! awtqo.dll Har lämnat en lort efter sig !

[calthabis]

mitt Antivir sparkade bakut igår över filen awtqo.dll som jag nu verkar ha fått bort men datorn har blivit seg.

 

Det tar upp till en sekund för menyn när jag högerklickar en fil m.m

 

vart ska jag börja? :S

 

[Zipp.]

 

[log]Ladda ner HijackThis.exe och scanna datorn med det.

Skicka hit loggen sen så tar vi en titt hur den ser ut.

 

http://download.bleepingcomputer.com/hijackthis/HiJackThis.exe

 

byt namn på HijackThis.exe till rensa.exe och sen scanna loggen.

 

 

I ditt svar bifogar du HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen[/log]

 

[calthabis]

I samband med detta installerade jag SUPERAntiSpyware men avinstallerade det för antivir reagerade Men nu går det inte att ta bort ur StartUp. det spelar väl ingen roll eftersom exe VERKAR vara borta men det är ändå störande.

 

awtqo.dll eller något annat verkade sabba alla program som låg i startup, bl.a antivi autostart och mina program för mus och tangentbort så jag fick installera om det

 

[log]Logfile of HijackThis v1.99.1

Scan saved at 23:02:57, on 2008-01-06

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Lavasoft\Ad-Aware 2007\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

d:\Program\NetLimiter 2 Pro\nlsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

d:\Program\NetLimiter 2 Pro\NLClient.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program\Microsoft IntelliType Pro\type32.exe

C:\Program\Microsoft IntelliPoint\point32.exe

C:\WINDOWS\system32\wuauclt.exe

D:\Program\DAEMON Tools\daemon.exe

D:\Program\Rainlendar2\Rainlendar2.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Greatis\REGRUN~1\WatchDog.exe

C:\Program\Personal\bin\Personal.exe

D:\Program\Rainmeter\Rainmeter.exe

C:\Program\MSN Messenger\MsnMsgr.Exe

C:\Program\MSN Messenger\usnsvc.exe

C:\Program\Avira\AntiVir PersonalEdition Classic\avguard.exe

C:\Program\Avira\AntiVir PersonalEdition Classic\avgnt.exe

C:\Program\Avira\AntiVir PersonalEdition Classic\sched.exe

D:\Program\Winamp\winamp.exe

C:\WINDOWS\system32\wuauclt.exe

C:\PROGRAM\MOZILL~1\FIREFOX.EXE

C:\HIJACK\rensa.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - D:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [avgnt] "C:\Program\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [type32] "C:\Program\Microsoft IntelliType Pro\type32.exe"

O4 - HKLM\..\Run: [intelliPoint] "C:\Program\Microsoft IntelliPoint\point32.exe"

O4 - HKLM\..\Run: [RegRun WinBait] C:\WINDOWS\winbait.exe

O4 - HKLM\..\Run: [@RegRunOnSecure] C:\Program\Greatis\REGRUN~1\OnSecure.exe

O4 - HKLM\..\Run: [AAWTray] C:\Program\Lavasoft\Ad-Aware 2007\AAWTray.exe

O4 - HKCU\..\Run: [DAEMON Tools] "d:\Program\DAEMON Tools\daemon.exe" -lang 1033

O4 - HKCU\..\Run: [Rainlendar2] D:\Program\Rainlendar2\Rainlendar2.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [Regrun2] C:\Program\Greatis\REGRUN~1\WatchDog.exe

O4 - Startup: Genväg till Rätter att välja på.lnk = ?

O4 - Startup: Rainmeter.lnk = D:\Program\Rainmeter\Rainmeter.exe

O4 - Global Startup: Personal.lnk = C:\Program\Personal\bin\Personal.exe

O8 - Extra context menu item: Download with GetRight - D:\Program\GetRight\GRdownload.htm

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://D:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Open with GetRight Browser - D:\Program\GetRight\GRbrowse.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_06\bin\ssv.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Program\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab

O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: ms-help - {314111C7-A502-11D2-BBCA-00C04F8EC294} - C:\Program\Delade filer\Microsoft Shared\Help\hxds.dll

O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program\DELADE~1\Skype\SKYPE4~1.DLL

O18 - Filter hijack: text/xml - {807563E5-5146-11D5-A672-00B0D022E945} - C:\Program\DELADE~1\MICROS~1\OFFICE12\MSOXMLMF.DLL

O20 - Winlogon Notify: !SASWinLogon - C:\Program\SUPERAntiSpyware\SASWINLO.dll (file missing)

O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll

O23 - Service: Ad-Aware 2007 Service (aawservice) - Lavasoft AB - C:\Program\Lavasoft\Ad-Aware 2007\aawservice.exe

O23 - Service: Adobe LM Service - Unknown owner - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program\Avira\AntiVir PersonalEdition Classic\sched.exe

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program\Avira\AntiVir PersonalEdition Classic\avguard.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: NetLimiter (nlsvc) - Locktime Software - d:\Program\NetLimiter 2 Pro\nlsvc.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

[/log]

 

[Zipp.]

 

[log]> awtqo.dll eller något annat verkade sabba alla program som låg i startup <

 

Visst nyaste version av Vundo infekterar autostart program.

 

 

Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Dra ur internetanslutningen och stäng av antivirusprogram och antispionprogram.

Kör ComboFix och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på Combofix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, klistra in den här. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera

eller starta om datorn. [/log]

 

[calthabis]

Jag Körde ComboFix.exe och den startade om datorn efter ett tag Men något Logg hittar jag inte. Jag fick 2 nya mappar på C:, ComboFix, QooBox. ligger den i någon av dem?

 

[Zipp.]

 

Här ska den vara C:\ComboFix.txt

 

[calthabis]

Denna låg i C:\ComboFix

 

[log]ComboFix 08-01-04.1 - Calthabis 2008-01-06 23:50:04.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1053.18.537 [GMT 1:00]

Running from: C:\Documents and Settings\Calthabis\Skrivbord\ComboFix.exe

* Created a new restore point

.

 

[/log]

 

[Zipp.]

 

Kopiera hela loggen.

 

[calthabis]

Det var allt...

 

 

[Zipp.]

 

Testa att köra den en gång till.

 

[calthabis]

Ja se nu händer det grejer!

 

[log]ComboFix 08-01-04.1 - Calthabis 2008-01-07 0:18:22.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1053.18.674 [GMT 1:00]

Running from: C:\Documents and Settings\Calthabis\Skrivbord\ComboFix.exe

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

.

---- Previous Run -------

.

C:\WINDOWS\system32\oqtwa.ini

C:\WINDOWS\system32\oqtwa.ini2

C:\WINDOWS\system32\tmp44.tmp

 

.

((((((((((((((((((((((((( Files Created from 2007-12-06 to 2008-01-06 )))))))))))))))))))))))))))))))

.

 

2008-01-06 23:48 . 2000-08-31 08:00 51,200 --a------ C:\WINDOWS\NirCmd.exe

2008-01-06 21:22 . 2008-01-06 21:22 <KAT> d-------- C:\Program\Avira

2008-01-06 21:22 . 2008-01-06 21:22 <KAT> d-------- C:\Documents and Settings\All Users\Application Data\Avira

2008-01-06 15:24 . 2008-01-06 15:24 <KAT> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-01-06 15:10 . 2008-01-06 15:10 <KAT> d-------- C:\Program\Lavasoft

2008-01-06 13:58 . 2008-01-06 13:56 102,664 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys

2008-01-06 13:56 . 2008-01-06 14:20 <KAT> d-------- C:\Documents and Settings\Calthabis\.housecall6.6

2008-01-06 13:50 . 2008-01-06 13:50 <KAT> d-------- C:\WINDOWS\system32\ActiveScan

2008-01-06 13:50 . 2008-01-06 15:22 30,590 --a------ C:\WINDOWS\system32\pavas.ico

2008-01-06 13:50 . 2008-01-06 15:22 2,550 --a------ C:\WINDOWS\system32\Uninstall.ico

2008-01-06 13:50 . 2008-01-06 15:22 1,406 --a------ C:\WINDOWS\system32\Help.ico

2008-01-06 11:04 . 2008-01-06 11:04 <KAT> d-------- C:\Program\Greatis

2008-01-06 11:04 . 2008-01-06 11:04 31,138 --a------ C:\WINDOWS\system32\drivers\Partizan.sys

2008-01-06 11:04 . 2008-01-07 00:16 25,773 --a------ C:\WINDOWS\system32\drivers\regguard.sys

2008-01-06 11:04 . 2008-01-06 11:04 25,600 --a------ C:\WINDOWS\system32\Partizan.exe

2008-01-06 11:04 . C:\WINDOWS\(2) C:\ComboFix\winstart.bat

2008-01-06 00:46 . 2008-01-06 11:56 <KAT> d-------- C:\Program\Microsoft IntelliType Pro

2008-01-06 00:46 . 2008-01-06 11:56 <KAT> d-------- C:\Program\Microsoft IntelliPoint

2008-01-06 00:36 . 2008-01-06 23:02 <KAT> d-------- C:\HIJACK

2008-01-06 00:25 . 2008-01-06 00:25 <KAT> d-------- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com

2008-01-06 00:22 . 2008-01-06 00:22 338,432 --a------ C:\WINDOWS\system32\AWTQO.DLL.del

2008-01-05 23:30 . 2008-01-05 23:30 <KAT> d-------- C:\Documents and Settings\Calthabis\Application Data\SUPERAntiSpyware.com

2008-01-05 23:08 . 2008-01-05 23:08 38,400 --a------ C:\WINDOWS\system32\SSQPMKL.DLL.del

2008-01-05 18:45 . 2008-01-07 00:10 <KAT> d-------- C:\Downloads

2008-01-02 18:51 . 2008-01-06 23:07 <KAT> d-------- C:\Ny mapp

2008-01-02 12:11 . 2008-01-02 19:06 54,156 --ah----- C:\WINDOWS\QTFont.qfn

2008-01-02 12:11 . 2008-01-02 12:11 1,409 --a------ C:\WINDOWS\QTFont.for

2007-12-16 16:13 . 2007-12-16 16:13 0 --a------ C:\WINDOWS\PowerReg.dat

2007-12-16 12:10 . 2007-12-16 12:10 <KAT> d-------- C:\Documents and Settings\Calthabis\Application Data\Sierra Entertainment

2007-12-10 11:26 . 2007-12-10 11:26 <KAT> d-------- C:\Documents and Settings\Calthabis\Application Data\Atari

2007-12-10 11:25 . 2007-12-10 11:25 <KAT> d-------- C:\Program\Delade filer\PocketSoft

2007-12-10 11:25 . 2002-02-27 18:50 197,120 --a------ C:\WINDOWS\patchw32.dll

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-06 14:26 --------- d-----w C:\Documents and Settings\Calthabis\Application Data\uTorrent

2008-01-06 14:23 --------- d-----w C:\Program\Delade filer\Wise Installation Wizard

2007-12-16 15:11 --------- d--h--w C:\Program\InstallShield Installation Information

2007-12-16 11:07 --------- d-----w C:\Program\AGEIA Technologies

2007-12-05 10:05 41,360 ----a-w C:\Documents and Settings\Calthabis\Application Data\GDIPFONTCACHEV1.DAT

2007-11-28 18:21 --------- d--h--w C:\Program\Zero G Registry

2007-11-28 18:21 --------- d-----w C:\Program\Poseidon For UML PE 6.0.1

2007-11-20 10:52 --------- d-----w C:\Documents and Settings\All Users\Application Data\SimCity Societies

2007-11-13 10:25 20,480 ----a-w C:\WINDOWS\system32\drivers\secdrv.sys

2007-11-12 21:31 --------- d-----w C:\Documents and Settings\All Users\Application Data\Microsoft Help

2007-11-07 15:57 --------- d-----w C:\Documents and Settings\Calthabis\Application Data\mIRC

2007-10-29 22:45 1,289,728 ------w C:\WINDOWS\system32\quartz.dll

2007-10-25 09:00 230,912 ----a-w C:\WINDOWS\system32\wmasf.dll

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RTHDCPL"="RTHDCPL.EXE" [2006-05-04 14:59 16206848 C:\WINDOWS\RTHDCPL.exe]

"avgnt"="C:\Program\AntiVir PersonalEdition Classic\avgnt.exe" [ ]

"NvCplDaemon"="C:\WINDOWS\system32\NvCpl.dll" [2007-10-04 17:14 8491008]

"nwiz"="nwiz.exe" [2007-10-04 17:14 1626112 C:\WINDOWS\system32\nwiz.exe]

"NvMediaCenter"="C:\WINDOWS\system32\NvMcTray.dll" [2007-10-04 17:14 81920]

"type32"="C:\Program\Microsoft IntelliType Pro\type32.exe" [2004-06-03 09:51 172032]

"IntelliPoint"="C:\Program\Microsoft IntelliPoint\point32.exe" [2004-06-03 09:50 204800]

"RegRun WinBait"="C:\WINDOWS\winbait.exe" [2000-12-12 19:56 16384]

"@RegRunOnSecure"="C:\Program\Greatis\REGRUN~1\OnSecure.exe" [2003-01-22 11:03 57856]

"AAWTray"="C:\Program\Lavasoft\Ad-Aware 2007\AAWTray.exe" [2007-08-08 15:53 88024]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-04 00:34 15360]

 

C:\Documents and Settings\Calthabis\Start-meny\Program\AutostartRainmeter.lnk - D:\Program\Rainmeter\Rainmeter.exe [2006-01-21 12:41:56]

 

C:\Documents and Settings\All Users\Start-meny\Program\AutostartPersonal.lnk - C:\Program\Personal\bin\Personal.exe [2007-06-03 12:03:58]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

C:\Program\SUPERAntiSpyware\SASWINLO.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Acrobat Assistant.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\Acrobat Assistant.lnk

backup=C:\WINDOWS\pss\Acrobat Assistant.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Adobe Gamma Loader.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\Adobe Gamma Loader.lnk

backup=C:\WINDOWS\pss\Adobe Gamma Loader.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Adobe Reader Speed Launch.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\Adobe Reader Speed Launch.lnk

backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Microsoft Office.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\Microsoft Office.lnk

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Påminnelser för Kalendern i Microsoft Works.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\Påminnelser för Kalendern i Microsoft Works.lnk

backup=C:\WINDOWS\pss\Påminnelser för Kalendern i Microsoft Works.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Calthabis^Start-meny^Program^Autostart^Genväg till Rätter att välja på.lnk]

path=C:\Documents and Settings\Calthabis\Start-meny\Program\Autostart\Genväg till Rätter att välja på.lnk

backup=C:\WINDOWS\pss\Genväg till Rätter att välja på.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\@RegRunOnSecure]

2003-01-22 11:03 57856 --a------ C:\Program\Greatis\REGRUN~1\OnSecure.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AAWTray]

2007-08-08 15:53 88024 --a------ C:\Program\Lavasoft\Ad-Aware 2007\AAWTray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Active Desktop Calendar]

D:\Program\Active Desktop Calendar\ADC.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

ALCMTR.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Anti-Blaxx Manager]

2005-10-08 20:08 212992 --a------ d:\Program\Anti-Blaxx\Anti-Blaxx.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

C:\Program\AntiVir PersonalEdition Classic\avgnt.exe /min

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Babylon Client]

d:\Program\Babylon\Babylon.exe -AutoStart

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]

C:\WINDOWS\system32\awtqo.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Portfolio]

D:\Program\Microsoft Works\WksSb.exe /AllUsers

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Microsoft Works Update Detection]

2000-08-30 15:17 28739 --a------ D:\Program\Microsoft Works\WkDetect.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

C:\Program\MSN Messenger\MsnMsgr.Exe /background

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 09:50 155648 --a------ C:\WINDOWS\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

nwiz.exe /install

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]

2006-07-29 12:07 188416 --a------ d:\Program\PowerISO\PWRISOVM.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

d:\Program\QuickTime\qttask.exe -atboottime

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Rainlendar2]

2007-07-24 08:12 1298432 --a------ d:\Program\Rainlendar2\Rainlendar2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegRun WinBait]

2000-12-12 19:56 16384 --a------ C:\WINDOWS\winbait.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Skype]

C:\Program\Skype\Phone\Skype.exe /nosplash /minimized

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SkyTel]

SkyTel.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2005-11-10 12:03 36975 --a------ C:\Program\Java\jre1.5.0_06\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]

C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WorksFUD]

2000-07-12 11:59 24576 --a------ D:\Program\Microsoft Works\wkfud.exe

 

R0 Partizan;Partizan;C:\WINDOWS\system32\drivers\Partizan.sys [2008-01-06 11:04]

R0 UGURU;UGURU;C:\WINDOWS\system32\drivers\uGuru.sys [2006-05-03 12:46]

R1 nltdi;nltdi;C:\WINDOWS\system32\drivers\nltdi.sys [2007-04-23 12:03]

R1 SSHDRV76;SSHDRV76;C:\WINDOWS\system32\drivers\SSHDRV76.sys [2007-07-17 14:09]

R3 RegGuard;RegGuard;C:\WINDOWS\system32\Drivers\regguard.sys [2008-01-07 00:16]

S3 k510bus;Sony Ericsson K510 Driver driver (WDM);C:\WINDOWS\system32\DRIVERS\k510bus.sys [2006-02-17 20:34]

S3 k510mgmt;Sony Ericsson K510 USB WMC Device Management Drivers (WDM);C:\WINDOWS\system32\DRIVERS\k510mgmt.sys [2006-02-17 20:34]

S3 Memctl;Memctl;C:\Program\ABIT\FlashMenu\Memctl.sys [2001-11-29 18:49]

S4 msvsmon80;Visual Studio 2005 Remote Debugger;"D:\Program\Microsoft Visual Studio 8\Common7\IDE\Remote Debugger\x86\msvsmon.exe" [2005-09-23 07:01]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{b6ab2f5a-9825-11dc-abb0-00508d93216f}]

\Shell\AutoRun\command - G:\Telenor.exe

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-07 00:20:24

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

Completion time: 2008-01-07 0:21:00

ComboFix-quarantined-files.txt 2008-01-06 23:20:58

.

2008-01-06 13:27:21 --- E O F ---

[/log]

 

[Zipp.]

 

[log]Scanna med Hijack bocka i följande rader stäng Web-läsaren och klicka Fix checked

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe

 

Ladda ner RenV till Skrivbordet.

http://download.bleepingcomputer.com/sUBs/Beta/RenV.exe

Dubbelklicka på filen för att köra den. Den kommer att söka efter programfiler som har ändrats (skadats) av infektionen och sedan kommer det fram en logg.

Klistra in loggen här.[/log]

 

[calthabis]

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe

 

:fanns faktiskt inte i Hijack

 

men jag FIXade,

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

 

Fast den är kvar om jag tar scan igen...

 

 

[log]

Ran on 2008-01-07 -  0:34:02,48

Entries:                0  (0)
Directories:            0  Files:             0
Bytes:                  0  Blocks:            0

[/log]

 

[Zipp.]

 

Kanske Ad-Aware 2007 hindrar att raden försvinner stäng av den före Fix.

Men den är en tom rad inget att bry sig om .

Enligt loggar ska det vara ok.

 

[calthabis]

Ad Aware är avstängt...

Finns det inget att göra då?

att öppna fönster tar också runt 1 sekund Och startMenyn är elakt långsam...

 

men program i sig är inte så långsamma. Känns som det är nåt med windows. med Explorer lr nåt

[inlägget ändrat 2008-01-07 00:43:59 av calthabis]

[Zipp.]

 

Du kan Fixa raden i felsäkert läge.

 

> att öppna fönster tar också runt 1 sekund Och startMenyn är elakt långsam <

 

Vet inte varför men testa att stänga av via msconfig > autostart alla som inte är viktiga för systemet.

 

[calthabis]

men program i sig är inte så långsamma. Känns som det är nåt med windows. med Explorer lr nåt

 

 

Ska jag fråga under ett annat forum och inte, säkerthet-Virus tycker du??

 

[Zipp.]

 

Denna kan du ta bort följ sökvägen i registret

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Load]

 

och ta bort Load mappen.

 

> fråga under ett annat forum <

 

Det kan du pröva för att jag vet inte.

 

[Cecilia]

Partizan;Partizan;C:\WINDOWS\system32\drivers\Partizan.sys [2008-01-06 11:04]

Är ju en ny drivrutin. Kanske den stör? Verkar vara någon rootkit-detektor, men verkar ju onödigt att ha något sådant körande hela tiden.

 

RegGuard;RegGuard;C:\WINDOWS\system32\Drivers\regguard.sys [2008-01-07 00:16]

Ska väl skydda registret mot ändringar, så den kan ju tänkas förhindra ändringar med HijackThis.

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2005-11-10 12:03 36975 --a------ C:\Program\Java\jre1.5.0_06\bin\jusched.exe

Gammal Java-version med säkerhetshål. Avinstalleras lämpligen.