Just nu i M3-nätverket
Jump to content

Virus problem igen!


JessicaElvira

Recommended Posts

JessicaElvira

Hej!

 

Hade problem med virus på min dator förra veckan men tack vare en underbart hjälpsam person här så fixade det sig till slut. Nu ahr ja lovat att hjälpa min kompis som öxå fått en massa skräp¨på din dator.

 

Här är HiJackThis loggen.

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 23:58:44, on 17.10.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Sony\HotKey Utility\HKserv.exe

C:\Program Files\sony\vaio power management\SPMgr.exe

C:\Program Files\Sony\ISB Utility\ISBMgr.exe

C:\WINDOWS\system32\rundll32.exe

D:\Program Files\D-Tools\daemon.exe

C:\WINDOWS\system32\ezSP_Px.exe

C:\Program Files\Sony\HotKey Utility\HKWnd.exe

D:\Program Files\Winamp\winampa.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\windows\system32\upnp.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\system32\algs4.exe

C:\WINDOWS\ATK0100\Hcontrol.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\system32\taskdir.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Documents and Settings\sarah holmberg\Desktop\hijack\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - C:\WINDOWS\system32\ipv6monl.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe

O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe

O4 - HKLM\..\Run: [sonyPowerCfg] C:\Program Files\sony\vaio power management\SPMgr.exe

O4 - HKLM\..\Run: [VAIO Update 2] "C:\Program Files\sony\vaio update 2\VAIOUpdt.exe" /Stationary

O4 - HKLM\..\Run: [iSBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe

O4 - HKLM\..\Run: [Lftbh] C:\Program Files\Pcln\Dfmcs.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [np] c:\windows\system32\upnp.exe

O4 - HKLM\..\Run: [svcManager] algs4.exe

O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/

O15 - Trusted Zone: *.sony-europe.com

O15 - Trusted Zone: *.sonystyle-europe.com

O15 - Trusted Zone: *.vaio-link.com

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AVLib\Pacsptisvr.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\Sptisrv.exe

O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Program Files\sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing)

O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Program Files\Common Files\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)

O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\vaio media platform\UPnPFramework.exe

O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Program Files\sony\photo server\appsrv\PhotoAppSrv.exe

O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Program Files\Common Files\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)

O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Program Files\Common Files\sony shared\vaio media platform\UPnPFramework.exe

 

[/log]

 

 

Datorn beter sig mer underligt än min gjorde. Till exempel så startar den upp Outlook av sig själv när datan startar och så verkar den ha slagit ut brandväggen på nått sätt...mycket konstigt alltihop! Jätte glad för all hjälp ja kan få!!!

 

/Jessica

 

Link to comment
Share on other sites

JessicaElvira

Paniiik nu!

 

Nu går datorn inte att starta annat än i felsäkert läge. Den blev först knäpp några gånger och stängde av sig själv så fort den kom in i windows, men då fuinkade det att köra systemåterställning (även om den sen sa att inga ändringaar hade gjorts) och så funkade den sen. Nu går itne ens det.

 

Så här står det när den stängs av.

 

"A problem has been detected and windows has been shut down to prevent damage to your computer.

 

DRIVER_IRQL_NOT_LESS_OR_EQUAL

 

If this screen appears again, follow this steps.

 

Check to make sure any new harware or software is properly installed. If this is a new installation, ask you hardvare or software manufactor for any windows updates you might need.

 

If problems continue, disable or remove any newly installed hardware or software. Dosable BIOS mmeory option such as caching or shadowing. If you need to use Safe Mode to remove or disable components, restart your computer, press F8 to select Advanced Startup Options, and then select Safe Mode.

 

Technincal information:

 

*** STOP: 0x000000D1 (0x00000000, 0x00000002, 0x00000000, 0x00000000)

 

Beginning dump of physical memory

Physical memory dump complete.

Contact your system administrator or technical support group for further assistance."

 

Skulle iallafall behöva komma åt bilderna som ligger på datorn så att jag kan säkerhetskopiera dem eftersom min kompis inte gjort det. Nu går ju av nån anleding inte ens att få upp cd-brännaren så det är ju lite svårt att bränna ut nått.

 

Datorn blev såhär helknäpp (knäpp var den ju från början med virus och sånt) när den hade laddat ner nån uppdatering från Microsoft.

 

Snälla hjälp!!

 

/Jessica

 

[inlägget ändrat 2006-10-18 00:45:13 av JessicaElvira]

[inlägget ändrat 2006-10-18 00:49:10 av JessicaElvira]

Link to comment
Share on other sites

Hej JessicaElvira!

 

En sökning på MS Advanced search gav följande svar:

 

http://support.microsoft.com/kb/873152

 

Om du kör Sygate brandvägg så kan det vara den som orsakar problemen i samband med att du haft datorn stående i standby en längre tid..

 

"CAUSE

This issue may occur if both the following conditions are true:• You are running the Sygate Personal Firewall program on a computer that is running Microsoft Windows XP Service Pack 2 (SP2).

• Your computer remains on standby for a long time before it resumes.

 

RESOLUTION

To resolve this issue, contact Sygate to determine if an update available for the Sygate Personal Firewall program. To obtain technical support for the Sygate Personal Firewall program, visit the following Web site:

http://soho.sygate.com/support/documents/spf/default.htm

 

WORKAROUND

Warning This workaround may make your computer or your network more vulnerable to attack by malicious users or by malicious software such as viruses. We do not recommend this workaround but are providing this information so that you can implement this workaround at your own discretion. Use this workaround at your own risk.

 

To work around this issue, remove the Sygate Personal Firewall program. For additional information about how to remove or about how to configure Sygate Personal Firewall, see your program documentation.

 

Important We recommend that you help protect your computer by using a firewall program. If you decide to remove the Sygate Personal Firewall program, we recommend that you consider one of the following solutions:

• Install and configure a different third-party firewall program.

• Enable the Windows Firewall program.

 

Note By default, Windows Firewall is enabled when you install Windows XP SP2. "

 

 

:0)

 

 

 

/Thomas

Ladda ner professionella väl genomtänkta installationsanvisningar som ger hög säkerhet mot virus & angrepp, stabil drift samt optimal prestanda på: http://www.winguider.se Finns för Win2000 Pro & för XP Pro (3 olika versioner) Ej för XP home

 

Link to comment
Share on other sites

Outlook kanske startar för att det är en spam-skickande otrevlighet i datorn?

 

Om du bara är ute efter att rädda filerna, så kan du stoppa in disken i din dator och där kopiera över dem.

 

Annars så kan vi ser vad vi kan göra i Felsäkert läge. Se till att ha internetanslutningen urdragen hela tiden och för över program och loggar via CD/USB-minne eller liknande.

 

Datorn blev såhär helknäpp (knäpp var den ju från början med virus och sånt) när den hade laddat ner nån uppdatering från Microsoft.

Det går att avinstallera uppdateringar från Kontrollpanelen - Lägg till eller ta bort program. Man får kryssa i rutan högst upp för att se de uppdateringarna bara.

 

Skanna med AVG Anti-Spyware (Ewido) i felsäkert läge och ta bort det den hittar.

 

Ladda ner ComboFix på skrivbordet:

http://download.bleepingcomputer.com/sUBs/combofix.exe

 

Kör den och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på Combofix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp klistra in den här samt en ny HijackThis-logg.

 

Link to comment
Share on other sites

Det går att avinstallera uppdateringar från Kontrollpanelen - Lägg till eller ta bort program. Man får kryssa i rutan högst upp för att se de uppdateringarna bara.

 

Det gäller ju att veta VILKEN av alla uppdateringar som orsakar problemet.. Annars kan man ställa till mer besvär genom ökar antal öppna säkerhetshål mm.

 

Frågan är med andra ord.. VILKEN uppdatering orsakar problemet.. (om nu det är garanterat att en uppdatering orsakat problemet.. Vet man det brukar MS publisera en "workaround" som är mer lämplig att ta till en en borttagen uppdatering!)

 

 

/Thomas

Ladda ner professionella väl genomtänkta installationsanvisningar som ger hög säkerhet mot virus & angrepp, stabil drift samt optimal prestanda på: http://www.winguider.se Finns för Win2000 Pro & för XP Pro (3 olika versioner) Ej för XP home

 

Link to comment
Share on other sites

hej igen!

 

Skulle iallafall behöva komma åt bilderna som ligger på datorn så att jag kan säkerhetskopiera dem eftersom min kompis inte gjort det. Nu går ju av nån anleding inte ens att få upp cd-brännaren så det är ju lite svårt att bränna ut nått.

 

Om det är en stationär dator så går det alldeles utmärkt att skruva loss hårddisken och koppla in den som "slav" etc. på en annan dator (en väns etc.) som man sedan använder för att via utforskaren kopierar de önskade filerna så att man kan bränna dessa..

 

Om man därefter kopllar in hårddisken i sin dator igen så kan man lungt installera om datorn.. (och denna gång skydda sig lite extra genom att i fortsättningen logga in som "vanlig Användare" så att smittorna inte får möjlighet att skada datorn eller installera sig.. ;O)

 

 

/Thomas

Ladda ner professionella väl genomtänkta installationsanvisningar som ger hög säkerhet mot virus & angrepp, stabil drift samt optimal prestanda på: http://www.winguider.se Finns för Win2000 Pro & för XP Pro (3 olika versioner) Ej för XP home

 

Link to comment
Share on other sites

Det gäller ju att veta VILKEN av alla uppdateringar som orsakar problemet..

I varje fall i min dator så står det efter varje säkerhetsuppdatering i år vilket datum den är installerad så det är ju inte så svårt att se vilka som har installerats de senaste dagarna.

 

Visst är en workaround bättre i längden men nu gäller det ju att få igång datorn i normalt läge till att börja med, när datorn är ren så är det ju mycket möjligt att det går alldeles utmärkt att installera uppdateringen igen.

 

Link to comment
Share on other sites

JessicaElvira

Ni är underbara :)

 

Fick en bra överraskning när jag startade datorn i morse, den gick igång i normalt läge!!!!!

 

Det är en bärbar dator så kan inte koppla ur hårddisken.

 

Nu måste ja säkerhetskopipera allt innan ja vågar göra nått mer! Hör av mignär de är klart!!

 

Är jäkligt mycket musik och bilder på datorn, det är inte möjligt att koppla ihop den via min hub och föra över allt till min dator? Eller är det helt enkelt lättare att bränna en jääkla massa skivor med allt på?

 

/Jessica

 

Link to comment
Share on other sites

Är jäkligt mycket musik och bilder på datorn, det är inte möjligt att koppla ihop den via min hub och föra över allt till min dator?

Beroende på vad datorn har råkat ut för så finns det väl viss risk att otrevligheterna kan sprida sig till andra datorer som finns på samma nätverk.

 

Link to comment
Share on other sites

JessicaElvira

Okej, då får ja bränna ner allt på skivor helt enkelt...

 

Vad ska ja köra som nästa steg sen? AVG Anti-Spyware och Antivirus körde jag igårkväll i felsäkert läge före datorn vägrade starta.

 

Combofix eller? Ha kört det oxå, men kanske ska köra det igen så du får se loggen?

 

Link to comment
Share on other sites

JessicaElvira

Sådärja, nu är allt säkerhetskopierat!

 

Här är ComboFix loggen:

 

[log]sarah holmberg - 06-10-18 13:39:06,03 Service Pack 2

ComboFix 06.10.16 - Running from: "C:\Documents and Settings\sarah holmberg\Desktop"

 

((((((((((((((((((((((((((((((( Files Created from 2006-09-18 to 2006-10-18 ))))))))))))))))))))))))))))))))))

 

 

2006-10-16 17:10 3,968 --a------ C:\WINDOWS\system32\drivers\AvgAsCln.sys

2006-10-16 17:08 776,096 --a------ C:\WINDOWS\system32\drivers\avg7core.sys

2006-10-16 17:08 4,992 --a------ C:\WINDOWS\system32\drivers\avgtdi.sys

2006-10-16 17:08 4,288 --a------ C:\WINDOWS\system32\drivers\avg7rsw.sys

2006-10-16 17:08 27,776 --a------ C:\WINDOWS\system32\drivers\avg7rsxp.sys

2006-10-16 17:08 23,424 --a------ C:\WINDOWS\system32\drivers\avgmfrs.sys

2006-10-09 23:23 46,592 --a------ C:\WINDOWS\system32\zlbw.dll

2006-10-09 23:22 6,788 --a------ C:\WINDOWS\system32\taskdir~.exe

2006-10-09 23:21 67,716 --a------ C:\WINDOWS\system32\taskdir.exe

2006-10-09 23:21 67,716 --a------ C:\WINDOWS\system32\image1.gif.exe

2006-10-09 23:21 6,276 --a------ C:\WINDOWS\down.exe

2006-10-09 23:21 40,960 --a------ C:\jvaxe.exe

2006-10-09 23:20 90,328 --a------ C:\WINDOWS\installer3.0.93.exe

2006-10-09 23:20 64,216 --a------ C:\WINDOWS\system32\ipv6monl.dll

2006-10-09 23:20 40,960 --a------ C:\WINDOWS\system32\algs4.exe

2006-10-09 23:20 26,112 --a------ C:\WINDOWS\system32\rpcc.dll

2006-10-09 23:20 10,637 --a------ C:\WINDOWS\system32\upnp.exe

2006-10-09 23:20 10,637 --a------ C:\ncfqj.exe

2006-10-09 22:20 115,947 --a------ C:\WINDOWS\system32\mny.exe

2006-10-09 21:57 77,312 --a------ C:\mbca.exe

 

 

(((((((((((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))))))))))))))))))))))))))))))))))))))))))))))))

 

Rootkit driver pe386 is present. A rootkit scan is required

 

2006-10-18 13:20 -------- d-------- C:\Documents and Settings\sarah holmberg\Application Data\Skype

2006-10-18 12:20 -------- d-------- C:\Program Files\Microsoft AntiSpyware

2006-10-17 17:40 -------- d-------- C:\Program Files\Windows NT

2006-10-17 17:40 -------- d-------- C:\Program Files\MSN Messenger

2006-10-17 17:40 -------- d-------- C:\Program Files\msn gaming zone

2006-10-17 17:40 -------- d-------- C:\Program Files\Grisoft

2006-10-17 17:40 -------- d-------- C:\Documents and Settings\sarah holmberg\Application Data\AVG7

2006-10-17 17:39 -------- d-------- C:\Program Files\F-Secure

2006-10-16 16:36 -------- d-------- C:\Program Files\Common Files

2006-10-05 23:09 -------- d-------- C:\Program Files\DC++

2006-10-05 18:05 -------- d-------- C:\Program Files\Skype

2006-08-24 09:14 37027 --a------ C:\WINDOWS\atmoUn.exe

2006-08-24 09:14 -------- d-------- C:\Program Files\Viewpoint

2006-08-24 09:14 -------- d-------- C:\Documents and Settings\sarah holmberg\Application Data\AdobeUM

2006-08-21 15:21 16896 --a------ C:\WINDOWS\system32\fltlib.dll

2006-08-21 12:14 23040 --a------ C:\WINDOWS\system32\fltmc.exe

2006-08-21 12:14 128896 --------- C:\WINDOWS\system32\drivers\fltmgr.sys

2006-07-27 16:24 679424 --a------ C:\WINDOWS\system32\inetcomm.dll

2006-07-21 11:24 72704 --a------ C:\WINDOWS\system32\hlink.dll

 

 

(((((((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))

 

*Note* empty entries are not shown

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run]

"MsnMsgr"="\"C:\\Program Files\\MSN Messenger\\MsnMsgr.Exe\" /background"

"ctfmon.exe"="C:\\WINDOWS\\system32\\ctfmon.exe"

"Skype"="\"C:\\Program Files\\Skype\\Phone\\Skype.exe\" /nosplash /minimized"

"taskdir"="C:\\WINDOWS\\system32\\taskdir.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run]

"ATIPTA"="atiptaxx.exe"

"HKSERV.EXE"="C:\\Program Files\\Sony\\HotKey Utility\\HKserv.exe"

"SonyPowerCfg"="C:\\Program Files\\sony\\vaio power management\\SPMgr.exe"

"VAIO Update 2"="\"C:\\Program Files\\sony\\vaio update 2\\VAIOUpdt.exe\" /Stationary"

"ISBMgr.exe"="C:\\Program Files\\Sony\\ISB Utility\\ISBMgr.exe"

"BluetoothAuthenticationAgent"="rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent"

"DAEMON Tools-1033"="\"D:\\Program Files\\D-Tools\\daemon.exe\" -lang 1033"

"ezShieldProtector for Px"="C:\\WINDOWS\\system32\\ezSP_Px.exe"

"Lftbh"="C:\\Program Files\\Pcln\\Dfmcs.exe"

"NeroFilterCheck"="C:\\WINDOWS\\system32\\NeroCheck.exe"

"REGSHAVE"="C:\\Program Files\\REGSHAVE\\REGSHAVE.EXE /AUTORUN"

"gcasServ"="\"C:\\Program Files\\Microsoft AntiSpyware\\gcasServ.exe\""

"WinampAgent"="D:\\Program Files\\Winamp\\winampa.exe"

"np"="c:\\windows\\system32\\upnp.exe"

"SvcManager"="algs4.exe"

"Hcontrol"="C:\\WINDOWS\\ATK0100\\Hcontrol.exe"

"AVG7_CC"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgcc.exe /STARTUP"

"!AVG Anti-Spyware"="\"C:\\Program Files\\Grisoft\\AVG Anti-Spyware 7.5\\avgas.exe\" /minimized"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\IMAIL]

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MAPI]

"NoChange"="1"

"Installed"="1"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\OptionalComponents\MSFS]

"Installed"="1"

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components]

"DeskHtmlVersion"=dword:00000110

"DeskHtmlMinorVersion"=dword:00000005

"Settings"=dword:00000001

"GeneralFlags"=dword:00000005

 

[HKEY_CURRENT_USER\software\microsoft\internet explorer\desktop\components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="My Current Home Page"

"Flags"=dword:00000002

"Position"=hex:2c,00,00,00,cc,00,00,00,00,00,00,00,34,03,00,00,e2,02,00,00,00, 00,00,00,01,00,00,00,01,00,00,00,01,00,00,00,00,00,00,00,00,00,00,00

"CurrentState"=hex:04,00,00,40

"OriginalStateInfo"=hex:18,00,00,00,ff,ff,00,00,ff,ff,00,00,ff,ff,ff,ff,ff,ff, ff,ff,04,00,00,00

"RestoredStateInfo"=hex:18,00,00,00,6a,02,00,00,23,00,00,00,a4,00,00,00,9a,00, 00,00,01,00,00,00

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\run]

"ctfmon.exe"="C:\\WINDOWS\\System32\\CTFMON.EXE"

"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

 

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\run]

"ctfmon.exe"="C:\\WINDOWS\\System32\\CTFMON.EXE"

"AVG7_Run"="C:\\PROGRA~1\\Grisoft\\AVGFRE~1\\avgw.exe /RUNONCE"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\sharedtaskscheduler]

"{438755C2-A8BA-11D1-B96B-00A0C90312E1}"="Browseui preloader"

"{8C7461EF-2B13-11d2-BE35-3078302C2030}"="Component Categories cache daemon"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{AEB6717E-7E19-11d0-97EE-00C04FD91972}"=""

"{9EF34FF2-3396-4527-9D27-04C8C1C67806}"="Microsoft AntiSpyware Service Hook"

"{57B86673-276A-48B2-BAE7-C6DBB3020EB8}"="AVG Anti-Spyware 7.5"

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoDriveTypeAutoRun"=dword:00000091

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer\Run]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"dontdisplaylastusername"=dword:00000000

"legalnoticecaption"=""

"legalnoticetext"=""

"shutdownwithoutlogon"=dword:00000001

"undockwithoutlogon"=dword:00000001

 

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoDriveTypeAutoRun"=dword:00000091

 

[HKEY_USERS\s-1-5-18\software\microsoft\windows\currentversion\policies\explorer]

"NoDriveTypeAutoRun"=dword:00000091

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\shellserviceobjectdelayload]

"PostBootReminder"="{7849596a-48ea-486e-8937-a2a3009f31a9}"

"CDBurn"="{fbeb8a05-beee-4442-804e-409d6c4515e9}"

"WebCheck"="{E6FB5E20-DE35-11CF-9C87-00AA005127ED}"

"SysTray"="{35CEC8A3-2BE6-11D2-8773-92E220524153}"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Acrobat Assistant.lnk]

"path"="C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\Acrobat Assistant.lnk"

"backup"="C:\\WINDOWS\\pss\\Acrobat Assistant.lnkCommon Startup"

"location"="Common Startup"

"command"="C:\\PROGRA~1\\Adobe\\ACROBA~1.0\\Distillr\\acrotray.exe "

"item"="Acrobat Assistant"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Adobe Gamma Loader.lnk]

"path"="C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\Adobe Gamma Loader.lnk"

"backup"="C:\\WINDOWS\\pss\\Adobe Gamma Loader.lnkCommon Startup"

"location"="Common Startup"

"command"="C:\\PROGRA~1\\COMMON~1\\Adobe\\CALIBR~1\\ADOBEG~1.EXE "

"item"="Adobe Gamma Loader"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start Menu^Programs^Startup^Microsoft Office.lnk]

"path"="C:\\Documents and Settings\\All Users\\Start Menu\\Programs\\Startup\\Microsoft Office.lnk"

"backup"="C:\\WINDOWS\\pss\\Microsoft Office.lnkCommon Startup"

"location"="Common Startup"

"command"="C:\\PROGRA~1\\MICROS~3\\Office\\OSA9.EXE -b -l"

"item"="Microsoft Office"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Apoint]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="Apoint"

"hkey"="HKLM"

"command"="C:\\Program Files\\Apoint\\Apoint.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Drag'n Drop CD+DVD]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="DragDrop"

"hkey"="HKLM"

"command"="C:\\Program Files\\drag'n drop cd+dvd\\BinFiles\\DragDrop.exe /StartUp"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ezShieldProtector for Px]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="ezSP_Px"

"hkey"="HKLM"

"command"="C:\\WINDOWS\\System32\\ezSP_Px.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Hcontrol]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="Hcontrol"

"hkey"="HKLM"

"command"="C:\\WINDOWS\\ATK0100\\Hcontrol.exe"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Mouse Suite 98 Daemon]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="ICO"

"hkey"="HKLM"

"command"="ICO.EXE"

"inimapping"="0"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]

"key"="SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Run"

"item"="SNDMon"

"hkey"="HKLM"

"command"="C:\\PROGRA~1\\SYMNET~1\\SNDMon.exe"

"inimapping"="0"

 

HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\rpcc

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

"SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll"

 

Completion time: 06-10-18 13:39:43.48

C:\ComboFix.txt ... 06-10-18 13:39

C:\ComboFix2.txt ... 06-10-18 01:25

C:\ComboFix3.txt ... 06-10-17 23:42

[/log]

 

 

Körde HiJack This oxå...här är den loggen!

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 13:45:22, on 18.10.2006

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

C:\Program Files\Sony\HotKey Utility\HKserv.exe

C:\Program Files\sony\vaio power management\SPMgr.exe

C:\Program Files\Sony\ISB Utility\ISBMgr.exe

D:\Program Files\D-Tools\daemon.exe

C:\Program Files\Sony\HotKey Utility\HKWnd.exe

C:\WINDOWS\system32\ezSP_Px.exe

D:\Program Files\Winamp\winampa.exe

C:\windows\system32\upnp.exe

C:\Program Files\Microsoft AntiSpyware\gcasDtServ.exe

C:\WINDOWS\system32\algs4.exe

C:\WINDOWS\ATK0100\Hcontrol.exe

C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe

C:\WINDOWS\ATK0100\ATKOSD.exe

C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program Files\Skype\Phone\Skype.exe

C:\WINDOWS\system32\taskdir.exe

C:\Documents and Settings\sarah holmberg\Desktop\hijack\HijackThis.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.club-vaio.sony-europe.com/

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {73364D99-1240-4dff-B11A-67E448373048} - C:\WINDOWS\system32\ipv6monl.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar1.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar1.dll

O4 - HKLM\..\Run: [ATIPTA] atiptaxx.exe

O4 - HKLM\..\Run: [HKSERV.EXE] C:\Program Files\Sony\HotKey Utility\HKserv.exe

O4 - HKLM\..\Run: [sonyPowerCfg] C:\Program Files\sony\vaio power management\SPMgr.exe

O4 - HKLM\..\Run: [VAIO Update 2] "C:\Program Files\sony\vaio update 2\VAIOUpdt.exe" /Stationary

O4 - HKLM\..\Run: [iSBMgr.exe] C:\Program Files\Sony\ISB Utility\ISBMgr.exe

O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe irprops.cpl,,BluetoothAuthenticationAgent

O4 - HKLM\..\Run: [DAEMON Tools-1033] "D:\Program Files\D-Tools\daemon.exe" -lang 1033

O4 - HKLM\..\Run: [ezShieldProtector for Px] C:\WINDOWS\system32\ezSP_Px.exe

O4 - HKLM\..\Run: [Lftbh] C:\Program Files\Pcln\Dfmcs.exe

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [REGSHAVE] C:\Program Files\REGSHAVE\REGSHAVE.EXE /AUTORUN

O4 - HKLM\..\Run: [gcasServ] "C:\Program Files\Microsoft AntiSpyware\gcasServ.exe"

O4 - HKLM\..\Run: [WinampAgent] D:\Program Files\Winamp\winampa.exe

O4 - HKLM\..\Run: [np] c:\windows\system32\upnp.exe

O4 - HKLM\..\Run: [svcManager] algs4.exe

O4 - HKLM\..\Run: [Hcontrol] C:\WINDOWS\ATK0100\Hcontrol.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\PROGRA~1\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [!AVG Anti-Spyware] "C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\avgas.exe" /minimized

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [taskdir] C:\WINDOWS\system32\taskdir.exe

O8 - Extra context menu item: &Google Search - res://c:\program files\google\GoogleToolbar1.dll/cmsearch.html

O8 - Extra context menu item: &Translate English Word - res://c:\program files\google\GoogleToolbar1.dll/cmwordtrans.html

O8 - Extra context menu item: Backward Links - res://c:\program files\google\GoogleToolbar1.dll/cmbacklinks.html

O8 - Extra context menu item: Cached Snapshot of Page - res://c:\program files\google\GoogleToolbar1.dll/cmcache.html

O8 - Extra context menu item: Similar Pages - res://c:\program files\google\GoogleToolbar1.dll/cmsimilar.html

O8 - Extra context menu item: Translate Page into English - res://c:\program files\google\GoogleToolbar1.dll/cmtrans.html

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\j2re1.4.2_03\bin\npjpi142_03.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.club-vaio.sony-europe.com/

O15 - Trusted Zone: *.sony-europe.com

O15 - Trusted Zone: *.sonystyle-europe.com

O15 - Trusted Zone: *.vaio-link.com

O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG Anti-Spyware Guard - Anti-Malware Development a.s. - C:\Program Files\Grisoft\AVG Anti-Spyware 7.5\guard.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\PROGRA~1\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: PACSPTISVR - Unknown owner - C:\Program Files\Common Files\Sony Shared\AVLib\Pacsptisvr.exe

O23 - Service: Sony SPTI Service (SPTISRV) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\AVLib\Sptisrv.exe

O23 - Service: VAIO Media Music Server (VAIOMediaPlatform-MusicServer-AppServer) - Unknown owner - C:\Program Files\sony\vaio media music server\SSSvr.exe" /Service=VAIOMediaPlatform-MusicServer-AppServer /DisplayName="VAIO Media Music Server (file missing)

O23 - Service: VAIO Media Music Server (HTTP) (VAIOMediaPlatform-MusicServer-HTTP) - Unknown owner - C:\Program Files\Common Files\Sony Shared\vaio media platform\sv_httpd.exe" /Service=VAIOMediaPlatform-MusicServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="Applications\MusicServer\HTTP (file missing)

O23 - Service: VAIO Media Music Server (UPnP) (VAIOMediaPlatform-MusicServer-UPnP) - Sony Corporation - C:\Program Files\Common Files\Sony Shared\vaio media platform\UPnPFramework.exe

O23 - Service: VAIO Media Photo Server (VAIOMediaPlatform-PhotoServer-AppServer) - Sony Corporation - C:\Program Files\sony\photo server\appsrv\PhotoAppSrv.exe

O23 - Service: VAIO Media Photo Server (HTTP) (VAIOMediaPlatform-PhotoServer-HTTP) - Unknown owner - C:\Program Files\Common Files\sony shared\vaio media platform\SV_Httpd.exe" /Service=VAIOMediaPlatform-PhotoServer-HTTP /RegRoot="Software\Sony Corporation\VAIO Media Platform\2.0" /RegExt="\Applications\PhotoServer\HTTP (file missing)

O23 - Service: VAIO Media Photo Server (UPnP) (VAIOMediaPlatform-PhotoServer-UPnP) - Sony Corporation - C:\Program Files\Common Files\sony shared\vaio media platform\UPnPFramework.exe

 

[/log]

 

Vad kan ja göra nu?

 

Link to comment
Share on other sites

Är det några andra fix-program än ComboFix du har kört?

 

Det är helt klart en mycket infekterad dator med svårborttagna otrevligheter, det kommer troligen att krävas en hel del jobb för att få den ren och jag kan inte garantera att det lyckas. Du får själv avgöra om du vill försöka rensa den eller om du vill installera om i stället.

 

Gå till den här sidan:

Klistra in filnamnet: C:\Program Files\Pcln\Dfmcs.exe

Tryck på Send och vänta tills det är klart. Klistra in resultatet inkl. filstorlek här.

Upprepa med: C:\WINDOWS\system32\rpcc.dll

 

Ladda ner Symantecs borttagningsprogram för Trojan.Abwiz:

http://www.symantec.com/security_response/writeup.jsp?docid=2006-032312-2648-99

Dra ut nätverks/internetanslutningen innan du kör programmet och håll den urdragen så mycket som möjligt tills datorn är ren. Läs under rubriken How to download and run the tool för att veta hur programmet ska användas. Skriv av resultatet och skriv sedan ner det i ditt svar.

 

Klistra in en ny HijackThis-logg också.

 

 

Link to comment
Share on other sites

JessicaElvira

Okej, känner att det kanske är lika bra att installera om istället....det kan jag iallafall klara av själv och så e man ju säker sen på att den är ok...

 

Tack för all hjälp!! Hör av mig om jag stöter på några problem!

 

TACK!!!

 

/jessica

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...