Antivirus 2008 XP och fortsatt elände

[Avigast]

Ok, så här är det:

* AVG släpper igenom Antivirus 2008 XP.

 

* Jag försöker ta bort det med Spyware, utan framgång.

 

* Jag får bort det med Malwarebyte Anti Malware, men

 

* Datorn hänger sig oavbrutet

 

* Jag avinstallerar AVG och installerar NOD32, datorn fortsätter att hänga sig oavbrutet. Jag har även kört djupscanning med den utan framgång. Djupscanningen säger att det inte finns virus.

 

* För att lösa problemet med att datorn hänger sig måste jag köra Ad Aware varje gång jag vill använda datorn, dvs flera gånger om dagen. Ad Aware hittar vid varje scan mellan 15-45 "infektioner", det verkar röra sig om infekterade cookies. Efter en scanning går datorn bra utan att hänga sig i någon timme, därefter måste jag scanna med Ad Aware och plocka bort infektioner igen.

 

Någon som har något bra förslag på hur jag får bort dessa ständigt återkommande "infektioner" och återfår en fungerande och ohängd dator?

 

Mvh

 

[Cecilia]

Ladda ner SDFix till Skrivbordet:

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Dubbelklicka på SDFix.exe och en ny mapp skapas, C:\SDFix.

 

Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Öppna den nya mappen C:\SDFix och dubbelklicka på RunThis.bat för att starta programmet.

Tryck Y för att fortsätta.

Det arbetar ett tag och när det är klart så kommer det upp en fråga om du vill starta om datorn.

Tryck på godtycklig tangent för att omstarten ska påbörjas.

Datorn kommer att ta lång tid på sig under uppstarten eftersom programmet kommer att gå igång och fixa till en massa.

När det är klart visas Finished.

Tryck på valfri tangent för att avsluta programmet.

 

Öppna mappen SDFix och öppna filen Report.txt i Anteckningar.

Klistra in innehållet i filen i ditt svar här.

 

 

[Avigast]

Jag måste göra något fel. Jag har laddat ner SDFix och startat om datorn i felsäkert läge, men när jag klickat på den får jag upp att jag ska installera det, "Please install the default location by clicking install.. etc", och när jag klickat på installera knappen händer ingenting, jag får bara upp samma meddelande nästa gång jag klickar på ikonen.

 

[inlägget ändrat 2008-08-28 19:45:20 av Avigast]

[Cecilia]

Hmm, i vilken ordning gör du detta:

Dubbelklicka på SDFix.exe och en ny mapp skapas, C:\SDFix.

 

Starta om datorn i felsäkert läge

 

Jag säger inte att du gör fel och det är möjligt att det är bättre att göra i andra ordningen.

 

[Avigast]

Först installerade jag och sedan startade jag om i felsäkert läge. Jag gör som jag blir tillsagd när det gäller datorer, har ingen egen kunskap att falla tillbaka på..

 

[inlägget ändrat 2008-08-28 19:47:36 av Avigast]

[Cecilia]

När du installerade i normalt läge, skapades det då en ny mapp C:\SDFix?

Öppnar du den mappen i felsäkert läge?

Är det när du startar RunThis.bat som meddelandet om installation kommer?

 

Har Nod32 klagat något på SDFix?

 

[Avigast]

Alltså, det blev ju en ikon på skrivbordet och den klickar jag på i felsäkert läge (fast jag provat även i normalläge med samma resultat). Jag kommer inte till run this bat utan ombeds bara installera så fort jag klickar på ikonen. Här är hela texten:

Please install to the default location by clicking Install -- The SDFix Folder will be extracted to %systemdrive% \ (Drive that contains the Windows directory - typically 'C:\SDFix') -- Open the SDFix folder in Safe Mode then double click the RunThis.bat file to start the fixtool -- If run in Normal Mode, options to download and run Anti-Virus command line scanners are displayed --

Catchme.exe Stealth Malware Detector by GMER is also included in the SDFix folder

 

Nod32 klagar inte vad jag kan se..

 

[Cecilia]

Har du tittat med Utforskaren eller Den här datorn om det i C:\ finns en mapp som heter SDFix?

 

[Avigast]

Ja, jag hittar den under documents and settings, 1385 kb. När jag klickar där kommer samma installationstext upp.

 

[Cecilia]

Gå till mappen C:\

Finns där en mapp som heter SDFix?

 

[Avigast]

Ja, med underavdelningarna catchme, dbfix och run this.

 

[Cecilia]

Vad bra!

När du är i felsäkert läge så går du till den mappen och dubbelklickar på RunThis för att starta programmet och så följer du resten av anvisningarna som jag skrev 10:55.

 

[Avigast]

[log]Sådärja:

SDFix: Version 1.219

Run by Žgaren on 2008-08-28 at 20:38

 

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Default Security Values

Restoring Default Hosts File

 

Rebooting

 

 

Checking Files :

 

Trojan Files Found:

 

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt1E.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt1F.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt20.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt21.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt22.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt23.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt24.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt25.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt26.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt28.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt29.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt2A.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt2C.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt2F.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt31.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt33.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt35.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt37.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt39.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt3B.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt3D.tmp - Deleted

 

 

 

Folder C:\Documents and Settings\Žgaren\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#w*w.redtube.com - Removed

 

 

Removing Temp Files

 

ADS Check :

 

 

[/log]

Lagt till LOG-taggar

När du har klistrat in en logg så var vänlig och markera loggen och tryck sedan på LOG-knappen som finns på samma rad som i inläggsfönstret.

Cecilia - Moderator för Virus, skadliga program & botemedel

 

[inlägget ändrat 2008-08-28 20:51:22 av Cecilia]

[Cecilia]

Ser inte ut som hela loggen. Beror det på att du missade slutet eller fick du något felmeddelande medan du körde SDFix?

 

Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

[log]Starta om datorn i felsäkert läge.

Kör ComboFix och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram och brandvägg är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.[/log]

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

 

[Avigast]

[log]Sorry. Klantigt av mig. Här är hela:

SDFix: Version 1.219

Run by Žgaren on 2008-08-28 at 20:38

 

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Default Security Values

Restoring Default Hosts File

 

Rebooting

 

 

Checking Files :

 

Trojan Files Found:

 

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt1E.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt1F.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt20.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt21.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt22.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt23.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt24.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt25.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt26.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt28.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt29.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt2A.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt2C.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt2F.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt31.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt33.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt35.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt37.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt39.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt3B.tmp - Deleted

C:\DOCUME~1\GAREN~1\LOKALA~1\Temp\.tt3D.tmp - Deleted

 

 

 

Folder C:\Documents and Settings\Žgaren\Application Data\Macromedia\Flash Player\macromedia.com\support\flashplayer\sys\#w*w.redtube.com - Removed

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-28 20:43:59

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program\\Messenger\\msmsgs.exe"="C:\\Program\\Messenger\\msmsgs.exe:*:Enabled:Windows Messenger"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"E:\\DWizard624.exe"="E:\\DWizard624.exe:*:Enabled:Setup Wizard Template"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

 

Remaining Files :

 

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes :

 

Sun 10 Feb 2008 196 A.SHR - "C:\BOOT.BAK"

Thu 6 Sep 2001 1,700,352 A..H. - "C:\gdiplus.dll"

Sat 5 Jul 2008 4,348 A.SH. - "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Sun 23 Mar 2008 0 A.SH. - "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

Sun 8 Feb 2004 5,294,080 ...H. - "C:\hp\patches\42WW1REC\src\App00153.exe"

Sun 8 Feb 2004 452,096 ...H. - "C:\hp\patches\42WW1REC\src\App00292.exe"

Sun 8 Feb 2004 444,416 ...H. - "C:\hp\patches\42WW1REC\src\App00491.exe"

Sun 8 Feb 2004 1,838,592 ...H. - "C:\hp\patches\42WW1REC\src\App02995.exe"

Sun 8 Feb 2004 492,544 ...H. - "C:\hp\patches\42WW1REC\src\App04827.exe"

Sun 8 Feb 2004 1,401,856 ...H. - "C:\hp\patches\42WW1REC\src\App05447.exe"

Sun 8 Feb 2004 440,320 ...H. - "C:\hp\patches\42WW1REC\src\App05705.exe"

Sun 8 Feb 2004 462,848 ...H. - "C:\hp\patches\42WW1REC\src\App09961.exe"

Sun 8 Feb 2004 15,596,032 ...H. - "C:\hp\patches\42WW1REC\src\App14604.exe"

Sun 8 Feb 2004 5,256,704 ...H. - "C:\hp\patches\42WW1REC\src\App16827.exe"

Sun 8 Feb 2004 3,668,992 ...H. - "C:\hp\patches\42WW1REC\src\App17421.exe"

Wed 11 Feb 2004 696,832 ...H. - "C:\hp\patches\42WW1REC\src\App18716.exe"

Sun 8 Feb 2004 423,936 ...H. - "C:\hp\patches\42WW1REC\src\App19169.exe"

Sun 8 Feb 2004 1,157,632 ...H. - "C:\hp\patches\42WW1REC\src\App19718.exe"

Wed 11 Feb 2004 995,328 ...H. - "C:\hp\patches\42WW1REC\src\App19895.exe"

Sun 8 Feb 2004 453,632 ...H. - "C:\hp\patches\42WW1REC\src\App23281.exe"

Sun 8 Feb 2004 453,632 ...H. - "C:\hp\patches\42WW1REC\src\App24464.exe"

Sun 8 Feb 2004 2,251,776 ...H. - "C:\hp\patches\42WW1REC\src\App26962.exe"

Sun 8 Feb 2004 481,792 ...H. - "C:\hp\patches\42WW1REC\src\App29358.exe"

Sun 8 Feb 2004 12,426,752 ...H. - "C:\hp\patches\42WW1REC\src\App32391.exe"

Sun 8 Feb 2004 12,426,752 ...H. - "C:\hp\patches\42WW1REC\src\App99990.exe"

Sun 8 Feb 2004 15,596,032 ...H. - "C:\hp\patches\42WW1REC\src\App99992.exe"

Sun 8 Feb 2004 5,256,704 ...H. - "C:\hp\patches\42WW1REC\src\App99993.exe"

Sun 8 Feb 2004 5,256,704 ...H. - "C:\hp\patches\42WW1REC\src\xApp14604.exe"

 

Finished!

 

[/log]

Lagt till LOG-taggar

När du har klistrat in en logg så var vänlig och markera loggen och tryck sedan på LOG-knappen som finns på samma rad som i inläggsfönstret.

Cecilia - Moderator för Virus, skadliga program & botemedel

 

[inlägget ändrat 2008-08-28 21:01:33 av Cecilia]

[Cecilia]

Bra!

Fortsätt med ComboFix

 

[Avigast]

Godmorgon. Jag övermannades av trötthet och kunde inte fortsätta igår kväll. Kan jag göra combofix ikväll eller ska de göras i sekvens så jag börjar om med SDFix och därefter combofix?

 

[Cecilia]

Fortsätt du med ComboFix bara.

 

[Avigast]

Ok, här kommer loggen:

[log]ComboFix 08-08-28.06 - Ägaren 2008-08-29 18:09:14.2 - NTFSx86 MINIMAL

Running from: C:\Documents and Settings\Ägaren\Skrivbord\ComboFix.exe

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\Documents and Settings\Ägaren\Cookies\ägaren@ad.adtoma[1].txt . . . . failed to delete

C:\Documents and Settings\Ägaren\Cookies\ägaren@ad.yieldmanager[2].txt . . . . failed to delete

C:\Documents and Settings\Ägaren\Cookies\ägaren@adtoma.expressen[1].txt . . . . failed to delete

C:\Documents and Settings\Ägaren\Cookies\ägaren@advertising[1].txt . . . . failed to delete

 

.

((((((((((((((((((((((((( Files Created from 2008-07-28 to 2008-08-29 )))))))))))))))))))))))))))))))

.

 

2008-08-29 18:01 . 2008-08-29 18:01 <KAT> d-------- C:\WINDOWS\system32\config\systemprofile\Lokala inställningar

2008-08-29 18:01 . 2008-08-29 18:01 <KAT> d-------- C:\Documents and Settings\NetworkService\Lokala inställningar

2008-08-29 18:01 . 2008-08-29 18:01 <KAT> d-------- C:\Documents and Settings\Administratör

2008-08-29 18:01 . <KAT> C:\Documents and Settings\Administrat÷r\Lokala inställningar

2008-08-29 18:01 . <KAT> C:\Documents and Settings\Administrat÷r\Lokala inställningar

2008-08-29 18:01 . 2008-08-29 18:01 <KAT> d-------- C:\Documents and Settings\Ägaren

2008-08-29 18:01 . <KAT> C:\Documents and Settings\-garen\Lokala inställningar

2008-08-29 18:01 . <KAT> C:\Documents and Settings\-garen\Lokala inställningar

2008-08-28 20:36 . 2008-08-28 20:36 <KAT> d-------- C:\WINDOWS\ERUNT

2008-08-28 19:34 . 2008-08-28 19:34 <KAT> d-------- C:\Documents and Settings\Administrat”r

2008-08-28 19:14 . 2008-08-28 20:46 <KAT> d-------- C:\SDFix

2008-08-26 17:19 . 2008-08-26 17:19 <KAT> d-------- C:\Program\Lavasoft

2008-08-26 17:19 . 2008-08-26 17:19 <KAT> d-------- C:\Program\Delade filer\Wise Installation Wizard

2008-08-25 18:55 . 2008-08-25 18:53 512,096 --a------ C:\WINDOWS\system32\drivers\amon.sys

2008-08-25 18:55 . 2008-08-25 18:53 298,104 --a------ C:\WINDOWS\system32\imon.dll

2008-08-25 18:55 . 2008-08-25 18:53 15,424 --a------ C:\WINDOWS\system32\drivers\nod32drv.sys

2008-08-25 18:53 . 2008-08-27 23:33 <KAT> d-------- C:\Program\ESET

2008-08-24 20:25 . 2008-08-24 20:25 <KAT> d-------- C:\Program\AVG

2008-08-23 16:21 . 2008-08-23 16:22 <KAT> d-------- C:\Documents and Settings\All Users\Application Data\Lavasoft

2008-08-21 17:39 . 2008-08-21 17:40 <KAT> d-------- C:\Program\NOS

2008-08-19 22:31 . 2008-08-19 22:31 <KAT> d-------- C:\Program\Delade filer\Adobe AIR

2008-08-19 22:28 . 2008-08-21 17:39 <KAT> d-------- C:\Program\Google

2008-08-19 22:28 . 2008-08-21 17:39 <KAT> d-------- C:\Documents and Settings\All Users\Application Data\NOS

2008-08-16 15:08 . 2008-08-16 15:08 <KAT> d-------- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-08-15 21:43 . 2008-08-16 20:32 921,624 --a------ C:\snp2uvc-001.raw

2008-08-15 21:25 . 2008-08-15 21:25 <KAT> d-------- C:\Program\15355 Webcam Live

2008-08-15 21:25 . 2007-06-22 18:19 9,602,944 --a------ C:\WINDOWS\system32\drivers\snp2uvc.sys

2008-08-15 21:25 . 2007-06-22 18:19 53,248 --a------ C:\WINDOWS\system32\csnp2uvc.dll

2008-08-15 21:25 . 2007-06-22 18:19 28,160 --a------ C:\WINDOWS\system32\drivers\sncduvc.sys

2008-08-15 21:25 . 2007-06-22 18:19 15,497 --a------ C:\WINDOWS\snp2uvc.ini

2008-08-15 21:25 . 2007-06-22 18:19 13,022 --a------ C:\WINDOWS\snp2uvc.src

2008-08-13 11:59 . 2008-05-01 16:33 331,776 -----c--- C:\WINDOWS\system32\dllcache\msadce.dll

2008-08-12 17:37 . 2008-08-23 08:37 <KAT> d--h----- C:\$AVG8.VAULT$

2008-08-12 17:21 . 2008-08-25 18:49 <KAT> d-------- C:\Documents and Settings\All Users\Application Data\avg8

2008-08-11 23:31 . 2008-08-24 18:55 <KAT> d-------- C:\Program\Enigma Software Group

2008-08-11 22:44 . 2008-08-11 22:45 <KAT> d-------- C:\Documents and Settings\All Users\Application Data\services

2008-08-11 14:16 . 2008-08-11 14:16 <KAT> d-------- C:\Program\OpenOffice.org 2.4

2008-08-11 14:16 . 2008-06-10 02:32 73,728 --a------ C:\WINDOWS\system32\javacpl.cpl

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-08-19 20:31 --------- d-----w C:\Program\Delade filer\Adobe

2008-08-17 15:38 --------- d--h--w C:\Program\InstallShield Installation Information

2008-08-17 15:38 --------- d-----w C:\Program\Nordic Softsales

2008-08-12 19:04 --------- d-----w C:\Program\Java

2008-08-11 12:15 --------- d-----w C:\Program\Norton Personal Firewall

2008-08-11 12:15 --------- d-----w C:\Program\Delade filer\Symantec Shared

2008-08-11 12:15 --------- d-----w C:\Documents and Settings\All Users\Application Data\Symantec

2008-06-08 14:48 63,488 ----a-w C:\WINDOWS\xobglu16.dll

2008-06-08 14:48 23,552 ----a-w C:\WINDOWS\xobglu32.dll

2008-03-24 11:28 32 --sha-w C:\WINDOWS\{464AA8C3-697C-47B5-81B8-CA8D306E09F5}.dat

2008-03-24 11:28 32 --sha-w C:\WINDOWS\system32\{27419F94-CEBB-4AF6-BAAC-0432E17E3FD0}.dat

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Acme.PCHButton"="C:\Program\HPPAVI~1\Pavilion\XPHWWBP4\plugin\bin\PCHButton.exe" [2004-01-01 17:51 155648]

"MSMSGS"="C:\Program\Messenger\msmsgs.exe" [2004-10-13 18:24 1694208]

"BackupNotify"="c:\Program\HP\Digital Imaging\bin\backupnotify.exe" [2004-01-09 02:34 32768]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 10:34 15360]

"swg"="C:\Program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-08-23 17:55 68856]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SunJavaUpdateSched"="C:\Program\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 04:27 144784]

"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 17:04 52736]

"HPHUPD05"="c:\Program\HP\{45B6180B-DCAB-4093-8EE8-6164457517F0}\hphupd05.exe" [2003-08-21 04:23 49152]

"HPHmon05"="C:\WINDOWS\System32\hphmon05.exe" [2003-08-21 04:20 483328]

"KBD"="C:\HP\KBD\KBD.EXE" [2003-02-11 20:02 61440]

"UpdateManager"="C:\Program\Delade filer\Sonic\Update Manager\sgtray.exe" [2003-08-19 09:01 110592]

"WinCinemaMgr"="C:\Program\InterVideo\Common\bin\WinCinemaMgr.exe" [2003-09-16 18:01 184320]

"Recguard"="C:\WINDOWS\SMINST\RECGUARD.EXE" [2003-11-03 17:50 221184]

"PS2"="C:\WINDOWS\system32\ps2.exe" [2002-10-16 16:57 81920]

"NvCplDaemon"="C:\WINDOWS\System32\NvCpl.dll" [2003-12-05 20:50 3022848]

"Reminder"="C:\Windows\Creator\Remind_XP.exe" [2003-12-18 00:31 118784]

"ANIWZCS2Service"="C:\Program\ANI\ANIWZCS2 Service\WZCSLDR2.exe" [2006-06-01 17:59 49152]

"snp2uvc"="C:\WINDOWS\vsnp2uvc.exe" [2007-06-22 19:19 569344]

"Adobe Reader Speed Launcher"="C:\Program\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2008-06-12 02:38 34672]

"nod32kui"="C:\Program\Eset\nod32kui.exe" [2008-08-25 18:53 949376]

"nwiz"="nwiz.exe" [2003-12-05 20:50 753664 C:\WINDOWS\system32\nwiz.exe]

"AlcxMonitor"="ALCXMNTR.EXE" [2003-04-03 21:35 50176 C:\WINDOWS\ALCXMNTR.EXE]

 

C:\Documents and Settings\All Users\Start-meny\Program\AutostartHP Digital Imaging Monitor.lnk - C:\Program\HP\Digital Imaging\bin\hpqtra08.exe [2003-09-16 13:19:24 237568]

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"C:\\Program\\Messenger\\msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

 

R3 A5AGU;D-Link USB Wireless Network Adapter Service;C:\WINDOWS\system32\DRIVERS\A5AGU.sys [2006-09-21 08:35]

R3 Cap7134;ASUS TV7134 WDM Video Capture;C:\WINDOWS\system32\DRIVERS\Cap7134.sys [2003-05-09 11:16]

R3 PhTVTune;ASUS WDM TV Tuner;C:\WINDOWS\system32\DRIVERS\PhTVTune.sys [2003-04-28 23:33]

S3 TdsNordecr;Nordea NCR1 SmartCard Reader;C:\WINDOWS\system32\DRIVERS\nordecr.sys [2007-10-30 08:57]

.

Contents of the 'Scheduled Tasks' folder

 

2008-08-16 C:\WINDOWS\Tasks\SpyHunter Scanner.job

- C:\Program\Enigma Software Group\SpyHunter\SpyHunter3.exe []

.

.

------- Supplementary Scan -------

.

R0 -: HKCU-Main,Start Page = www.dn.se/

.

 

**************************************************************************

 

catchme 0.3.1361 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-08-29 18:12:53

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

PROCESS: C:\WINDOWS\system32\lsass.exe

-> C:\Program\Eset\pr_imon.dll

.

------------------------ Other Running Processes ------------------------

.

C:\Program\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\scardsvr.exe

C:\Program\ESET\nod32krn.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program\OpenOffice.org 2.4\program\soffice.exe

C:\Program\OpenOffice.org 2.4\program\soffice.bin

.

**************************************************************************

.

Completion time: 2008-08-29 18:14:50 - machine was rebooted

ComboFix-quarantined-files.txt 2008-08-29 16:14:48

ComboFix2.txt 2008-08-29 16:01:05

 

Pre-Run: 185,473,949,696 byte ledigt

Post-Run: 184,925,888,512 byte ledigt

 

146 --- E O F --- 2008-08-13 11:35:41[/log]

 

[Cecilia]

C:\Program\NOS

Vad är det för program?

 

Surfa till http://www.virustotal.com klistra in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här. Upprepa med nästa filnamn.

C:\WINDOWS\xobglu16.dll

C:\WINDOWS\xobglu32.dll

C:\WINDOWS\{464AA8C3-697C-47B5-81B8-CA8D306E09F5}.dat

C:\WINDOWS\system32\{27419F94-CEBB-4AF6-BAAC-0432E17E3FD0}.dat

 

 

[Avigast]

[log]AhnLab-V3 2008.8.29.0 2008.08.29 -

AntiVir 7.8.1.23 2008.08.29 -

Authentium 5.1.0.4 2008.08.29 -

Avast 4.8.1195.0 2008.08.29 -

AVG 8.0.0.161 2008.08.29 -

BitDefender 7.2 2008.08.29 -

CAT-QuickHeal 9.50 2008.08.29 -

ClamAV 0.93.1 2008.08.29 -

DrWeb 4.44.0.09170 2008.08.29 -

eSafe 7.0.17.0 2008.08.28 -

eTrust-Vet 31.6.6056 2008.08.29 -

Ewido 4.0 2008.08.29 -

F-Prot 4.4.4.56 2008.08.29 -

F-Secure 7.60.13501.0 2008.08.29 -

Fortinet 3.14.0.0 2008.08.29 -

GData 19 2008.08.29 -

Ikarus T3.1.1.34.0 2008.08.29 -

K7AntiVirus 7.10.432 2008.08.29 -

Kaspersky 7.0.0.125 2008.08.29 -

McAfee 5373 2008.08.29 -

Microsoft 1.3807 2008.08.25 -

NOD32v2 3399 2008.08.29 -

Norman 5.80.02 2008.08.29 -

Panda 9.0.0.4 2008.08.29 -

PCTools 4.4.2.0 2008.08.29 -

Prevx1 V2 2008.08.29 -

Rising 20.59.41.00 2008.08.29 -

Sophos 4.33.0 2008.08.29 -

Sunbelt 3.1.1592.1 2008.08.29 -

Symantec 10 2008.08.29 -

TheHacker 6.3.0.6.064 2008.08.27 -

TrendMicro 8.700.0.1004 2008.08.29 -

VBA32 3.12.8.4 2008.08.29 -

ViRobot 2008.8.29.1355 2008.08.29 -

VirusBuster 4.5.11.0 2008.08.29 -

Webwasher-Gateway 6.6.2 2008.08.29 -

Övrig information

File size: 63488 bytes

MD5...: 113e5b86ad397e6a9bf29b5db2efaf06

SHA1..: c5d2f4bb8e6bd47d58f7fc0edcd53927b03a4ce2

SHA256: 894919a6b437c29f31938cf85e6b5442930f2182d99dc134dd303959599a52cd

SHA512: 4f69a60d4ef65b7d7016d743b2efc12de4e0794015e97f2f69384488ccdf1db8

cb50e9f36084121e23b2c09fad2f31e8ffc2c9c4c5e1911deab246eaad0a85a6

PEiD..: -

TrID..: File type identification

Win32 Dynamic Link Library (generic) (87.9%)

Generic Win/DOS Executable (6.0%)

DOS Executable Generic (6.0%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

PEInfo: - [/log]

 

 

 

[Avigast]

[log]AhnLab-V3 2008.8.29.0 2008.08.29 -

AntiVir 7.8.1.23 2008.08.29 -

Authentium 5.1.0.4 2008.08.29 -

Avast 4.8.1195.0 2008.08.29 -

AVG 8.0.0.161 2008.08.29 -

BitDefender 7.2 2008.08.29 -

CAT-QuickHeal 9.50 2008.08.29 -

ClamAV 0.93.1 2008.08.29 -

DrWeb 4.44.0.09170 2008.08.29 -

eSafe 7.0.17.0 2008.08.28 -

eTrust-Vet 31.6.6056 2008.08.29 -

Ewido 4.0 2008.08.29 -

F-Prot 4.4.4.56 2008.08.29 -

F-Secure 7.60.13501.0 2008.08.29 -

Fortinet 3.14.0.0 2008.08.29 -

GData 19 2008.08.29 -

Ikarus T3.1.1.34.0 2008.08.29 -

K7AntiVirus 7.10.432 2008.08.29 -

Kaspersky 7.0.0.125 2008.08.29 -

McAfee 5373 2008.08.29 -

Microsoft 1.3807 2008.08.25 -

NOD32v2 3399 2008.08.29 -

Norman 5.80.02 2008.08.29 -

Panda 9.0.0.4 2008.08.29 -

PCTools 4.4.2.0 2008.08.29 -

Rising 20.59.41.00 2008.08.29 -

Sophos 4.33.0 2008.08.29 -

Sunbelt 3.1.1592.1 2008.08.29 -

Symantec 10 2008.08.29 -

TheHacker 6.3.0.6.064 2008.08.27 -

TrendMicro 8.700.0.1004 2008.08.29 -

ViRobot 2008.8.29.1355 2008.08.29 -

VirusBuster 4.5.11.0 2008.08.29 -

Webwasher-Gateway 6.6.2 2008.08.29 -

Övrig information

File size: 23552 bytes

MD5...: 213139d0320fe0c880cdce3e3053c318

SHA1..: fa772bdb09b25ff5c5c7af89624d4bf673328bcc

SHA256: 42d6b465ba221beaf0b950ed3558c72488a77687622242ae80d8ff40a86e7115

SHA512: f793af36a93b4e12810f7b47fb5b8a34321f7716860a9a61d1932f34667bb23b

b71ccfa7ee9ff0b378d5ca882e34d35f2de81f7d7de1028247e704499c15ccd7

PEiD..: -

TrID..: File type identification

Win32 Executable MS Visual C++ (generic) (53.1%)

Windows Screen Saver (18.4%)

Win32 Executable Generic (12.0%)

Win32 Dynamic Link Library (generic) (10.6%)

Generic Win/DOS Executable (2.8%)

PEInfo: PE Structure information

 

( base data )

entrypointaddress.: 0x10001f52

timedatestamp.....: 0x2ff4832e (Fri Jun 30 23:05:18 1995)

machinetype.......: 0x14c (I386)

 

( 8 sections )

name viradd virsiz rawdsiz ntrpy md5

.text 0x1000 0x271e 0x2800 6.13 391cca36d9c6a8750fcdb1c3d0e059b4

.bss 0x4000 0x474 0x0 0.00 d41d8cd98f00b204e9800998ecf8427e

.rdata 0x5000 0x7b 0x200 1.19 e893563c6bcae309ee2657904c8ad6d9

.data 0x6000 0x1240 0x1400 2.67 605e57300ea495c32faddf26074e7b76

.idata 0x8000 0x43e 0x600 3.94 b7cd72eb02e9bc840472996aa36e0f89

.edata 0x9000 0x42d 0x600 4.20 7b55b9f09075acb92cf1f0a752e6ccd1

.rsrc 0xa000 0x10 0x200 0.08 5ede80b6c27c7fe86f7d9dd7c42df12f

.reloc 0xb000 0x380 0x400 5.84 ec2af0ef38c1e146909c210b22d5adb5

 

( 2 imports )

> KERNEL32.dll: TlsFree, SMapLS_IP_EBP_12, SMapLS_IP_EBP_8, MapSL, SUnMapLS_IP_EBP_12, ThunkConnect32, SUnMapLS_IP_EBP_8, UnMapSLFixArray, K32Thk1632Prolog, K32Thk1632Epilog, MapSLFix, GetEnvironmentStrings, GetCommandLineA, GetVersion, ExitProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, OutputDebugStringA, TlsGetValue, GetCurrentThread, VirtualFree, VirtualAlloc, GetModuleFileNameA, GetACP, GetOEMCP, GetCPInfo, GetStdHandle, GetFileType, GetStartupInfoA, WriteFile, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, FatalAppExitA, UnhandledExceptionFilter, GetLastError

> KERNEL32.dll: TlsFree, SMapLS_IP_EBP_12, SMapLS_IP_EBP_8, MapSL, SUnMapLS_IP_EBP_12, ThunkConnect32, SUnMapLS_IP_EBP_8, UnMapSLFixArray, K32Thk1632Prolog, K32Thk1632Epilog, MapSLFix, GetEnvironmentStrings, GetCommandLineA, GetVersion, ExitProcess, GetCurrentThreadId, TlsSetValue, TlsAlloc, OutputDebugStringA, TlsGetValue, GetCurrentThread, VirtualFree, VirtualAlloc, GetModuleFileNameA, GetACP, GetOEMCP, GetCPInfo, GetStdHandle, GetFileType, GetStartupInfoA, WriteFile, InitializeCriticalSection, DeleteCriticalSection, EnterCriticalSection, LeaveCriticalSection, FatalAppExitA, UnhandledExceptionFilter, GetLastError

 

( 37 exports )

MyLoadLibrary32, ThunkCallFixed32, ThunkCallGeneral32, ThunkFreeLibrary32, ThunkFreeXMethHandle32, ThunkGetXMethData32, ThunkGetXMethHandle32, ThunkGetXMethResource32, ThunkGetXMethSize32, ThunkGetXObjectProcAddress32, _xxobj_Dispose32@4, thkBack_ThunkData32, thk_ThunkData32, xConvertMACToDosPath32, xConvertStrToSymbol32, xConvertSymbolToStr32, xFindFactory32, xGetLingoGlobal32, xSendPerform32, xSetLingoGlobal32, xShowMsg32, xfileDlg_Open32, xfileDlg_SaveAs32, xgetStageWindow32, xmem_AppendPtr32, xmem_Clone32, xmem_Copy32, xmem_Dispose32, xmem_Equal32, xmem_GetSize32, xmem_Lock32, xmem_New32, xmem_ReverseBytes32, xmem_SetSize32, xmem_Unlock32, xmem_ZeroPtr32, xstring_New32[/log]

 

 

[Avigast]

[log]AhnLab-V3 2008.8.29.0 2008.08.29 -

AntiVir 7.8.1.23 2008.08.29 -

Authentium 5.1.0.4 2008.08.29 -

Avast 4.8.1195.0 2008.08.29 -

AVG 8.0.0.161 2008.08.29 -

BitDefender 7.2 2008.08.29 -

CAT-QuickHeal 9.50 2008.08.29 -

ClamAV 0.93.1 2008.08.29 -

DrWeb 4.44.0.09170 2008.08.29 -

eSafe 7.0.17.0 2008.08.28 -

eTrust-Vet 31.6.6056 2008.08.29 -

Ewido 4.0 2008.08.29 -

F-Prot 4.4.4.56 2008.08.29 -

F-Secure 7.60.13501.0 2008.08.29 -

Fortinet 3.14.0.0 2008.08.29 -

GData 19 2008.08.29 -

Ikarus T3.1.1.34.0 2008.08.29 -

K7AntiVirus 7.10.432 2008.08.29 -

Kaspersky 7.0.0.125 2008.08.29 -

McAfee 5373 2008.08.29 -

Microsoft 1.3807 2008.08.25 -

NOD32v2 3399 2008.08.29 -

Norman 5.80.02 2008.08.29 -

Panda 9.0.0.4 2008.08.29 -

PCTools 4.4.2.0 2008.08.29 -

Prevx1 V2 2008.08.29 -

Rising 20.59.41.00 2008.08.29 -

Sophos 4.33.0 2008.08.29 -

Sunbelt 3.1.1592.1 2008.08.29 -

Symantec 10 2008.08.29 -

TheHacker 6.3.0.6.067 2008.08.29 -

TrendMicro 8.700.0.1004 2008.08.29 -

VBA32 3.12.8.4 2008.08.29 -

ViRobot 2008.8.29.1355 2008.08.29 -

VirusBuster 4.5.11.0 2008.08.29 -

Webwasher-Gateway 6.6.2 2008.08.29 -

Övrig information

File size: 32 bytes

MD5...: b167cf4a9246a29bff08d7c3368ad62b

SHA1..: 769ab16160c5b924a4896391abe81c0b4811a240

SHA256: 9c17797b7fb70ad1ebf5cb9e98913af60ecca8c4963810539441f8369341388d

SHA512: 3ea1bce90b5ec888752a3ba656ab64ce4157800115f9e9397d4c3d395ce84e08

1c0a1af179067e10a79bb140e62783955f04a68b88786542c41c6510ec61e193

PEiD..: -

TrID..: File type identification

Unknown!

PEInfo: - [/log]

 

[Avigast]

[log]AhnLab-V3 2008.8.29.0 2008.08.29 -

AntiVir 7.8.1.23 2008.08.29 -

Authentium 5.1.0.4 2008.08.29 -

Avast 4.8.1195.0 2008.08.29 -

AVG 8.0.0.161 2008.08.29 -

BitDefender 7.2 2008.08.29 -

CAT-QuickHeal 9.50 2008.08.29 -

ClamAV 0.93.1 2008.08.29 -

DrWeb 4.44.0.09170 2008.08.29 -

eSafe 7.0.17.0 2008.08.28 -

eTrust-Vet 31.6.6056 2008.08.29 -

Ewido 4.0 2008.08.29 -

F-Prot 4.4.4.56 2008.08.29 -

F-Secure 7.60.13501.0 2008.08.29 -

Fortinet 3.14.0.0 2008.08.29 -

GData 19 2008.08.29 -

Ikarus T3.1.1.34.0 2008.08.29 -

K7AntiVirus 7.10.432 2008.08.29 -

Kaspersky 7.0.0.125 2008.08.29 -

McAfee 5373 2008.08.29 -

Microsoft 1.3807 2008.08.25 -

NOD32v2 3399 2008.08.29 -

Norman 5.80.02 2008.08.29 -

Panda 9.0.0.4 2008.08.29 -

PCTools 4.4.2.0 2008.08.29 -

Prevx1 V2 2008.08.29 -

Rising 20.59.41.00 2008.08.29 -

Sophos 4.33.0 2008.08.29 -

Sunbelt 3.1.1592.1 2008.08.29 -

Symantec 10 2008.08.29 -

TheHacker 6.3.0.6.067 2008.08.29 -

TrendMicro 8.700.0.1004 2008.08.29 -

VBA32 3.12.8.4 2008.08.29 -

ViRobot 2008.8.29.1355 2008.08.29 -

VirusBuster 4.5.11.0 2008.08.29 -

Webwasher-Gateway 6.6.2 2008.08.29 -

Övrig information

File size: 32 bytes

MD5...: 22419437fbd2d3cbb3900d63b5b9429b

SHA1..: b624c03931bfbeddd167f8095abf4774ee79ef52

SHA256: 1c788cc5f7b1de11658fca9d6542ddc67f6ce66f5696014a064de0a6e2768f46

SHA512: 1dfc7c53193e4ef3361f8b587920449486a7a836de208f64b5710e53c6916eb7

855f27f864b094c14c80cd926fee0d0a978aadf37780f3d2531fa55cfa4b18fa

PEiD..: -

TrID..: File type identification

Unknown!

PEInfo: - [/log]

 

 

[Cecilia]

Hur fungerar datorn nu?