Trojan.pandex och trojan.vundo

[Cecilia]

Jo, men ComboFix tog bort det som stod i CFScript-filen så nu ser den loggen bra ut.

 

Om MBAM eller Spybot S&D hittar något så klistra in loggarna från dem.

 

[adam611]

ska jag söka med dom elr?

 

[Cecilia]

Ja, kör MBAM och Spybot.

 

[adam611]

ska jag ladda upp loggen?

 

[Cecilia]

Om programmen hittar något så klistrar du in loggarna i ditt svar.

Det kommer att dröja ett par timmar innan jag kollar på dem.

 

[adam611]

MalwareBtye' hittade inget men spybot hittade detta:

 

[log]--- Search result list ---

Fraud.XPAntivirus: Settings (Registry value, fixed)

HKEY_USERS\S-1-5-21-1417001333-73586283-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\NoDrives

 

[/log]

 

[Cecilia]

Det ser ut som att Spybot fixade det.

 

Hur gick det med Nortons versionsnummer? För om man har Norton 2007 eller 2008 (version 15) så kan man uppgradera till 2009 (version 16) utan extra kostnad.

 

Klistra in en ny HijackThis-logg så får vi se att den också är bra nu.

 

[adam611]

Här kommer HijackThis loggen:

 

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:04:32, on 2009-01-25

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\ZoneLabs\vsmon.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Delade filer\Symantec Shared\ccSvcHst.exe

C:\Program\Delade filer\Symantec Shared\AppCore\AppSvc32.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Program\Delade filer\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program\Java\jre6\bin\jusched.exe

C:\Program\Zone Labs\ZoneAlarm\zlclient.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Delade filer\Ahead\Lib\NMBgMonitor.exe

C:\Documents and Settings\Adam\Lokala inställningar\Application Data\Google\Update\GoogleUpdate.exe

C:\Program\DAEMON Tools Lite\daemon.exe

C:\Program\Windows Live\Messenger\MsnMsgr.Exe

C:\Program\Electronic Arts\EADM\Core.exe

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Program\DNA\btdna.exe

C:\program\steam\steam.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

C:\Program\Windows Desktop Search\WindowsSearch.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Program\OpenOffice.org 3\program\soffice.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Program\OpenOffice.org 3\program\soffice.bin

C:\Program\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program\Delade filer\Ahead\Lib\NMIndexingService.exe

C:\Program\Delade filer\Ahead\Lib\NMIndexStoreSvr.exe

C:\Documents and Settings\Adam\Lokala inställningar\Application Data\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Adam\Lokala inställningar\Application Data\Google\Chrome\Application\chrome.exe

C:\Documents and Settings\Adam\Lokala inställningar\Application Data\Google\Chrome\Application\chrome.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.domainofheroes.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://windowsupdate.microsoft.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Program\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program\Microsoft Office\Office12\GrooveShellExtensions.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre6\bin\ssv.dll

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl Class - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program\Yahoo!\Companion\Installs\cpn\yt.dll

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [ccApp] "C:\Program\Delade filer\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program\Norton AntiVirus\osCheck.exe"

O4 - HKLM\..\Run: [symantec PIF AlertEng] "C:\Program\Delade filer\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe" /a /m "C:\Program\Delade filer\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\AlertEng.dll"

O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program\Microsoft Office\Office12\GrooveMonitor.exe"

O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program\Delade filer\Ahead\Lib\NeroCheck.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [startCCC] "C:\Program\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun

O4 - HKLM\..\Run: [RivaTunerStartupDaemon] "C:\Program\RivaTuner v2.22\RivaTuner.exe" /S

O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program\Zone Labs\ZoneAlarm\zlclient.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program\Delade filer\Ahead\Lib\NMBgMonitor.exe"

O4 - HKCU\..\Run: [Google Update] "C:\Documents and Settings\Adam\Lokala inställningar\Application Data\Google\Update\GoogleUpdate.exe" /c

O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program\DAEMON Tools Lite\daemon.exe" -autorun

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKCU\..\Run: [EA Core] "C:\Program\Electronic Arts\EADM\Core.exe" -silent

O4 - HKCU\..\Run: [bitTorrent DNA] "C:\Program\DNA\btdna.exe"

O4 - HKCU\..\Run: [steam] "c:\program\steam\steam.exe" -silent

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program\OpenOffice.org 3\program\quickstart.exe

O4 - Startup: Skärmurklipp och start för OneNote 2007.lnk = C:\Program\Microsoft Office\Office12\ONENOTEM.EXE

O4 - Global Startup: Windows Search.lnk = C:\Program\Windows Desktop Search\WindowsSearch.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Skicka till OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Ski&cka till OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.4.1.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1226701158437

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program\Microsoft Office\Office12\GrooveSystemServices.dll

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: Automatic LiveUpdate Scheduler - Symantec Corporation - C:\Program\Symantec\LiveUpdate\ALUSchedulerSvc.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSvcHst.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: Symantec IS Password Validation (ISPwdSvc) - Symantec Corporation - C:\Program\Norton AntiVirus\isPwdSvc.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Program\Symantec\LIVEUP~1\LUCOMS~1.EXE

O23 - Service: LiveUpdate Notice Service Ex (LiveUpdate Notice Ex) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSvcHst.exe

O23 - Service: LiveUpdate Notice Service - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\PIF\{B8E1DD85-8582-4c61-B58F-2F227FCA9A08}\PIFSvc.exe

O23 - Service: NBService - Nero AG - C:\Program\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program\Delade filer\Ahead\Lib\NMIndexingService.exe

O23 - Service: PnkBstrA - Unknown owner - C:\WINDOWS\system32\PnkBstrA.exe

O23 - Service: Symantec Core LC - Unknown owner - C:\Program\Delade filer\Symantec Shared\CCPD-LC\symlcsvc.exe

O23 - Service: Symantec AppCore Service (SymAppCore) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\AppCore\AppSvc32.exe

O23 - Service: TrueVector Internet Monitor (vsmon) - Zone Labs, LLC - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

 

--

End of file - 10020 bytes

 

[/log]

 

[Cecilia]

Det ser bra ut!

 

Tack för alla poäng! :)

 

Var nu rädd om datorn. Här kan du läsa mina vanliga råd för en säkrare dator, men det är så klart viktigt att man använder sitt förnuft också.

http://ceblstockholm.googlepages.com/home

 

 

[adam611]

Som du vet så fick jag ett nytt probem, det du skrev till mig att jag skule göra fungerade inte, när jag starta datron så står det ett error medeland.

 

medelandet säger:

"Isass.exe eller lsass.exe, det går inte att hitta en komponent"

"Det här programmed kunde inte startas eftersom UxTheme.dll inte kunde hittas. Detta fel kan återgärdas genom att du ominstallerar programmet."

 

Har samma problem med exporer.exe

 

vad ska jag göra?

 

Isntallera om windows?

 

[inlägget ändrat 2009-01-26 15:06:40 av adam611]

[Cecilia]

Det verkar ha blivit något allvarligt problem med windows-installationen så det skulle behövas en ominstallation. Eventuellt så kan det bero på att det är något fel på hårddisken så det skulle väl vara bra att kolla upp den med ett testprogram först om du kan bränna en CD på datorn du sitter vid nu.

 

Man testar en hårddisk med det testprogram som tillverkaren av den har tagit fram. Om du inte vet vilken tillverkare det är av hårddisken så kan man ofta få fram det genom att titta i BIOS, där brukar det stå åtminstone ett artikelnummer för hårddisken som man kan googla på för att få fram tillverkaren. Man kommer in i BIOS-inställningarna genom att trycka på någon särskild tangent direkt efter datorns uppstart. Vilken tangent det är beror på datormodell men brukar stå på första skärmbilden.

 

Det är oftare lättare att gå via sidan http://www.tacktech.com/display.cfm?ttid=287 för att hitta testprogrammet än att leta på tillverkarens webbplats.

 

[adam611]

hur får jag upp BIOS? vad är BIOS?

Vilken tangent skulle jag trycka?

på min dator så kan jag inte äns logga in.. hur ska jag kunna köra cd?

 

[Cecilia]

BIOS är det första som kör när du startar datorn, efter en kontroll av datorn så startar BIOS Windows. Kan du hitta någon text, t ex Press Del to Enter Setup eller F2 = Setup just när du har slagit på datorn?

 

Testprogrammet för hårddisken bränner man på en CD och sedan startar man datorn från den CDn i stället för från hårddisken så det behövs ingen fungerande Windows.

 

Har du några viktiga filer på hårddisken som behöver räddas?

 

[adam611]

ska jag trycka del eller F2 för att få reda på vilket företag som har gjort min hårddisk?

 

[Cecilia]

Det vet jag inte för det varierar mellan olika datorer. Vad är det för texter som kommer fram just när du slår på datorn?

 

[adam611]

Såg precis att det stog "press DEL to BIOS" eller nått liknande.

ska jag trycka på del?

 

och vad ska jag göra nät jag har tryckt på de, vad ska jag titta efter?

 

är det inte bättre att bara få tag i en windows skiva och ominstallera?

 

[Cecilia]

Då trycker du på DEL för att komma till BIOS-inställningarna.

Det fungerar dåligt att installera Windows på en hårddisk som inte är hel.

 

[adam611]

vad är det jag letar efter i BIOS?

 

[Cecilia]

Leta efter en lista över anslutna hårddiskar och CD/DVD-enheter.

 

[adam611]

Min hårddisk är en Samsung HD250HJ.

 

Skule du veta det?

 

[Cecilia]

Duktigt att du kunde få fram det!

 

Samsung, då ska du ha ES-Tool:

http://www.samsung.com/global/business/hdd/support/utilities/ES_Tool.html

estool_FDD.zip för diskett

estool_CDROM.zip för CD

 

 

[adam611]

ska jag bränna?

isåfall med vilket program?

eller ska jag bara öppna cd i "den här daorn" och dra över filen?

 

[Cecilia]

Om det inte finns något riktigt brännarprogram i datorn, som Nero eller Roxio, så använd http://cdburnerxp.se/

Först ska du packa upp zip-filen så att du får en iso-fil och sedan bränner du filen på CD på det sätt som är beskrivet på

http://cdburnerxp.se/help/Data/burn-iso

 

 

[adam611]

om jag har brändt ut iso på en cd, hur ska jag göra sen?

 

berätta allt så sliooer jag vänta innan du svara

 

[adam611]

jag är den ända som har ett bränn program i familjen...

 

på den ena datorn (inte min och inte den jag befinner mig på nu) så är brännaren sönder..

 

och på den datorn jag är nu så får jag inte ladda ner program eller installera nått... (pappa tror det är virus i allt, då menar jag ALLT!)

 

vad ska jag göra??