Behöver hjälp med att få bort virus/Skadligt program

[Cecilia]

C:\WINDOWS\TEMP\AVP655.TMP med fler sådana filer

Se om du kan ta bort de filerna själv.

 

Jag gillar inte riktigt att hjälpa någon som har flera crackade program, då tycker jag att man får skylla sig själv om datorn blir infekterad och installera om i stället.

 

En ny logg från SDFix och OTViewIt, tack.

 

[Cecilia]

För att kunna skicka de otrevliga filer som Avenger tog bort vidare till antivirusföretagen etc så att de kan uppdatera sina program så vore det bra om du kunde mejla mig filen C:\Avenger\backup.zip. Du ser min mejladress när du trycker på Anv.info i underkanten av det här inlägget.

 

Vet du hur det här kom in i datorn? För det är också bra att meddela företagen det.

 

[muggeby]

Nu vet jag inte riktigt vilken fil du menar?

Var hittar jag den, ligger inte under C?

 

[Cecilia]

Har du någon mapp i C:\ som heter Avenger?

Missa inte mitt inlägg från 11:45 heller.

 

[muggeby]

C:\WINDOWS\TEMP\AVP655.TMP med fler sådana filer kan jag inte ta bort. Används av annat program.

 

Under C finns ingen mapp som heter Avenger.

 

En ny logg från SDFix och OTViewIt kommer snarast.

 

[muggeby]

Jo, behöver jag köra SDFix i felsäkert läge nu ?

 

 

[Cecilia]

SDFix fungerar bara i felsäkert läge.

 

Backups directory opened successfully at C:\Avenger

står det i Avenger-loggen. Kanske du behöver ställa in Utforskaren eller Den här datorn så att du kan se alla filer:

Verktyg - (Mapp)alternativ eller liknande - Visning

Välj Visa dolda filer och mappar

Avbocka Dölj filnamnstillägg för kända filtyper

Avbocka Dölj skyddade operativsystemfiler

 

[muggeby]

Nu har även min man letat och sökt men det som finns överhuvud taget är: Avenger.exe

avenger.txtnr1.txt

AVENGER.EXE-0536BD5D.pf

 

Finns inget mera

 

[Cecilia]

Då tar vi loggarna från SDFix och OTViewIt

 

[muggeby]

Här kommer logg från SDFix men OTViewIt funkar inte.

Provade ladda ner nytt men det blev samma

 

Win32 Error Cod: 1500

Händelseloggfilen är skadad.

 

Här är SDFix ialla fall:

 

[log]

SDFix: Version 1.240

Run by demo on 2009-01-24 at 00:14

 

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\Documents and Settings\demo\Skrivbord\SDFix

 

Checking Services :

 

 

Restoring Default Security Values

Restoring Default Hosts File

 

Rebooting

 

 

Checking Files :

 

No Trojan Files Found

 

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-24 00:36:04

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:2df9c43f

"s2"=dword:110480d0

"h0"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:72,e9,47,6f,45,33,b6,22,90,ba,38,bb,b7,93,ba,d3,1c,a7,0f,52,67,..

"p0"="C:\Program\DAEMON Tools\"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,0b,57,d6,6f,20,85,ed,d0,87,22,8f,6f,4d,32,f6,ca,1d,..

"khjeh"=hex:17,5f,e2,32,7b,cc,19,d5,70,7d,4b,23,33,dd,d5,19,1e,b2,7c,07,b0,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:e6,ac,ac,16,33,37,dd,fa,02,c0,7f,dc,06,3d,2b,6d,e4,ae,fe,62,26,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]

"khjeh"=hex:60,69,de,4b,3c,f8,5d,1a,8e,ac,ac,05,d7,12,16,54,0b,43,23,7f,35,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]

"khjeh"=hex:60,69,de,4b,3c,f8,5d,1a,8e,ac,ac,05,d7,12,16,54,0b,43,23,7f,35,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]

"khjeh"=hex:60,69,de,4b,3c,f8,5d,1a,8e,ac,ac,05,d7,12,16,54,0b,43,23,7f,35,..

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UACd.sys]

"start"=dword:00000004

"type"=dword:00000001

"imagepath"=str(2):"\systemroot\system32\drivers\UAComxjecpx.sys"

"group"="file system"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UACd.sys\modules]

"UACd"="\\?\globalroot\systemroot\system32\drivers\UAComxjecpx.sys"

"UACc"="\\?\globalroot\systemroot\system32\UACdxlkaijb.dll"

"uacsr"="\\?\globalroot\systemroot\system32\UACmqeavxep.dat"

"uaclog"="\\?\globalroot\systemroot\system32\UACttkpdpas.dll"

"uacmask"="\\?\globalroot\systemroot\system32\UACrpruxoth.dll"

"uacbbr"="\\?\globalroot\systemroot\system32\UACxnmsnbpk.dll"

"UACproc"="\\?\globalroot\systemroot\system32\UACiyffapxm.log"

"uacurls"="\\?\globalroot\systemroot\system32\UACwfwxipnv.log"

"uacerrors"="\\?\globalroot\systemroot\system32\UACpayucbbi.log"

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:38,db,4d,ea,5b,19,c8,71,bd,1a,b5,e2,b9,fa,3e,6d,11,07,1c,14,3c,..

"p0"="C:\Program\DAEMON Tools\"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"khjeh"=hex:17,5f,e2,32,7b,cc,19,d5,70,7d,4b,23,33,dd,d5,19,1e,b2,7c,07,b0,..

"a0"=hex:20,01,00,00,0d,fe,10,56,ca,d5,6d,47,55,1e,81,09,db,1e,09,8b,73,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:41,24,82,f8,46,ac,52,50,9f,f8,4f,14,6f,1e,28,9f,ac,f4,c8,01,19,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:72,e9,47,6f,45,33,b6,22,90,ba,38,bb,b7,93,ba,d3,1c,a7,0f,52,67,..

"p0"="C:\Program\DAEMON Tools\"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,0b,57,d6,6f,20,85,ed,d0,87,22,8f,6f,4d,32,f6,ca,1d,..

"khjeh"=hex:17,5f,e2,32,7b,cc,19,d5,70,7d,4b,23,33,dd,d5,19,1e,b2,7c,07,b0,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:e6,ac,ac,16,33,37,dd,fa,02,c0,7f,dc,06,3d,2b,6d,e4,ae,fe,62,26,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]

"khjeh"=hex:60,69,de,4b,3c,f8,5d,1a,8e,ac,ac,05,d7,12,16,54,0b,43,23,7f,35,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]

"khjeh"=hex:60,69,de,4b,3c,f8,5d,1a,8e,ac,ac,05,d7,12,16,54,0b,43,23,7f,35,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]

"khjeh"=hex:60,69,de,4b,3c,f8,5d,1a,8e,ac,ac,05,d7,12,16,54,0b,43,23,7f,35,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UACd.sys]

"start"=dword:00000004

"type"=dword:00000001

"imagepath"=str(2):"\systemroot\system32\drivers\UAComxjecpx.sys"

"group"="file system"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UACd.sys\modules]

"UACd"="\\?\globalroot\systemroot\system32\drivers\UAComxjecpx.sys"

"UACc"="\\?\globalroot\systemroot\system32\UACdxlkaijb.dll"

"uacsr"="\\?\globalroot\systemroot\system32\UACmqeavxep.dat"

"uaclog"="\\?\globalroot\systemroot\system32\UACttkpdpas.dll"

"uacmask"="\\?\globalroot\systemroot\system32\UACrpruxoth.dll"

"uacbbr"="\\?\globalroot\systemroot\system32\UACxnmsnbpk.dll"

"UACproc"="\\?\globalroot\systemroot\system32\UACiyffapxm.log"

"uacurls"="\\?\globalroot\systemroot\system32\UACwfwxipnv.log"

"uacerrors"="\\?\globalroot\systemroot\system32\UACpayucbbi.log"

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"C:\\Program\\LimeWire\\LimeWire.exe"="C:\\Program\\LimeWire\\LimeWire.exe:*:Enabled:LimeWire"

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program\\Pando Networks\\Pando\\pando.exe"="C:\\Program\\Pando Networks\\Pando\\pando.exe:*:Enabled:Pando Application"

"C:\\Program\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"

"C:\\Program\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Program\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"

"C:\\Program\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Program\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"

"C:\\Program\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"="C:\\Program\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe:*:Enabled:Sony Ericsson Media Manager 1.2"

"C:\\Program\\MSN Messenger\\msnmsgr.exe"="C:\\Program\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program\\MSN Messenger\\livecall.exe"="C:\\Program\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Program\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Program\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"

"C:\\Program\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"

"C:\\Program\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Program\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"

"C:\\Program\\Bonjour\\mDNSResponder.exe"="C:\\Program\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"

"C:\\Program\\INCREDIMAIL\\bin\\IMApp.exe"="C:\\Program\\INCREDIMAIL\\bin\\IMApp.exe:*:Enabled:IncrediMail"

"C:\\Program\\INCREDIMAIL\\bin\\IncMail.exe"="C:\\Program\\INCREDIMAIL\\bin\\IncMail.exe:*:Enabled:IncrediMail"

"C:\\Program\\INCREDIMAIL\\bin\\ImpCnt.exe"="C:\\Program\\INCREDIMAIL\\bin\\ImpCnt.exe:*:Enabled:IncrediMail"

"C:\\WINDOWS\\explorer.exe"="C:\\WINDOWS\\explorer.exe:*:Enabled:Explorer"

"C:\\Program\\Skype\\Phone\\Skype.exe"="C:\\Program\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"C:\\WINDOWS\\system32\\winlogon.exe"="C:\\WINDOWS\\system32\\winlogon.exe:*:Enabled:winlogon"

"C:\\Program\\Telia\\Supportassistent\\bin\\sprtsvc.exe"="C:\\Program\\Telia\\Supportassistent\\bin\\sprtsvc.exe:*:Enabled:sprtsvc"

"C:\\WINDOWS\\system32\\lsass.exe"="C:\\WINDOWS\\system32\\lsass.exe:*:Enabled:lsass"

"C:\\Program\\Telia\\Telias Sakerhetstjanster\\Common\\FSMB32.EXE"="C:\\Program\\Telia\\Telias Sakerhetstjanster\\Common\\FSMB32.EXE:*:Enabled:FSMB32"

"C:\\Program\\Java\\jre6\\bin\\jqs.exe"="C:\\Program\\Java\\jre6\\bin\\jqs.exe:*:Enabled:jqs"

"C:\\WINDOWS\\system32\\rundll32.exe"="C:\\WINDOWS\\system32\\rundll32.exe:*:Enabled:rundll32"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program\\MSN Messenger\\msnmsgr.exe"="C:\\Program\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program\\MSN Messenger\\livecall.exe"="C:\\Program\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

Remaining Files :

 

 

 

Files with Hidden Attributes :

 

Wed 21 Jan 2009 211 A.SH. --- "C:\BOOT.BAK"

Thu 14 Sep 2006 88 ..SH. --- "C:\WINDOWS\system32\9A53DD19E0.sys"

Sun 18 Jan 2009 3,610 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"

Sat 13 Dec 2008 8 ..SHR --- "C:\Documents and Settings\All Users\Application Data\8F17593C1D.sys"

Mon 15 Dec 2008 2,516 A.SH. --- "C:\Documents and Settings\All Users\Application Data\KGyGaAvL.sys"

Thu 24 Aug 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Fri 23 May 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

 

Finished!

 

[/log]

 

[Cecilia]

Surfa till http://www.virustotal.com (fungerar bäst med Internet Explorer) klistra in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här. Upprepa med nästa filnamn.

C:\Windows\system32\drivers\UAComxjecpx.sys

C:\Windows\system32\UACdxlkaijb.dll

C:\Windows\system32\UACmqeavxep.dat

C:\Windows\system32\UACttkpdpas.dll

C:\Windows\system32\UACrpruxoth.dll

C:\Windows\system32\UACxnmsnbpk.dll

C:\WINDOWS\system32\KGyGaAvL.sys

 

Går det nu att hitta något i Enhetshanteraren (startad som tidigare via Kommandotolken) som börjar på UAC?

 

Om du har en ComboFix på Skrivbordet så ta bort den och försök med det som jag skrev 21 januari 2009 02:35.

 

Om det blir stopp på någon del av ovanstående så fortsätt med nästa sak bara.

 

[muggeby]

Sådär då har jag gjort allt. Här kommer logg och resultat i den ordningen du skrev:

 

Jag hittade inget i Enhetshanteraren.

 

 

 

0 bytes size received / Se ha recibido un archivo vacio

0 bytes size received / Se ha recibido un archivo vacio

 

[log]a-squared 4.0.0.73 2009.01.21 -

AhnLab-V3 5.0.0.2 2009.01.21 -

AntiVir 7.9.0.57 2009.01.21 -

Authentium 5.1.0.4 2009.01.21 -

Avast 4.8.1281.0 2009.01.21 -

AVG 8.0.0.229 2009.01.21 -

BitDefender 7.2 2009.01.21 -

CAT-QuickHeal 10.00 2009.01.21 -

ClamAV 0.94.1 2009.01.21 -

Comodo 940 2009.01.21 -

DrWeb 4.44.0.09170 2009.01.21 -

eSafe 7.0.17.0 2009.01.20 -

eTrust-Vet 31.6.6319 2009.01.21 -

F-Prot 4.4.4.56 2009.01.21 -

F-Secure 8.0.14470.0 2009.01.21 -

Fortinet 3.117.0.0 2009.01.21 -

GData 19 2009.01.21 -

Ikarus T3.1.1.45.0 2009.01.21 -

K7AntiVirus 7.10.598 2009.01.21 -

Kaspersky 7.0.0.125 2009.01.21 -

McAfee 5502 2009.01.21 -

McAfee+Artemis 5502 2009.01.21 -

Microsoft 1.4205 2009.01.21 -

NOD32 3786 2009.01.21 -

Norman 5.93.01 2009.01.21 -

nProtect 2009.1.8.0 2009.01.21 -

Panda 9.5.1.2 2009.01.21 -

PCTools 4.4.2.0 2009.01.21 -

Prevx1 V2 2009.01.21 -

Rising 21.13.22.00 2009.01.21 -

SecureWeb-Gateway 6.7.6 2009.01.21 -

Sophos 4.37.0 2009.01.21 Mal/TDSSConf-A

Sunbelt 3.2.1835.2 2009.01.16 -

Symantec 10 2009.01.21 -

TheHacker 6.3.1.5.225 2009.01.21 -

TrendMicro 8.700.0.1004 2009.01.21 -

VBA32 3.12.8.10 2009.01.21 -

ViRobot 2009.1.21.1572 2009.01.21 -

VirusBuster 4.5.11.0 2009.01.21 -

[/log]

 

0 bytes size received / Se ha recibido un archivo vacio

0 bytes size received / Se ha recibido un archivo vacio

0 bytes size received / Se ha recibido un archivo vacio

 

[log]a-squared 4.0.0.73 2009.01.24 -

AhnLab-V3 5.0.0.2 2009.01.24 -

AntiVir 7.9.0.60 2009.01.23 -

Authentium 5.1.0.4 2009.01.24 -

Avast 4.8.1281.0 2009.01.23 -

AVG 8.0.0.229 2009.01.23 -

BitDefender 7.2 2009.01.24 -

CAT-QuickHeal 10.00 2009.01.24 -

ClamAV 0.94.1 2009.01.24 -

Comodo 944 2009.01.24 -

DrWeb 4.44.0.09170 2009.01.24 -

eSafe 7.0.17.0 2009.01.22 -

eTrust-Vet 31.6.6325 2009.01.24 -

F-Prot 4.4.4.56 2009.01.23 -

F-Secure 8.0.14470.0 2009.01.24 -

Fortinet 3.117.0.0 2009.01.24 -

GData 19 2009.01.24 -

Ikarus T3.1.1.45.0 2009.01.24 -

K7AntiVirus 7.10.602 2009.01.23 -

Kaspersky 7.0.0.125 2009.01.24 -

McAfee 5504 2009.01.23 -

McAfee+Artemis 5504 2009.01.23 -

Microsoft 1.4205 2009.01.24 -

NOD32 3795 2009.01.23 -

Norman 5.93.01 2009.01.23 -

nProtect 2009.1.8.0 2009.01.23 -

Panda 9.5.1.2 2009.01.23 -

PCTools 4.4.2.0 2009.01.23 -

Prevx1 V2 2009.01.24 -

Rising 21.13.42.00 2009.01.23 -

SecureWeb-Gateway 6.7.6 2009.01.24 -

Sophos 4.37.0 2009.01.24 -

Sunbelt 3.2.1835.2 2009.01.16 -

Symantec 10 2009.01.24 -

TheHacker 6.3.1.5.227 2009.01.24 -

TrendMicro 8.700.0.1004 2009.01.24 -

VBA32 3.12.8.11 2009.01.23 -

ViRobot 2009.1.23.1576 2009.01.23 -

VirusBuster 4.5.11.0 2009.01.23 -

[/log]

 

[log]ComboFix 09-01-21.04 - demo 2009-01-24 11:29:36.3 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1053.18.959.487 [GMT 1:00]

Körs från: c:\documents and settings\demo\Skrivbord\ComboFix.exe

AV: Telia Säker Surf 8.00 *On-access scanning disabled* (Updated)

FW: Telia Säker Surf 8.00 *disabled*

* Skapade en ny återställningspunkt

.

 

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

c:\documents and settings\demo\Favoriter\Videos.url

c:\windows\system32\dumphive.exe

c:\windows\system32\hpowiax2.dll

c:\windows\system32\Process.exe

c:\windows\system32\SrchSTS.exe

c:\windows\system32\tmp.reg

c:\windows\system32\UACmqeavxep.dat

 

----- BITS: Troligen infekterade webbplatser -----

 

hxxp://speedytorrents.net

hxxp://sync.support.telia.se

hxxp://childhe.com

.

((((((((((((((((((((((((((((((((((((((( Drivrutiner/Tjänster )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_UACd.sys

 

 

(((((((((((((((((((((((( Filer Skapade från 2008-12-24 till 2009-01-24 ))))))))))))))))))))))))))))))

.

 

2009-01-23 01:17 . 2009-01-23 01:17 1,851,544 --a------ c:\program\install_flash_player.exe

2009-01-22 15:59 . 2009-01-14 16:11 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-01-22 15:58 . 2009-01-14 16:11 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-01-21 18:12 . 2009-01-21 18:12 <KAT> dr------- c:\documents and settings\LocalService\Mina dokument

2009-01-20 23:32 . 2009-01-20 23:32 578,560 --a--c--- c:\windows\system32\dllcache\user32.dll

2009-01-20 22:38 . 2009-01-20 22:38 <KAT> d-------- c:\windows\ERUNT

2009-01-20 19:32 . 2009-01-20 19:31 410,984 --a------ c:\windows\system32\deploytk.dll

2009-01-20 19:25 . 2009-01-22 15:59 <KAT> d-------- c:\program\Malwarebytes' Anti-Malware

2009-01-20 19:23 . 2009-01-20 19:23 2,737,808 --a------ c:\program\mbam-setup(2).exe

2009-01-20 19:17 . 2009-01-20 19:19 2,737,808 --a------ c:\program\mbam-setup.exe

2009-01-17 19:34 . 2009-01-20 12:15 43 --a------ c:\windows\system32\screenSaver.tra

2009-01-17 19:34 . 2009-01-20 12:15 26 --a------ c:\windows\system32\sound.tra

2009-01-17 19:34 . 2009-01-20 12:15 26 --a------ c:\windows\system32\nFrame.tra

2009-01-17 19:34 . 2009-01-20 12:15 26 --a------ c:\windows\system32\JkmFile.tra

2009-01-17 19:34 . 2009-01-20 12:15 26 --a------ c:\windows\system32\files.tra

2009-01-17 17:44 . 2009-01-21 09:19 <KAT> d-------- c:\program\3D Sea Aquarium

2009-01-13 14:41 . 2009-01-13 14:43 <KAT> d-------- c:\program\QuickTime

2009-01-13 14:38 . 2009-01-13 14:38 <KAT> d-------- c:\program\Apple Software Update

2009-01-12 14:25 . 2009-01-13 14:44 <KAT> d-------- c:\program\Bonjour

2009-01-12 14:16 . 2009-01-12 14:16 <KAT> d-------- c:\program\Delade filer\Macrovision Shared

2009-01-12 07:51 . 2009-01-12 07:51 792,197 --a------ c:\program\MozBackup-1.4.8-EN.exe

2009-01-04 23:54 . 2009-01-04 23:54 <KAT> d-------- c:\program\Hewlett-Packard

2009-01-04 23:54 . 2009-01-04 23:54 <KAT> d-------- c:\program\Delade filer\Hewlett-Packard

2009-01-04 23:52 . 2009-01-04 23:54 111,926 --a------ c:\windows\hpoins11.dat

2009-01-04 23:51 . 2006-05-06 05:48 6,947 --a------ c:\windows\hpomdl11.dat

2009-01-04 23:30 . 2006-04-10 14:03 38,400 --a------ c:\windows\system32\hpz3l054.dll

2009-01-04 23:29 . 2006-03-03 21:03 282,680 --a------ c:\windows\system32\HPZidr12.dll

2009-01-04 23:29 . 2006-03-03 21:02 204,800 --a------ c:\windows\system32\HPZipr12.dll

2009-01-04 23:29 . 2006-03-03 21:02 94,208 --a------ c:\windows\system32\HPZipt12.dll

2009-01-04 23:29 . 2006-03-03 21:03 69,632 --a------ c:\windows\system32\HPZipm12.exe

2009-01-04 23:29 . 2006-03-03 21:03 65,536 --a------ c:\windows\system32\HPZinw12.exe

2009-01-04 23:29 . 2006-03-03 21:02 57,344 --a------ c:\windows\system32\HPZisn12.dll

2009-01-04 23:28 . 2009-01-04 23:28 <KAT> d-------- c:\program\HP

2009-01-04 23:26 . 2006-04-13 01:04 49,664 --a------ c:\windows\system32\drivers\HPZid412.sys

2009-01-04 23:26 . 2006-04-13 01:04 21,568 --a------ c:\windows\system32\drivers\HPZius12.sys

2009-01-04 23:26 . 2006-04-13 01:04 16,496 --a------ c:\windows\system32\drivers\HPZipr12.sys

2009-01-04 23:24 . 2006-04-13 01:02 827,392 --a------ c:\windows\system32\hpotiop2.dll

2009-01-04 23:24 . 2006-04-13 01:04 282,624 --a------ c:\windows\system32\HPZc3212.dll

2009-01-04 23:24 . 2006-04-13 01:02 254,026 --a------ c:\windows\system32\hpovst09.dll

2009-01-04 23:24 . 2005-07-19 02:38 98,304 --a------ c:\windows\system32\hpzjsn01.dll

2009-01-04 23:24 . 2006-01-04 09:12 77,824 --a------ c:\windows\system32\HPZIDS01.dll

2008-12-27 13:24 . 2008-12-29 08:06 <KAT> d-------- c:\documents and settings\demo\Application Data\skypePM

2008-12-27 13:24 . 2008-12-27 13:24 56 --ah----- c:\windows\system32\ezsidmv.dat

2008-12-27 13:23 . 2008-12-29 10:35 <KAT> d-------- c:\program\Skype

2008-12-27 13:23 . 2008-12-27 13:23 <KAT> d-------- c:\program\Delade filer\Skype

2008-12-27 13:21 . 2008-12-27 13:22 22,260,008 --a------ c:\program\SkypeSetup.exe

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-22 18:22 33,408 ----a-w c:\windows\system32\drivers\fsbts.sys

2009-01-20 18:54 --------- d-----w c:\program\Delade filer\Apple

2009-01-20 18:34 --------- d-----w c:\program\Java

2009-01-20 15:37 5,953,568 ----a-w c:\program\SUPERAntiSpyware.exe

2009-01-20 15:34 --------- d-----w c:\program\SUPERAntiSpyware

2009-01-20 15:34 --------- d-----w c:\documents and settings\demo\Application Data\Move Networks

2009-01-20 13:08 --------- d-----w c:\documents and settings\demo\Application Data\Skype

2009-01-18 09:01 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-01-13 13:41 --------- d-----w c:\documents and settings\All Users\Application Data\Apple Computer

2009-01-12 13:25 --------- d-----w c:\program\Delade filer\Adobe

2008-12-29 08:55 --------- d-----w c:\program\BitComet

2008-12-27 12:23 --------- d-----w c:\documents and settings\All Users\Application Data\Skype

2008-12-26 16:43 --------- d-----w c:\documents and settings\demo\Application Data\SUPERAntiSpyware.com

2008-12-26 16:16 --------- d-----w c:\documents and settings\demo\Application Data\CleanupAssistant

2008-12-22 21:07 --------- d-----w c:\program\MSN Messenger

2008-12-22 21:02 --------- d-----w c:\program\Windows Live

2008-12-22 20:22 --------- d-----w c:\program\JetAudio

2008-12-22 20:21 --------- d-----w c:\program\Delade filer\COWON

2008-12-22 20:12 --------- d-----w c:\program\Uppdaterade program

2008-12-22 17:20 --------- d-----w c:\documents and settings\All Users\Application Data\WLInstaller

2008-12-21 21:07 --------- d-----w c:\program\MSXML 4.0

2008-12-21 20:23 --------- d-----w c:\documents and settings\All Users\Application Data\Watermark Factory

2008-12-21 20:17 --------- d-----w c:\program\Rainlendar2

2008-12-21 20:14 --------- d-----w c:\program\IrfanView

2008-12-21 20:13 --------- d-----w c:\program\dvdSanta

2008-12-21 20:12 --------- d-----w c:\program\Advanced Font Viewer

2008-12-17 15:19 7,582,848 ----a-w c:\program\Firefox Setup 3.0.5.exe

2008-12-15 08:32 2,516 --sha-w c:\documents and settings\All Users\Application Data\KGyGaAvL.sys

2008-12-13 19:29 8 --sh--r c:\documents and settings\All Users\Application Data\8F17593C1D.sys

2008-12-13 19:29 --------- d-----w c:\documents and settings\demo\Application Data\Corel

2008-12-13 19:27 --------- d-----w c:\program\Delade filer\Protexis

2008-12-13 19:27 --------- d-----w c:\documents and settings\All Users\Application Data\Corel

2008-12-13 19:21 --------- d-----w c:\program\Delade filer\Corel

2008-12-13 19:20 --------- d-----w c:\program\Corel

2008-12-12 07:41 --------- d-----w c:\program\Google

2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys

2008-08-06 21:57 8,904,808 ----a-w c:\program\Opera_951_in_Setup.exe

2007-06-10 22:58 47,360 ----a-w c:\documents and settings\demo\Application Data\pcouffin.sys

2006-12-12 06:38 45,048 -c--a-w c:\documents and settings\demo\Application Data\GDIPFONTCACHEV1.DAT

2001-08-28 12:42 627,780 ----a-w c:\program\Virtual Painter.msi

2001-08-28 12:41 62,697 ----a-w c:\program\setup.ini

2000-07-27 10:49 1,526,275 ----a-w c:\program\instmsiw.exe

2000-07-27 10:49 1,513,987 ----a-w c:\program\instmsia.exe

1999-07-31 13:28 45,056 -c--a-w c:\program\sinedots.8bf

1999-07-13 23:44 861 -c--a-w c:\program\sinedots.cfg

2006-09-14 20:17 88 --sh--w c:\windows\system32\9A53DD19E0.sys

.

 

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"F-Secure Manager"="c:\program\Telia\Telias Sakerhetstjanster\Common\FSM32.EXE" [2008-09-23 182936]

"F-Secure TNB"="c:\program\Telia\Telias Sakerhetstjanster\FSGUI\TNBUtil.exe" [2008-09-23 957024]

"{0228e555-4f9c-4e35-a3ec-b109a192b4c2}"="c:\program\Google\Gmail Notifier\gnotify.exe" [2005-07-15 479232]

"VTTimer"="VTTimer.exe" [2005-03-07 c:\windows\system32\VTTimer.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Start-meny\Program\AutostartRalink Wireless Utility.lnk - c:\program\RALINK\Common\RaUI.exe [2006-12-28 598016]

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^BankID säkerhetsprogram.lnk]

backup=c:\windows\pss\BankID säkerhetsprogram.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Google Updater.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\Google Updater.lnk

backup=c:\windows\pss\Google Updater.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^demo^Start-meny^Program^Autostart^MagicDisc.lnk]

backup=c:\windows\pss\MagicDisc.lnkStartup

 

[HKLM\~\startupfolder\C:^Documents and Settings^demo^Start-meny^Program^Autostart^OneNote 2007 Screen Clipper and Launcher.lnk]

backup=c:\windows\pss\OneNote 2007 Screen Clipper and Launcher.lnkStartup

 

[HKLM\~\startupfolder\C:^Documents and Settings^demo^Start-meny^Program^Autostart^Trillian.lnk]

backup=c:\windows\pss\Trillian.lnkStartup

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\!AVG Anti-Spyware

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Gadwin PrintScreen 3.5

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ICQ

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Picasa Media Detector

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Pidgin

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Rainlendar2

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SpybotSD TeaTimer

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinampAgent

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Windows Defender

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\{0228e555-4f9c-4e35-a3ec-b109a192b4c2}

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

--a------ 2008-01-11 22:16 39792 c:\program\Adobe\Reader 8.0\Reader\reader_sl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}]

--a------ 2005-12-16 11:57 94208 c:\program\Delade filer\Ahead\Lib\NMBgMonitor.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Corel File Shell Monitor]

--------- 2007-10-30 19:52 16200 c:\program\Corel\Corel Paint Shop Pro Photo X2\CorelIOMonitor.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\e-kort]

--a------ 2007-05-10 09:36 233472 c:\program\ekort\ekort.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]

--a------ 2007-08-24 06:00 33648 c:\program\Microsoft Office\Office12\GrooveMonitor.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsnMsgr]

--a------ 2007-01-19 12:55 5674352 c:\program\MSN Messenger\msnmsgr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

--a------ 2001-07-09 09:50 155648 c:\windows\system32\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

--a------ 2008-11-04 10:30 413696 c:\program\QuickTime\QTTask.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Sony Ericsson PC Suite]

--a------ 2008-07-02 16:16 393216 c:\program\Sony Ericsson\Sony Ericsson PC Suite\SEPCSuite.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

--a------ 2009-01-20 19:31 136600 c:\program\Java\jre6\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Telia]

--a------ 2008-10-16 10:07 201976 c:\program\Telia\Supportassistent\bin\sprtcmd.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WMPNSCFG]

--------- 2006-11-15 09:49 204288 c:\program\Windows Media Player\wmpnscfg.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

--a------ 2005-08-17 11:39 90112 c:\windows\SOUNDMAN.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\VTTrayp]

--a------ 2005-03-11 10:33 147456 c:\windows\system32\VTTrayp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"AVG Anti-Spyware Guard"=2 (0x2)

"gusvc"=3 (0x3)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program\\Microsoft Office\\Office12\\OUTLOOK.EXE"=

"c:\\Program\\Microsoft Office\\Office12\\GROOVE.EXE"=

"c:\\Program\\Microsoft Office\\Office12\\ONENOTE.EXE"=

"c:\\Program\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"=

"c:\\Program\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program\\MSN Messenger\\livecall.exe"=

"c:\\Program\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Program\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"c:\\Program\\Bonjour\\mDNSResponder.exe"=

"c:\\Program\\Skype\\Phone\\Skype.exe"=

"c:\\Program\\Telia\\Supportassistent\\bin\\sprtsvc.exe"=

"c:\\Program\\Telia\\Telias Sakerhetstjanster\\Common\\FSMB32.EXE"=

"c:\\Program\\Java\\jre6\\bin\\jqs.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"10304:TCP"= 10304:TCP:BitComet 10304 TCP

"10304:UDP"= 10304:UDP:BitComet 10304 UDP

"57971:TCP"= 57971:TCP:Pando P2P TCP Listening Port

"57971:UDP"= 57971:UDP:Pando P2P UDP Listening Port

"57242:TCP"= 57242:TCP:Pando P2P TCP Listening Port

"57242:UDP"= 57242:UDP:Pando P2P UDP Listening Port

 

R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [2008-10-31 33408]

R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2008-06-26 79904]

R1 F-Secure HIPS;F-Secure HIPS Driver;c:\program\Telia\Telias Sakerhetstjanster\HIPS\drivers\fshs.sys [2008-10-27 66720]

R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program\Telia\Telias Sakerhetstjanster\Anti-Virus\minifilter\fsgk.sys [2008-06-26 84096]

R4 sprtsvc_telia;SupportSoft Sprocket Service (telia);c:\program\Telia\Supportassistent\bin\sprtsvc.exe [2008-10-20 202016]

S1 SASKUTIL;SASKUTIL;\??\c:\program\SUPERAntiSpyware\SASKUTIL.sys --> c:\program\SUPERAntiSpyware\SASKUTIL.sys [?]

S3 FSORSPClient;F-Secure ORSP Client;c:\program\Telia\Telias Sakerhetstjanster\ORSP Client\fsorsp.exe [2008-10-27 55904]

S3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\drivers\s0017bus.sys [2008-11-19 90536]

S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\drivers\s0017mdfl.sys [2008-11-19 15016]

S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\drivers\s0017mdm.sys [2008-11-19 122152]

S3 s0017mgmt;Sony Ericsson Device 0017 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0017mgmt.sys [2008-11-19 115496]

S3 s0017nd5;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (NDIS);c:\windows\system32\drivers\s0017nd5.sys [2008-11-19 25768]

S3 s0017obex;Sony Ericsson Device 0017 USB WMC OBEX Interface;c:\windows\system32\drivers\s0017obex.sys [2008-11-19 111912]

S3 s0017unic;Sony Ericsson Device 0017 USB Ethernet Emulation SEMC0017 (WDM);c:\windows\system32\drivers\s0017unic.sys [2008-11-19 117672]

S3 SC;SC;c:\docume~1\demo\LOKALA~1\Temp\SC.exe --> c:\docume~1\demo\LOKALA~1\Temp\SC.exe [?]

S3 w300mgmt;Sony Ericsson W300 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\w300mgmt.sys [2007-07-19 87824]

S3 w300obex;Sony Ericsson W300 USB WMC OBEX Interface;c:\windows\system32\drivers\w300obex.sys [2007-07-19 85696]

S4 F-Secure Filter;F-Secure File System Filter;c:\program\Telia\Telias Sakerhetstjanster\Anti-Virus\win2k\fsfilter.sys [2008-06-26 39776]

S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\program\Telia\Telias Sakerhetstjanster\Anti-Virus\win2k\fsrec.sys [2008-06-26 25184]

.

Innehållet i mappen 'Schemalagda aktiviteter':

 

2009-01-21 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

 

2009-01-24 c:\windows\Tasks\Scheduled scanning task.job

- c:\program\Telia\TELIAS~1\ANTI-V~1\fsav.exe [2008-09-23 14:35]

.

- - - - FÖRÄLDRALÖSA POSTER SOM TAGITS BORT - - - -

 

BHO-{7DB2C2A7-F750-4794-9151-504E130C2F0D} - (no file)

BHO-{80413143-4d48-4f15-968e-b57e726c95ed} - (no file)

ShellExecuteHooks-{56F9679E-7826-4C84-81F3-532071A8BCC5} - (no file)

Notify-jkkHyXQK - jkkHyXQK.dll

MSConfigStartUp-64c3d9f7 - c:\windows\system32\vodawoja.dll

MSConfigStartUp-CPM67f0ea6b - c:\windows\system32\nazehogi.dll

MSConfigStartUp-pewugayefi - c:\windows\system32\bawisayo.dll

 

 

.

------- Extra genomsökning -------

.

uStart Page = hxxp://www.superstart.se/

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: &D&ownload &with BitComet - c:\program\BitComet\BitComet.exe/AddLink.htm

IE: &D&ownload all video with BitComet - c:\program\BitComet\BitComet.exe/AddVideo.htm

IE: &D&ownload all with BitComet - c:\program\BitComet\BitComet.exe/AddAllLink.htm

IE: E&xport to Microsoft Excel - c:\program\MICROS~2\Office12\EXCEL.EXE/3000

IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\OFFICE11\EXCEL.EXE/3000

LSP: c:\program\Telia\Telias Sakerhetstjanster\FSPS\program\FSLSP.DLL

DPF: {149E45D8-163E-4189-86FC-45022AB2B6C9} - file:///C:/Program/Mahjong%20Escape%20-%20Ancient%20Japan/Images/stg_drm.ocx

DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://downloads.ewido.net/ewidoOnlineScan.cab

DPF: {5CD4310E-88FB-43C1-BE24-5F3FA9C5C9D1} - hxxp://www.tvlution.com/KooPlayer.ocx

FF - ProfilePath - c:\documents and settings\demo\Application Data\Mozilla\Firefox\Profiles\mernyhlg.defaultFF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.superstart.se/

FF - component: c:\documents and settings\demo\Application Data\Mozilla\Firefox\Profiles\mernyhlg.default\extensions\{B042753D-F57E-4e8e-A01B-7379A6D4CEFB}\components\IBitCometExtension.dll

FF - plugin: c:\documents and settings\All Users\Application Data\Zylom\ZylomGamesPlayer\npzylomgamesplayer.dll

FF - plugin: c:\documents and settings\demo\Application Data\Mozilla\Firefox\Profiles\mernyhlg.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071101000055.dll

FF - plugin: c:\program\Opera\program\plugins\nppdf32.dll

FF - plugin: c:\program\Personal\bin\np_prsnl.dll

 

---- FIREFOX POLICY ----

c:\program\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-24 11:45:17

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]

"D140710900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

"D140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

 

- - - - - - - > 'winlogon.exe'(524)

c:\program\Telia\Telias Sakerhetstjanster\FWES\Program\fsdc32.dll

 

- - - - - - - > 'lsass.exe'(588)

c:\program\Telia\Telias Sakerhetstjanster\FSPS\program\FSLSP.DLL

c:\program\Telia\Telias Sakerhetstjanster\FWES\Program\fsdc32.dll

 

- - - - - - - > 'csrss.exe'(500)

c:\program\Telia\Telias Sakerhetstjanster\FWES\Program\fsdc32.dll

.

------------------------ Andra processer som körs ------------------------

.

c:\program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program\Bonjour\mDNSResponder.exe

c:\program\Telia\Telias Sakerhetstjanster\Anti-Virus\fsgk32st.exe

c:\program\Telia\Telias Sakerhetstjanster\Common\FSMA32.EXE

c:\program\Telia\Telias Sakerhetstjanster\Anti-Virus\fsgk32.exe

c:\program\Java\jre6\bin\jqs.exe

c:\program\Delade filer\Microsoft Shared\VS7Debug\MDM.EXE

c:\windows\system32\HPZipm12.exe

c:\windows\system32\PSIService.exe

c:\program\Delade filer\Protexis\License Service\PsiService_2.exe

c:\program\Windows Media Player\wmpnetwk.exe

c:\program\Telia\Telias Sakerhetstjanster\Anti-Virus\fssm32.exe

c:\windows\system32\wscntfy.exe

c:\program\Telia\Telias Sakerhetstjanster\Common\FSLAUNCHER0.EXE

.

**************************************************************************

.

Sluttid: 2009-01-24 11:49:21 - datorn startades om.

ComboFix-quarantined-files.txt 2009-01-24 10:49:18

ComboFix2.txt 2007-08-10 10:10:52

 

Före genomsökningen: 149 264 728 064 byte ledigt

Efter genomsökningen: 149,427,388,416 byte ledigt

 

329 --- E O F --- 2008-05-21 12:52:42

[/log]

 

[Cecilia]

Ta bort filen C:\Windows\system32\UACmqeavxep.dat

 

2009-01-23 01:17 . 2009-01-23 01:17 1,851,544 --a------ c:\program\install_flash_player.exe

Har du själv lagt en installationsfil för Flash i Program-mappen natten till igår?

 

2009-01-17 17:44 . 2009-01-21 09:19 <KAT> d-------- c:\program\3D Sea Aquarium

Varifrån kom den? Var det den som drog in de skadliga filerna? Många gratis skärmsläckare innehåller skadliga program.

 

Om det finns något i Enhetshanteraren som heter SC så välj att ta bort den.

 

Har du använt registereditorn regedit förut?

 

[muggeby]

Den enda UAC som jag hittar där inne är UACiyffapxm.log, finns inget annat.

 

Jag återinstallerade FF och för att kunna se på webb-tv så behövdes Flash.

 

3D Sea Aquarium kommer från en kompis men jag förknippar inte problemstart iom installation av denna, det var tidigare.

Tog bort den nu i vilket fall som helst.

 

Det som finns i enhetshanteraren som heter SC är bara SCDEmu

Ska den bort?

 

Vad jag vet har jag inte använt registereditorn regedit

 

 

[Cecilia]

Den enda UAC som jag hittar där inne är UACiyffapxm.log, finns inget annat

Ta bort den, för den hör ihop med resten av det skadliga.

 

Får du felmeddelande när du försöker titta i de olika delarna av Loggboken (Kontrollpanelen - Administrationsverktyg)? I så fall försök med tipset i inlägget daterat Aug. 18 på sidan

http://tinyurl.com/cjkumh

(http://h30240.www3.hp.com/sessions/discussions

/viewArchivedTopic.jsp?filter=0&topicId=1909354&

courseId=45133&courseSessionId=66169 )

Event Viewer = Loggboken och Properties = Egenskaper

Starta om datorn och se om OTViewIt fungerar sedan

 

[muggeby]

Ok jag förstår men det står att jag ska klicka på clear där men hittar inget clear. Jag högerklickar på ett fel och väljer egenskaper. Där finns bara information om programmet/filen pil upp och pil ner och så en med "2 dokument på"

 

Jag har mängder av fel och varningar där inne.

Vågar inte klicka och prova

 

[Cecilia]

Jag tror att du är på fel ställe i Loggboken. Går det bra att välja alla grupperna som Program, Säkerhet etc (kommer inte riktigt ihåg vad det var för några i XP längre) eller är det någon som inte fungerar? För länken gäller bara om det inte går att få fram någon av grupperna.

 

[muggeby]

Jag har tagit en print, jag mailar den till dej för här kan man bara ha så små bilder och då blir det otydligt.

 

[Cecilia]

Går det att klicka på allt till vänster (Säkerhet, System etc) och det kommer upp rader till höger och inget felmeddelande?

 

[muggeby]

Internet Explorer och Microsoft Office står det att inga objekt kan visas i den vyn, men dom andra kommer det upp massa.

 

 

[Cecilia]

Då verkar det ju inte vara något större problem med loggboken och det var ju bra.

 

Då ska vi se om det går bra att göra något åt resterna i registret. Skapa en systemåterställningspunkt så att det finns någon att backa till utifall att något skulle gå fel.

Start - Program - Tillbehör - Systemverktyg - Systemåterställning

 

Start - Kör - regedit

 

I vänsterkolumnen är ungefär som mappar i varandra som i Utforskaren.

Man trycker på + för att öppna det som finns inuti

 

[log]Leta upp HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\UACd.sys

 

Innan du ändrar så gör en säkerhetskopia av denna del av registret:

Högerklicka på UACd.sys och välj Exportera

Välj en mapp eller Skrivbord

Skriv in ett filnamn

Kom ihåg mappen och filnamnet.

Tryck på Spara.

 

Om något går fel så kan du återställa till det gamla innehållet i denna del av registret genom att dubbelklicka på den sparade filen.

 

Högerklicka på UACd.sys och välj att ta bort.

 

Upprepa på samma sätt med:

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UACd.sys

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\UACd.sys

 

[/log]Avsluta registereditorn.

Starta om datorn i felsäkert läge och kör SDFix.

Klistra sedan in loggen.

 

[muggeby]

Jag tycker det är så märkligt för dessa filer som du säger jag ska leta efter finns inte. Men du ser via någon logg att dom gör det vad jag förstår?

Ingen av dessa tre finns

 

[Cecilia]

I senaste SDFix-loggen så finns de tre registerposterna, det är inte filer. Men lägg hit en ny SDFix-logg så får vi se hur det ser ut nu.

 

[muggeby]

[log]

SDFix: Version 1.240

Run by demo on 2009-01-25 at 09:45

 

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\Documents and Settings\demo\Skrivbord\SDFix

 

Checking Services :

 

 

Restoring Default Security Values

Restoring Default Hosts File

 

Rebooting

 

 

Checking Files :

 

No Trojan Files Found

 

 

 

 

 

 

Removing Temp Files

 

ADS Check :

 

 

 

Final Check :

 

catchme 0.3.1361.2 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-25 12:20:01

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden services & system hive ...

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg]

"s1"=dword:2df9c43f

"s2"=dword:110480d0

"h0"=dword:00000001

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:72,e9,47,6f,45,33,b6,22,90,ba,38,bb,b7,93,ba,d3,1c,a7,0f,52,67,..

"p0"="C:\Program\DAEMON Tools\"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,0b,57,d6,6f,20,85,ed,d0,87,22,8f,6f,4d,32,f6,ca,1d,..

"khjeh"=hex:17,5f,e2,32,7b,cc,19,d5,70,7d,4b,23,33,dd,d5,19,1e,b2,7c,07,b0,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:e6,ac,ac,16,33,37,dd,fa,02,c0,7f,dc,06,3d,2b,6d,e4,ae,fe,62,26,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]

"khjeh"=hex:60,69,de,4b,3c,f8,5d,1a,8e,ac,ac,05,d7,12,16,54,0b,43,23,7f,35,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]

"khjeh"=hex:60,69,de,4b,3c,f8,5d,1a,8e,ac,ac,05,d7,12,16,54,0b,43,23,7f,35,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]

"khjeh"=hex:60,69,de,4b,3c,f8,5d,1a,8e,ac,ac,05,d7,12,16,54,0b,43,23,7f,35,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:38,db,4d,ea,5b,19,c8,71,bd,1a,b5,e2,b9,fa,3e,6d,11,07,1c,14,3c,..

"p0"="C:\Program\DAEMON Tools\"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"khjeh"=hex:17,5f,e2,32,7b,cc,19,d5,70,7d,4b,23,33,dd,d5,19,1e,b2,7c,07,b0,..

"a0"=hex:20,01,00,00,0d,fe,10,56,ca,d5,6d,47,55,1e,81,09,db,1e,09,8b,73,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:41,24,82,f8,46,ac,52,50,9f,f8,4f,14,6f,1e,28,9f,ac,f4,c8,01,19,..

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4]

"h0"=dword:00000000

"khjeh"=hex:72,e9,47,6f,45,33,b6,22,90,ba,38,bb,b7,93,ba,d3,1c,a7,0f,52,67,..

"p0"="C:\Program\DAEMON Tools\"

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001]

"a0"=hex:20,01,00,00,0b,57,d6,6f,20,85,ed,d0,87,22,8f,6f,4d,32,f6,ca,1d,..

"khjeh"=hex:17,5f,e2,32,7b,cc,19,d5,70,7d,4b,23,33,dd,d5,19,1e,b2,7c,07,b0,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf40]

"khjeh"=hex:e6,ac,ac,16,33,37,dd,fa,02,c0,7f,dc,06,3d,2b,6d,e4,ae,fe,62,26,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf41]

"khjeh"=hex:60,69,de,4b,3c,f8,5d,1a,8e,ac,ac,05,d7,12,16,54,0b,43,23,7f,35,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf42]

"khjeh"=hex:60,69,de,4b,3c,f8,5d,1a,8e,ac,ac,05,d7,12,16,54,0b,43,23,7f,35,..

 

[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\sptd\Cfg\19659239224E364682FA4BAF72C53EA4\00000001\0Jf43]

"khjeh"=hex:60,69,de,4b,3c,f8,5d,1a,8e,ac,ac,05,d7,12,16,54,0b,43,23,7f,35,..

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services :

 

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program\\Microsoft Office\\Office12\\OUTLOOK.EXE"="C:\\Program\\Microsoft Office\\Office12\\OUTLOOK.EXE:*:Enabled:Microsoft Office Outlook"

"C:\\Program\\Microsoft Office\\Office12\\GROOVE.EXE"="C:\\Program\\Microsoft Office\\Office12\\GROOVE.EXE:*:Enabled:Microsoft Office Groove"

"C:\\Program\\Microsoft Office\\Office12\\ONENOTE.EXE"="C:\\Program\\Microsoft Office\\Office12\\ONENOTE.EXE:*:Enabled:Microsoft Office OneNote"

"C:\\Program\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe"="C:\\Program\\Sony Ericsson\\Sony Ericsson Media Manager\\MediaManager.exe:*:Enabled:Sony Ericsson Media Manager 1.2"

"C:\\Program\\MSN Messenger\\msnmsgr.exe"="C:\\Program\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program\\MSN Messenger\\livecall.exe"="C:\\Program\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

"C:\\Program\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"="C:\\Program\\HP\\Digital Imaging\\bin\\hpqscnvw.exe:*:Enabled:hpqscnvw.exe"

"C:\\Program\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"="C:\\Program\\HP\\Digital Imaging\\bin\\hpqkygrp.exe:*:Enabled:hpqkygrp.exe"

"C:\\Program\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"="C:\\Program\\HP\\Digital Imaging\\bin\\hpqnrs08.exe:*:Enabled:hpqnrs08.exe"

"C:\\Program\\Bonjour\\mDNSResponder.exe"="C:\\Program\\Bonjour\\mDNSResponder.exe:*:Enabled:Bonjour"

"C:\\Program\\Skype\\Phone\\Skype.exe"="C:\\Program\\Skype\\Phone\\Skype.exe:*:Enabled:Skype"

"C:\\Program\\Telia\\Supportassistent\\bin\\sprtsvc.exe"="C:\\Program\\Telia\\Supportassistent\\bin\\sprtsvc.exe:*:Enabled:sprtsvc"

"C:\\Program\\Telia\\Telias Sakerhetstjanster\\Common\\FSMB32.EXE"="C:\\Program\\Telia\\Telias Sakerhetstjanster\\Common\\FSMB32.EXE:*:Enabled:FSMB32"

"C:\\Program\\Java\\jre6\\bin\\jqs.exe"="C:\\Program\\Java\\jre6\\bin\\jqs.exe:*:Enabled:jqs"

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"="%windir%\\Network Diagnostic\\xpnetdiag.exe:*:Enabled:@xpsp3res.dll,-20000"

"%windir%\\system32\\sessmgr.exe"="%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

"C:\\Program\\MSN Messenger\\msnmsgr.exe"="C:\\Program\\MSN Messenger\\msnmsgr.exe:*:Enabled:Windows Live Messenger 8.1"

"C:\\Program\\MSN Messenger\\livecall.exe"="C:\\Program\\MSN Messenger\\livecall.exe:*:Enabled:Windows Live Messenger 8.1 (Phone)"

 

Remaining Files :

 

 

 

Files with Hidden Attributes :

 

Wed 21 Jan 2009 211 A.SH. --- "C:\BOOT.BAK"

Thu 14 Sep 2006 88 ..SH. --- "C:\WINDOWS\system32\9A53DD19E0.sys"

Sun 18 Jan 2009 3,610 A.SH. --- "C:\WINDOWS\system32\KGyGaAvL.sys"

Sat 13 Dec 2008 8 ..SHR --- "C:\Documents and Settings\All Users\Application Data\8F17593C1D.sys"

Mon 15 Dec 2008 2,516 A.SH. --- "C:\Documents and Settings\All Users\Application Data\KGyGaAvL.sys"

Thu 24 Aug 2006 4,348 A.SH. --- "C:\Documents and Settings\All Users\DRM\DRMv1.bak"

Fri 23 May 2008 0 A.SH. --- "C:\Documents and Settings\All Users\DRM\Cache\Indiv01.tmp"

 

Finished!

 

[/log]

 

[Cecilia]

De finns inte längre kvar där så då var det ju inte så underligt att du inte hittade dem i registret, troligen så städade ComboFix bort dem.

 

Verkar allt bra med datorn nu?