\RP427\A0613326.exe Trojan-Dropper.Win32.Small.na

C:\System Volume Information\_restore{0C6E2BC2-5EA5-4CBA-9254-7A8E9E02CA29}\RP427\A0613327.exe Trojan-Dropper.Win32.Juntador.c

C:\WINDOWS\system32\.pif Trojan-Downloader.BAT.Ftp.z

C:\WINDOWS\system32\config\systemprofile\Lokala inställningar\Temporary Internet Files\Content.IE5\1QV8TW39\CAVMWNVT.htm Trojan-Downloader.JS.FlingStone

C:\WINDOWS\system32\config\systemprofile\Lokala inställningar\Temporary Internet Files\Content.IE5\1QV8TW39\hot[1].htm JS/Linker.N@troj

C:\WINDOWS\system32\config\systemprofile\Lokala inställningar\Temporary Internet Files\Content.IE5\4TQIF0W9\2kupdates[1].exe Trojan.Win32.LowZones.al

C:\WINDOWS\system32\config\systemprofile\Lokala inställningar\Temporary Internet Files\Content.IE5\4TQIF0W9\CAT4WBP1.htm Trojan-Downloader.JS.FlingStone

C:\WINDOWS\system32\config\systemprofile\Lokala inställningar\Temporary Internet Files\Content.IE5\4TQIF0W9\hot[1].htm JS/Linker.N@troj

C:\WINDOWS\system32\oo Trojan-Downloader.BAT.Ftp.ab

C:\WINDOWS\system32\y Trojan-Downloader.BAT.Ftp.ab[/log]

Logg från Symantec:

[log]

69301 files scanned, 2 file(s) infected on your disk drives.

No viruses were detected in memory.

Your computer is free of known threats. Virus Detection does not check compressed files.

Your computer appears safe for now. For real-time protection from viruses, hackers and privacy threats, upgrade to Norton Internet Security™.

No viruses were detected in memory.

The scan was cancelled before finishing. To restart the scan, click here.

Your computer is free of known threats. Virus Detection does not check compressed files.

Your computer appears safe for now. For real-time protection from viruses, hackers and privacy threats, upgrade to Norton Internet Security™.

Search for the name of the threat(s) listed below on the Symantec Security Response site for removal information.

Warning! The scan detected a virus that is active in your computer's memory.

The scan ended to prevent further infection.

You should shut down your computer immediately and restart it with an antivirus rescue disk or similar tool.

No viruses were detected in memory.

Your computer is infected with at least one known virus or Trojan horse.

Search for the name of the threat(s) listed below on the Symantec Security Response site for removal information.

No viruses were detected in memory.

Your computer is infected with at least one known virus or Trojan horse.

Note: The scan was cancelled before finishing. There may be more infected files on this computer.

Search for the name of the threat(s) listed below on the Symantec Security Response site for removal information.

A scan has not been run. To start Virus Detection, click here.

C:\WINDOWS\system32\config\systemprofile\Lokala inställningar\Temporary Internet Files\Content.IE5\W2Y16GYG\mtrslib2[1].js is infected with Adware.CDT

C:\WINDOWS\system32\config\systemprofile\Lokala inställningar\Temporary Internet Files\Content.IE5\15PYMSD4\mtrslib2[1].js is infected with Adware.CDT

[/log]

Alla filer som hittades tog jag bort.

Körde även ewido igen:

[log]

---------------------------------------------------------

ewido anti-malware - Scan report

---------------------------------------------------------

+ Created on: 23:13:09, 2006-05-14

+ Report-Checksum: 637337C7