Svårborttagbar webb-adress

[cat80]

Hej, det var en omfattande instruktionskedja. Jag ska försöka. Vilken version av Internet Explorer jag har vet jag inte. Har försökt titta efter men inte hittat någon uppgift, gissar att det är version 7.

 

Resultat hittills:

 

VundoFix- no infected files were found

Registry Easy - 2021 problems found

Avg Anti virus free edition - no threats found

 

Cecilia, är det för mycket begärt om jag "ber en kompis ansluta till din dator" med Fjärrhjälp?. Krävs det då att jag får din e-postadress.

 

Ditt tålamod med mig och din uthållighet är suverän

 

 

 

 

[Cecilia]

Du har Internet Explorer 6 enligt HijackThis-loggen.

 

Avinstallera Registry Easy, det är inte ett bra program, det hittar på saker bara för att locka dig att köpa det.

 

Jag tror inte att du har några som helst problem med att följa anvisningarna själv om du bara skriver ut anvisningarna och tar lugnt och följer dem steg för steg. Jag ska iväg några timmar nu i alla fall.

 

Stycket som börjar med Kontrollpanelen - Bildskärm kan du hoppa över så länge.

 

[cat80]

[log]Jag har genomfört alla dina instruktioner och till Eforus sänt både C:\rapport.txt och en ny HjackThis-logg, men kan inte se dessa mina två rapporter

 

SmitFraudFix v2.240

 

Scan done at 12:44:07,26, 2007-10-19

Run from F:\Tottes filer\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in safe mode

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler Before SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

»»»»»»»»»»»»»»»»»»»»»»»» Killing process

 

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

127.0.0.1 localhost

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winsock2 Fix

 

S!Ri's WS2Fix: LSP not Found.

 

»»»»»»»»»»»»»»»»»»»»»»»» Generic Renos Fix

 

GenericRenosFix by S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting infected files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F95F5B63-3E82-4861-8E2E-37164FDC81DD}: DhcpNameServer=81.16.160.66 81.16.160.85

HKLM\SYSTEM\CCS\Services\Tcpip\..\{F95F5B63-3E82-4861-8E2E-37164FDC81DD}: NameServer=81.16.160.66,81.16.160.85

HKLM\SYSTEM\CS1\Services\Tcpip\..\{F95F5B63-3E82-4861-8E2E-37164FDC81DD}: DhcpNameServer=81.16.160.66 81.16.160.85

HKLM\SYSTEM\CS1\Services\Tcpip\..\{F95F5B63-3E82-4861-8E2E-37164FDC81DD}: NameServer=81.16.160.66,81.16.160.85

HKLM\SYSTEM\CS2\Services\Tcpip\..\{F95F5B63-3E82-4861-8E2E-37164FDC81DD}: DhcpNameServer=81.16.160.66 81.16.160.85

HKLM\SYSTEM\CS2\Services\Tcpip\..\{F95F5B63-3E82-4861-8E2E-37164FDC81DD}: NameServer=81.16.160.66,81.16.160.85

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=81.16.160.66 81.16.160.85

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=81.16.160.66 81.16.160.85

HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=81.16.160.66 81.16.160.85

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Deleting Temp Files

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Registry Cleaning

 

Registry Cleaning done.

 

»»»»»»»»»»»»»»»»»»»»»»»» SharedTaskScheduler After SmitFraudFix

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» End[/log]

[inlägget ändrat 2007-10-19 13:24:25 av cat80]

[cat80]

Jag har genomfört dina uppgifter och till Eforum översänt både C:\rapport.txt och ny HijackThis-logg men kan inte se dessa mina två rapporter på Eforus. Har de kommit fram?

 

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:11:11, on 2007-10-19

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Grisoft\AVGFRE~1\avgamsvr.exe

C:\Program\Grisoft\AVGFRE~1\avgupsvc.exe

C:\Program\Grisoft\AVGFRE~1\avgemc.exe

C:\WINDOWS\system32\cisvc.exe

C:\Program Files\Cheetah Burner\Cheetah DVD Burner\NMSAccess.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\ScanSoft\OmniPageSE2.0\OpwareSE2.exe

C:\WINDOWS\system32\PuXpMan.exe

C:\WINDOWS\system32\LVCOMSX.EXE

C:\Program\Logitech\Video\LogiTray.exe

C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

C:\Program\Grisoft\AVGFRE~1\avgcc.exe

C:\Program\Windows Defender\MSASCui.exe

C:\Program\Zone Labs\ZoneAlarm\zlclient.exe

C:\Program\SPAMfighter\SFAgent.exe

C:\Program\Registry Easy\RegEasy.exe

C:\Program\Skype\Phone\Skype.exe

C:\Program\Messenger\msmsgs.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Logitech\Video\FxSvr2.exe

C:\Program\Skype\Plugin Manager\SkypePM.exe

C:\WINDOWS\system32\NOTEPAD.EXE

C:\Program\Microsoft Office\OFFICE11\WINWORD.EXE

C:\Program\Outlook Express\msimn.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Delade filer\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program\WinRAR\WinRAR.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Länkhjälp till Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar1.dll

O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\01.02.5000.1021\sv\msntb.dll

O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\01.02.5000.1021\sv\msntb.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program\google\googletoolbar1.dll

O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\PSDrvCheck.exe

O4 - HKLM\..\Run: [OpwareSE2] "C:\Program\ScanSoft\OmniPageSE2.0\OpwareSE2.exe"

O4 - HKLM\..\Run: [mspwr] C:\WINDOWS\system32\PuXpMan.exe

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoTray] C:\Program\Logitech\Video\LogiTray.exe

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Program\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe

O4 - HKLM\..\Run: [AVG7_CC] C:\Program\Grisoft\AVGFRE~1\avgcc.exe /STARTUP

O4 - HKLM\..\Run: [uerscw] C:\Program\Error Safe Free\uerscw.exe -c

O4 - HKLM\..\Run: [tmnmlng.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\tmnmlng.dll,ksvfdhd

O4 - HKLM\..\Run: [Windows Defender] "C:\Program\Windows Defender\MSASCui.exe" -hide

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKLM\..\Run: [sPAMfighter Agent] "C:\Program\SPAMfighter\SFAgent.exe" update delay 60

O4 - HKLM\..\Run: [RegEasy.exe] C:\Program\Registry Easy\RegEasy.exe

O4 - HKCU\..\Run: [skype] "C:\Program\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [LogitechSoftwareUpdate] C:\Program\Logitech\Video\ManifestEngine.exe boot

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ''LOKAL TJÄNST'')

O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\Program\Grisoft\AVGFRE~1\avgw.exe /RUNONCE (User ''LOKAL TJÄNST'')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ''NETWORK SERVICE'')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ''SYSTEM'')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User ''Default user'')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Logitech Desktop Messenger.lnk = C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra ''Tools'' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra ''Tools'' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?LinkID=39204

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1158155708875

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1161489882625

O16 - DPF: {A18962F6-E6ED-40B1-97C9-1FB36F38BFA8} (Aurigma Image Uploader 3.0 Control) - https://ssl.extrafilm.org/upload/activex/ImageUploader3.cab

O16 - DPF: {C36112BF-2FA3-4694-8603-3B510EA3B465} (Lycos File Upload Component) - http://f007.mail.spray.se/app/uploader/FileUploader.cab

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{F95F5B63-3E82-4861-8E2E-37164FDC81DD}: NameServer = 81.16.160.66,81.16.160.85

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program\DELADE~1\Skype\SKYPE4~1.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgamsvr.exe

O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgupsvc.exe

O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVGFRE~1\avgemc.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Unknown owner - C:\Program\iPod\bin\iPodService.exe (file missing)

O23 - Service: NMSAccess - Unknown owner - C:\Program Files\Cheetah Burner\Cheetah DVD Burner\NMSAccess.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 7945 bytes[/log]

 

[inlägget ändrat 2007-10-19 13:25:42 av cat80]

 

[inlägget ändrat 2007-10-19 14:14:19 av Anders N]

[Stefan85]

sök i registret (Kör -> regedit) efter supersex sök flera gånger då den hittar en i taget, läs igenom vad som står. Om du hittar en sökväg t.ex c:\k7743.exe ta bort denna och eventuellt övriga sökvägar. Radera sedan alla www.supersex.se i registret. Det kanske kan hjälpa.

 

Titta även i run-> cmd -> msconfig -> klicka på fliken autostart. läs igenom vilka filer som startar. Är det något som sticker ut bland dessa?

 

 

[inlägget ändrat 2007-10-19 14:01:28 av Stefan85]

[inlägget ändrat 2007-10-19 14:05:51 av Stefan85]

[cat80]

Tack Stefan!

 

Det du säger verkar proffsigt. Tyvärr är jag inte ens halvproffs. Du nämner ordet REGISTER. Jag vet inte var det finns och hur jag ska nå det. Jag ska försöka göra som du föreslagit om du talar om för mig hur jag skall komma till detta register.

Med vänlig och tacksam hälsning

 

 

 

 

[inlägget ändrat 2007-10-19 15:34:11 av cat80]

[Anjuna Moon]

Tyvärr är jag inte ens halvproffs. Du nämner ordet REGISTER. Jag vet inte var det finns och hur jag ska nå det.

Då ska du inte gå in i systemregistret och pilla, då riskerar du bara att ställa till det rejält.

 

[Stefan85]

Som Anjuna moon säger så är det en säkerhets risk att pilla i regedit. Läs igenom det du hittar om sidan och skicka in den här så kan vi hjälpas åt.

 

Hur man går in i reggistret.

 

Starmenyn, klicka på kör/run skriv regedit tryck enter.

 

väl inne kan du gå in på redigera och sök (supersex) enter

kopiera det som står och klistra in det här. tryck F3 och gör om proceduren.

 

Hur man går in i msconfig.

 

Startmenyn, klicka kör/run skriv msconfig tryck enter.

 

Väl inne klickar du på autostart/startup och tittar igenom filerna där.

Är det något som sticker ut (konstigt namn) skriv vad filen kallas här och skicka hit den så kan vi titta på det.

 

[Cecilia]

Det gick ju bra!

 

Naturligtvis så ska du inte behöva gå in i registret och ändra!

 

[log]Skanna med HijackThis och bocka för:

 

O4 - HKLM\..\Run: [uerscw] C:\Program\Error Safe Free\uerscw.exe -c

O4 - HKLM\..\Run: [tmnmlng.dll] C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\tmnmlng.dll,ksvfdhd

O4 - HKLM\..\Run: [RegEasy.exe] C:\Program\Registry Easy\RegEasy.exe

O16 - DPF: {FD0B6769-6490-4A91-AA0A-B5AE0DC75AC9} (Performance Viewer Activex Control) - https://secure.logmein.com/activex/RACtrl.cab

 

Avsluta alla andra program.

Tryck Fix checked.

 

Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

 

Ta bort filerna (om de finns kvar):

C:\WINDOWS\system32\tmnmlng.dll

 

Ta bort mapparna (om de finns kvar):

C:\Program\Error Safe Free

C:\Program\Registry Easy

 

Starta om i normalt läge och så en ny HijackThis-logg.

Hur uppför sig datorn nu?[/log]

 

[cat80]

Jag har nu scannat med HijackThis men hittade inte

O4 - HKLM\..\Run: [RegEasy.exe] C:\Program\Registry Easy\RegEasy.exe

 

Markerade de övriga tre och tryckte på Fix checked, startade om i felsäkert läge och följde i övrigt instruktionerna men fanne inte de filer och mappar du nämnde.

 

Den förbaskade supersexadressen dyker fortfarande upp på adressraden. Så fort jag skriver www.s kommer www.supersex.se fram.

 

Så än är problemet inte ur världen.

 

Är det idé att fortsätta? Att gå in i ett register och ändra gissar jag är vanskligt.

 

 

 

 

[Cecilia]

En ny HijackThis-logg, tack!

 

Ladda ner ComboFix:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Kör den och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på Combofix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, klistra in den här.

 

[cat80]

[log]ComboFix 07-10-19.1 - Torsten Johansson 2007-10-19 18:19:08.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1053.18.411 [GMT 2:00]

Running from: C:\Documents and Settings\Torsten Johansson\Lokala inst„llningar\Temporary Internet Files\Content.IE5\09MVSPMR\ComboFix[1].exe

* Created a new restore point

.

ADS - system32: deleted 70204 bytes in 1 streams.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\Torsten Johansson\Application Data\HbTools

C:\Documents and Settings\Torsten Johansson\Application Data\HbTools\HbTools.log

C:\Documents and Settings\Torsten Johansson\Application Data\HbTools_Icons

C:\Documents and Settings\Torsten Johansson\Application Data\HbTools_Icons\Registryrepair.ico

C:\Documents and Settings\Torsten Johansson\Application Data\HbTools_Icons\wallpapere1.ico

C:\Documents and Settings\Torsten Johansson\err.log

C:\WINDOWS\system32\stera.job

 

.

((((((((((((((((((((((((( Files Created from 2007-09-19 to 2007-10-19 )))))))))))))))))))))))))))))))

.

 

2007-10-19 18:16 51,200 --a------ C:\WINDOWS\NirCmd.exe

2007-10-19 10:59 <KAT> d-------- C:\VundoFix Backups

2007-10-18 12:44 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2007-10-18 12:44 288,417 --a------ C:\WINDOWS\system32\SrchSTS.exe

2007-10-18 12:44 53,248 --a------ C:\WINDOWS\system32\Process.exe

2007-10-18 12:44 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2007-10-18 12:44 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2007-10-18 12:25 626,688 --a------ C:\WINDOWS\system32\msvcr80.dll

2007-10-18 08:31 <KAT> d-------- C:\Program\Trend Micro

2007-10-16 09:12 <KAT> d-------- C:\Program\XnView

2007-10-16 09:12 <KAT> d-------- C:\Documents and Settings\Torsten Johansson\Application Data\XnView

2007-10-15 18:46 <KAT> d-------- C:\Documents and Settings\Torsten Johansson\Application Data\Uniblue

2007-10-14 16:46 <KAT> d-------- C:\Documents and Settings\Torsten Johansson\Application Data\GetRightToGo

2007-10-03 19:01 <KAT> d-------- C:\Program\Delade filer\Skype

2007-09-25 17:48 <KAT> d-------- C:\Documents and Settings\Torsten Johansson\Application Data\wsInspector

2007-09-25 17:00 <KAT> d-------- C:\Program\Startup Inspector for Windows

2007-09-25 16:36 <KAT> d-------- C:\Program\FreeMeter

2007-09-25 15:45 <KAT> d-------- C:\Program\Gabest

2007-09-25 15:45 <KAT> d-------- C:\Program\AviSynth 2.5

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-10-19 16:02 --------- d-----w C:\Documents and Settings\All Users\Application Data\Avg7

2007-10-19 15:59 --------- d-----w C:\Documents and Settings\Torsten Johansson\Application Data\Skype

2007-10-18 14:46 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP

2007-10-17 14:08 --------- d-----w C:\Documents and Settings\Torsten Johansson\Application Data\OpenOffice.org2

2007-10-17 05:57 --------- d-----w C:\Program\GEAR Software

2007-10-16 19:50 --------- d-----w C:\Documents and Settings\Torsten Johansson\Application Data\Canon

2007-10-15 03:58 --------- d-----w C:\Documents and Settings\Torsten Johansson\Application Data\AVG7

2007-10-03 17:01 --------- d-----w C:\Program\Skype

2007-10-03 17:01 --------- d-----w C:\Documents and Settings\All Users\Application Data\Skype

2007-09-17 19:06 --------- d-----w C:\Program\MSN Messenger

2007-09-15 06:41 --------- d-----w C:\Documents and Settings\LocalService\Application Data\AVG7

2007-09-05 19:53 --------- d-----w C:\Program\Infra Recorder

2007-09-05 06:49 --------- d-----w C:\Program\Mozilla Firefox(2)

2007-08-31 05:53 --------- d-----w C:\Program\Pinnacle

2007-08-26 19:05 --------- d-----w C:\Program\bobyte

2007-08-23 18:36 --------- d-----w C:\Program\SPAMfighter

2007-08-23 18:36 --------- d-----w C:\Program\Delade filer\Ankiro

2007-08-23 18:36 --------- d-----w C:\Documents and Settings\Torsten Johansson\Application Data\SPAMfighter

2007-08-23 18:35 --------- d-----w C:\Program\Delade filer\Application

2007-08-21 06:18 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll

2007-08-19 13:21 30,464 ----a-w C:\WINDOWS\macromix.dll

2007-08-13 09:42 11,048 ----a-w C:\Documents and Settings\Torsten Johansson\Application Data\ViewerApp.dat

2007-08-11 19:48 4,639 ----a-w C:\Program\ServerError.txt

2007-07-30 17:19 92,504 ----a-w C:\WINDOWS\system32\cdm.dll

2007-07-30 17:19 549,720 ----a-w C:\WINDOWS\system32\wuapi.dll

2007-07-30 17:19 53,080 ----a-w C:\WINDOWS\system32\wuauclt.exe

2007-07-30 17:19 43,352 ----a-w C:\WINDOWS\system32\wups2.dll

2007-07-30 17:19 325,976 ----a-w C:\WINDOWS\system32\wucltui.dll

2007-07-30 17:19 271,224 ----a-w C:\WINDOWS\system32\mucltui.dll

2007-07-30 17:19 207,736 ----a-w C:\WINDOWS\system32\muweb.dll

2007-07-30 17:19 203,096 ----a-w C:\WINDOWS\system32\wuweb.dll

2007-07-30 17:19 1,712,984 ----a-w C:\WINDOWS\system32\wuaueng.dll

2007-07-30 17:18 33,624 ----a-w C:\WINDOWS\system32\wups.dll

2007-07-25 05:07 1,513,920 ----a-w C:\WINDOWS\system32\tiazrjfw.exe

2007-05-15 17:53 169 ----a-w C:\Program\TomTomHOME_Exception.txt

2007-03-14 14:52 3,770,024 ----a-w C:\Program\TomTomHOME.exe

2006-12-20 07:54 89,056 ----a-r C:\Program\TomTomHOME.dll

2006-12-20 07:54 7,144 ----a-r C:\Program\TomTomHOMEProvisioning.exe

2006-10-16 07:23 0 ----a-w C:\Program\popcorn Terms.html

2006-08-30 11:27 338 ----a-w C:\Documents and Settings\Torsten Johansson\Application Data\internaldb1942.dat

2006-08-30 11:14 13,046 ----a-w C:\Documents and Settings\Torsten Johansson\Application Data\internaldb5436.dat

2006-08-30 11:14 0 ----a-w C:\Documents and Settings\Torsten Johansson\Application Data\internaldb4604.dat

2006-08-29 17:29 177,152 ----a-w C:\Documents and Settings\Torsten Johansson\Application Data\internaldb4827.dat

2006-08-29 05:42 0 ----a-w C:\Documents and Settings\Torsten Johansson\Application Data\internaldb3902.dat

2006-08-28 11:28 177,152 ----a-w C:\Documents and Settings\Torsten Johansson\Application Data\internaldb1869.dat

2006-08-08 16:43 0 ----a-w C:\Documents and Settings\Torsten Johansson\Application Data\internaldb2382.dat

2006-08-08 16:43 0 ----a-w C:\Documents and Settings\Torsten Johansson\Application Data\internaldb153.dat

2006-05-19 04:11 0 ----a-w C:\Documents and Settings\Torsten Johansson\Application Data\internaldb2391.dat

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"PinnacleDriverCheck"="C:\WINDOWS\system32\PSDrvCheck.exe" [2003-05-05 10:55]

"OpwareSE2"="C:\Program\ScanSoft\OmniPageSE2.0\OpwareSE2.exe" [2003-05-08 13:00]

"mspwr"="C:\WINDOWS\system32\PuXpMan.exe" [2004-06-12 18:51]

"LVCOMSX"="C:\WINDOWS\system32\LVCOMSX.EXE" [2004-05-21 20:11]

"LogitechVideoTray"="C:\Program\Logitech\Video\LogiTray.exe" [2004-06-01 12:03]

"LogitechVideoRepair"="C:\Program\Logitech\Video\ISStart.exe" [2004-06-01 12:09]

"ATIPTA"="C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2003-11-25 22:10]

"AVG7_CC"="C:\Program\Grisoft\AVG7\avgcc.exe" [2007-10-19 18:00]

"Windows Defender"="C:\Program\Windows Defender\MSASCui.exe" [2006-11-03 19:20]

"ZoneAlarm Client"="C:\Program\Zone Labs\ZoneAlarm\zlclient.exe" [2007-03-09 00:02]

"SPAMfighter Agent"="C:\Program\SPAMfighter\SFAgent.exe" [2007-08-10 16:02]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Skype"="C:\Program\Skype\Phone\Skype.exe" [2007-09-13 13:31]

"LogitechSoftwareUpdate"="C:\Program\Logitech\Video\ManifestEngine.exe" [2004-06-01 12:46]

"MSMSGS"="C:\Program\Messenger\msmsgs.exe" [2004-10-13 18:24]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]

"AVG7_Run"="C:\Program\Grisoft\AVG7\avgw.exe" [2007-10-19 18:00]

 

C:\Documents and Settings\All Users\Start-meny\Program\AutostartAdobe Gamma Loader.lnk - C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe [2005-12-24 11:41:04]

Logitech Desktop Messenger.lnk - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LDMConf.exe [2005-12-18 17:39:53]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Picture Package Menu.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\Picture Package Menu.lnk

backup=C:\WINDOWS\pss\Picture Package Menu.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Picture Package VCD Maker.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\Picture Package VCD Maker.lnk

backup=C:\WINDOWS\pss\Picture Package VCD Maker.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^WinZip Quick Pick.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\WinZip Quick Pick.lnk

backup=C:\WINDOWS\pss\WinZip Quick Pick.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Torsten Johansson^Start-meny^Program^Autostart^OpenOffice.org 2.0.lnk]

path=C:\Documents and Settings\Torsten Johansson\Start-meny\Program\Autostart\OpenOffice.org 2.0.lnk

backup=C:\WINDOWS\pss\OpenOffice.org 2.0.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

"C:\Program\Adobe\Reader 8.0\Reader\Reader_sl.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

C:\WINDOWS\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RealTray]

C:\Program\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TomTomHOME.exe]

c:\program\TomTomHOME.exe -s

 

R3 PhilCam8116_XP;Logitech QuickCam Pro 3000(PID_08B1);C:\WINDOWS\system32\DRIVERS\CamDrL20.sys

S3 lmimirr;lmimirr;C:\WINDOWS\system32\DRIVERS\lmimirr.sys

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{ebed5587-3041-11db-86ca-000b6a25b228}]

1\Command - K:\.\RECYCLER\RECYCLER\autorun.exe

2\Command - K:\.\RECYCLER\RECYCLER\autorun.exe

AutoRun\command - C:\WINDOWS\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL .\RECYCLER\RECYCLER\autorun.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{f92108a9-e0d7-11db-88a2-000b6a25b228}]

AutoRun\command - K:\InstallTomTomHOME.exe

 

*Newly Created Service* - CATCHME

.

Contents of the 'Scheduled Tasks' folder

"2007-10-18 11:43:00 C:\WINDOWS\Tasks\AppleSoftwareUpdate.job"

"2007-10-19 16:20:00 C:\WINDOWS\Tasks\Kontrollera uppdateringar för Windows Live Toolbar.job"

"2007-10-19 15:38:53 C:\WINDOWS\Tasks\MP Scheduled Scan.job"

- C:\Program\Windows Defender\MpCmdRun.exe

"2007-10-15 16:46:11 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC Nag.job"

- C:\Program\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe

"2007-10-15 16:46:09 C:\WINDOWS\Tasks\Uniblue SpeedUpMyPC.job"

- C:\Program\Uniblue\SpeedUpMyPC 3\SpeedUpMyPC.exe

.

**************************************************************************

 

catchme 0.3.1169 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-10-19 18:21:36

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

**************************************************************************

.

Completion time: 2007-10-19 18:22:47

.

--- E O F ---[/log]

 

 

[Cecilia]

Spara ComboFix på Skrivbordet, kör det inte från internet.

 

Ladda ner SDFix till Skrivbordet:

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Dubbelklicka på SDFix.exe och en ny mapp skapas, C:\SDFix.

 

Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Öppna den nya mappen C:\SDFix och dubbelklicka på RunThis.bat för att starta programmet.

Tryck Y för att fortsätta.

Det arbetar ett tag och när det är klart så kommer det upp en fråga om du vill starta om datorn.

Tryck på godtycklig tangent för att omstarten ska påbörjas.

Datorn kommer att ta lång tid på sig under uppstarten eftersom programmet kommer att gå igång och fixa till en massa.

När det är klart visas Finished.

Tryck på valfri tangent för att avsluta programmet.

 

Öppna mappen SDFix och öppna filen Report.txt i Anteckningar.

Klistra in innehållet i filen i ditt svar här.

Skapa en ny ComboFix-logg också och klistra in här.

 

[cat80]

Nu har det uppstått cirkus här. Jag laddar ner ComboFix till skrivbordet. Jag har gjort det tre gånger nu. Men innan det är absolut klart dyker AVG upp och har hitta Threat i form av Combifix. Jag har inte tordats göra annat än att flytta CombiFix till AVG:s valv. Hur ska jag bete mig.

 

Allt tar tid därför att jag då och då behöver passa två mindre barnbarn här.

 

 

[Cecilia]

Det är falsklarm av AVG, så se till att AVG lämnar ComboFix ifred. Ta den tid du vill, jag kommer att lämna datorn för några timmar nu.

 

[cat80]

Tack Cecilia för all tålmodig hjälp. Nu är det åter vardag, de flesta är på sina jobb, inte jag eftersom jag är pensionär.

 

Det verkar som om det återstår en del steg ytterligare att ta. Har du ork och intresse att ge mig en hint om dem.

 

Det senaste jag gjorde var, om jag minns rätt, att klistra in ett par loggar.

 

Mina vänligaste hälsningar

 

 

 

[cat80]

Så ser jag till min förvåning i användarinformationen att jag skulle vara 29 år. Hur den uppgiften har kommet till förstår jag inte. Den är fel. Jag är betydligt äldre, ska försöka ändra.

 

 

[Cecilia]

Du skulle få ut en logg från ComboFix och SDFix, se inläggen

19 oktober 2007 18:08

19 oktober 2007 18:38

19 oktober 2007 19:20

 

 

[cat80]

[log]Här resultatet av scanning med SDFix

 

 

SDFix: Version 1.109

 

Run by Torsten Johansson on 2007-10-19 at 19:57

 

Microsoft Windows XP [Version 5.1.2600]

 

Running From: C:\DOCUME~1\TORSTE~1\SKRIVB~1\SDFix

 

Safe Mode:

Checking Services:

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

No Trojan Files Found

 

 

 

 

Removing Temp Files...

 

ADS Check:

 

C:\WINDOWS

No streams found.

 

C:\WINDOWS\system32

No streams found.

 

C:\WINDOWS\system32\svchost.exe

No streams found.

 

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

 

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program\\Messenger\\msmsgs.exe"="C:\\Program\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"C:\\Program\\Java\\jre1.5.0_06\\bin\\javaw.exe"="C:\\Program\\Java\\jre1.5.0_06\\bin\\javaw.exe:*:Enabled:Java 2 Platform Standard Edition binary"

"C:\\Program\\Azureus\\Azureus.exe"="C:\\Program\\Azureus\\Azureus.exe:*:Enabled:Azureus"

"C:\\Program\\Logitech\\VideoCall\\VideoCall.exe"="C:\\Program\\Logitech\\VideoCall\\VideoCall.exe:*:Enabled:videocall.exe"

"C:\\Program\\MSN Messenger\\msncall.exe"="C:\\Program\\MSN Messenger\\msncall.exe:*:Enabled:Messenger 8.0 Beta (Phone)"

"C:\\Program\\Java\\jre1.5.0_08\\bin\\javaw.exe"="C:\\Program\\Java\\jre1.5.0_08\\bin\\javaw.exe:*:Enabled:Java 2 Platform Standard Edition binary"

"C:\\Program\\Grisoft\\AVG Free\\avginet.exe"="C:\\Program\\Grisoft\\AVG Free\\avginet.exe:*:Enabled:avginet.exe"

"C:\\Program\\Grisoft\\AVG Free\\avgemc.exe"="C:\\Program\\Grisoft\\AVG Free\\avgemc.exe:*:Enabled:avgemc.exe"

"C:\\Program\\Grisoft\\AVG Free\\avgamsvr.exe"="C:\\Program\\Grisoft\\AVG Free\\avgamsvr.exe:*:Enabled:avgamsvr.exe"

"C:\\Program\\Grisoft\\AVG Free\\avgcc.exe"="C:\\Program\\Grisoft\\AVG Free\\avgcc.exe:*:Enabled:avgcc.exe"

"C:\\Program\\FrostWire\\FrostWire.exe"="C:\\Program\\FrostWire\\FrostWire.exe:*:Enabled:LimeWire"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program\\MSN Messenger\\msnmsgr.exe"="C:\\Program\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program\\MSN Messenger\\livecall.exe"="C:\\Program\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Program\\Skype\\Phone\\Skype.exe"="C:\\Program\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program\\MSN Messenger\\msncall.exe"="C:\\Program\\MSN Messenger\\msncall.exe:*:Enabled:Messenger 8.0 Beta (Phone)"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"C:\\Program\\MSN Messenger\\msnmsgr.exe"="C:\\Program\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program\\MSN Messenger\\livecall.exe"="C:\\Program\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

Remaining Files:

---------------

 

 

Files with Hidden Attributes:

 

Wed 28 Dec 2005 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Wed 28 Dec 2005 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv14.bak"

Sat 31 Dec 2005 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv19.bak"

Sun 11 Mar 2007 27,136 ...H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\~WRL2793.tmp"

Sat 24 Mar 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Sat 11 Aug 2007 36,352 ...H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\Slask\~WRL0406.tmp"

Sat 11 Aug 2007 31,232 ...H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\Slask\~WRL0428.tmp"

Sat 11 Aug 2007 37,888 ...H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\Slask\~WRL1401.tmp"

Sat 11 Aug 2007 32,768 ...H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\Slask\~WRL2485.tmp"

Sat 11 Aug 2007 29,696 ...H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\Slask\~WRL2533.tmp"

Sat 11 Aug 2007 36,352 ...H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\Slask\~WRL3321.tmp"

Sat 11 Aug 2007 34,304 ...H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\Slask\~WRL3995.tmp"

Fri 21 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8c92934954ba2c2f5e21d5b71de5f81b\BITB.tmp"

Thu 10 Feb 2005 782 A..H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\Min musik\S„kerhetskopia f”r licens\drmv1lic.bak"

Thu 7 Jun 2007 39,424 A..H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\TomTom\Slask\~WRL0002.tmp"

 

Finished! [/log]

 

 

[cat80]

Här är scanresultat SDFix

 

[log]

SDFix: Version 1.109

 

Run by Torsten Johansson on 2007-10-22 at 14:17

 

Microsoft Windows XP [Version 5.1.2600]

 

Running From: C:\DOCUME~1\TORSTE~1\SKRIVB~1\SDFix

 

Safe Mode:

Checking Services:

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

No Trojan Files Found

 

 

 

 

Removing Temp Files...

 

ADS Check:

 

C:\WINDOWS

No streams found.

 

C:\WINDOWS\system32

No streams found.

 

C:\WINDOWS\system32\svchost.exe

No streams found.

 

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

 

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

 

Remaining Files:

---------------

 

 

Files with Hidden Attributes:

 

Wed 28 Dec 2005 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Wed 28 Dec 2005 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv14.bak"

Sat 31 Dec 2005 401 ..SH. --- "C:\Documents and Settings\All Users\DRM\DRMv19.bak"

Sun 11 Mar 2007 27,136 ...H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\~WRL2793.tmp"

Sat 24 Mar 2007 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Sat 11 Aug 2007 36,352 ...H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\Slask\~WRL0406.tmp"

Sat 11 Aug 2007 31,232 ...H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\Slask\~WRL0428.tmp"

Sat 11 Aug 2007 37,888 ...H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\Slask\~WRL1401.tmp"

Sat 11 Aug 2007 32,768 ...H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\Slask\~WRL2485.tmp"

Sat 11 Aug 2007 29,696 ...H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\Slask\~WRL2533.tmp"

Sat 11 Aug 2007 36,352 ...H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\Slask\~WRL3321.tmp"

Sat 11 Aug 2007 34,304 ...H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\Slask\~WRL3995.tmp"

Fri 21 Sep 2007 0 A..H. --- "C:\WINDOWS\SoftwareDistribution\Download\8c92934954ba2c2f5e21d5b71de5f81b\BITB.tmp"

Thu 10 Feb 2005 782 A..H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\Min musik\S„kerhetskopia f”r licens\drmv1lic.bak"

Thu 7 Jun 2007 39,424 A..H. --- "C:\Documents and Settings\Torsten Johansson\Mina dokument\TomTom\Slask\~WRL0002.tmp"

 

Finished!

 

[/log]

 

Ändrat LOG-taggar

Cecilia - Moderator för Virus - Antivirus

 

[inlägget ändrat 2007-10-22 14:59:55 av Cecilia]

[Cecilia]

Hur går det med ComboFix-loggen?

 

[cat80]

Har ingen logg kommit fram? Ska jag försöka en gång till?

 

 

[Cecilia]

Du har klistrat in två stycken SDFix-loggar mellan 2 och halv 3 men ingen ComboFix-logg.

 

[cat80]

På mitt skrivbord har jag just nu dels SDFix och dels Combofix.exe. Vilken skall jag klicka på för att sätta igång den process som producerar vad jag ska klistra in på Eforum. Jag utgår ifrån att processen ska utföras i Felsäkert läge.

 

 

[Cecilia]

Du skrev förut att AVG reagerade på något som hade med ComboFix att göra, så du kanske behöver ladda ner programmet igen och så får du se till att AVG inte tar bort någon av ComboFix-filerna.

 

Ladda ner ComboFix:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Kör den i _normalt_ läge och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på Combofix-fönstret med musen när den körs annars kan den hänga upp sig.