Just nu i M3-nätverket
Gå till innehåll

Virus åter igen!!!


habbeli

Rekommendera Poster

Hej, nu är det problem igen. Jag har mest troligt fått någonting i datorn som gör[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 01:03:19, on 2008-12-03

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program\AGI\common\win32\PythonService.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\AVG\AVG8\avgwdsvc.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\Program\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\AVG\AVG8\avgrsx.exe

C:\Program\AVG\AVG8\avgemc.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\WINDOWS\system32\iid.exe

C:\Program\AVG\AVG8\avgtray.exe

C:\Program\Java\jre1.6.0_07\bin\jusched.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\Kiwee Toolbar\2.8.167\kwtbaim.exe

C:\Program\Adobe\Reader 8.0\Reader\Reader_sl.exe

C:\Program\iTunes\iTunesHelper.exe

C:\WINDOWS\System32\rs32net.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program\Windows Live\Messenger\MsnMsgr.Exe

C:\Program\Messenger\msmsgs.exe

C:\WINDOWS\System32\rs32net.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\DV Series\Console\Watch.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Windows Live\Messenger\usnsvc.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Delade filer\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program\Delade filer\Teleca Shared\Generic.exe

C:\Program\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Program\Delade filer\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

R3 - URLSearchHook: AGSearchHook Class - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - C:\Program\AGI\common\agcutils.dll

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: AGSearchHook Class - {0BC6E3FA-78EF-4886-842C-5A1258C4455A} - C:\Program\AGI\common\agcutils.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program\AVG\AVG8\avgssie.dll

O2 - BHO: Kiwee Toolbar - {6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - C:\Program\Kiwee Toolbar\2.8.167\KiweeIEToolbar.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Program\AVG\AVG8\avgtoolbar.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\Windows Live Toolbar\msntb.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Program\AVG\AVG8\avgtoolbar.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\Windows Live Toolbar\msntb.dll

O3 - Toolbar: Kiwee Toolbar - {6638A9DE-0745-4292-8A2E-AE530E7B9B3F} - C:\Program\Kiwee Toolbar\2.8.167\KiweeIEToolbar.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [Net iD] C:\WINDOWS\system32\iid.exe

O4 - HKLM\..\Run: [AVG8_TRAY] C:\Program\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [startCCC] "C:\Program\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [KiweeHook] "C:\Program\Kiwee Toolbar\2.8.167\kwtbaim.exe"

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKCU\..\Run: [rs32net] C:\WINDOWS\System32\rs32net.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Watch.lnk = C:\Program\DV Series\Console\Watch.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab

O16 - DPF: {19D6A3D5-EA50-4C3B-88F0-79627C325570} (IlosoftMultipleImageCtrl Class) - http://www.one.com/static/controls/IlosoftMultipleImageUpload.dll

O16 - DPF: {5BF56AD2-E297-416E-BC49-000004080009} - https://cve.trust.telia.com/TeliaElegUpgrade/iidsetup.cab

O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.postfoto.se/aurigma/ImageUploader4.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program\AVG\AVG8\avgpp.dll

O20 - AppInit_DLLs: avgrsstx.dll

O20 - Winlogon Notify: fdiwcblq - fdiwcblq.dll (file missing)

O23 - Service: AG Windows Service (AGWinService) - Unknown owner - C:\Program\AGI\common\win32\PythonService.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgwdsvc.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

 

 

End of file - 9513 bytes[/log]

den slö och allmänt lite underlig, kan någon tyda min HJ?

 

Flyttat LOG-taggar så de gör någon nytta

När du har klistrat in en logg så var vänlig och markera loggen och tryck sedan på LOG-knappen som finns på samma rad som :thumbsdown::thumbsup: i inläggsfönstret.

Cecilia - Moderator för Virus, skadliga program & botemedel

 

[inlägget ändrat 2008-12-03 01:21:25 av Cecilia]

Länk till kommentar
Dela på andra webbplatser

  • Svars 121
  • Skapad
  • Senaste svar

Jaha du hann före Cecilia, jag skulle fixa inlägget men det funkade inte när du var där och "städade":thumbsup:

 

Länk till kommentar
Dela på andra webbplatser

Avinstallera Kiwee Toolbar.

 

Ladda ner SDFix till Skrivbordet:

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Dubbelklicka på SDFix.exe och en ny mapp skapas, C:\SDFix.

 

[log]Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Öppna den nya mappen C:\SDFix och dubbelklicka på RunThis.bat för att starta programmet.

Tryck OK och senare Y följt av Enter för att fortsätta.

Det arbetar ett tag och när det är klart så kommer det upp en fråga om du vill starta om datorn.

Tryck på godtycklig tangent för att omstarten ska påbörjas.

Datorn kommer att ta lång tid på sig under uppstarten eftersom programmet kommer att gå igång och fixa till en massa.

När det är klart visas Finished.

Tryck på valfri tangent för att avsluta programmet.

 

Om SDFix inte startar automatiskt efter omstarten av datorn så startar du Runthis.bat som förut men trycker F i stället för Y.

 

Om loggen inte kommer upp automatiskt så öppna mappen SDFix och öppna filen Report.txt i Anteckningar.

Klistra in innehållet i loggen i ditt svar här.

Skapa en ny HijackThis-logg också och klistra in här.[/log]

 

Länk till kommentar
Dela på andra webbplatser

Tangentbordet har ingen kontakt med datorn under uppstarten så jag kan inte välja felsäkert läge. Hu gör jag då?

Jag körde nyss Malwarebytes och den hittade 17 objekt men inte är datorn som den ska ändå.

Jag har dessutom provat 2 olika tangentbord men det går inte att starta i felsäkert läge.

 

[inlägget ändrat 2008-12-03 02:38:35 av habbeli]

Länk till kommentar
Dela på andra webbplatser

Starta Malwarebytes' Anti-Malware (MBAM) och på fliken Loggar så öppnar du den loggen där de 17 objekten hittades och så klistra in den i ditt svar tillsammans med en ny HijackThis-logg.

 

Länk till kommentar
Dela på andra webbplatser

Här kommer dom:

 

[log]Malwarebytes' Anti-Malware 1.30

Databasversion: 1437

Windows 5.1.2600 Service Pack 3

 

2008-12-03 02:30:16

mbam-log-2008-12-03 (02-30-16).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 56691

Förfluten tid: 5 minute(s), 21 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 1

Infekterade registervärden: 2

Infekterade registerdataposter: 2

Infekterade mappar: 0

Infekterade filer: 12

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\restore (Rootkit.Agent) -> Quarantined and deleted successfully.

 

Infekterade registervärden:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rs32net (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\rs32net (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

 

Infekterade registerdataposter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\WINDOWS\system32\rs32net.exe (Trojan.FakeAlert.H) -> Delete on reboot.

C:\Documents and Settings\Hans Lindfors\Lokala inställningar\Temp\BN10.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Hans Lindfors\Lokala inställningar\Temp\BN11.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Hans Lindfors\Lokala inställningar\Temp\BN12.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Hans Lindfors\Lokala inställningar\Temp\BN13.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Hans Lindfors\Lokala inställningar\Temp\BN16.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Hans Lindfors\Lokala inställningar\Temp\BN1B.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Hans Lindfors\Lokala inställningar\Temp\BN1D.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Hans Lindfors\Lokala inställningar\Temp\BNA.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Hans Lindfors\Lokala inställningar\Temp\BNB.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Hans Lindfors\Lokala inställningar\Temp\BND.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Hans Lindfors\Lokala inställningar\Temp\BNE.tmp (Rootkit.Agent) -> Quarantined and deleted successfully.

[/log]

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:44:57, on 2008-12-03

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\AVG\AVG8\avgwdsvc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Bonjour\mDNSResponder.exe

C:\Program\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\RunDll32.exe

C:\Program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\WINDOWS\system32\iid.exe

C:\Program\AVG\AVG8\avgtray.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program\Java\jre1.6.0_07\bin\jusched.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Windows Live\Messenger\MsnMsgr.Exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program\Messenger\msmsgs.exe

C:\Program\DV Series\Console\Watch.exe

C:\Program\AVG\AVG8\avgrsx.exe

C:\Program\AVG\AVG8\avgemc.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\Windows Live\Messenger\usnsvc.exe

C:\Program\Delade filer\Teleca Shared\Generic.exe

C:\Program\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Program\Delade filer\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Program\AVG\AVG8\avgtoolbar.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\Windows Live Toolbar\msntb.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Program\AVG\AVG8\avgtoolbar.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [Net iD] C:\WINDOWS\system32\iid.exe

O4 - HKLM\..\Run: [AVG8_TRAY] C:\Program\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [startCCC] "C:\Program\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Watch.lnk = C:\Program\DV Series\Console\Watch.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab

O16 - DPF: {19D6A3D5-EA50-4C3B-88F0-79627C325570} (IlosoftMultipleImageCtrl Class) - http://www.one.com/static/controls/IlosoftMultipleImageUpload.dll

O16 - DPF: {5BF56AD2-E297-416E-BC49-000004080009} - https://cve.trust.telia.com/TeliaElegUpgrade/iidsetup.cab

O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - http://www.postfoto.se/aurigma/ImageUploader4.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program\AVG\AVG8\avgpp.dll

O20 - AppInit_DLLs: avgrsstx.dll

O20 - Winlogon Notify: fdiwcblq - fdiwcblq.dll (file missing)

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgwdsvc.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

 

--

End of file - 7925 bytes

[/log]

 

Länk till kommentar
Dela på andra webbplatser

Kunde inte redigera mitt inlägg ovan. Jag har nog hittat felet med tangentbordet nu, jag kör det via usb-port så jag ska koppla om det så kanske det funkar sen. Nu var det ju att hitta kontakten/övergången till det :)

 

Länk till kommentar
Dela på andra webbplatser

Ställ in Utforskaren så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

 

Töm mappen C:\Documents and Settings\Hans Lindfors\Lokala inställningar\Temp på så många filer som möjligt.

 

Skanna med HijackThis och bocka för:

 

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.

cab

O20 - Winlogon Notify: fdiwcblq - fdiwcblq.dll (file missing)

 

Avsluta alla andra program.

Tryck Fix checked.

 

Starta om datorn och kontrollera att ovanstående rader är borta ur en ny HijackThis-logg.

Skanna med MBAM igen, om något hittas så klistra in den loggen igen.

Hur fungerar datorn nu?

 

Länk till kommentar
Dela på andra webbplatser

MBAM hittade 2 poster igen så här kommer loggarna:

[log]Malwarebytes' Anti-Malware 1.30

Databasversion: 1454

Windows 5.1.2600 Service Pack 3

 

2008-12-03 21:32:45

mbam-log-2008-12-03 (21-32-45).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 56610

Förfluten tid: 4 minute(s), 25 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 2

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: c:\windows\system32\userinit.exe -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit (Trojan.Agent) -> Data: system32\userinit.exe -> Quarantined and deleted successfully.

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

[/log]

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:36:15, on 2008-12-03

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16735)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\AVG\AVG8\avgwdsvc.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\Program\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\AVG\AVG8\avgrsx.exe

C:\Program\AVG\AVG8\avgemc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\WINDOWS\system32\iid.exe

C:\Program\AVG\AVG8\avgtray.exe

C:\Program\Java\jre1.6.0_07\bin\jusched.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Windows Live\Messenger\MsnMsgr.Exe

C:\Program\Messenger\msmsgs.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program\DV Series\Console\Watch.exe

C:\Program\Delade filer\Teleca Shared\Generic.exe

C:\Program\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Delade filer\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program\AVG\AVG8\avgssie.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Program\AVG\AVG8\avgtoolbar.dll

O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\Windows Live Toolbar\msntb.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - C:\Program\AVG\AVG8\avgtoolbar.dll

O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\Windows Live Toolbar\msntb.dll

O4 - HKLM\..\Run: [Cmaudio] RunDll32 cmicnfg.cpl,CMICtrlWnd

O4 - HKLM\..\Run: [sony Ericsson PC Suite] "C:\Program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions

O4 - HKLM\..\Run: [Net iD] C:\WINDOWS\system32\iid.exe

O4 - HKLM\..\Run: [AVG8_TRAY] C:\Program\AVG\AVG8\avgtray.exe

O4 - HKLM\..\Run: [startCCC] "C:\Program\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre1.6.0_07\bin\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [AlcoholAutomount] "C:\Program\Alcohol Soft\Alcohol 120\axcmd.exe" /automount

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: Watch.lnk = C:\Program\DV Series\Console\Watch.exe

O8 - Extra context menu item: &Windows Live Search - res://C:\Program\Windows Live Toolbar\msntb.dll/search.htm

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office10\EXCEL.EXE/3000

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {19D6A3D5-EA50-4C3B-88F0-79627C325570} (IlosoftMultipleImageCtrl Class) - http://www.one.com/static/controls/IlosoftMultipleImageUpload.dll

O16 - DPF: {5BF56AD2-E297-416E-BC49-000004080009} - https://cve.trust.telia.com/TeliaElegUpgrade/iidsetup.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program\AVG\AVG8\avgpp.dll

O20 - AppInit_DLLs: avgrsstx.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: AVG8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgemc.exe

O23 - Service: AVG8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgwdsvc.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: StarWind AE Service (StarWindServiceAE) - Rocket Division Software - C:\Program\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

 

--

End of file - 7520 bytes

[/log]

 

Länk till kommentar
Dela på andra webbplatser

Ska jag ändra tillbaka:

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

eller ska jag låta dom stå kvar så?

 

Länk till kommentar
Dela på andra webbplatser

Surfa till http://www.virustotal.com klistra in följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här.

c:\windows\system32\userinit.exe

 

Tillägg:

Ska jag ändra tillbaka:

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

eller ska jag låta dom stå kvar så?

Låt det vara tills datorn är ren.

 

[inlägget ändrat 2008-12-03 22:31:05 av Cecilia]

Länk till kommentar
Dela på andra webbplatser

Hoppas det blev rätt nu:

[log]Antivirus Version Senaste Uppdatering Resultat

AhnLab-V3 2008.11.21.0 2008.11.22 -

AntiVir 7.9.0.35 2008.11.21 -

Authentium 5.1.0.4 2008.11.22 -

Avast 4.8.1281.0 2008.11.21 -

AVG 8.0.0.199 2008.11.22 -

BitDefender 7.2 2008.11.22 -

CAT-QuickHeal 10.00 2008.11.21 (Suspicious) - DNAScan

ClamAV 0.94.1 2008.11.22 -

DrWeb 4.44.0.09170 2008.11.22 -

eSafe 7.0.17.0 2008.11.19 -

eTrust-Vet 31.6.6222 2008.11.22 -

Ewido 4.0 2008.11.22 -

F-Prot 4.4.4.56 2008.11.22 -

F-Secure 8.0.14332.0 2008.11.22 -

Fortinet 3.117.0.0 2008.11.22 -

GData 19 2008.11.22 -

Ikarus T3.1.1.45.0 2008.11.22 Trojan-Downloader.Win32.Obitel

K7AntiVirus 7.10.531 2008.11.22 -

Kaspersky 7.0.0.125 2008.11.22 -

McAfee 5441 2008.11.21 -

McAfee+Artemis 5441 2008.11.21 Generic!Artemis

Microsoft 1.4104 2008.11.22 TrojanDownloader:Win32/Obitel.gen!A

NOD32 3632 2008.11.21 -

Norman 5.80.02 2008.11.21 -

Panda 9.0.0.4 2008.11.22 -

PCTools 4.4.2.0 2008.11.22 -

Prevx1 V2 2008.11.22 -

Rising 21.04.52.00 2008.11.22 -

SecureWeb-Gateway 6.7.6 2008.11.22 -

Sophos 4.35.0 2008.11.22 -

Sunbelt 3.1.1823.2 2008.11.22 -

Symantec 10 2008.11.22 -

TheHacker 6.3.1.1.159 2008.11.19 -

TrendMicro 8.700.0.1004 2008.11.22 PAK_Generic.001

VBA32 3.12.8.9 2008.11.21 -

ViRobot 2008.11.18.1474 2008.11.18 -

VirusBuster 4.5.11.0 2008.11.22 -

[/log]

 

Länk till kommentar
Dela på andra webbplatser

På sidan http://www.skickafilen.se/ så klistrar du in c:\windows\system32\userinit.exe i rutan och som e-postadress så anger du min e-post som du ser när du trycker på Anv.info här under. Då kan jag hämta filen och skicka den vidare till antivirusföretagen eftersom det var så få som upptäckte den.

 

Ladda ner programmet SmitfraudFix (by S!Ri) till Skrivbordet:

http://siri.urz.free.fr/Fix/SmitfraudFix.exe

XP: Dubbelklicka på den nedladdade filen Smitfraudfix.exe.

Vista: Högerklicka på den nedladdade filen Smitfraudfix.exe och välj Kör som administratör.

Först kommer en uppmaning att trycka på någon tangent så gör det.

Välj sedan alternativ 1 - Search genom att trycka på 1 och Enter.

Programmet kommer att skanna igenom datorn.

När den är klart visas resultatet och programmet har skapat loggfilen C:\rapport.txt.

 

Klistra in innehållet i loggfilen i ditt svar här.

 

Gör inget annat med SmitfraudFix.

 

Länk till kommentar
Dela på andra webbplatser

Och här kommer den:

[log]SmitFraudFix v2.381

 

Scan done at 0:49:21,57, 2008-12-04

Run from C:\Documents and Settings\Hans Lindfors\Skrivbord\SmitfraudFix

OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT

The filesystem type is NTFS

Fix run in normal mode

 

»»»»»»»»»»»»»»»»»»»»»»»» Process

 

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\AVG\AVG8\avgwdsvc.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\Program\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\AVG\AVG8\avgrsx.exe

C:\Program\AVG\AVG8\avgemc.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RunDll32.exe

C:\Program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe

C:\WINDOWS\system32\iid.exe

C:\Program\AVG\AVG8\avgtray.exe

C:\Program\Java\jre1.6.0_07\bin\jusched.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Windows Live\Messenger\MsnMsgr.Exe

C:\Program\Messenger\msmsgs.exe

C:\Program\iPod\bin\iPodService.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program\DV Series\Console\Watch.exe

C:\Program\Delade filer\Teleca Shared\Generic.exe

C:\Program\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe

C:\Program\Delade filer\Microsoft Shared\Windows Live\WLLoginProxy.exe

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\cmd.exe

 

»»»»»»»»»»»»»»»»»»»»»»»» hosts

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32

 

C:\WINDOWS\system32\userinit.exe infected !

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Hans Lindfors

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HANSLI~1\LOKALA~1\Temp

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Hans Lindfors\Application Data

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Start Menu

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\HANSLI~1\FAVORI~1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop

 

 

»»»»»»»»»»»»»»»»»»»»»»»» C:\Program

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]

"Source"="About:Home"

"SubscribedURL"="About:Home"

"FriendlyName"="Min aktuella startsida"

 

 

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch

!!!Attention, following keys are not inevitably infected!!!

 

o4Patch

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» IEDFix

!!!Attention, following keys are not inevitably infected!!!

 

IEDFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» VACFix

!!!Attention, following keys are not inevitably infected!!!

 

VACFix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» 404Fix

!!!Attention, following keys are not inevitably infected!!!

 

404Fix

Credits: Malware Analysis & Diagnostic

Code: S!Ri

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler

!!!Attention, following keys are not inevitably infected!!!

 

SrchSTS.exe by S!Ri

Search SharedTaskScheduler's .dll

 

 

»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"="avgrsstx.dll"

"LoadAppInit_DLLs"=dword:00000001

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Winlogon

!!!Attention, following keys are not inevitably infected!!!

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]

"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

"System"=""

 

 

»»»»»»»»»»»»»»»»»»»»»»»» RK

 

 

 

»»»»»»»»»»»»»»»»»»»»»»»» DNS

 

Description: VIA Compatable Fast Ethernet Adapter - Miniport för paketschemaläggning

DNS Server Search Order: 192.168.1.1

 

HKLM\SYSTEM\CCS\Services\Tcpip\..\{EC248FE1-8D91-4231-874A-B1B2CD743ABB}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\..\{EC248FE1-8D91-4231-874A-B1B2CD743ABB}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\..\{EC248FE1-8D91-4231-874A-B1B2CD743ABB}: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=192.168.1.1

 

 

»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection

 

 

»»»»»»»»»»»»»»»»»»»»»»»» End

 

[/log]

 

Länk till kommentar
Dela på andra webbplatser

Tack för filen! :thumbsup:

 

Den här filen userinit.exe är infekterad som du såg, men det finns också en riktig windows-fil med det namnet som behövs under uppstarten av windows. Infektionen har bytt namn på den riktiga till något annat, stoppat in sig själv i stället och när den då blir anropad så anropar den den riktiga förutom att göra det illasinnade. Om man bara tar bort den infekterade filen så kommer inte Windows att starta. Det är meningen att SmitfraudFix ska återställa den riktiga så att uppstarten funkar, men för säkerhets skull så ska du installera en återställningskonsol som gör att du kan göra en systemåterställning även om Windows inte startar.

 

Alternativ 1: Du har en CD med Windows XP

[log]Stoppa in CDn

Start - Kör

Skriv in

x:\i386\winnt32.exe /cmdcons

där du byter ut x mot den bokstav som CDn har.

Tryck på OK

Svara Ja på frågan om du vill installera återställningskonsolen.

Programmet kommer att kontakta Microsoft för att få de senaste filerna.

Tryck på OK när det är klart.

 

För att inte Återställningskonsolen ska fråga efter ett lösenord så gör på följande sätt:

Start - Kör

regedit

Leta upp HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Setup\RecoveryConsole i vänsterkolumnen.

Ändra värdet på SecurityLevel till 1

Stäng regedit

Starta om datorn. Kolla att det snabbt visas ett menyval med återställningskonsolen.[/log]

 

Alternativ 2: Du har inte en CD med Windows XP

[log]Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Surfa till http://support.microsoft.com/kb/310994

se till att språket på sidan matchar språket i Windows (språk väljs i högerkolumnen), om du inte har XP Media Center Edition för då ska du ha engelska.

 

Skrolla ner till rubriken Hämta programfilen för installationsdisketterna

Välj rätt nedladdning utifrån vilken Service Pack du har installerat till XP. Om du har SP3 så välj SP2.

Om du har XP Media Center Edition så välj XP Professional.

Spara den nedladdade filen på Skrivbordet.

 

När nedladdningen är klar så drar du den nedladdade filen med musen över Skrivbordet och släpper den på ComboFix-ikonen.

ComboFix kommer då att installera Återställningskonsolen.

När det är klart så kommer ComboFix att fråga om du vill fortsätta med att skanna, där väljer du No/Nej.

Starta om datorn. Kolla att det snabbt visas ett menyval med återställningskonsolen.[/log]

 

Skapa en systemåterställningspunkt i Start - Program - Tillbehör - Systemverktyg - Systemåterställning.

 

Om du känner dig säker på att allt ovan har gått bra så fortsätt.

Starta om datorn i felsäkert läge genom att trycka F8 upprepade gånger under uppstarten och välja Felsäkert i menyn.

 

[log]Dubbelklicka på smitfraudfix.exe för att starta programmet.

Välj alternativ 2 genom att trycka 2 och Enter.

Vänta på att verktyget blir klart och diskrensningen avslutas.

Under tiden så kommer det en fråga om du vill rensa registret (clean the registry) svara ja (Yes) genom att trycka Y och Enter.

 

Om datorn inte startar om av sig själv så gör du det.

Även denna gång ska det vara felsäkert läge.

 

Starta om datorn i normalt läge.

 

I ditt svar så klistra in den nyss skapade C:\rapport.txt.[/log]

 

Länk till kommentar
Dela på andra webbplatser

Jaha, nu har jag fixat allt fram till att starta datorn i felsäkert läge. Det går inte,,,,,jag har provat flera olika t-bord både usb och ps2. Usb-borden får ingen drivström innan windows startar upp och ps2-uttaget har ingen som helst kontakt med t-borden, helt stendött. Vad ska jag hitta på???

Jag blir tokig snart.

 

Länk till kommentar
Dela på andra webbplatser

Dra ur internetanslutningen och stäng av alla program du ser inklusive antivirusprogram, antispionprogram och brandvägg.

Kör ComboFix och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram och brandvägg är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

 

Länk till kommentar
Dela på andra webbplatser

Och här är den:

[log]ComboFix 08-12-02.02 - Hans Lindfors 2008-12-05 18:16:39.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1053.18.418 [GMT 1:00]

Running from: c:\documents and settings\Hans Lindfors\Skrivbord\ComboFix.exe

.

 

((((((((((((((((((((((((( Files Created from 2008-11-05 to 2008-12-05 )))))))))))))))))))))))))))))))

.

 

2008-12-04 00:49 . 2008-12-04 00:49 2,616 --a------ c:\windows\system32\tmp.reg

2008-12-04 00:48 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe

2008-12-04 00:48 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe

2008-12-04 00:48 . 2008-10-01 14:51 87,552 --a------ c:\windows\system32\VACFix.exe

2008-12-04 00:48 . 2008-11-29 17:58 82,944 --a------ c:\windows\system32\o4Patch.exe

2008-12-04 00:48 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe

2008-12-04 00:48 . 2008-11-29 17:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe

2008-12-04 00:48 . 2008-08-18 11:19 82,432 --a------ c:\windows\system32\404Fix.exe

2008-12-04 00:48 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe

2008-12-04 00:48 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe

2008-12-04 00:48 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe

2008-11-24 17:59 . 2008-12-04 00:06 <KAT> d----c--- c:\documents and settings\Hans Lindfors\Application Data\expert-se-photo-manager

2008-11-24 17:58 . 2008-11-24 17:58 <KAT> d-------- c:\program\expert-se-photo-manager

2008-11-24 17:58 . 2008-11-24 17:58 <KAT> d-------- c:\program\Delade filer\PyApp Runtime 1.1

2008-11-24 17:58 . 2008-06-21 12:44 323,624 --a------ c:\windows\system32\wiaaut.dll

2008-11-24 05:17 . 2008-11-24 05:17 <KAT> d----c--- c:\documents and settings\Hans Lindfors\Application Data\vlc

2008-11-24 05:17 . 2008-11-24 05:57 <KAT> d----c--- c:\documents and settings\Hans Lindfors\Application Data\dvdcss

2008-11-22 20:23 . 2008-11-22 20:23 <KAT> d-------- c:\program\iPod

2008-11-22 20:22 . 2008-11-22 20:23 <KAT> d-------- c:\program\iTunes

2008-11-22 20:22 . 2008-11-22 20:23 <KAT> d----c--- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2008-11-22 20:20 . 2008-11-22 20:21 <KAT> d-------- c:\program\QuickTime

2008-11-22 14:18 . 2008-04-14 17:05 26,112 --a------ c:\windows\system32\stu2.exe

2008-11-16 23:23 . 2008-11-16 23:23 33 --a------ c:\windows\Multimedia manager.INI

2008-11-15 20:05 . 2008-11-15 20:05 <KAT> d-------- c:\documents and settings\NetworkService\Application Data\agi

2008-11-13 03:17 . 2008-11-13 03:17 <KAT> d-------- c:\program\Bonjour

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-12-04 00:44 26,112 ----a-w c:\windows\system32\userinit.exe

2008-11-30 14:03 --------- d-----w c:\program\Malwarebytes' Anti-Malware

2008-11-25 19:41 --------- dc----w c:\documents and settings\Hans Lindfors\Application Data\uTorrent

2008-11-24 04:17 --------- dc----w c:\documents and settings\Hans Lindfors\Application Data\vlc

2008-11-24 04:14 --------- d-----w c:\program\VideoLAN

2008-11-22 19:20 --------- d-----w c:\program\Delade filer\Apple

2008-11-13 16:09 --------- d-----w c:\program\Apple Software Update

2008-11-12 19:03 --------- d-----w c:\program\Delade filer\Adobe

2008-11-04 18:18 339,968 ----a-w c:\windows\system32\pythoncom25.dll

2008-11-04 18:18 2,117,632 ----a-w c:\windows\system32\python25.dll

2008-11-04 18:18 114,688 ----a-w c:\windows\system32\pywintypes25.dll

2008-11-04 18:18 --------- d-----w c:\documents and settings\LocalService\Application Data\agi

2008-10-31 17:19 --------- d-----w c:\program\Delade filer\xing shared

2008-10-31 17:19 --------- d-----w c:\program\Delade filer\Real

2008-10-30 14:47 --------- dc----w c:\documents and settings\All Users\Application Data\WLInstaller

2008-10-24 14:14 --------- d-----w c:\program\Windows Live Toolbar

2008-10-24 14:12 --------- dcsh--w c:\program\Delade filer\WindowsLiveInstaller

2008-10-24 14:03 --------- d-----w c:\program\Windows Desktop Search

2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys

2008-10-24 00:20 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.003\Application Data\uTorrent

2008-10-24 00:04 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.003\Application Data\AVGTOOLBAR

2008-10-23 23:41 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.003\Application Data\Teleca

2008-10-23 23:40 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.003\Application Data\ATI

2008-10-23 23:39 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.003\Application Data\Sony Ericsson

2008-10-23 23:39 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.003\Application Data\iid

2008-10-23 22:43 --------- d-----w c:\program\DVDInfoPro

2008-10-23 22:42 --------- dc----w c:\documents and settings\Hans Lindfors\Application Data\Windows Search

2008-10-23 22:42 --------- dc----w c:\documents and settings\Hans Lindfors\Application Data\Windows Desktop Search

2008-10-23 22:42 --------- dc----w c:\documents and settings\All Users\Application Data\SecTaskMan

2008-10-23 22:42 --------- d-----w c:\program\FW_ND-3520A_307win

2008-10-23 22:42 --------- d-----w c:\program\Eusing Free Registry Cleaner

2008-10-23 22:38 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.002\Application Data\Teleca

2008-10-23 22:38 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.002\Application Data\Sony Ericsson

2008-10-23 22:31 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.001\Application Data\Teleca

2008-10-23 22:30 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.001\Application Data\Sony Ericsson

2008-10-23 18:33 --------- d-----w c:\program\Windows Live

2008-10-22 22:41 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.000\Application Data\Teleca

2008-10-22 22:40 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.000\Application Data\Sony Ericsson

2008-10-22 22:20 570,410 -c--a-w c:\program\FW_ND-3520A_307win.zip

2008-10-22 21:56 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A\Application Data\Teleca

2008-10-22 21:55 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A\Application Data\Sony Ericsson

2008-10-22 19:26 --------- dc----w c:\documents and settings\Administratör\Application Data\AVGTOOLBAR

2008-10-22 19:19 --------- dc----w c:\documents and settings\Administratör\Application Data\Windows Desktop Search

2008-10-22 19:19 --------- dc----w c:\documents and settings\Administratör\Application Data\Teleca

2008-10-22 19:19 --------- dc----w c:\documents and settings\Administratör\Application Data\ATI

2008-10-22 19:18 --------- dc----w c:\documents and settings\Administratör\Application Data\Sony Ericsson

2008-10-22 19:18 --------- dc----w c:\documents and settings\Administratör\Application Data\iid

2008-10-22 18:27 6,892 -c--a-w c:\program\XP_CD-DVD-Fix.zip

2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2008-10-19 19:44 --------- dc----w c:\documents and settings\All Users\Application Data\DVD Shrink

2008-10-19 19:44 --------- d-----w c:\program\DVD Shrink

2008-10-19 19:43 --------- d-----w c:\program\dvdshrink32setup1

2008-10-19 19:42 273,518 -c--a-w c:\program\dvdshrink32setup.zip

2008-10-19 19:06 1,094,021 -c--a-w c:\program\dvdshrink32setup1.zip

2008-10-19 18:17 --------- d-----w c:\program\Alcohol Soft

2008-10-19 18:14 715,248 ----a-w c:\windows\system32\drivers\sptd.sys

2008-10-19 18:12 9,868,672 -c--a-w c:\program\Alcohol120_trial_1.9.7.6022.exe

2008-10-19 16:47 10,511,712 -c--a-w c:\program\winzip120.exe

2008-10-19 16:14 --------- d-----w c:\program\DVD Decrypter

2008-10-16 13:13 202,776 ----a-w c:\windows\system32\wuweb.dll

2008-10-16 13:13 1,809,944 ----a-w c:\windows\system32\wuaueng.dll

2008-10-16 13:12 561,688 ----a-w c:\windows\system32\wuapi.dll

2008-10-16 13:12 323,608 ----a-w c:\windows\system32\wucltui.dll

2008-10-16 13:09 92,696 ----a-w c:\windows\system32\cdm.dll

2008-10-16 13:09 51,224 ----a-w c:\windows\system32\wuauclt.exe

2008-10-16 13:09 43,544 -c--a-w c:\windows\system32\wups2.dll

2008-10-16 13:08 34,328 -c--a-w c:\windows\system32\wups.dll

2008-10-16 13:06 268,648 ----a-w c:\windows\system32\mucltui.dll

2008-10-16 13:06 208,744 ----a-w c:\windows\system32\muweb.dll

2008-10-09 15:05 --------- dc----w c:\documents and settings\Hans Lindfors\Application Data\Malwarebytes

2008-10-09 15:05 --------- dc----w c:\documents and settings\All Users\Application Data\Malwarebytes

2008-09-30 15:43 1,286,152 ----a-w c:\windows\system32\msxml4.dll

2008-09-16 16:26 1,332,197 ----a-w c:\windows\system32\pythondll.zip

2008-09-15 15:27 1,846,400 ----a-w c:\windows\system32\win32k.sys

2008-09-10 01:16 1,307,648 -c--a-w c:\windows\system32\msxml6.dll

2008-08-21 21:37 32,768 -csha-w c:\windows\system32\config\systemprofile\Lokala inställningar\Tidigare\History.IE5\MSHist012008082120080822\index.dat

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"AlcoholAutomount"="c:\program\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-12-22 222080]

"MsnMsgr"="c:\program\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"MSMSGS"="c:\program\Messenger\msmsgs.exe" [2008-04-14 1695232]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sony Ericsson PC Suite"="c:\program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384]

"Net iD"="c:\windows\system32\iid.exe" [2008-02-22 74992]

"AVG8_TRAY"="c:\program\AVG\AVG8\avgtray.exe" [2008-11-27 1261336]

"StartCCC"="c:\program\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]

"SunJavaUpdateSched"="c:\program\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"TkBellExe"="c:\program\Delade filer\Real\Update_OB\realsched.exe" [2008-10-31 185872]

"Adobe Reader Speed Launcher"="c:\program\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"QuickTime Task"="c:\program\QuickTime\QTTask.exe" [2008-11-04 413696]

"iTunesHelper"="c:\program\iTunes\iTunesHelper.exe" [2008-11-20 290088]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Start-meny\Program\AutostartAdobe Gamma Loader.lnk - c:\program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe [2007-03-05 110592]

Watch.lnk - c:\program\DV Series\Console\Watch.exe [2007-12-19 217088]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=avgrsstx.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.hfyu"= huffyuv.dll

"msacm.divxa32"= DivXa32.acm

"VIDC.SP55"= SP5X_32.DLL

"VIDC.SP56"= SP5X_32.DLL

"VIDC.SP57"= SP5X_32.DLL

"VIDC.SP58"= SP5X_32.DLL

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0bexx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1dgxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1nqxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1ycxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati2dgxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3uwxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3ycxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati5jlxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati5knxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6adxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6knxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6vyxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8prxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8ycxx.sys]

@="Driver"

 

[HKLM\~\startupfolder\C:^Documents and Settings^Hans Lindfors^Start-meny^Program^Autostart^OpenOffice.org 2.4.lnk]

path=c:\documents and settings\Hans Lindfors\Start-meny\Program\Autostart\OpenOffice.org 2.4.lnk

backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-10-15 01:04 39792 c:\program\Adobe\Reader 8.0\Reader\reader_sl.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program\\utorrent\\utorrent.exe"=

"c:\\Program\\AVG\\AVG8\\avgupd.exe"=

"c:\\Program\\AVG\\AVG8\\avgemc.exe"=

"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=

"c:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

"c:\\Program\\Bonjour\\mDNSResponder.exe"=

"c:\\Program\\iTunes\\iTunes.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"42101:TCP"= 42101:TCP:utorrent

 

R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-06-15 97928]

R2 avg8emc;AVG8 E-mail Scanner;c:\program\AVG\AVG8\avgemc.exe [2008-08-09 875288]

R2 avg8wd;AVG8 WatchDog;c:\program\AVG\AVG8\avgwdsvc.exe [2008-08-09 231704]

R2 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2008-06-15 76040]

S0 ati0bexx;ati0bexx;c:\windows\system32\Drivers\ati0bexx.sys []

S0 ati1dgxx;ati1dgxx;c:\windows\system32\Drivers\ati1dgxx.sys []

S0 ati1nqxx;ati1nqxx;c:\windows\system32\Drivers\ati1nqxx.sys []

S0 ati1ycxx;ati1ycxx;c:\windows\system32\Drivers\ati1ycxx.sys []

S0 ati2dgxx;ati2dgxx;c:\windows\system32\Drivers\ati2dgxx.sys []

S0 ati3uwxx;ati3uwxx;c:\windows\system32\Drivers\ati3uwxx.sys []

S0 ati3ycxx;ati3ycxx;c:\windows\system32\Drivers\ati3ycxx.sys []

S0 ati5jlxx;ati5jlxx;c:\windows\system32\Drivers\ati5jlxx.sys []

S0 ati5knxx;ati5knxx;c:\windows\system32\Drivers\ati5knxx.sys []

S0 ati6adxx;ati6adxx;c:\windows\system32\Drivers\ati6adxx.sys []

S0 ati6knxx;ati6knxx;c:\windows\system32\Drivers\ati6knxx.sys []

S0 ati6vyxx;ati6vyxx;c:\windows\system32\Drivers\ati6vyxx.sys []

S0 ati8prxx;ati8prxx;c:\windows\system32\Drivers\ati8prxx.sys []

S0 ati8ycxx;ati8ycxx;c:\windows\system32\Drivers\ati8ycxx.sys []

S2 Ca533av;Icatch(IV) Video Camera Device;c:\windows\system32\Drivers\Ca533av.sys []

S2 Ca536av;4.0M MPEG4 DV Video Capture;c:\windows\system32\Drivers\Ca536av.sys [2007-12-20 514155]

S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2007-11-13 13352]

S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\DRIVERS\s115bus.sys [2007-12-31 83208]

S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s115mdfl.sys [2007-12-31 15112]

S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s115mdm.sys [2007-12-31 108680]

S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s115mgmt.sys [2007-12-31 100488]

S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s115obex.sys [2007-12-31 98568]

S3 s125bus;Sony Ericsson Device 125 driver (WDM);c:\windows\system32\DRIVERS\s125bus.sys [2007-12-31 83336]

S3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s125mdfl.sys [2007-12-31 15112]

S3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s125mdm.sys [2007-12-31 108680]

S3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s125mgmt.sys [2007-12-31 100488]

S3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s125obex.sys [2007-12-31 98696]

S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);c:\windows\system32\DRIVERS\sea1bus.sys [2007-12-17 61536]

S3 SUSCOM;Susteen Serial port driver;c:\windows\system32\DRIVERS\SUSCOM.SYS [2002-10-22 39680]

S3 USBCamera;Icatch(IV) Still Camera Device;c:\windows\system32\Drivers\Bulk533.sys []

.

Contents of the 'Scheduled Tasks' folder

 

2008-11-22 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

 

2008-12-05 c:\windows\Tasks\Kontrollera uppdateringar för Windows Live Toolbar.job

- c:\program\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20]

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.se/

uInternet Settings,ProxyOverride = *.local

IE: &Windows Live Search - c:\program\Windows Live Toolbar\msntb.dll/search.htm

IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\Office10\EXCEL.EXE/3000

 

O16 -: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab

c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

 

c:\windows\Downloaded Program Files\IlosoftMultipleImageUpload.dll - O16 -: {19D6A3D5-EA50-4C3B-88F0-79627C325570}

hxxp://www.one.com/static/controls/IlosoftMultipleImageUpload.dll

 

O16 -: {5BF56AD2-E297-416E-BC49-000004080009} - hxxps://cve.trust.telia.com/TeliaElegUpgrade/iidsetup.cab

c:\windows\Downloaded Program Files\iidsetup.inf

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-05 18:18:55

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'winlogon.exe'(664)

c:\windows\system32\avgrsstx.dll

c:\windows\system32\Ati2evxx.dll

 

- - - - - - - > 'lsass.exe'(772)

c:\windows\system32\avgrsstx.dll

.

Completion time: 2008-12-05 18:20:07

ComboFix-quarantined-files.txt 2008-12-05 17:19:43

ComboFix2.txt 2008-12-04 00:50:12

 

Pre-Run: 11 619 827 712 byte ledigt

Post-Run: 11,611,508,736 byte ledigt

 

275 --- E O F --- 2008-10-23 22:50:10

[/log]

 

Länk till kommentar
Dela på andra webbplatser

Surfa till http://www.virustotal.com klistra in följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här.

c:\windows\system32\stu2.exe

 

Starta Enhetshanteraren (högerklick på Den här datorn - Hantera) och välj att visa Dolda enheter i Visa-menyn. Leta efter följande:

ati0bexx

ati1dgxx

ati1nqxx

ati1ycxx

ati2dgxx

ati3uwxx

ati3ycxx

ati5jlxx

ati5knxx

ati6adxx

ati6knxx

ati6vyxx

ati8prxx

ati8ycxx

 

Högerklicka på dem och välj Inaktivera

Starta om datorn.

 

Länk till kommentar
Dela på andra webbplatser

Då kör vi igen:

[log]Antivirus Version Senaste Uppdatering Resultat

AhnLab-V3 2008.11.28.2 2008.11.29 -

AntiVir 7.9.0.36 2008.11.29 -

Authentium 5.1.0.4 2008.11.30 -

Avast 4.8.1281.0 2008.11.29 -

AVG 8.0.0.199 2008.11.29 -

BitDefender 7.2 2008.11.30 -

CAT-QuickHeal 10.00 2008.11.29 -

ClamAV 0.94.1 2008.11.30 -

DrWeb 4.44.0.09170 2008.11.29 -

eSafe 7.0.17.0 2008.11.27 -

eTrust-Vet 31.6.6234 2008.11.28 -

Ewido 4.0 2008.11.29 -

F-Prot 4.4.4.56 2008.11.29 -

F-Secure 8.0.14332.0 2008.11.30 -

Fortinet 3.117.0.0 2008.11.30 -

GData 19 2008.11.30 -

Ikarus T3.1.1.45.0 2008.11.30 -

K7AntiVirus 7.10.538 2008.11.29 -

Kaspersky 7.0.0.125 2008.11.30 -

McAfee 5449 2008.11.29 -

McAfee+Artemis 5449 2008.11.29 -

Microsoft 1.4104 2008.11.30 -

NOD32 3651 2008.11.30 -

Norman 5.80.02 2008.11.28 -

Panda 9.0.0.4 2008.11.29 -

PCTools 4.4.2.0 2008.11.29 -

Prevx1 V2 2008.11.30 -

Rising 21.05.60.00 2008.11.30 -

SecureWeb-Gateway 6.7.6 2008.11.29 -

Sophos 4.36.0 2008.11.30 -

Sunbelt 3.1.1832.2 2008.11.27 -

Symantec 10 2008.11.30 -

TheHacker 6.3.1.1.169 2008.11.29 -

TrendMicro 8.700.0.1004 2008.11.28 -

VBA32 3.12.8.9 2008.11.29 -

ViRobot 2008.11.29.1492 2008.11.29 -

VirusBuster 4.5.11.0 2008.11.29 -

[/log]

Ps. Fanns ingen av dom uppräknade ATI-posterna

 

[inlägget ändrat 2008-12-05 19:22:11 av habbeli]

Länk till kommentar
Dela på andra webbplatser

Bra då har vi den friska fil som borde heta userinit.exe

 

Kopiera alla rader i rutan (använd markera kod)

KILLALL::

FMOVE::
c:\windows\system32\stu2.exe | c:\windows\system32\userinit.exe

och klistra in i Anteckningar.

Spara filen på Skrivbordet med namnet CFScript.

 

Förbered datorn på samma sätt som tidigare för ComboFix.

Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.

Klistra in loggen som kommer ut.

 

Länk till kommentar
Dela på andra webbplatser

Hej, det är bara jag igen :)

 

[log]ComboFix 08-12-05.01 - Hans Lindfors 2008-12-05 20:04:13.3 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1053.18.385 [GMT 1:00]

Running from: c:\documents and settings\Hans Lindfors\Skrivbord\ComboFix.exe

Command switches used :: c:\documents and settings\Hans Lindfors\Skrivbord\CFScript.txt

* Created a new restore point

.

 

((((((((((((((((((((((((( Files Created from 2008-11-05 to 2008-12-05 )))))))))))))))))))))))))))))))

.

 

2008-12-04 00:49 . 2008-12-04 00:49 2,616 --a------ c:\windows\system32\tmp.reg

2008-12-04 00:48 . 2007-09-05 23:22 289,144 --a------ c:\windows\system32\VCCLSID.exe

2008-12-04 00:48 . 2006-04-27 16:49 288,417 --a------ c:\windows\system32\SrchSTS.exe

2008-12-04 00:48 . 2008-10-01 14:51 87,552 --a------ c:\windows\system32\VACFix.exe

2008-12-04 00:48 . 2008-11-29 17:58 82,944 --a------ c:\windows\system32\o4Patch.exe

2008-12-04 00:48 . 2008-05-18 20:40 82,944 --a------ c:\windows\system32\IEDFix.exe

2008-12-04 00:48 . 2008-11-29 17:58 82,944 --a------ c:\windows\system32\IEDFix.C.exe

2008-12-04 00:48 . 2008-08-18 11:19 82,432 --a------ c:\windows\system32\404Fix.exe

2008-12-04 00:48 . 2003-06-05 20:13 53,248 --a------ c:\windows\system32\Process.exe

2008-12-04 00:48 . 2004-07-31 17:50 51,200 --a------ c:\windows\system32\dumphive.exe

2008-12-04 00:48 . 2007-10-03 23:36 25,600 --a------ c:\windows\system32\WS2Fix.exe

2008-11-24 17:59 . 2008-12-04 00:06 <KAT> d----c--- c:\documents and settings\Hans Lindfors\Application Data\expert-se-photo-manager

2008-11-24 17:58 . 2008-11-24 17:58 <KAT> d-------- c:\program\expert-se-photo-manager

2008-11-24 17:58 . 2008-11-24 17:58 <KAT> d-------- c:\program\Delade filer\PyApp Runtime 1.1

2008-11-24 17:58 . 2008-06-21 12:44 323,624 --a------ c:\windows\system32\wiaaut.dll

2008-11-24 05:17 . 2008-11-24 05:17 <KAT> d----c--- c:\documents and settings\Hans Lindfors\Application Data\vlc

2008-11-24 05:17 . 2008-11-24 05:57 <KAT> d----c--- c:\documents and settings\Hans Lindfors\Application Data\dvdcss

2008-11-22 20:23 . 2008-11-22 20:23 <KAT> d-------- c:\program\iPod

2008-11-22 20:22 . 2008-11-22 20:23 <KAT> d-------- c:\program\iTunes

2008-11-22 20:22 . 2008-11-22 20:23 <KAT> d----c--- c:\documents and settings\All Users\Application Data\{3276BE95_AF08_429F_A64F_CA64CB79BCF6}

2008-11-22 20:20 . 2008-11-22 20:21 <KAT> d-------- c:\program\QuickTime

2008-11-22 14:18 . 2008-04-14 17:05 26,112 --a------ c:\windows\system32\stu2.exe

2008-11-16 23:23 . 2008-11-16 23:23 33 --a------ c:\windows\Multimedia manager.INI

2008-11-15 20:05 . 2008-11-15 20:05 <KAT> d-------- c:\documents and settings\NetworkService\Application Data\agi

2008-11-13 03:17 . 2008-11-13 03:17 <KAT> d-------- c:\program\Bonjour

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2008-11-30 14:03 --------- d-----w c:\program\Malwarebytes' Anti-Malware

2008-11-25 19:41 --------- dc----w c:\documents and settings\Hans Lindfors\Application Data\uTorrent

2008-11-24 04:17 --------- dc----w c:\documents and settings\Hans Lindfors\Application Data\vlc

2008-11-24 04:14 --------- d-----w c:\program\VideoLAN

2008-11-22 19:20 --------- d-----w c:\program\Delade filer\Apple

2008-11-13 16:09 --------- d-----w c:\program\Apple Software Update

2008-11-12 19:03 --------- d-----w c:\program\Delade filer\Adobe

2008-11-04 18:18 --------- d-----w c:\documents and settings\LocalService\Application Data\agi

2008-10-31 17:19 --------- d-----w c:\program\Delade filer\xing shared

2008-10-31 17:19 --------- d-----w c:\program\Delade filer\Real

2008-10-30 14:47 --------- dc----w c:\documents and settings\All Users\Application Data\WLInstaller

2008-10-24 14:14 --------- d-----w c:\program\Windows Live Toolbar

2008-10-24 14:12 --------- dcsh--w c:\program\Delade filer\WindowsLiveInstaller

2008-10-24 14:03 --------- d-----w c:\program\Windows Desktop Search

2008-10-24 11:21 455,296 ----a-w c:\windows\system32\drivers\mrxsmb.sys

2008-10-24 00:20 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.003\Application Data\uTorrent

2008-10-24 00:04 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.003\Application Data\AVGTOOLBAR

2008-10-23 23:41 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.003\Application Data\Teleca

2008-10-23 23:40 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.003\Application Data\ATI

2008-10-23 23:39 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.003\Application Data\Sony Ericsson

2008-10-23 23:39 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.003\Application Data\iid

2008-10-23 22:43 --------- d-----w c:\program\DVDInfoPro

2008-10-23 22:42 --------- dc----w c:\documents and settings\Hans Lindfors\Application Data\Windows Search

2008-10-23 22:42 --------- dc----w c:\documents and settings\Hans Lindfors\Application Data\Windows Desktop Search

2008-10-23 22:42 --------- dc----w c:\documents and settings\All Users\Application Data\SecTaskMan

2008-10-23 22:42 --------- d-----w c:\program\FW_ND-3520A_307win

2008-10-23 22:42 --------- d-----w c:\program\Eusing Free Registry Cleaner

2008-10-23 22:38 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.002\Application Data\Teleca

2008-10-23 22:38 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.002\Application Data\Sony Ericsson

2008-10-23 22:31 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.001\Application Data\Teleca

2008-10-23 22:30 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.001\Application Data\Sony Ericsson

2008-10-23 18:33 --------- d-----w c:\program\Windows Live

2008-10-22 22:41 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.000\Application Data\Teleca

2008-10-22 22:40 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A.000\Application Data\Sony Ericsson

2008-10-22 22:20 570,410 -c--a-w c:\program\FW_ND-3520A_307win.zip

2008-10-22 21:56 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A\Application Data\Teleca

2008-10-22 21:55 --------- dc----w c:\documents and settings\Administratör.HEMMA-C2C60CB1A\Application Data\Sony Ericsson

2008-10-22 19:26 --------- dc----w c:\documents and settings\Administratör\Application Data\AVGTOOLBAR

2008-10-22 19:19 --------- dc----w c:\documents and settings\Administratör\Application Data\Windows Desktop Search

2008-10-22 19:19 --------- dc----w c:\documents and settings\Administratör\Application Data\Teleca

2008-10-22 19:19 --------- dc----w c:\documents and settings\Administratör\Application Data\ATI

2008-10-22 19:18 --------- dc----w c:\documents and settings\Administratör\Application Data\Sony Ericsson

2008-10-22 19:18 --------- dc----w c:\documents and settings\Administratör\Application Data\iid

2008-10-22 18:27 6,892 -c--a-w c:\program\XP_CD-DVD-Fix.zip

2008-10-22 15:10 38,496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2008-10-22 15:10 15,504 ----a-w c:\windows\system32\drivers\mbam.sys

2008-10-19 19:44 --------- dc----w c:\documents and settings\All Users\Application Data\DVD Shrink

2008-10-19 19:44 --------- d-----w c:\program\DVD Shrink

2008-10-19 19:43 --------- d-----w c:\program\dvdshrink32setup1

2008-10-19 19:42 273,518 -c--a-w c:\program\dvdshrink32setup.zip

2008-10-19 19:06 1,094,021 -c--a-w c:\program\dvdshrink32setup1.zip

2008-10-19 18:17 --------- d-----w c:\program\Alcohol Soft

2008-10-19 18:14 715,248 ----a-w c:\windows\system32\drivers\sptd.sys

2008-10-19 18:12 9,868,672 -c--a-w c:\program\Alcohol120_trial_1.9.7.6022.exe

2008-10-19 16:47 10,511,712 -c--a-w c:\program\winzip120.exe

2008-10-19 16:14 --------- d-----w c:\program\DVD Decrypter

2008-10-09 15:05 --------- dc----w c:\documents and settings\Hans Lindfors\Application Data\Malwarebytes

2008-10-09 15:05 --------- dc----w c:\documents and settings\All Users\Application Data\Malwarebytes

2008-08-21 21:37 32,768 -csha-w c:\windows\system32\config\systemprofile\Lokala inställningar\Tidigare\History.IE5\MSHist012008082120080822\index.dat

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Note* empty entries & legit default entries are not shown

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"AlcoholAutomount"="c:\program\Alcohol Soft\Alcohol 120\axcmd.exe" [2007-12-22 222080]

"MsnMsgr"="c:\program\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"MSMSGS"="c:\program\Messenger\msmsgs.exe" [2008-04-14 1695232]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sony Ericsson PC Suite"="c:\program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" [2007-06-13 528384]

"Net iD"="c:\windows\system32\iid.exe" [2008-02-22 74992]

"AVG8_TRAY"="c:\program\AVG\AVG8\avgtray.exe" [2008-11-27 1261336]

"StartCCC"="c:\program\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2008-01-21 61440]

"SunJavaUpdateSched"="c:\program\Java\jre1.6.0_07\bin\jusched.exe" [2008-06-10 144784]

"TkBellExe"="c:\program\Delade filer\Real\Update_OB\realsched.exe" [2008-10-31 185872]

"Adobe Reader Speed Launcher"="c:\program\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"QuickTime Task"="c:\program\QuickTime\QTTask.exe" [2008-11-04 413696]

"iTunesHelper"="c:\program\iTunes\iTunesHelper.exe" [2008-11-20 290088]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Start-meny\Program\AutostartAdobe Gamma Loader.lnk - c:\program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe [2007-03-05 110592]

Watch.lnk - c:\program\DV Series\Console\Watch.exe [2007-12-19 217088]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=avgrsstx.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.hfyu"= huffyuv.dll

"msacm.divxa32"= DivXa32.acm

"VIDC.SP55"= SP5X_32.DLL

"VIDC.SP56"= SP5X_32.DLL

"VIDC.SP57"= SP5X_32.DLL

"VIDC.SP58"= SP5X_32.DLL

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati0bexx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1dgxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1nqxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati1ycxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati2dgxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3uwxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati3ycxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati5jlxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati5knxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6adxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6knxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati6vyxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8prxx.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\ati8ycxx.sys]

@="Driver"

 

[HKLM\~\startupfolder\C:^Documents and Settings^Hans Lindfors^Start-meny^Program^Autostart^OpenOffice.org 2.4.lnk]

path=c:\documents and settings\Hans Lindfors\Start-meny\Program\Autostart\OpenOffice.org 2.4.lnk

backup=c:\windows\pss\OpenOffice.org 2.4.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-10-15 01:04 39792 c:\program\Adobe\Reader 8.0\Reader\reader_sl.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program\\utorrent\\utorrent.exe"=

"c:\\Program\\AVG\\AVG8\\avgupd.exe"=

"c:\\Program\\AVG\\AVG8\\avgemc.exe"=

"c:\\WINDOWS\\system32\\usmt\\migwiz.exe"=

"c:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\Real\\RealPlayer\\realplay.exe"=

"c:\\Program\\Bonjour\\mDNSResponder.exe"=

"c:\\Program\\iTunes\\iTunes.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"42101:TCP"= 42101:TCP:utorrent

 

R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\Drivers\avgldx86.sys [2008-06-15 97928]

R2 avg8emc;AVG8 E-mail Scanner;c:\program\AVG\AVG8\avgemc.exe [2008-08-09 875288]

R2 avg8wd;AVG8 WatchDog;c:\program\AVG\AVG8\avgwdsvc.exe [2008-08-09 231704]

R2 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\Drivers\avgtdix.sys [2008-06-15 76040]

S0 ati0bexx;ati0bexx;c:\windows\system32\Drivers\ati0bexx.sys []

S0 ati1dgxx;ati1dgxx;c:\windows\system32\Drivers\ati1dgxx.sys []

S0 ati1nqxx;ati1nqxx;c:\windows\system32\Drivers\ati1nqxx.sys []

S0 ati1ycxx;ati1ycxx;c:\windows\system32\Drivers\ati1ycxx.sys []

S0 ati2dgxx;ati2dgxx;c:\windows\system32\Drivers\ati2dgxx.sys []

S0 ati3uwxx;ati3uwxx;c:\windows\system32\Drivers\ati3uwxx.sys []

S0 ati3ycxx;ati3ycxx;c:\windows\system32\Drivers\ati3ycxx.sys []

S0 ati5jlxx;ati5jlxx;c:\windows\system32\Drivers\ati5jlxx.sys []

S0 ati5knxx;ati5knxx;c:\windows\system32\Drivers\ati5knxx.sys []

S0 ati6adxx;ati6adxx;c:\windows\system32\Drivers\ati6adxx.sys []

S0 ati6knxx;ati6knxx;c:\windows\system32\Drivers\ati6knxx.sys []

S0 ati6vyxx;ati6vyxx;c:\windows\system32\Drivers\ati6vyxx.sys []

S0 ati8prxx;ati8prxx;c:\windows\system32\Drivers\ati8prxx.sys []

S0 ati8ycxx;ati8ycxx;c:\windows\system32\Drivers\ati8ycxx.sys []

S2 Ca533av;Icatch(IV) Video Camera Device;c:\windows\system32\Drivers\Ca533av.sys []

S2 Ca536av;4.0M MPEG4 DV Video Capture;c:\windows\system32\Drivers\Ca536av.sys [2007-12-20 514155]

S3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2007-11-13 13352]

S3 s115bus;Sony Ericsson Device 115 driver (WDM);c:\windows\system32\DRIVERS\s115bus.sys [2007-12-31 83208]

S3 s115mdfl;Sony Ericsson Device 115 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s115mdfl.sys [2007-12-31 15112]

S3 s115mdm;Sony Ericsson Device 115 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s115mdm.sys [2007-12-31 108680]

S3 s115mgmt;Sony Ericsson Device 115 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s115mgmt.sys [2007-12-31 100488]

S3 s115obex;Sony Ericsson Device 115 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s115obex.sys [2007-12-31 98568]

S3 s125bus;Sony Ericsson Device 125 driver (WDM);c:\windows\system32\DRIVERS\s125bus.sys [2007-12-31 83336]

S3 s125mdfl;Sony Ericsson Device 125 USB WMC Modem Filter;c:\windows\system32\DRIVERS\s125mdfl.sys [2007-12-31 15112]

S3 s125mdm;Sony Ericsson Device 125 USB WMC Modem Driver;c:\windows\system32\DRIVERS\s125mdm.sys [2007-12-31 108680]

S3 s125mgmt;Sony Ericsson Device 125 USB WMC Device Management Drivers (WDM);c:\windows\system32\DRIVERS\s125mgmt.sys [2007-12-31 100488]

S3 s125obex;Sony Ericsson Device 125 USB WMC OBEX Interface;c:\windows\system32\DRIVERS\s125obex.sys [2007-12-31 98696]

S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);c:\windows\system32\DRIVERS\sea1bus.sys [2007-12-17 61536]

S3 SUSCOM;Susteen Serial port driver;c:\windows\system32\DRIVERS\SUSCOM.SYS [2002-10-22 39680]

S3 USBCamera;Icatch(IV) Still Camera Device;c:\windows\system32\Drivers\Bulk533.sys []

.

Contents of the 'Scheduled Tasks' folder

 

2008-11-22 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

 

2008-12-05 c:\windows\Tasks\Kontrollera uppdateringar för Windows Live Toolbar.job

- c:\program\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 10:20]

.

.

------- Supplementary Scan -------

.

uStart Page = hxxp://www.google.se/

uInternet Settings,ProxyOverride = *.local

IE: &Windows Live Search - c:\program\Windows Live Toolbar\msntb.dll/search.htm

IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\Office10\EXCEL.EXE/3000

 

O16 -: Microsoft XML Parser for Java - file:///C:/WINDOWS/Java/classes/xmldso.cab

c:\windows\Downloaded Program Files\Microsoft XML Parser for Java.osd

 

c:\windows\Downloaded Program Files\IlosoftMultipleImageUpload.dll - O16 -: {19D6A3D5-EA50-4C3B-88F0-79627C325570}

hxxp://www.one.com/static/controls/IlosoftMultipleImageUpload.dll

 

O16 -: {5BF56AD2-E297-416E-BC49-000004080009} - hxxps://cve.trust.telia.com/TeliaElegUpgrade/iidsetup.cab

c:\windows\Downloaded Program Files\iidsetup.inf

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2008-12-05 20:08:15

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

 

c:\docume~1\HANSLI~1\LOKALA~1\Temp\32777f12-c70f-4f5b-a11f-68364073d4f3.tmp 0 bytes

 

scan completed successfully

hidden files: 1

 

**************************************************************************

.

--------------------- DLLs Loaded Under Running Processes ---------------------

 

- - - - - - - > 'winlogon.exe'(668)

c:\windows\system32\Ati2evxx.dll

.

------------------------ Other Running Processes ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\windows\system32\ati2evxx.exe

c:\program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program\Bonjour\mDNSResponder.exe

c:\program\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

c:\program\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

c:\windows\system32\scardsvr.exe

c:\program\iPod\bin\iPodService.exe

c:\program\Windows Live\Messenger\usnsvc.exe

c:\program\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

c:\program\Delade filer\Teleca Shared\Generic.exe

c:\program\Sony Ericsson\Mobile\Mobile Phone Monitor\epmworker.exe

c:\program\AVG\AVG8\avgrsx.exe

c:\program\AVG\AVG8\avgrsx.exe

c:\program\AVG\AVG8\avgrsx.exe

c:\program\AVG\AVG8\avgrsx.exe

.

**************************************************************************

.

Completion time: 2008-12-05 20:12:19 - machine was rebooted

ComboFix-quarantined-files.txt 2008-12-05 19:11:58

ComboFix2.txt 2008-12-05 17:20:09

ComboFix3.txt 2008-12-04 00:50:12

 

Pre-Run: 11 584 593 920 byte ledigt

Post-Run: 11,595,366,400 byte ledigt

 

277 --- E O F --- 2008-10-23 22:50:10

[/log]

 

Länk till kommentar
Dela på andra webbplatser

Pröva att det går att starta Återställningskonsolen (Recovery Console) under uppstarten. För jag fick just reda på att i ett annat fall så fungerade det inte.

 

Ser CFScript.txt ut precis som jag skrev med tre rader och exakt likadana?

För ComboFix verkar inte ha brytt sig om det som finns i CFScript.txt.

 

 

Länk till kommentar
Dela på andra webbplatser

Hur bär jag mej åt med återställningskonsolen och vad är det?

CFScript ser ut exakt som du skrev den MEN jag har nog gjort en tabbe.

Jag skulle väl koppla ur internetkabeln och stänga virusprogram och brandvägg, eller hur?

Combofix hade en uppdatering den ville göra när jag startade men den misslyckades, kanske det blev nåt fel där

 

[inlägget ändrat 2008-12-05 21:53:47 av habbeli]

Länk till kommentar
Dela på andra webbplatser

Du bör ganska tidigt under uppstarten av datorn ha fått en ny meny där du också kan välja Återställningskonsol, eller om det står på engelska Recovery Console. Om man inte gör något så går det fort förbi.

Det är det som du skapade enligt instruktionerna i mitt inlägg igår 01:10.

 

Länk till kommentar
Dela på andra webbplatser

Arkiverat

Det här ämnet är nu arkiverat och är stängt för ytterligare svar.

×
×
  • Skapa nytt...