Norton Security Scan

[Cecilia]

Du har kanske något spammejl med skadlig bilaga i pst-filen?

 

Det är en sak som SDFix såg och som inte har fått någon förklaring och det är

ADS Check :

 

C:\WINDOWS

: 108

Total size: 108 bytes.

WINDOWS: Åtkomst nekad.

 

Checking for remaining Streams

 

C:\WINDOWS

: 108

Total size: 108 bytes.

 

Det är möjligt att det hänger ihop med det där backup-programmet, för det var verkligen något som tränger in sig i Windows innersta med 4 drivrutiner på mycket låg nivå. ADS-strömmar används även av skadliga program. Vill du att ha bort ADS-strömmen från Windows-mappen?

 

[Jiger]

Det kan ju vara något knepigt i någon bilaga där men varken MBAM, ZoneAlarm, Ashampoo eller Adaware har i alla fall hittat nåt.

 

Vad är ADS-strömmen? Vad kan det innebära att ta bort ADS-strömmen?

Hur gör man?

 

Jag kan ta ett Rollback snapshot först så möjligheten alltid finns att gå tillbaka.

 

[Cecilia]

MBAM kollar inte i mejl, det är helt inriktat på sådant som är aktivt i datorn, särskilt i snabbskanning, samt att det inte är ett antivirusprogram utan koncentrerar sig på sådant som antivirusprogram inte klarar av. Jag vet inte om de andra programmen du nämner har förmågan att förstå sig på det särskild pst-formatet, men de är ju i alla fall inte välkända för att vara program som är väldigt bra på att upptäcka virus och andra skadliga program.

 

ADS står för Alternate Data Streams och det står en del om det på

http://en.wikipedia.org/wiki/Fork_(filesystem) med länkar på slutet till mer info.

 

Tar bort den gör du på detta sätt:

Kopiera alla rader i rutan (använd markera kod)

ADS::
C:\windows

och klistra in i Anteckningar.

Spara filen på Skrivbordet med namnet CFScript.

 

Förbered datorn på samma sätt som tidigare för ComboFix.

Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.

Klistra in loggen som kommer ut och en ny SDFix-logg.

 

[Jiger]

Det ska alltså inte sparas som CFSript.txt?

Vad kan konsekvenserna bli att ta bort ADS?

 

[Cecilia]

Det ska alltså inte sparas som CFSript.txt?

.txt läggs på automatiskt så det blir så.

 

Att det som använder ADS-delen av filen inte kan göra det längre. Om det ligger något skadligt där så är det bara bra.

 

[Jiger]

Här kommer loggar:

 

[log]ComboFix 09-02-12.03 - Jan G Romander 2009-02-14 12:56:32.2 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1053.18.1982.1505 [GMT 1:00]

Körs från: C:\Documents and Settings\Jan G Romander\Skrivbord\ComboFix.exe

Använda kommandoväxlar :: C:\Documents and Settings\Jan G Romander\Skrivbord\CFScript

AV: ZoneAlarm Security Suite Antivirus *On-access scanning disabled* (Updated)

FW: ZoneAlarm Security Suite Firewall *enabled*

* Skapade en ny återställningspunkt

.

 

(((((((((((((((((((((((( Filer Skapade från 2009-01-14 till 2009-02-14 ))))))))))))))))))))))))))))))

.

 

2009-02-13 16:38 . 2009-02-13 16:38 <KAT> d-------- C:\Documents and Settings\Administratör\Application Data\iid

2009-02-13 16:38 . 2006-03-02 13:00 221,184 --a------ C:\WINDOWS\system32\wmpns.dll

2009-02-13 16:34 . 2009-02-13 16:34 <KAT> d-------- C:\Documents and Settings\Administratör\Application Data\PixVue

2009-02-13 16:24 . 2008-03-13 14:31 <KAT> dr------- C:\Documents and Settings\Administratör\Start-meny

2009-02-13 16:24 . 2008-03-13 14:31 <KAT> dr------- C:\Documents and Settings\Administratör\Start-meny

2009-02-13 16:24 . 2009-02-13 16:37 <KAT> d-------- C:\Documents and Settings\Administratör\Skrivbord

2009-02-13 16:24 . 2009-02-13 16:37 <KAT> d-------- C:\Documents and Settings\Administratör\Skrivbord

2009-02-13 16:24 . 2008-03-13 14:31 <KAT> d--h----- C:\Documents and Settings\Administratör\Skrivare

2009-02-13 16:24 . 2008-03-13 14:31 <KAT> d--h----- C:\Documents and Settings\Administratör\Skrivare

2009-02-13 16:24 . 2008-03-13 14:31 <KAT> d--h----- C:\Documents and Settings\Administratör\Nätverket

2009-02-13 16:24 . 2008-03-13 14:31 <KAT> d--h----- C:\Documents and Settings\Administratör\Nätverket

2009-02-13 16:24 . 2009-02-13 16:38 <KAT> dr------- C:\Documents and Settings\Administratör\Mina dokument

2009-02-13 16:24 . 2009-02-13 16:38 <KAT> dr------- C:\Documents and Settings\Administratör\Mina dokument

2009-02-13 16:24 . 2008-03-13 13:43 <KAT> d--h----- C:\Documents and Settings\Administratör\Mallar

2009-02-13 16:24 . 2008-03-13 13:43 <KAT> d--h----- C:\Documents and Settings\Administratör\Mallar

2009-02-13 16:24 . 2009-02-14 12:58 <KAT> d--h----- C:\Documents and Settings\Administratör\Lokala inställningar

2009-02-13 16:24 . 2009-02-14 12:58 <KAT> d--h----- C:\Documents and Settings\Administratör\Lokala inställningar

2009-02-13 16:24 . 2009-02-13 16:38 <KAT> dr------- C:\Documents and Settings\Administratör\Favoriter

2009-02-13 16:24 . 2009-02-13 16:38 <KAT> dr------- C:\Documents and Settings\Administratör\Favoriter

2009-02-13 16:24 . 2009-02-13 16:44 <KAT> d-------- C:\Documents and Settings\Administratör

2009-02-12 17:35 . 2009-02-12 17:58 250 --a------ C:\WINDOWS\gmer.ini

2009-02-12 13:58 . 2009-02-12 13:58 311,840 --a------ C:\WINDOWS\eFaxView.exe

2009-02-12 11:45 . 2009-02-12 01:51 15,688 --a------ C:\WINDOWS\system32\lsdelete.exe

2009-02-11 22:05 . 2009-02-14 11:31 28,199 --a------ C:\WINDOWS\system32\oodbs.lor

2009-02-11 20:47 . 2009-02-11 20:47 <KAT> d-------- C:\Program\MSECache

2009-02-11 20:29 . 2009-02-11 20:29 <KAT> d-------- C:\Program\OO Software

2009-02-11 20:13 . 2009-02-11 20:17 <KAT> d-------- C:\Program\FileZilla FTP Client

2009-02-11 19:29 . 2009-02-12 01:47 <KAT> d--h-c--- C:\Documents and Settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}

2009-02-11 19:19 . 2009-02-12 01:39 <KAT> d----c--- C:\WINDOWS\system32\DRVSTORE

2009-02-11 18:09 . 2009-02-11 20:17 <KAT> d-------- C:\Documents and Settings\Jan G Romander\Application Data\FileZilla

2009-02-11 18:09 . 2009-02-11 18:09 <KAT> d-------- C:\Celest

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-14 12:00 64,087,328 --sha-w C:\WINDOWS\system32\drivers\fidbox.dat

2009-02-14 11:51 --------- d-----w C:\Documents and Settings\Jan G Romander\Application Data\MailWasherPro

2009-02-14 10:52 --------- d---a-w C:\Documents and Settings\All Users\Application Data\TEMP

2009-02-14 10:30 866,348 --sha-w C:\WINDOWS\system32\drivers\fidbox.idx

2009-02-12 16:51 --------- d-----w C:\Program\Delade filer\Symantec Shared

2009-02-12 13:51 --------- d-----w C:\Documents and Settings\Jan G Romander\Application Data\GetRight

2009-02-12 00:47 --------- d-----w C:\Documents and Settings\All Users\Application Data\Lavasoft

2009-02-12 00:33 --------- d-----w C:\Program\Malwarebytes' Anti-Malware

2009-02-11 23:38 --------- d-----w C:\Documents and Settings\All Users\Application Data\WinZip

2009-02-11 18:14 --------- d-----w C:\Program\Delade filer\Wise Installation Wizard

2009-02-11 17:49 --------- d-----w C:\Documents and Settings\Jan G Romander\Application Data\Azureus

2009-02-11 09:19 38,496 ----a-w C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2009-02-11 09:19 15,504 ----a-w C:\WINDOWS\system32\drivers\mbam.sys

2009-01-19 18:25 5,328,946 ----a-w C:\WINDOWS\Internet Logs\tvDebug.zip

2008-12-29 10:57 --------- d-----w C:\Program\Shield

2008-12-28 16:52 88,103,542 ----a-w C:\BackupRegistry(20081228).reg

2008-12-27 15:58 --------- d-----w C:\Documents and Settings\Jan G Romander\Application Data\Malwarebytes

2008-12-27 15:58 --------- d-----w C:\Documents and Settings\All Users\Application Data\Malwarebytes

2008-12-27 12:49 --------- d-----w C:\Program\Java

2008-12-26 12:32 --------- d-----w C:\Program\Delade filer\Adobe AIR

2008-12-26 09:17 --------- d-----w C:\Documents and Settings\Jan G Romander\Application Data\Skinux

2008-12-22 15:21 --------- d-----w C:\Documents and Settings\Jan G Romander\Application Data\iolo

2008-12-22 11:41 262,144 ----a-w C:\ntuser.dat

2008-12-22 10:31 --------- d-----w C:\Documents and Settings\Jan G Romander\Application Data\Canneverbe_Limited

2008-12-22 09:53 --------- d-----w C:\Documents and Settings\All Users\Application Data\FLEXnet

2008-12-22 09:46 --------- d-----w C:\Program\Adobe Media Player

2008-12-22 09:45 --------- d-----w C:\Program\Delade filer\Adobe

2008-12-22 09:39 --------- d-----w C:\Program\Delade filer\Macrovision Shared

2008-12-20 23:03 826,368 ----a-w C:\WINDOWS\system32\wininet.dll

2008-12-19 14:37 --------- d-----w C:\Documents and Settings\Jan G Romander\Application Data\Ashampoo

2008-12-19 14:37 --------- d-----w C:\Documents and Settings\All Users\Application Data\ashampoo

2008-12-17 19:28 --------- d-----w C:\Program\Zone Labs

2008-12-11 00:33 86,016 ----a-w C:\WINDOWS\system32\dpl100.dll

2008-12-11 00:33 200,704 ----a-w C:\WINDOWS\system32\dtu100.dll

2008-12-09 02:28 593,920 ----a-w C:\WINDOWS\system32\dpuGUI11.dll

2008-12-09 02:28 57,344 ----a-w C:\WINDOWS\system32\dpv11.dll

2008-12-09 02:28 344,064 ----a-w C:\WINDOWS\system32\dpus11.dll

2008-12-09 02:28 294,912 ----a-w C:\WINDOWS\system32\dpu11.dll

2008-12-04 15:44 935,776 ----a-w C:\WINDOWS\system32\Incinerator.dll

2008-11-18 10:51 8,192 ----a-w C:\WINDOWS\system32\smrgdf.exe

2008-07-16 18:15 60,744 ----a-w C:\Documents and Settings\Jan G Romander\g2mdlhlpx.exe

1999-03-12 00:44 99,840 ----a-w C:\Program\Delade filer\IRAABOUT.DLL

1998-12-09 07:53 70,144 ----a-w C:\Program\Delade filer\IRAMDMTR.DLL

1998-12-09 07:53 48,640 ----a-w C:\Program\Delade filer\IRALPTTR.DLL

1998-12-09 07:53 31,744 ----a-w C:\Program\Delade filer\IRAWEBTR.DLL

1998-12-09 07:53 186,368 ----a-w C:\Program\Delade filer\IRAREG.DLL

1998-12-09 07:53 17,920 ----a-w C:\Program\Delade filer\IRASRIAL.DLL

2006-11-03 06:48 108 --sha-r C:\WINDOWS\neoqaz2.dll

2008-07-03 15:03 952 --sha-w C:\WINDOWS\system32\KGyGaAvL.sys

2008-06-19 12:29 32,768 --sha-w C:\WINDOWS\system32\config\systemprofile\Lokala inställningar\Tidigare\History.IE5\MSHist012008061920080620\index.dat

.

 

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\PixVue EXIF]

@="{3E57A8B6-849B-476E-A3E9-CFCE49E3662A}"

[HKEY_CLASSES_ROOT\CLSID\{3E57A8B6-849B-476E-A3E9-CFCE49E3662A}]

2005-11-14 20:18 2465792 --a------ D:\Program\PixVue.Com\PixVue\bin\PixVue.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\PixVue EXIF & IPTC]

@="{E3F36090-0540-418f-8136-074D5B255B59}"

[HKEY_CLASSES_ROOT\CLSID\{E3F36090-0540-418f-8136-074D5B255B59}]

2005-11-14 20:18 2465792 --a------ D:\Program\PixVue.Com\PixVue\bin\PixVue.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\PixVue EXIF & XMP]

@="{E1C1BE26-35A8-4999-A3A6-235CB7BD558B}"

[HKEY_CLASSES_ROOT\CLSID\{E1C1BE26-35A8-4999-A3A6-235CB7BD558B}]

2005-11-14 20:18 2465792 --a------ D:\Program\PixVue.Com\PixVue\bin\PixVue.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\PixVue EXIF & XMP & IPTC]

@="{2E9BD3CA-A57F-450b-B1BA-A6A58C0C1D51}"

[HKEY_CLASSES_ROOT\CLSID\{2E9BD3CA-A57F-450b-B1BA-A6A58C0C1D51}]

2005-11-14 20:18 2465792 --a------ D:\Program\PixVue.Com\PixVue\bin\PixVue.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\PixVue IPTC]

@="{BCA5FB3A-9FC1-4465-ACE3-8C2072449164}"

[HKEY_CLASSES_ROOT\CLSID\{BCA5FB3A-9FC1-4465-ACE3-8C2072449164}]

2005-11-14 20:18 2465792 --a------ D:\Program\PixVue.Com\PixVue\bin\PixVue.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\PixVue XMP]

@="{F0C13C81-FB8D-464e-873F-F8FF999E3EEC}"

[HKEY_CLASSES_ROOT\CLSID\{F0C13C81-FB8D-464e-873F-F8FF999E3EEC}]

2005-11-14 20:18 2465792 --a------ D:\Program\PixVue.Com\PixVue\bin\PixVue.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\PixVue XMP & IPTC]

@="{0117FFFB-91FD-414E-AC34-A00531032006}"

[HKEY_CLASSES_ROOT\CLSID\{0117FFFB-91FD-414E-AC34-A00531032006}]

2005-11-14 20:18 2465792 --a------ D:\Program\PixVue.Com\PixVue\bin\PixVue.dll

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2008-04-14 20:35 15360]

"Creative Detector"="D:\Program\Creative\MediaSource\Detector\CTDetect.exe" [2004-12-02 18:23 102400]

"Norton Protection Status"="D:\Program\Norton SystemWorks\Norton Utilities\NPROTECT.EXE" [2005-11-03 19:08 95832]

"Shield Tray"="C:\Program\Shield\shieldtray.exe" [2008-02-21 13:42 3391488]

"AntiTracks"="D:\Program\Anti Tracks\AntiTracks.exe" [2007-10-18 17:17 1298432]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Net iD"="C:\WINDOWS\system32\iid.exe" [2008-02-22 16:52 74992]

"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-11-20 05:10 196608]

"Dimension4"="D:\Program\D4\D4.exe" [2004-02-04 00:26 200704]

"ZoneAlarm Client"="C:\Program\Zone Labs\ZoneAlarm\zlclient.exe" [2008-07-09 08:05 919016]

"'Ashampoo AntiSpyWare 2 Guard'"="d:\Program\Ashampoo\Ashampoo AntiSpyWare 2\AntiSpyWare2Guard.exe" [2009-01-14 12:54 2347352]

"AdobeCS4ServiceManager"="C:\Program\Delade filer\Adobe\CS4ServiceManager\CS4ServiceManager.exe" [2008-11-13 08:03 611712]

"shield"="C:\Program\Shield\shieldtray.exe" [2008-02-21 13:42 3391488]

"WinPatrol"="D:\Program\BillP Studios\WinPatrol\winpatrol.exe" [2008-10-09 16:52 333120]

"OODefragTray"="C:\WINDOWS\system32\oodtray.exe" [2008-11-03 11:45 2540800]

"Ad-Watch"="d:\Program\Lavasoft\Ad-Aware\AAWTray.exe" [2009-02-12 01:51 509784]

"VTTrayp"="VTtrayp.exe" [2005-03-11 18:33 147456 C:\WINDOWS\system32\VTTrayp.exe]

"VTTimer"="VTTimer.exe" [2005-03-08 04:33 53248 C:\WINDOWS\system32\VTTimer.exe]

"Tweak UI"="TWEAKUI.CPL" [1996-09-28 00:37 73728 C:\WINDOWS\system32\TWEAKUI.CPL]

"SoundMan"="SOUNDMAN.EXE" [2005-09-22 17:42 90112 C:\WINDOWS\soundman.exe]

"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 09:50 19968 C:\WINDOWS\LOGI_MWX.EXE]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2008-04-14 20:35 15360]

 

C:\Documents and Settings\Jan G Romander\Start-meny\Program\AutostartAtomTime Pro.lnk - D:\Program\AtomTime Pro\AtomTime.EXE [2006-11-29 18:35:22 396316]

Filhanteraren.lnk - D:\Program\zabkat\xplorer2\xplorer2_UC.exe [2009-01-10 12:21:52 842752]

MailWasherPro.lnk - D:\Program\MailWasher Pro\MailWasher.exe [2006-11-29 18:34:42 18120904]

Norton System Doctor.LNK - D:\Program\Norton SystemWorks\Norton Utilities\SYSDOC32.EXE [2005-11-03 19:09:04 83632]

Outlook Express.lnk - C:\Program\Outlook Express\msimn.exe [2008-03-13 13:44:31 60416]

Outlook.lnk - C:\WINDOWS\Installer\{0000041D-78E1-11D2-B60F-006097C998E7}\outicon.exe [2008-03-17 16:17:06 104960]

Personal.lnk - C:\Program\Personal\bin\Personal.exe [2008-06-20 12:25:37 894504]

Sk„rmsl„ckarkontroll.lnk - D:\Program\Sk„rmsl„ckarkontroll\SSSwitch.exe [2006-11-29 19:14:03 126464]

 

C:\Documents and Settings\All Users\Start-meny\Program\AutostartMicrosoft Office.lnk - D:\Program\Microsoft Office\Office\OSA9.EXE [2000-01-21 09:15:56 65588]

Port f”r Symantec Fax Starter Edition.lnk - D:\Program\Microsoft Office\Office\1053\OLFSNT40.EXE [1999-03-12 01:44:54 46080]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\PixVue]

2005-09-22 22:07 45056 D:\Program\PixVue.Com\PixVue\bin\WinLogon.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.ffds"= ffdshow.ax

"msacm.ac3filter"= ac3filter.acm

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck\0OODBS

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\ZoneLabsFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"D:\\Program\\Microsoft Office\\Office\\1053\\WFXMSRVR.EXE"=

"D:\\Program\\D4\\D4.exe"=

"C:\\Program\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"=

"C:\\Program\\Delade filer\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

"5353:TCP"= 5353:TCP:Adobe CSI CS4

 

R0 hotcore3;hotcore3;C:\WINDOWS\system32\drivers\hotcore3.sys [2008-06-20 11:14:52 39472]

R0 pavboot;pavboot;C:\WINDOWS\system32\drivers\pavboot.sys [2008-07-04 11:18:04 28544]

R0 shdbus;shdbus;C:\WINDOWS\system32\drivers\SHDBUS.sys [2007-11-05 10:15:30 7360]

R0 Shield;Shield;C:\WINDOWS\system32\drivers\Shield.sys [2008-12-28 19:23:06 105024]

R0 Shieldf;Shieldf;C:\WINDOWS\system32\drivers\Shieldf.sys [2008-12-28 19:23:06 22976]

R0 shieldm;shieldm;C:\WINDOWS\system32\drivers\Shieldm.sys [2008-12-28 19:23:06 30528]

R1 cloverm;cloverm;C:\WINDOWS\system32\drivers\cloverm.sys [2008-12-28 19:23:06 477568]

 

--- Övriga tjänster/drivrutiner i minnet ---

 

*Deregistered* - AASW2_Service

*Deregistered* - aawservice

*Deregistered* - ALG

*Deregistered* - AudioSrv

*Deregistered* - Browser

*Deregistered* - ccEvtMgr

*Deregistered* - ccSetMgr

*Deregistered* - Creative Service for CDROM Access

*Deregistered* - CryptSvc

*Deregistered* - DcomLaunch

*Deregistered* - Dhcp

*Deregistered* - Dimension4

*Deregistered* - dmserver

*Deregistered* - Dnscache

*Deregistered* - ERSvc

*Deregistered* - EventSystem

*Deregistered* - FastUserSwitchingCompatibility

*Deregistered* - helpsvc

*Deregistered* - ImapiService

*Deregistered* - ioloFileInfoList

*Deregistered* - ioloSystemService

*Deregistered* - JavaQuickStarterService

*Deregistered* - lanmanserver

*Deregistered* - lanmanworkstation

*Deregistered* - LmHosts

*Deregistered* - mchInjDrv

*Deregistered* - Netman

*Deregistered* - Nla

*Deregistered* - NMSAccessU

*Deregistered* - NProtectService

*Deregistered* - NSCService

*Deregistered* - O&O Defrag

*Deregistered* - PixVue

*Deregistered* - PolicyAgent

*Deregistered* - ProtectedStorage

*Deregistered* - RasMan

*Deregistered* - RpcSs

*Deregistered* - SamSs

*Deregistered* - SCardSvr

*Deregistered* - Schedule

*Deregistered* - seclogon

*Deregistered* - SENS

*Deregistered* - SharedAccess

*Deregistered* - SHDSERV

*Deregistered* - ShellHWDetection

*Deregistered* - ShieldClientService

*Deregistered* - Speed Disk service

*Deregistered* - Spooler

*Deregistered* - srservice

*Deregistered* - SSDPSRV

*Deregistered* - stisvc

*Deregistered* - Symantec Core LC

*Deregistered* - TapiSrv

*Deregistered* - TermService

*Deregistered* - Themes

*Deregistered* - TrkWks

*Deregistered* - WebClient

*Deregistered* - winmgmt

*Deregistered* - wscsvc

*Deregistered* - vsmon

*Deregistered* - wuauserv

*Deregistered* - WudfSvc

*Deregistered* - WZCSVC

.

Innehållet i mappen 'Schemalagda aktiviteter':

 

2009-02-13 C:\WINDOWS\Tasks\1-Click Disk Clean.job

- D:\Program\YOURUN~1\URUNIN~1.EXE [2008-12-18 11:32]

 

2009-02-13 C:\WINDOWS\Tasks\1-ClickCleaner.job

- D:\Program\Yamicsoft\WinXP Manager\1-ClickCleaner.exe [2006-11-19 17:24]

 

2009-02-14 C:\WINDOWS\Tasks\Ad-Aware Update (Weekly).job

- D:\Program\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-02-12 01:51]

 

2008-07-17 C:\WINDOWS\Tasks\EasyShare Registration Task.job

- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Kodak\EasyShareSetup\$REGIS~1\Registration_7.8.30.2.sxt _RegistrationOffer@16 []

 

2009-02-13 C:\WINDOWS\Tasks\Norton Security Scan for Jan G Romander.job

- D:\Program\Norton SystemWorks\Norton Security Scan\Nss.exe [2008-09-19 04:18]

 

2009-02-13 C:\WINDOWS\Tasks\Norton SystemWorks One Button Checkup.job

- D:\Program\Norton SystemWorks\OBC.exe [2006-08-02 20:05]

 

2009-02-14 C:\WINDOWS\Tasks\RegCure Program Check.job

- D:\Program\RegCure\RegCure.exe [2007-08-02 17:20]

 

2009-02-13 C:\WINDOWS\Tasks\RegCure.job

- D:\Program\RegCure\RegCure.exe [2007-08-02 17:20]

 

2008-08-21 C:\WINDOWS\Tasks\Registry Washer.job

- D:\Program\REGIST~2\REGIST~1.EXE [2007-10-19 17:56]

 

2009-02-14 C:\WINDOWS\Tasks\Symantec Drmc.job

- C:\Program\Delade filer\Symantec Shared\SymDrmc.exe [2005-10-26 19:48]

 

2009-02-14 C:\WINDOWS\Tasks\Symantec NetDetect.job

- C:\Program\Symantec\LiveUpdate\NDETECT.EXE [2005-09-09 14:21]

 

2009-02-13 C:\WINDOWS\Tasks\Timed Backups Manager.job

- D:\Program\BACKUP~1\BackTime.exe [2005-09-01 07:23]

.

.

------- Extra genomsökning -------

.

uStart Page = hxxp://www.leta.se/

IE: Download with GetRight - C:\Program\GetRight\GRdownload.htm

IE: Open with GetRight Browser - C:\Program\GetRight\GRbrowse.htm

Trusted Zone: handelsbanken.se

FF - ProfilePath - C:\Documents and Settings\Jan G Romander\Application Data\Mozilla\Firefox\Profiles\b8llhfxg.defaultFF - plugin: C:\Program\Personal\bin\np_prsnl.dll

FF - plugin: D:\Program\Adobe\Reader 9.0\Reader\browser\nppdf32.dll

FF - plugin: d:\Program\DivX\DivX Player\npDivxPlayerPlugin.dll

FF - plugin: d:\Program\DivX\DivX Web Player\npdivx32.dll

FF - plugin: D:\Program\Mozilla Firefox\plugins\NPGetRt.dll

FF - plugin: D:\Program\QuickTime\Plugins\npqtplugin.dll

FF - plugin: D:\Program\QuickTime\Plugins\npqtplugin2.dll

FF - plugin: D:\Program\QuickTime\Plugins\npqtplugin3.dll

FF - plugin: D:\Program\QuickTime\Plugins\npqtplugin4.dll

FF - plugin: D:\Program\QuickTime\Plugins\npqtplugin5.dll

FF - plugin: D:\Program\QuickTime\Plugins\npqtplugin6.dll

FF - plugin: D:\Program\QuickTime\Plugins\npqtplugin7.dll

 

---- FIREFOX POLICY ----

D:\Program\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net'>http://www.gmer.net

Rootkit scan 2009-02-14 13:00:17

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files:

 

**************************************************************************

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\System*]

"OODEFRAG10.00.00.01WORKSTATION"="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"

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

.

Sluttid: 2009-02-14 13:02:05

ComboFix-quarantined-files.txt 2009-02-14 12:01:58

ComboFix2.txt 2009-02-12 14:18:30

 

Före genomsökningen: 276 292 239 360 byte ledigt

Efter genomsökningen: 276,105,363,456 byte ledigt

 

327 --- E O F --- 2009-02-11 21:09:48[/log]

 

 

[log]SDFix: Version 1.240

Run by Jan G Romander on 2009-02-14 at 15:03

 

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

 

Checking Services :

 

 

Restoring Default Security Values

Restoring Default Hosts File

 

Rebooting

 

 

Checking Files :

 

No Trojan Files Found

 

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

C:\WINDOWS

: 108

Total size: 108 bytes.

WINDOWS: Åtkomst nekad.

 

Checking for remaining Streams

 

C:\WINDOWS

: 108

Total size: 108 bytes.

 

 

 

 

Final Check :

 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-14 15:09:48

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:2df9c43f

"s2"=dword:110480d0

"h0"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:98,09,29,8a,56,0e,3b,28,9b,92,47,d2,37,db,c5,8c,92,7b,2e,27,b0,..

"p0"="d:\Program\DAEMON Tools Lite\"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"khjeh"=hex:4a,ac,5c,12,56,da,0f,02,62,7e,1f,d2,d7,12,76,6f,ed,3e,d3,60,5c,..

"a0"=hex:20,01,00,00,f6,b6,8f,84,de,f8,d1,0c,6a,00,56,13,a6,43,72,da,f8,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:27,12,25,03,77,f2,31,7f,24,26,45,51,25,11,e3,88,a0,a3,4e,ec,69,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"p0"="D:\Program\DAEMON Tools\"

"h0"=dword:00000000

"khjeh"=hex:e3,ec,81,8f,bd,02,ff,19,d9,1b,c9,b8,a4,86,cd,29,ab,31,04,38,37,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,a8,9d,c2,99,c9,42,23,47,20,fd,39,2d,4c,a7,47,42,ae,..

"khjeh"=hex:cb,e6,53,56,77,f3,4a,d1,80,c7,5b,8d,19,4d,92,33,82,92,ec,6e,72,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:22,5d,3c,46,31,42,7c,21,d4,ca,31,28,10,ae,18,a7,4d,64,4b,0e,fa,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:98,09,29,8a,56,0e,3b,28,9b,92,47,d2,37,db,c5,8c,92,7b,2e,27,b0,..

"p0"="d:\Program\DAEMON Tools Lite\"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"khjeh"=hex:4a,ac,5c,12,56,da,0f,02,62,7e,1f,d2,d7,12,76,6f,ed,3e,d3,60,5c,..

"a0"=hex:20,01,00,00,f6,b6,8f,84,de,f8,d1,0c,6a,00,56,13,a6,43,72,da,f8,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:27,12,25,03,77,f2,31,7f,24,26,45,51,25,11,e3,88,a0,a3,4e,ec,69,..

 

scanning hidden registry entries ...

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\System]

"OODEFRAG10.00.00.01WORKSTATION"="844F61C6B2999D71EE7F1617B9FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC79339DB7CE019D40AA5C5D575E7D6A3B98089DB7CE019D40AA5C9758E172C2F6A2D8146E8EE14FA03F4FB55DAB1F5F7A5E83143ECE51546A3995EA0C6E44B0C34EB0674418D4CA2DB0FDC109ED74D08EB9B1ADE4F4B5A09A7D1B930C3AE8E95A14CF1EBE3ECC2454B05F182D3A4C4D3D8D1D97792ECE093A9FF0793940917C352444AF98EF9C843BF4725EFD95BBBCF33456C3C9B113D1A0C158FC1C8EB527B2851E08B2B15A4A6788B82BD3189938015DEF9745CE39F106D617ED5B480B5F1510F4058D19DF074548B98A296E008E9A8B826A82643D1487A57514462391CC036F62FA52D2CB7F2366FE7C1E58CE4357952A0B38686019284BBE28CE69094D07A503AEC99DFE2E3668987678A9280CB52505BAC5E5A6144B3745D88B78F6F00F87795DE4CB21BF94A7195F9D4CF353153B372C2A7857CCBAAD5CC835C3247C6E3C6BB435451B16B8D116139ABA5E38B928E88A8B517EBEA4C4DD8CAA519E665A43015971879CC504E92B62A006558C4C9446F1B236ED189AEAA52F6C3BB6DD6D6BE8E0759E179A39C4769002518B57D7F87D740C01B73E115D942FA2AF0243A7D9D456BFAEBF107F0C9955B5D77952CEA7C316281D36C86231107D95F159296987FAB97370125962BE3E5E5A625AED0640504FBC0E04814ACDFE0032D65A597AC1937CD6AD4BDA51AC8C4A2ED3ABCAB3BADD0F22E701E86CEECE910D49E45184A8DD8755C66E2E1FFC332D151F31C075622CB355D3D2B24D25F100DAC7203F15301A357D2E402005A9E58F97CDF358CA5501947710E0C655535A8EF4E47489A0A20F54046B4C341C005B6DDFF9BC531907A07A4D6D56BF53B103EF59450EC7FC1C86A73C19DF1E64214DB641569BA029BCD8A140D0256DF7CB66D1AAA4DD47638DCCE5A3E70E48C283F9CFAC2563E92692793B5C330054D88086CF2E511C08733CB3BB591AAC50FCF0A610BA40AB87A1F656EBD3A2602A6F06677CCD2DBD3EAE3F12C69E0755073F8796C3A713CF880EACC54E7940815B98E113DE982F04D2FB05411ADB9A667218B897AA531DEE30C64B236D48C1638796F014EFBEE0ECE2A5CE1EBD9AD302CC7C49767942F4EAF305BBCF4BDA6F4A820EE2FC9E96DF3E3ED92E8B2C0B450F82C25585D79AC0EC00EBBE2F5DF4A6BE530ABBE04B9BDF82E92B106E537F97363525C89C61AA3E5EB0FEE5A70BF95A8D3575D259CD6926061D912F30986E84673BC5E516275FBC6F9AA5182634F10E4598A2538270C30E5946649B3ED073DCD39DA642CFACCF219382AD8F19A68B5B3BA0C8BDFD6E8F04D285E4BA0BC7CD827119AE47AD69316201E4465DF4A996EE87A4FDE5EE7C560D"

"OODEFRAG11.00.00.01WORKSTATION"="A57EDB3C61594BFA673FED5918F30D9520663C888DF862123C5D75F428953CB29D0100EF63F80E8E364E7A71584F6F9A75950C2695BC963D83CC070EBB7425F15263562C7656B90972B0BF42C3A9DC6447F175A182D6B8517F49F2865ABF21F1E065338CEE9DEAB1E624A92868F71949AF4D9936BFA5CD583561B2996B5E1B8BDC71046E515C93525386B842861239263A23AEE4EB6A33DE9E474F4A8D1A551CCD0F4673D50679BA6DDB02721733AADAE78DFBF2DCC81875A94F66DC8FA16485AEEF1003EBF337BD5BCD2CE044FD2ACA2E50E166184B01B0B9742B5A76FEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CFEBC9E127BECC74CA6A0AC4980AC79335D575E7D6A3B9808FEBC9E127BECC74CFEBC9E127BECC74C70E09DF5476CF4E3E7E1C9A171AC2CC4830C51079D2B6915C712C9DD30096102F09EAEC13F62A4A72A8EB6261EAD027CE9F63C27746EF20550823228ED359D55971229BBEE6DDE661BBD6B64E4036B3D67979D9D1BCEFDDB5B47763AAAD716895DEF8811EEE3C3E11DE995F697580C41644E7311BBECCE717D4809E809A64FB29E444DE07DADB80E74E5E36C2DEA47FAB1CF3F9C267A6AD4ADBED97D53680F1D9BEDF9C3F848E5104C520DC5BE0D468D8025074ECD3E1B4547B7DFB2F3FBE1C5791E97BEE74636C531A8487A8A247751E62B54AA4716EFBB0B961838FACE9560BE5EAFD1F2CA5B3D14B4D2F2F12C8B545E13B4A8CEEFB95E9A0F7D329CE73E53598654ECE790473B4A16EC8D7CB3F6D5C7E0B832C44E8E0D7DAC95B9B15DB3381A47177436E5B4B60E3F5C9CD15A73CAE3ECF8272949CA5721CC665AB35B0F5EB32390C2F32A9E5AFBF8E866C0D8FDDADA658B59250C8904D2A07A934424304940EF5DA35853C40616E05FA43BF8D764344A919082D5300C462EDF5AA60A3BAD3BD99BD842E9AACE41E39005581807766070A888B079E11E14CF2916C3F7977684DEEE97318D1A7A4846502BCF29D2D6B001FAF0C2DF0A9B36B26DA2A5E66F43E15101884B6C1F8456A1782B8132C8FB5C78AEE96E0257970DD848D07EE8B064FA597AC8D8CD099E7DDF648F6D4E3C147E27F28C1070BADEDB96D6E321A191E3DC700E68468A6CA935417657BB2BBE001332F8E326CD6C6C49983D1404CA07F876656D6E251022BED35A92F3B48AAD527F9277EE5353E3F361DA200EC5AECB939DDCCF522ADEC429199220CAC543A1D5871526205E4AE0D993AF2CF0A4AEE1560ACAF2822E8CB468A4250EB682BF000657D9C45E321265B6B23C8ED084BE881858FB155E2E44172FFD22CA859FFD6B92FC571384DD9EB859F6F9FA37ECE7C961880FF9BBCAC054660DEC4CF8F7114DE16AD358E29577E243FAB8281D8B4570F280F4E863495317A81F3E8AC6881D538AF4EDDD"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]

"AppInit_DLLs"=""

"DeviceNotSelectedTimeout"="15"

"GDIProcessHandleQuota"=dword:00002710

"Spooler"="yes"

"swapdisk"=""

"TransmissionRetryTimeout"="90"

"USERProcessHandleQuota"=dword:00002710

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"D:\\Program\\Microsoft Office\\Office\\1053\\WFXMSRVR.EXE"="D:\\Program\\Microsoft Office\\Office\\1053\\WFXMSRVR.EXE:*:Enabled:WFXMSRVR"

"D:\\Program\\D4\\D4.exe"="D:\\Program\\D4\\D4.exe:*:Enabled:Dimension 4"

"C:\\Program\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe"="C:\\Program\\Kodak\\Kodak EasyShare software\\bin\\EasyShare.exe:*:Enabled:EasyShare"

"C:\\Program\\Delade filer\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe"="C:\\Program\\Delade filer\\Adobe\\CS4ServiceManager\\CS4ServiceManager.exe:*:Enabled:Adobe CSI CS4"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

 

Remaining Files :

 

 

 

Files with Hidden Attributes :

 

Fri 3 Nov 2006 108 A.SHR --- "C:\WINDOWS\neoqaz2.dll"

Thu 3 Jul 2008 952 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"

 

Finished![/log]

 

 

[Cecilia]

Det hjälpte inte i alla fall. Hur vill du göra? Vill du kolla upp datorn mer eller är du nöjd ändå?

 

[Jiger]

Har du några förslag?

Jag åker till stan på måndag.

 

[Cecilia]

Starta HijackThis utan att skanna.

Tryck på Config följt av Misc Tools och sedan Open ADS Spy.

De två bockar som finns där låter du vara och så bockar du i den tredje också innan du trycker på Scan.

Spara loggen och klista in i ditt svar.

 

[Jiger]

Här kommer (kort) logg:

 

C:\WINDOWS : (108 bytes, MD5 D41D8CD98F00B204E9800998ECF8427E)

 

[Cecilia]

Gör som sist med HijackThis och när den raden har kommit upp så markerar du den och trycker på Remove selected. Gör sedan en sådan scan med HijackThis igen och se om det är borta samt efter att du har startat om datorn.

 

[Jiger]

Det gick tyvärr inte! Köra i felsäkert läge?

 

[bild bifogad 2009-02-14 19:29:08 av Jiger]

[Cecilia]

Där var i alla fall förklaringen till att ComboFix inte heller kunde. Försök med felsäkert läge.

 

[Jiger]

Det gick inte heller i felsäkert läge. Samma meddelande. När jag sedan ville starta datorn normalt ville den inte starta! Tack vare Rollback (rullade tillbaka till kl:12.08) är jag på banan igen...

Vad göra nu??

 

[Cecilia]

Så här skrev du tidigare

Lavasoft Anniversary Edition kunde inte heller köra i normalt läge utan att hänga sig (på annan plats än system32) och hittade ett allvarligt problem relaterat till SDFix, som den då fick ta bort, när den fick köras i felsäkert läge.

Menar du att Ad-aware tog bort en fil som ingår i SDFix? I så fall är det ju bäst att du laddar ner den på nytt.

 

Men annars så har jag ont om förslag nu, och även en annan person som också har tittat på den här tråden.

 

[Jiger]

Självklart körde jag installationsfilen för SDFix innan jag gjorde dom skanningar vi har gjort den här veckan!

 

Jag har stor förståelse för att förslagen börjar tryta vid det här laget...

Jag hoppas att kanske några andra haft lika stor nytta och glädje som jag har haft av den här tråden (måste vara en av dom längre, va?) och jag vill tacka dej Cecilia och den andra personen för din/er entusiasm, uppfinningsrikedom, tålamod, generositet, energi och stora kunskap!!

 

Nu har vi i alla fall kört detta i botten för den här gången, men dyker det upp något som skulle kunna kasta ljus över situationen, kan du väl lägga in det i den här tråden, som jag kommer att bevaka.

 

[Cecilia]

Tack för poängen!

 

Tråkigt att inte allt har kunnat lösas, jag har funderat en del över dagen (det är därför jag inte har svarat tidigare) men inte kommit på något bra.

 

[Jiger]

Jag kommer tillbaka till den här datorn först omkring 18/3, så om du kommer på nåt under den tiden, vore det ju kul om du skriver nåt här i tråden...

 

[Jiger]

Jag har nu kollat min dator i stan (som i princip är identisk med den på landet och inte har några problem med NSS) med HijackThis och fått EXAKT samma logg som för datorn på landet gällande ADS.

 

Du skrev tidigare:

>Det är möjligt att det hänger ihop med det där backup-programmet, för det var verkligen något som tränger in sig i Windows innersta med 4 drivrutiner på mycket låg nivå. ADS-strömmar används även av skadliga program. Vill du att ha bort ADS-strömmen från Windows-mappen?

 

Jag tror därför just att ADS-strömmen (på bägge datorerna) är fullt legitim och relaterar antagligen till RollBack.

 

Vad tror du?

 

[Cecilia]

Det låter rimligt så det var ju bra

 

[Jiger]

Du skrev tidigare:

 

...>men något skumt med datorn är det för det är inte normala loggar som kommer ut.

 

 

Har vi därmed rett ut allt skumt i mina loggar eller finns det nåt kvar att fundera över..?

 

[Cecilia]

Så vitt jag kan bedömma så.

 

Angående din ursprungliga fråga så såg jag i en annan tråd

//eforum.idg.se/viewmsg.asp?EntriesId=1123432#1123509

att Norton tydligen visar sådant det letar efter (eller kanske det den just har kollat klart efter) och inte den fil som det just håller på och undersöker (som är det vanliga) så hade jag vetat det så hade mitt första inlägg i den här tråden varit annorlunda.

 

[Jiger]

Jag skriver i mitt allra första inlägg:

 

>Programmet hänger sig inte men letar i evig tid efter casino1.ico

 

Hur skulle ditt första inlägg då kunna ha sett ut?

 

[Cecilia]

Eftersom jag är van vid (från flera antivirusprogram) att filen som de undersöker visas så tolkade jag det som att Norton fick länge hålla på att undersöka filen casino1.ico innan den friskförklade filen. Att du inte ser filen betyder inte att den inte finns eftersom det finns skadliga program med förmåga att dölja sig så att de inte syns.

 

Med ny kunskap så skulle jag säga att det tydligen är komplicerat att utreda om den skadlighet som hör ihop med casino1.ico finns i datorn eller inte. Kanske tar det tid för att det är en typ av skadlighet med förmåga att dölja sig så att Norton måste kolla upp på flera olika sätt t ex. Eller att det just där så tar RAM-minnet slut i datorn och Windows börjar läsa in ett nytt område från hårddisken eller något annat, eller så hoppar något av dina säkerhetsprogram in och kommer i konflikt med Norton osv. I den andra tråden så blev det tydligen stopp vid sökningen av c:\fauxvirus\carny ride.exe så det verkar ju som att det varierar mellan olika datorer.

 

Men det bästa är om du hör med Symantecs support:

http://www.symantec.com/sv/se/norton/support/index.jsp

 

[Jiger]

OK, låter vettigt.