Just nu i M3-nätverket
Jump to content

Windows update problem


Farbror Blå

Recommended Posts

Jag lyckades scanna Fixwareout med internetkabeln utdragen! Här är loggen! Återkommer med kommentarer och frågor som jag har +ny SUPERAntiSpyware-logg.

[log]Username "Christian" - 2008-01-20 15:05:26 [Fixwareout edited 9/01/2007]

 

~~~~~ Prerun check

 

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

"nameserver"="85.255.115.2 85.255.112.117" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{15E6D631-4931-40D6-B783-7B06B61214B0}

"nameserver"="85.255.115.2,85.255.112.117" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{4F2432FD-F6B5-4572-A104-665E3ABB8459}

"nameserver"="85.255.115.2,85.255.112.117" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{C4A70515-EF57-49E0-9045-67D9A83FFA1A}

"nameserver"="85.255.115.2,85.255.112.117" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{15E6D631-4931-40D6-B783-7B06B61214B0}

"DhcpNameServer"="85.255.115.2,85.255.112.117" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{4F2432FD-F6B5-4572-A104-665E3ABB8459}

"DhcpNameServer"="85.255.115.2,85.255.112.117" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{C4A70515-EF57-49E0-9045-67D9A83FFA1A}

"DhcpNameServer"="85.255.115.2,85.255.112.117" <Value cleared.

HKEY_LOCAL_MACHINE\system\currentcontrolset\services\tcpip\parameters\interfaces\{CC4E78F4-602E-4845-9E72-95A6D09AB67A}

"DhcpNameServer"="85.255.115.2,85.255.112.117" <Value cleared.

 

DNS-matcharens cacheminne har rensats.

 

 

System was rebooted successfully.

 

~~~~~ Postrun check

HKLM\SOFTWARE\~\Winlogon\ "system"=""

....

....

~~~~~ Misc files.

....

~~~~~ Checking for older varients.

....

 

~~~~~ Current runs (hklm hkcu "run" Keys Only)

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\run]

"IgfxTray"="C:\\WINDOWS\\System32\\igfxtray.exe"

"HotKeysCmds"="C:\\WINDOWS\\System32\\hkcmd.exe"

"UpdateManager"="\"C:\\Program\\Delade filer\\Sonic\\Update Manager\\sgtray.exe\" /r"

"SynTPLpr"="C:\\Program\\Synaptics\\SynTP\\SynTPLpr.exe"

"SynTPEnh"="C:\\Program\\Synaptics\\SynTP\\SynTPEnh.exe"

"CamMonitor"="C:\\Program\\HP\\Digital Imaging\\Unload\\hpqcmon.exe"

"Share-to-Web Namespace Daemon"="C:\\Program\\HP\\HP Share-to-Web\\hpgs2wnd.exe"

"Cpqset"="C:\\Program\\HPQ\\Default Settings\\cpqset.exe"

"eabconfg.cpl"="C:\\Program\\HPQ\\Quick Launch Buttons\\EabServr.exe /Start"

"HP Component Manager"="\"C:\\Program\\HP\\hpcoretech\\hpcmpmgr.exe\""

"avast!"="C:\\Program\\ALWILS~1\\Avast4\\ashDisp.exe"

"HP Software Update"="C:\\Program\\HP\\HP Software Update\\HPWuSchd2.exe"

"UnlockerAssistant"="\"C:\\Program\\Unlocker\\UnlockerAssistant.exe\""

"NapsterShell"="C:\\Program\\Napster\\napster.exe /systray"

"SunJavaUpdateSched"="\"C:\\Program\\Java\\jre1.6.0_03\\bin\\jusched.exe\""

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\\WINDOWS\\System32\\ctfmon.exe"

"swg"="C:\\Program\\Google\\GoogleToolbarNotifier\\GoogleToolbarNotifier.exe"

"SUPERAntiSpyware"="C:\\Program\\SUPERAntiSpyware\\SUPERAntiSpyware.exe"

"RecordNow!"=""

....

Hosts file was reset, If you use a custom hosts file please replace it...

~~~~~ End report ~~~~~[/log]

 

Link to comment
Share on other sites

  • Replies 100
  • Created
  • Last Reply

Några fundringar och kommentarer:

[log]1.Windows startar upp fruktansvärt långsamt från läget med loggan och "Windows Startas" till VÄLKOMMEN-skylten dyker upp? Vad beror det på?

2.När Windows väl är klart att användas tar det otrolig tid att starta explorer och få upp en hemsida, tydligen på grund av att SUPERAntiSpyware liggr och väntar och ska först ploppa upp med en stor logga. Ska det behöva vara så?

3.När jag ska skanna Combofix så kommer det upp ett meddelande "An attempt has been made to switch your default from Google". Låter inte så bra, va?

4.Det förekommer fortfarande något mysko mellan Kontrollpanelen och internet! När jag går in i Kontrollpanelen kommer felmeddelande upp att Internet måste avslutas.

5.Alla "dina" antispyware-program, oavsett om det är programfiler, exe-filer eller genvägar har jag lagt nu i en gemensam mapp på skrivbordet. Är det ok?

6.Jag körde i alla fall skanning i Avast i natt. Resultat: inga filer är infekterade.[/log]

 

Link to comment
Share on other sites

Det var ju jättebra att FixWareout fungerade till slut. Då vill jag se en HijackThis-logg.

 

1. Vet ej

 

2. Man ska någonstans i SUPERAntiSpyware kunna stänga av den automatiska starten.

 

3. Från vilket program? ComboFix är bra i alla fall.

 

4. Det var tråkigt.

 

5. Hoppas att det går bra.

 

6. Bra

 

Link to comment
Share on other sites

 

Här kommer Combofix-loggen!

[log]ComboFix 08-01-20.1 - Christian 2008-01-20 15:39:08.3 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.1.1252.1.1053.18.181 [GMT 1:00]

Running from: C:\Documents and Settings\Christian\Skrivbord\ComboFix.exe

 

WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !!

.

 

((((((((((((((((((((((((( Files Created from 2007-12-20 to 2008-01-20 )))))))))))))))))))))))))))))))

.

 

2008-01-20 03:29 . <KAT> C:\Documents and Settings\Administratör\Application Data\SUPERAntiSpyware.com

2008-01-19 19:07 . 2007-09-05 23:22 289,144 --a------ C:\WINDOWS\system32\VCCLSID.exe

2008-01-19 19:07 . 2007-12-20 23:11 81,920 --a------ C:\WINDOWS\system32\IEDFix.exe

2008-01-19 19:07 . 2004-07-31 17:50 51,200 --a------ C:\WINDOWS\system32\dumphive.exe

2008-01-19 19:07 . 2007-10-03 23:36 25,600 --a------ C:\WINDOWS\system32\WS2Fix.exe

2008-01-19 01:42 . 2008-01-19 01:42 <KAT> d----c--- C:\Documents and Settings\All Users\Application Data\SUPERAntiSpyware.com

2008-01-19 01:41 . 2008-01-20 15:01 <KAT> d-------- C:\Program\SUPERAntiSpyware

2008-01-19 01:41 . 2008-01-19 01:41 <KAT> d----c--- C:\Documents and Settings\Christian\Application Data\SUPERAntiSpyware.com

2008-01-18 23:43 . 2008-01-18 23:43 <KAT> d----c--- C:\Deckard

2008-01-18 21:07 . 2008-01-18 21:07 <KAT> d-------- C:\Program\Delade filer\Wise Installation Wizard

2008-01-18 19:09 . 2003-04-24 20:00 4,186,256 --------- C:\WINDOWS\system32\dllcache\luna.mst

2008-01-18 19:06 . 2005-03-02 19:19 2,041,600 --a------ C:\WINDOWS\system32\ntoskrnl.exe

2008-01-18 17:27 . 2004-08-02 13:20 7,208 --------- C:\WINDOWS\system32\secupd.sig

2008-01-18 17:27 . 2004-08-02 13:20 4,569 --------- C:\WINDOWS\system32\secupd.dat

2008-01-18 17:25 . 2004-07-17 19:40 19,528 --a------ C:\WINDOWS\002458_.tmp

2008-01-18 16:03 . 2004-03-30 02:52 40,960 -----c--- C:\WINDOWS\system32\dllcache\evtgprov.dll

2008-01-18 14:15 . <KAT> C:\Documents and Settings\Administratör\Start-meny

2008-01-18 14:15 . <KAT> C:\Documents and Settings\Administratör\Skrivbord

2008-01-18 14:15 . <KAT> C:\Documents and Settings\Administratör\Skrivare

2008-01-18 14:15 . <KAT> C:\Documents and Settings\Administratör\N„tverket

2008-01-18 14:15 . <KAT> C:\Documents and Settings\Administratör\Mina dokument

2008-01-18 14:15 . <KAT> C:\Documents and Settings\Administratör\Mallar

2008-01-18 14:15 . <KAT> C:\Documents and Settings\Administratör\Lokala inst„llningar

2008-01-18 14:15 . <KAT> C:\Documents and Settings\Administratör\Favoriter

2008-01-18 14:15 . <KAT> C:\Documents and Settings\Administratör\Application Data\™verf”ringsmapp f”r HP Share-to-Web

2008-01-18 14:15 . <KAT> C:\Documents and Settings\Administratör\Application Data\Symantec

2008-01-18 14:15 . <KAT> C:\Documents and Settings\Administratör\Application Data\Sun

2008-01-18 14:15 . <KAT> C:\Documents and Settings\Administratör\Application Data\Sonic

2008-01-18 14:15 . <KAT> C:\Documents and Settings\Administratör\Application Data\Microsoft

2008-01-18 14:15 . <KAT> C:\Documents and Settings\Administratör\Application Data\Identities

2008-01-17 17:07 . 2007-07-30 19:19 216,408 --a------ C:\WINDOWS\system32\wuaucpl.cpl

2008-01-17 16:38 . 2003-04-24 20:00 1,875,968 --a--c--- C:\WINDOWS\system32\dllcache\msir3jp.lex

2008-01-17 16:37 . 2003-04-24 20:00 13,463,552 --a--c--- C:\WINDOWS\system32\dllcache\hwxjpn.dll

2008-01-17 16:36 . 2001-09-06 20:33 2,134,528 --a--c--- C:\WINDOWS\system32\dllcache\EXCH_smtpsnap.dll

2008-01-17 16:35 . 2007-06-26 07:10 1,104,896 --a--c--- C:\WINDOWS\system32\dllcache\msxml3.dll

2008-01-17 16:33 . 2003-10-30 09:48 159,744 --a------ C:\WINDOWS\system32\igfxres.dll

2008-01-17 16:32 . 2008-01-17 16:32 488 -rah----- C:\WINDOWS\system32\logonui.exe.manifest

2008-01-17 16:31 . 2003-04-24 20:00 73,728 --a--c--- C:\WINDOWS\system32\dllcache\icwtutor.exe

2008-01-17 16:31 . 2003-04-24 20:00 61,440 --a--c--- C:\WINDOWS\system32\dllcache\icwres.dll

2008-01-17 16:31 . 2003-04-24 20:00 40,960 --a--c--- C:\WINDOWS\system32\dllcache\trialoc.dll

2008-01-17 16:31 . 2003-04-24 20:00 16,384 --a--c--- C:\WINDOWS\system32\dllcache\isignup.exe

2008-01-17 16:31 . 2008-01-17 16:31 749 -rah----- C:\WINDOWS\WindowsShell.Manifest

2008-01-17 16:31 . 2008-01-17 16:31 749 -rah----- C:\WINDOWS\system32\wuaucpl.cpl.manifest

2008-01-17 16:31 . 2008-01-17 16:31 749 -rah----- C:\WINDOWS\system32\sapi.cpl.manifest

2008-01-17 16:31 . 2008-01-17 16:31 749 -rah----- C:\WINDOWS\system32\ncpa.cpl.manifest

2008-01-17 16:29 . 2007-07-30 19:19 1,712,984 --a------ C:\WINDOWS\system32\wuaueng.dll

2008-01-17 16:29 . 2007-07-30 19:19 1,712,984 --a--c--- C:\WINDOWS\system32\dllcache\wuaueng.dll

2008-01-17 16:29 . 2007-07-30 19:19 53,080 --a------ C:\WINDOWS\system32\wuauclt.exe

2008-01-17 16:29 . 2007-07-30 19:19 53,080 --a--c--- C:\WINDOWS\system32\dllcache\wuauclt.exe

2008-01-17 16:18 . 2003-04-24 20:00 24,661 --a------ C:\WINDOWS\system32\spxcoins.dll

2008-01-17 16:18 . 2003-04-24 20:00 24,661 --a--c--- C:\WINDOWS\system32\dllcache\spxcoins.dll

2008-01-17 16:18 . 2003-04-24 20:00 13,312 --a------ C:\WINDOWS\system32\irclass.dll

2008-01-17 16:18 . 2003-04-24 20:00 13,312 --a--c--- C:\WINDOWS\system32\dllcache\irclass.dll

2008-01-17 16:17 . 2003-04-24 20:00 1,086,182 -ra------ C:\WINDOWS\SET9C.tmp

2008-01-17 16:17 . 2003-04-24 20:00 808,234 --a--c--- C:\WINDOWS\system32\dllcache\NT5IIS.CAT

2008-01-17 16:17 . 2003-04-24 20:00 399,670 --a--c--- C:\WINDOWS\system32\dllcache\MAPIMIG.CAT

2008-01-17 16:17 . 2003-04-24 20:00 37,509 --a--c--- C:\WINDOWS\system32\dllcache\MW770.CAT

2008-01-17 16:17 . 2003-04-24 20:00 13,923 -ra------ C:\WINDOWS\SETA8.tmp

2008-01-17 16:17 . 2003-04-24 20:00 13,497 --a--c--- C:\WINDOWS\system32\dllcache\HPCRDP.CAT

2008-01-17 16:17 . 2003-04-24 20:00 8,599 --a--c--- C:\WINDOWS\system32\dllcache\IASNT4.CAT

2008-01-17 16:17 . 2002-05-28 18:54 7,029 --a--c--- C:\WINDOWS\system32\dllcache\OEMBIOS.CAT

2008-01-17 14:35 . 2005-11-29 16:27 364,544 --a--c--- C:\WINDOWS\system32\dllcache\npdsplay.dll

2008-01-17 14:33 . 2005-07-26 05:42 97,792 --a--c--- C:\WINDOWS\system32\dllcache\comrepl.dll

2008-01-17 14:33 . 2005-07-26 05:42 97,792 --a------ C:\WINDOWS\system32\comrepl.dll

2008-01-17 14:18 . 2003-04-24 20:00 1,086,182 -ra------ C:\WINDOWS\SET10D.tmp

2008-01-17 14:18 . 2003-04-24 20:00 13,923 -ra------ C:\WINDOWS\SET119.tmp

2008-01-17 12:20 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\002460_.tmp

2008-01-16 21:53 . 2008-01-16 21:53 <KAT> d-------- C:\Documents and Settings\Christian\Incomplete

2008-01-16 21:51 . 2008-01-16 21:51 <KAT> d-------- C:\WINDOWS\LastGood(2)

2008-01-16 14:53 . 2008-01-16 14:53 <KAT> d----c--- C:\Documents and Settings\All Users\Application Data\Office Genuine Advantage

2008-01-16 03:07 . 2004-07-17 11:40 19,528 --a------ C:\WINDOWS\000001_.tmp

2008-01-16 01:35 . 2008-01-16 01:35 <KAT> d----c--- C:\Documents and Settings\Christian\Application Data\Uniblue

2007-12-26 05:06 . 2007-12-26 05:10 <KAT> d----c--- C:\Documents and Settings\Christian\Application Data\Roxio

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-01-19 23:27 --------- d-----w C:\Program\Java

2008-01-18 12:02 7,757 ----a-w C:\Program\hijackthis.log

2008-01-16 21:05 --------- d-----w C:\Program\NCH Swift Sound

2008-01-16 20:55 --------- dc----w C:\Documents and Settings\Christian\Application Data\NCH Swift Sound

2008-01-16 20:54 --------- dc----w C:\Documents and Settings\All Users\Application Data\Napster

2008-01-16 20:54 --------- d--h--w C:\Program\InstallShield Installation Information

2008-01-13 23:40 --------- d-----w C:\Program\Soulseek

2007-12-13 08:18 --------- d-----w C:\Program\Windows Media Connect 2

2007-12-04 14:56 93,264 -c--a-w C:\WINDOWS\system32\drivers\aswmon.sys

2007-12-04 14:55 94,544 ----a-w C:\WINDOWS\system32\drivers\aswmon2.sys

2007-12-04 14:53 23,152 ----a-w C:\WINDOWS\system32\drivers\aswRdr.sys

2007-12-04 14:51 42,912 ----a-w C:\WINDOWS\system32\drivers\aswTdi.sys

2007-12-04 14:49 26,624 ----a-w C:\WINDOWS\system32\drivers\aavmker4.sys

2007-11-24 00:01 --------- d-----w C:\Program\NCH Software

2007-11-24 00:00 --------- dc----w C:\Documents and Settings\All Users\Application Data\NCH Swift Sound

2007-09-21 16:56 40,136 -c--a-w C:\Documents and Settings\Christian\Application Data\GDIPFONTCACHEV1.DAT

2006-03-26 22:02 6,159 -c--a-w C:\Program\README.txt

2006-03-26 22:02 4,600 -c--a-w C:\Program\History.txt

2006-03-26 22:02 2,833,921 -c--a-w C:\Program\EraserSetup.exe

2006-03-26 22:02 194 -c--a-w C:\Program\EraserSetup.asc

2006-03-26 22:02 18,351 -c--a-w C:\Program\COPYING.txt

2004-12-17 19:47 73,366 -c--a-w C:\Program\UNINST.ISU

1998-02-25 17:59 199,978 -c--a-w C:\Program\MAIN.BMP

2007-08-21 12:09 32,768 -csha-w C:\WINDOWS\system32\config\systemprofile\Lokala inställningar\Tidigare\History.IE5\MSHist012007082120070822\index.dat

.

 

((((((((((((((((((((((((((((( snapshot_2008-01-20_14.32.11.73 )))))))))))))))))))))))))))))))))))))))))

.

+ 2008-01-20 14:47:26 16,384 ----atw C:\WINDOWS\Temp\Perflib_Perfdata_52c.dat

.

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\ctfmon.exe" [2003-04-24 20:00 13312]

"swg"="C:\Program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-27 09:16 68856]

"SUPERAntiSpyware"="C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2007-06-21 14:06 1318912]

"RecordNow!"="" []

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="C:\WINDOWS\System32\igfxtray.exe" [2003-10-30 09:46 155648]

"HotKeysCmds"="C:\WINDOWS\System32\hkcmd.exe" [2003-10-30 09:33 118784]

"UpdateManager"="C:\Program\Delade filer\Sonic\Update Manager\sgtray.exe" [2003-08-19 00:01 110592]

"SynTPLpr"="C:\Program\Synaptics\SynTP\SynTPLpr.exe" [2004-05-26 18:15 98304]

"SynTPEnh"="C:\Program\Synaptics\SynTP\SynTPEnh.exe" [2004-05-26 18:15 536576]

"CamMonitor"="C:\Program\HP\Digital Imaging\Unload\hpqcmon.exe" [2002-10-06 23:23 90112]

"Share-to-Web Namespace Daemon"="C:\Program\HP\HP Share-to-Web\hpgs2wnd.exe" [2002-04-17 09:42 69632]

"Cpqset"="C:\Program\HPQ\Default Settings\cpqset.exe" [2004-04-30 09:32 208958]

"eabconfg.cpl"="C:\Program\HPQ\Quick Launch Buttons\EabServr.exe" [2004-04-30 12:50 274432]

"HP Component Manager"="C:\Program\HP\hpcoretech\hpcmpmgr.exe" [2005-01-12 13:54 241664]

"avast!"="C:\Program\ALWILS~1\Avast4\ashDisp.exe" [2007-12-04 14:00 79224]

"HP Software Update"="C:\Program\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 22:11 49152]

"UnlockerAssistant"="C:\Program\Unlocker\UnlockerAssistant.exe" [2006-09-07 18:19 15872]

"NapsterShell"="C:\Program\Napster\napster.exe" [ ]

"SunJavaUpdateSched"="C:\Program\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 00:11 132496]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\System32\CTFMON.EXE" [2003-04-24 20:00 13312]

"swg"="C:\Program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-08-27 09:16 68856]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"tscuninstall"="C:\WINDOWS\system32\tscupgrd.exe" [2003-04-24 20:00 40960]

 

C:\Documents and Settings\All Users\Start-meny\Program\AutostartAdobe Reader Speed Launch.lnk - C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-09-23 22:05:26 29696]

Microsoft Office.lnk - C:\Program\Microsoft Office\Office10\OSA.EXE [2001-02-13 09:01:04 83360]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\shellexecutehooks]

"{EDB0E980-90BD-11D4-8599-0008C7D3B6F8}"= C:\Program\Qualcomm\Eudora\EuShlExt.dll [ ]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= C:\Program\SUPERAntiSpyware\SASSEH.DLL [2006-12-20 13:55 77824]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

C:\Program\SUPERAntiSpyware\SASWINLO.dll 2007-04-19 13:41 294912 C:\Program\SUPERAntiSpyware\SASWINLO.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Notification Packages REG_MULTI_SZ scecli scecli scecli scecli scecli scecli scecli

 

S2 WKWMXIVJ;WKWMXIVJ;C:\WINDOWS\system32\wkwmxivj.gwi []

S3 CoachUsb;Dual Mode Digital Camera on USB;C:\WINDOWS\System32\DRIVERS\CoachUsb.sys []

S3 Dual Mode;Dual Mode Video Capture;C:\WINDOWS\System32\DRIVERS\CoachVc.sys []

S3 MusCDriverV32;MusCDriverV32;C:\WINDOWS\System32\drivers\MusCDriverV32.sys [2007-06-15 11:29]

 

.

**************************************************************************

 

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-01-20 15:48:16

Windows 5.1.2600 Service Pack 1 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Cpqset = C:\Program\HPQ\Default Settings\cpqset.exe?w?????????????A,w?????????? ???B????????? ?????B????????

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

PROCESS: C:\WINDOWS\Explorer.EXE [6.00.2800.1106]

-> C:\Program\Unlocker\UnlockerHook.dll

.

Completion time: 2008-01-20 15:54:18 - machine was rebooted

ComboFix-quarantined-files.txt 2008-01-20 14:54:06

ComboFix2.txt 2008-01-20 13:32:31

ComboFix3.txt 2007-09-28 19:36:48

.

2007-08-15 20:34:51 --- E O F --- [/log]

 

Link to comment
Share on other sites

Vad finns i mappen C:\Documents and Settings\Christian\Incomplete

 

Om du har avinstallerat Napster så kan du ta bort mappen:

C:\Documents and Settings\All Users\Application Data\Napster

 

Det kan vara lämpligt att kolla hårddiskens överföringsläge eftersom du skriver att det är väldigt långsamt.

Högerklick på Den här datorn - Egenskaper - Maskinvara - Enhetshanteraren - IDE ATA/ATAPI-styrenheter - Primär IDE-kanal - Avancerade inställningar

Vad står det för Aktuellt överföringsläge för hårddisken?

Det ska normalt vara Ultra DMA Mode 5 om det ska gå med full hastighet.

 

Om de står i PIO-mode eller fel DMA-mod så har Microsoft tänkt sig att du får tillbaks hårddisken i rätt DMA-mod så här:

http://support.microsoft.com/kb/817472

Avsnittet Workaround

 

Link to comment
Share on other sites

Här är ny SUPERAntiSpyware-log!

[log]SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 01/20/2008 at 05:33 PM

 

Application Version : 3.9.1008

 

Core Rules Database Version : 3382

Trace Rules Database Version: 1376

 

Scan type : Complete Scan

Total Scan Time : 01:11:45

 

Memory items scanned : 406

Memory threats detected : 0

Registry items scanned : 5796

Registry threats detected : 0

File items scanned : 65074

File threats detected : 18

 

Adware.Tracking Cookie

C:\Documents and Settings\Christian\Cookies\christian@1068880856[1].txt

C:\Documents and Settings\Christian\Cookies\christian@track.adform[1].txt

C:\Documents and Settings\Christian\Cookies\christian@tradedoubler[2].txt

C:\Documents and Settings\Christian\Cookies\christian@toplist[1].txt

C:\Documents and Settings\Christian\Cookies\christian@zedo[1].txt

C:\Documents and Settings\Christian\Cookies\christian@msnportal.112.2o7[1].txt

C:\Documents and Settings\Christian\Cookies\christian@spafinder[1].txt

C:\Documents and Settings\Christian\Cookies\christian@tribalfusion[2].txt

C:\Documents and Settings\Christian\Cookies\christian@mediaplex[1].txt

C:\Documents and Settings\Christian\Cookies\christian@advertising[1].txt

C:\Documents and Settings\Christian\Cookies\christian@1069512555[1].txt

C:\Documents and Settings\Christian\Cookies\christian@valueclick[1].txt

C:\Documents and Settings\Christian\Cookies\christian@adtech[1].txt

C:\Documents and Settings\Christian\Cookies\christian@cgi-bin[2].txt

C:\Documents and Settings\Christian\Cookies\christian@doubleclick[2].txt

C:\Documents and Settings\Christian\Cookies\christian@atdmt[2].txt

C:\Documents and Settings\Christian\Cookies\christian@2o7[1].txt

 

Trojan.Downloader-Gen/FotoMoto

C:\SYSTEM VOLUME INFORMATION\_RESTORE{E50EBE30-E626-47B4-9494-1CDEBC45A04D}\RP68\A0005463.DLL[/log]

 

 

[inlägget ändrat 2008-01-20 18:38:50 av Farbror Blå]

Link to comment
Share on other sites

Och här är ny Hijackthis-log, som du begärde i och med Freewareout-skanningen.

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:39:24, on 2008-01-20

Platform: Windows XP SP1 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP1 (6.00.2800.1106)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Alwil Software\Avast4\aswUpdSv.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\System32\HPZipm12.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\igfxtray.exe

C:\WINDOWS\System32\hkcmd.exe

C:\Program\Synaptics\SynTP\SynTPLpr.exe

C:\Program\Synaptics\SynTP\SynTPEnh.exe

C:\Program\HP\Digital Imaging\Unload\hpqcmon.exe

C:\Program\HP\HP Share-to-Web\hpgs2wnd.exe

C:\Program\HPQ\Quick Launch Buttons\EabServr.exe

C:\Program\HP\hpcoretech\hpcmpmgr.exe

C:\Program\HP\HP Share-to-Web\hpgs2wnf.exe

C:\Program\ALWILS~1\Avast4\ashDisp.exe

C:\Program\HP\HP Software Update\HPWuSchd2.exe

C:\Program\Unlocker\UnlockerAssistant.exe

C:\Program\Java\jre1.6.0_03\bin\jusched.exe

C:\WINDOWS\System32\ctfmon.exe

C:\Program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\WINDOWS\System32\wuauclt.exe

C:\Program\Alwil Software\Avast4\ashWebSv.exe

C:\Program\Alwil Software\Avast4\ashMaiSv.exe

C:\Program\HPQ\SHARED\HPQWMI.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar3.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program\Google\GoogleToolbarNotifier\2.0.301.7164\swg.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program\google\googletoolbar3.dll

O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\system32\msdxm.ocx

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\System32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\System32\hkcmd.exe

O4 - HKLM\..\Run: [updateManager] "C:\Program\Delade filer\Sonic\Update Manager\sgtray.exe" /r

O4 - HKLM\..\Run: [synTPLpr] C:\Program\Synaptics\SynTP\SynTPLpr.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [CamMonitor] C:\Program\HP\Digital Imaging\Unload\hpqcmon.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program\HP\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [Cpqset] C:\Program\HPQ\Default Settings\cpqset.exe

O4 - HKLM\..\Run: [eabconfg.cpl] C:\Program\HPQ\Quick Launch Buttons\EabServr.exe /Start

O4 - HKLM\..\Run: [HP Component Manager] "C:\Program\HP\hpcoretech\hpcmpmgr.exe"

O4 - HKLM\..\Run: [avast!] C:\Program\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [HP Software Update] C:\Program\HP\HP Software Update\HPWuSchd2.exe

O4 - HKLM\..\Run: [unlockerAssistant] "C:\Program\Unlocker\UnlockerAssistant.exe"

O4 - HKLM\..\Run: [NapsterShell] C:\Program\Napster\napster.exe /systray

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre1.6.0_03\bin\jusched.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe

O4 - HKCU\..\Run: [swg] C:\Program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [tscuninstall] %systemroot%\system32\tscupgrd.exe (User 'Default user')

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_03\bin\ssv.dll

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by107fd.bay107.hotmail.msn.com/resources/MsnPUpld.cab

O20 - Winlogon Notify: !SASWinLogon - C:\Program\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: HP WMI Interface (hpqwmi) - Hewlett Packard Company - C:\Program\HPQ\SHARED\HPQWMI.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\System32\HPZipm12.exe

O23 - Service: SymWMI Service (SymWSC) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\Security Center\SymWSC.exe

 

--

End of file - 6968 bytes[/log]

 

Link to comment
Share on other sites

Vad finns i mappen C:\Documents and Settings\Christian\Incomplete

Ingenting, men jag tog bort den.

 

Om du har avinstallerat Napster så kan du ta bort mappen:

C:\Documents and Settings\All Users\Application Data\Napster

OK, har jag gjort - det var lite skräp i den.

 

Det kan vara lämpligt att kolla hårddiskens överföringsläge eftersom du skriver att det är väldigt långsamt.

Högerklick på Den här datorn - Egenskaper - Maskinvara - Enhetshanteraren - IDE ATA/ATAPI-styrenheter - Primär IDE-kanal - Avancerade inställningar

Vad står det för Aktuellt överföringsläge för hårddisken?

Det ska normalt vara Ultra DMA Mode 5 om det ska gå med full hastighet.

Det STÅR Ultra DMA Mode 5.

:thumbsup:

 

Link to comment
Share on other sites

[log]Observera att jag har svar från ditt inlägg kl 17.26 som jag skrivit kl 19.00, eftersom det tidsmässigt inte lagt sig i rätt ordning! ;-)

 

Jag tog bort bocken i SUPERAntiSpyware för autostart, så spindeln visar sig inte, men det tar ändå en faslig tid innan jag får upp en hemsida! Kanske det kan bero på Windows Update? Nu står återigen SP2 och köar och vill uppdateras!

 

Apropå Windows Update: Det finns ett Windows Update och ett Microsoft Update, bägge finns i Start >Alla program överst, och ibland nere i högra ikonfältet är det en symbol (sköld) som kommer upp för det ena, ibland för det andra glob). Det är väl inte ngt som ligger och krockar?[/log]

 

Link to comment
Share on other sites

SUPERAntiSpyware-loggen ser ju bra ut.

 

Lite puts med HijackThis. Skanna med HijackThis och bocka för:

 

O4 - HKLM\..\Run: [NapsterShell] C:\Program\Napster\napster.exe /systray

O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm

 

Avsluta alla andra program.

Tryck Fix checked.

 

Det STÅR Ultra DMA Mode 5.
Bra!

 

men det tar ändå en faslig tid innan jag får upp en hemsida! Kanske det kan bero på Windows Update?
Kanske

 

Det finns ett Windows Update och ett Microsoft Update
Skillnaden är att Microsoft Update även uppdaterar andra Microsoft-program än Windows. Jag har aldrig använt Microsoft Update så jag vet inte om det kan bli något problem.

 

Men alla loggar ser bra ut, jag tror inte att datorn är infekterad längre.

 

Link to comment
Share on other sites

Tror du jag kan installera SP2 nu då? Ska jag försöka?

 

Skulle du inte ha ngn HiJackThis-log efter den här sista putsen då?

 

Förstod kanske inte vad du menade med att Avsluta alla program innan jag trycker FixChecked, kanske du menade hela listan i Hi Jack... Eller...?

 

Link to comment
Share on other sites

Hur som helst, det uppstår fortfarande problem när jag ska in i Kontrollpanelen!

[log]Det kommer upp felrapport att Internet måste avslutas, och jag klickar på "Skicka inte", men sedan händer det ändå inte att Internet avslutas. Nån jäkla bugg måste ligga nånstans!

 

Men varför står det egentligen att IE Explorer har problem och måste avslutas, från Kontrollpanelen? Kan detta problem möjligtvis härröra till att SP2 och/eller IE 7 inte är installerade??

 

Vidare, du har ju rutan "Anslut till" under "Kontrollpanelen" - när jag klickade på "Anslut till" så hängde sig allting![/log]

[inlägget ändrat 2008-01-20 20:36:59 av Farbror Blå]

Link to comment
Share on other sites

Förstod kanske inte vad du menade med att Avsluta alla program innan jag trycker FixChecked, kanske du menade hela listan i Hi Jack... Eller...?
Avsluta alla program, t ex webbläsare, Anteckningar, som du har igång förutom HijackThis.

 

Skulle du inte ha ngn HiJackThis-log efter den här sista putsen då?
Nej, men du kan själv kontrollera att raderna du bockade för är borta nu.

 

Kan detta problem möjligtvis härröra till att SP2 och/eller IE 7 inte är installerade??
Kanske, men omöjligt att veta om det blir bättre eller sämre av att installera SP2 och/eller IE7.

 

Tror du jag kan installera SP2 nu då? Ska jag försöka?
Så vitt jag kan bedömma så finns det inga virus eller spionprogram i datorn och då borde det gå bra med SP2.

 

Link to comment
Share on other sites

Tack för all hjälp! SP2 och Internet Explorer7 är nu installerade i tur och ordning och allt tycks nu fungera utan problem efter den här följetongen.

Huvudskälet till att Windows update med felkoden 0x8007000B inte kunde hitta säkerhetsuppdateringar var förmodligen för att DNS-servrar inte var inställda på "automatiskt". De hade ändrats till Ukraina, och därför var datorn mer sårbar, vilket säkert gjorde att virus och spioner lättare kunde hacka sig in!

 

Be always updated!!

 

Link to comment
Share on other sites

En liten undran bara?

 

Har du kommit fram till varför DNS-servern har kunnat byta till dessa utländska servrar?

Något måste ju ha påverkat detta i all "smet"?

Så att detta inte inträffar igen.

 

 

 

// Gästen

 

Sopa alltid rent framför egen dörr

 

Link to comment
Share on other sites

Bosse-i-skogen
Har du kommit fram till varför DNS-servern har kunnat byta till dessa utländska servrar?

 

Har du något emot Ukraina? Det är säkert ett trevligt ställe och dom kan väl få lite svensk trafik? :)

 

Bosse

 

Link to comment
Share on other sites

Har du kommit fram till varför DNS-servern har kunnat byta till dessa utländska servrar?

Det brukar ju vara något som man laddar ner mer eller mindre frivilligt, men vilken fil det var i det här fallet kan jag inte säga eftersom filen redan var borttagen när FixWareout kördes. Till skillnad från loggen i //eforum.idg.se/viewmsg.asp?EntriesId=1022243#1022307 där det nämns ett filnamn alldeles i början av filen som sedan inte finns kvar under Postrun check.

 

Link to comment
Share on other sites

Kul inägg, men gästen undrade ju faktiskt hur det kunde ha uppstått. Intuitivt tror jag att trojaner och spioner har kommit in genom DC++.

 

Link to comment
Share on other sites

Har du något emot Ukraina? Det är säkert ett trevligt ställe och dom kan väl få lite svensk trafik? :)

Hehe, fast då får det allt vara bra DNS-servrar som inte orsakar problem med Windows-uppdateringar, reklamvisning och/eller phisingförsök etc.

 

Link to comment
Share on other sites

Dom gillar det säkert.

 

Men som Farbror Blå säger så var ju inte det frågan.

 

 

 

// Gästen

 

Sopa alltid rent framför egen dörr

 

Link to comment
Share on other sites

Erfarenheten säger att fildelningsprogram som DC++ inte är så bra att använda.

 

Man kan aldrig vara säker på vad man får via dessa fildelningsprogram/sajter.

 

Många här på forumet som "tankar" både det ena och det andra, får efteråt ta hjälp av oss här på forumet.

 

 

 

 

 

 

// Gästen

 

Sopa alltid rent framför egen dörr

 

Link to comment
Share on other sites

Stefan Eklinder

 

Farbror Blå!

 

Moderator-knappen är ingen PM-knapp. Du använder bara den Moderator-knappen om du anser att ett inlägg är olämpligt eller vill ha en tråd flyttad till ett mer passande forum.

 

Vidare är inte Cecilia moderator för XP-forumet. Du får hålla dig till tråden så att andra kan följa upp och hjälpa dig. När tråden är avslutad kan andra dra nytta av den om allt finns med här.

 

Postar din fråga till henne här:

 

Cecilia! Bara en sista undran: Windows Filskydd, du vet jag hade tre KB-filer där filskyddet talade om att de hade ersatts av okända versioner och måste återställas bla bla. Tror du att detta är ngt som nu har rättat till sig automatiskt?

 

---

C:\Eforum\Stefan Eklinder> moderator WindowsXP|

 

"Om allt verkar gå bra, måste du ha missat något."

 

- Steven Wright

 

[inlägget ändrat 2008-01-21 19:10:27 av Stefan Eklinder]

Link to comment
Share on other sites

Windows Filskydd, du vet jag hade tre KB-filer där filskyddet talade om att de hade ersatts av okända versioner och måste återställas bla bla. Tror du att detta är ngt som nu har rättat till sig automatiskt?

Jag tror att det har ordat till sig nu när du har SP2 i datorn igen. Om jag minns rätt så var det efter att du hade avinstallerat SP2.

 

Link to comment
Share on other sites

  • 3 months later...

Nåt virus har ändrat dina DNS inställningar. Kolla dom.

 

Finns under IP inställningrna i Kontrollpanelen/nätverksanslutningar/ "Höger klicka på din anslutning som du använder"/välj Egenskaper/ Dubbelklicka på Internet Protokoll (tcp/ip)

 

Kolla av DNS-server inställningarna! Kan variera beroende på vad för typ av anslutning du har!

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.




×
×
  • Create New...