Just nu i M3-nätverket
Jump to content

Ndisio.sys


stonnew

Recommended Posts

Hejsan

 

Det är så att när jag startar upp min dator som vanligt och loggar in och har kommit till skrivbordet. Så tar det inte lång tid innan en bluescreen kommer upp och säger att det det kan ha blivit ett fel med filen "ndisio.sys" och säger att datorn måste startas om. Det blir så hela tiden när jag startar datorn.

 

Provade också att starta datorn i felsäkert läge med nätverk, eftersom vi loggar in på domän, och försöker hinna in och klicka så man kan göra en återställning men precis när man ska välja datum och tid så kommer bluescreen upp och säger att datorn måste startas om.

 

Har sökt lite på "ndisio.sys" och det enda jag har fått ut av det är att man ska ta bort den filen, men jag hinner aldrig komma dit och ta bort filen. Hur ska jag göra för att lösa problemet?

 

Väldigt tacksam för svar.

 

Link to comment
Share on other sites

  • Replies 75
  • Created
  • Last Reply

När jag googlar så verkar det vara något som hör till drivrutinen för nätverkskort. Går det inte att logga in i felsäkert utan nätverk?

 

Link to comment
Share on other sites

Låter ju som lite besvärligt att lösa då eftersom du inte gärna kan ta bort filen eller nätverkskortet heller för då kommer du inte att kunna logga in. Finns det någon administratör som kan logga in utan nätverk?

 

Link to comment
Share on other sites

Ja, jag har försökt lite olika lösningar men inte hunnit längre eftersom datorn bara stängs av då.

 

Men eftersom det är en skoldator så ska väl dem antagligen kunna fixa det på något sätt, i värsta fall ghosta om datorn. Men eftersom det inte går förens på måndag så känns det lite surt såhär över helgen att inte kunna använda den.

 

Link to comment
Share on other sites

Måste flika in här igen.

 

Jag kom in i felsäkert läge tillslut, kom på hur jag skulle komma in där, och jag tog bort filen ndisio.sys och sen gjorde jag en systemåterställning till dagen innan då problemen uppstod.

 

Nu kan jag logga in som vanligt på datorn och skriver från den just nu. Men skärmen blinkar till ibland och remsan längst ner blinkar också till och försvinner och kommer tillbaka.

 

En del saker fungerar inte och en del saker fungerar, har inte testat så mycket ännu. Men problemet verkar vara på god väg att lösas, men skulle behöva lite hjälp med vad man kan göra nu?

 

Link to comment
Share on other sites

Hej!Kör en sväng med Malwarebytes o se om den hittar nåt otrevligt som kan förorsaka dessa problem![log]Ladda ner Malwarebytes Anti-Malware (MBAM) från en av dessa länkar:

http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

http://projects.securitywonks.net/projects/details.php?file=158

Dubbelklicka på mbam-setup för att installera programmet.

 

Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj "Utför snabb skanning" och tryck på Skanna.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan "Visa resultat".

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.

Om programmet inte kommer igång efter omstarten så starta det.

 

[/log]

 

Link to comment
Share on other sites

Jag laddade ner programmet och skulle installera det, men precis innan när man skulle trycka på slutför för installationen så kom det upp ett felmeddelande om att något med minnet var fel och att programmet måste avslutas. När jag sedan skulle starta programmet kom det upp ett felmeddelande om att "Vbaccelerator SGrid II Control Runtime error '0'" och efter det kom det ett till felmeddelande som var "Malwarebytes Anti-Malware Runtime error '440' Automation error". Och programmet gick inte att starta.

 

Efter mycket så avinstallerade jag programmet och gick in i felsäkert läge med nätverk (för att kunna ladda hem senaste uppdateringarna från Malwarebyte) och installerade programmet som gick felfritt, bocka i rutorna om uppdatering och starta program, körde scan och fick 11 st infektioner som togs bort (såg senare att dem ligger i karantän för programmet) starta om datorn i felsäkert läge med nätverk, inget hände så jag starta programmet manuellt och körde en fullscan på C: där den hittade 1 infektion. Startade om datorn i felsäkert läge med nätverk och startade sedan om och försökte logga in som vanligt men får bara upp en helt vit skärm utan ikoner på skrivbordet och utan aktivitetsfältet längst ner och det går inte göra något förutom Ctrl+Alt+Delete och få upp den rutan.

 

Finns det något mer som jag kan göra för att försöka fixa problemet?

 

Väldigt tacksam för den hjälp jag redan har fått och den hjälp jag får.

 

Link to comment
Share on other sites

Kan du klistra in samtliga de loggar som finns i MBAM på fliken Loggar, och där något har hittats?

 

Om du i Aktivitetshanteraren väljer Arkiv - Ny aktivitet och skriver in explorer.exe, kommer Skrivbordet upp då?

 

Link to comment
Share on other sites

 

Första loggen:

[log]Malwarebytes' Anti-Malware 1.34

Databasversion: 1760

Windows 5.1.2600 Service Pack 3

 

2009-02-13 21:34:35

mbam-log-2009-02-13 (21-34-35).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 67417

Förfluten tid: 2 minute(s), 24 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 3

Infekterade registervärden: 2

Infekterade registerdataposter: 0

Infekterade mappar: 2

Infekterade filer: 4

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\restore (Rootkit.Agent) -> Quarantined and deleted successfully.

 

Infekterade registervärden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Files Driver (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Files Driver (Backdoor.Bot) -> Quarantined and deleted successfully.

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

C:\Program\IEToolbar (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Program\IEToolbar\GratisSMS.se Verktygsfält (Trojan.Agent) -> Quarantined and deleted successfully.

 

Infekterade filer:

C:\Program\IEToolbar\GratisSMS.se Verktygsfält\autosearch_plugin.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Program\IEToolbar\GratisSMS.se Verktygsfält\gratissms.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Program\IEToolbar\GratisSMS.se Verktygsfält\uninstall.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\BN6.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

[/log]

 

Andra loggen:

[log]Malwarebytes' Anti-Malware 1.34

Databasversion: 1760

Windows 5.1.2600 Service Pack 3

 

2009-02-13 22:03:19

mbam-log-2009-02-13 (22-03-19).txt

 

Skanningstyp: Fullständig skanning (C:\|)

Antal skannade objekt: 133566

Förfluten tid: 23 minute(s), 42 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 1

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\restore (Rootkit.Agent) -> Quarantined and deleted successfully.

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

[/log]

 

Tredje loggen:

[log]Malwarebytes' Anti-Malware 1.34

Databasversion: 1761

Windows 5.1.2600 Service Pack 3

 

2009-02-14 13:42:59

mbam-log-2009-02-14 (13-42-59).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 68601

Förfluten tid: 2 minute(s), 34 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 3

Infekterade registervärden: 2

Infekterade registerdataposter: 0

Infekterade mappar: 2

Infekterade filer: 3

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\urlsearchhook.toolbarurlsearchhook.1 (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\restore (Rootkit.Agent) -> Quarantined and deleted successfully.

 

Infekterade registervärden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\Files Driver (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Files Driver (Backdoor.Bot) -> Quarantined and deleted successfully.

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

C:\Program\IEToolbar (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Program\IEToolbar\GratisSMS.se Verktygsfält (Trojan.Agent) -> Quarantined and deleted successfully.

 

Infekterade filer:

C:\Program\IEToolbar\GratisSMS.se Verktygsfält\autosearch_plugin.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Program\IEToolbar\GratisSMS.se Verktygsfält\gratissms.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Program\IEToolbar\GratisSMS.se Verktygsfält\uninstall.exe (Trojan.Agent) -> Quarantined and deleted successfully.

[/log]

 

När jag försökte öppna aktivitetshanteraren fick jag inte upp något, så kunde tyvärr inte testa att starta ny aktivitet. Men när jag skulle starta om som vanligt efter MBAM genomsökt så kom det först upp felmeddelande om att mbam.exe kunde inte köras och en liten stund efter det så kom det upp ett till felmeddelande om att dwwin.exe kunde inte köras och "memory could not be read", tryckte man på OK skulle programmet avslutas och AVBRYT så skulle det felsökas.

 

Link to comment
Share on other sites

Hej! Avinstallera denna Toolbar:C:\Program\IEToolbar\GratisSMS.se [log]Ladda ner Avenger på Skrivbordet och packa upp filen där:

http://swandog46.geekstogo.com/avenger2/download.php

Starta Avenger.

Bocka i rutan Scan for rootkits och Automatically disable any rootkits found om den inte redan är ibockad.

Tryck på Execute för att starta det.

Datorn startar nu om (kanske två gånger).

Efter en liten stund så kommer loggen (C:\avenger.txt) upp, klistra in den här.

[/log]

 

[inlägget ändrat 2009-02-14 14:36:32 av Laston]

Link to comment
Share on other sites

Ska jag avinstallera Toolbar:C:\Program\IEToolbar\GratisSMS.se genom programmet Avenger eller ska jag avinstallera den Toolbar på annat sätt? Isåfall hur?

 

Det jag ska klistra in i den stora rutan, är det bara att kopiera texten från någon av loggarna från MBAM?

 

När den startar om sedan, ska jag starta som vanligt eller ska jag starta i något felsäkert läge?

 

Link to comment
Share on other sites

Hej! Förlåt att jag klantade lite,du avinstallerar Toolbaren i Lägg Till/ Ta bort program! Avenger ska du bara köra enl instruktioner,jag har korrigerat mitt tidigare inlägg för jag fick med lite för mycket i mitt kommando! Starta i vanligt läge om det går annars prova i felsäkert läge

Mvh Laston

 

Link to comment
Share on other sites

Det är lungt :thumbsup: Men jag hittar inte toolbaren i lägg till/ta bort program, jag vet inte om det finns något annat sätt att lösa det på? Eller om jag ska göra det innan jag gör det med Avenger?

 

Link to comment
Share on other sites

Körde Avenger och lät den sedan starta om datorn som vanligt, först kom den där svarta rutan sen bara någon sekund senare kom felmeddelande om att Windows har stött problem och måste avslutas samtidigt som loggen från Avenger kom upp vid sidan. Fick sedan ett till felmeddelande som var likadant och en stund senare om dwwin.exe har stött på problem och måste avslutas.

 

Sen hade jag bara det tomma skrivbordet kvar och loggen från Avenger som jag sparade och här är den:

 

[log]Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

No rootkits found!

 

 

Completed script processing.

 

*******************

 

Finished! Terminate.

[/log]

 

Link to comment
Share on other sites

Ok Avenger gav inte så mycket till hjälp så vi får ta till ett annat verktyg[log]Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

I ditt svar bifogar du ComboFix-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

[/log]

 

Link to comment
Share on other sites

Här är ComboFix loggen:

 

[log]ComboFix 09-02-12.03 - krst0701 2009-02-14 16:13:26.2 - NTFSx86 NETWORK

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1053.18.1015.781 [GMT 1:00]

Körs från: c:\documents and settings\krst0701\Skrivbord\ComboFix.exe

AV: Panda Security for Desktops *On-access scanning enabled* (Updated)

.

 

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\drivers\ntndis.sys

.

---- Föregående körning -------

.

c:\windows\Downloaded Program Files\ODCTOOLS

c:\windows\system32\drivers\npf.sys

c:\windows\system32\packet.dll

c:\windows\system32\pthreadVC.dll

c:\windows\system32\wanpacket.dll

c:\windows\system32\wpcap.dll

 

.

((((((((((((((((((((((((((((((((((((((( Drivrutiner/Tjänster )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_RESTORE

-------\Service_NPF

-------\Service_restore

-------\Legacy_RESTORE

-------\Service_restore

 

 

(((((((((((((((((((((((( Filer Skapade från 2009-01-14 till 2009-02-14 ))))))))))))))))))))))))))))))

.

 

2009-02-14 16:05 . 2009-02-14 16:05 <KAT> d-------- c:\windows\system32\config\systemprofile\Tracing

2009-02-14 15:04 . 2009-02-14 15:04 135,168 --a------ C:\zip.exe

2009-02-14 15:04 . 2009-02-14 15:04 19,286 --a------ C:\cleanup.exe

2009-02-14 15:04 . 2009-02-14 15:04 574 --a------ C:\cleanup.bat

2009-02-14 13:39 . 2009-02-14 13:39 <KAT> d-------- c:\program\Malwarebytes' Anti-Malware

2009-02-14 13:39 . 2009-02-14 13:39 <KAT> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-02-14 13:39 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-14 13:39 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-02-13 23:41 . 2009-02-13 23:41 <KAT> d-------- c:\program\DVD Shrink

2009-02-13 23:41 . 2009-02-13 23:41 <KAT> d-------- c:\documents and settings\krst0701\Application Data\SPORE

2009-02-13 22:28 . 2009-02-13 22:35 664 --a------ c:\windows\system32\d3d9caps.dat

2009-02-13 21:30 . 2009-02-13 21:30 <KAT> d-------- c:\documents and settings\krst0701\Application Data\Malwarebytes

2009-02-13 21:29 . 2009-02-13 23:42 <KAT> d-------- c:\program\Malwarebytes' Anti-Malware(2)

2009-02-13 21:29 . 2009-02-13 23:42 <KAT> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes(2)

2009-02-13 14:12 . 2009-02-13 14:12 <KAT> d-------- c:\program\Trend Micro

2009-02-13 00:30 . 2008-04-13 21:09 142,592 --a------ c:\windows\system32\drivers\aec.sys.bak

2009-02-13 00:30 . 2009-02-13 00:30 67,072 ---h----- c:\windows\system32\secupdat.dat

2009-02-13 00:30 . 2009-02-13 00:30 616 --a------ c:\windows\system32\11C.tmp

2009-02-13 00:27 . 2009-02-13 00:30 162,916 --a------ c:\windows\system32\118.tmp

2009-02-13 00:27 . 2009-02-13 00:27 172 --a------ c:\windows\system32\117.tmp

2009-02-12 23:47 . 2009-02-12 23:53 <KAT> d-------- c:\documents and settings\All Users\Application Data\Sports Interactive

2009-02-04 21:52 . 2009-02-04 21:52 <KAT> d-------- c:\windows\County Fair

2009-02-04 21:52 . 2009-02-04 21:52 <KAT> d-------- c:\program\County Fair

2009-01-21 14:57 . 2009-02-11 22:58 <KAT> d-------- c:\program\Google

2009-01-21 14:57 . 2009-02-13 14:21 <KAT> d-------- c:\documents and settings\All Users\Application Data\Google Updater

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-13 22:44 --------- d-----w c:\program\Sports Interactive

2009-02-13 22:44 --------- d-----w c:\documents and settings\krst0701\Application Data\uTorrent

2009-02-13 22:41 --------- d-----w c:\program\WinAVI Video Converter

2009-02-13 22:41 --------- d-----w c:\program\CDBurnerXP

2009-02-13 22:22 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-02-13 13:46 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-02-12 23:30 182,656 ----a-w c:\windows\system32\drivers\ndis.sys

2009-02-12 23:22 --------- d-----w c:\documents and settings\krst0701\Application Data\Sports Interactive

2009-02-12 14:40 --------- d-----w c:\program\MZ Manager 2

2009-02-06 12:50 --------- d-----w c:\program\Messenger Plus! Live

2009-02-04 20:51 --------- d-----w c:\program\Rock Tour

2009-01-20 10:42 --------- d-----w c:\program\FysioFix Exercise

2009-01-12 12:58 --------- d-----w c:\documents and settings\krst0701\Application Data\Spotify

2008-12-31 15:54 --------- d-----w c:\documents and settings\krst0701\Application Data\Artogon

2008-12-31 15:49 --------- d-----w c:\program\Charma The Land of Enchantment

2008-12-28 14:36 --------- d-----w c:\documents and settings\All Users\Application Data\TVU Networks

2008-12-27 21:02 --------- d-----w c:\documents and settings\krst0701\Application Data\Nero

2008-12-27 19:21 --------- d-----w c:\program\Delade filer\Nero

2008-12-27 19:03 --------- d-----w c:\program\Nero

2008-12-27 18:55 --------- d-----w c:\documents and settings\All Users\Application Data\Nero

2008-12-25 23:15 --------- d-----w c:\program\Windows Sidebar

2008-12-25 21:07 --------- d-----w c:\program\Avi2Dvd

2008-12-20 22:59 --------- d-----w c:\program\Windows Live SkyDrive

2008-12-20 22:59 --------- d-----w c:\program\Microsoft

2008-12-19 12:56 --------- d-----w c:\program\Java

.

 

------- Sigcheck -------

 

2009-02-13 00:30 213120 1df7f42665c94b825322fae71721130d c:\windows\system32\dllcache\ndis.sys

2009-02-13 00:30 213120 1df7f42665c94b825322fae71721130d c:\windows\system32\drivers\ndis.sys

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"Eraser"="c:\program\Eraser\Eraser.exe" [2007-12-23 916240]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]

"SoundMAXPnP"="c:\program\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-14 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-14 166424]

"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-14 137752]

"WatchDog"="c:\program\InterVideo\DVD Check\DVDCheck.exe" [2006-03-31 184320]

"SynTPStart"="c:\program\Synaptics\SynTP\SynTPStart.exe" [2007-09-15 102400]

"QlbCtrl.exe"="c:\program\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-10-19 177456]

"Panda Controller Client"="c:\program\Panda Software\AVTC\PSCtrlC.exe" [2008-02-07 226608]

"CameraFixer"="c:\windows\CameraFixer.exe" [2006-06-01 20480]

"snpstd3"="c:\windows\vsnpstd3.exe" [2005-09-05 339968]

"Adobe Reader Speed Launcher"="c:\program\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"SunJavaUpdateSched"="c:\program\Java\jre6\bin\jusched.exe" [2008-11-10 136600]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\program\Windows Live\Messenger\msnmsgr.exe" [2008-12-02 3882312]

 

c:\documents and settings\All Users\Start-meny\Program\AutostartDVD Check.lnk - c:\program\InterVideo\DVD Check\DVDCheck.exe [2008-05-27 184320]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"DisallowCpl"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=secuload.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1792577560-2397486594-2620553692-16569\Scripts\Logon\0\0]

"Script"=all_ChangeLocalAdminPassword.bat

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1792577560-2397486594-2620553692-16569\Scripts\Logon\1\0]

"Script"=AddUserToLocalAdmins.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1792577560-2397486594-2620553692-16569\Scripts\Logon\2\0]

"Script"=jkpg_jb_Logon.bat

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1792577560-2397486594-2620553692-16569\Scripts\Logon\3\0]

"Script"=LogSeriaNr.vbs

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\program\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe"= c:\program\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe

"c:\\Program\\uTorrent\\uTorrent.exe"=

"c:\\Program\\Mozilla Firefox\\firefox.exe"=

"c:\\Program\\Spotify\\spotify.exe"=

"c:\\Program\\Sports Interactive\\Football Manager 2008\\fm.exe"=

"c:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program\\Java\\jre6\\bin\\java.exe"=

 

S1 ShldDrv;Panda File Shield Driver;c:\windows\system32\drivers\ShlDrv51.sys [2008-07-23 38328]

S2 gupdate1c9870991c5a778;Google Update Service (gupdate1c9870991c5a778);c:\program\Google\Update\GoogleUpdate.exe [2009-02-04 133104]

S2 PavProc;Panda Process Protection Driver;c:\windows\system32\drivers\PavProc.sys [2008-07-23 179512]

 

--- Övriga tjänster/drivrutiner i minnet ---

 

*NewlyCreated* - RESTORE

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##cujkpgfil01.customer.global#StudentsArea]

\Shell\AutoRun\command - S:\Shell\explore\Command - WScript.exe .\test.vbs

\Shell\open\Command - WScript.exe .\test.vbs

.

Innehållet i mappen 'Schemalagda aktiviteter':

 

2009-02-14 c:\windows\Tasks\GoogleUpdateTaskMachine.job

- c:\program\Google\Update\GoogleUpdate.exe [2009-02-04 21:45]

 

2009-02-12 c:\windows\Tasks\OGADaily.job

- c:\windows\system32\OGAVerify.exe [2008-12-31 17:04]

 

2009-02-14 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAVerify.exe [2008-12-31 17:04]

.

.

------- Extra genomsökning -------

.

uStart Page = about:blank

IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\krst0701\Application Data\Mozilla\Firefox\Profiles\by6b0hql.defaultFF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.msn.se

FF - plugin: c:\documents and settings\krst0701\Application Data\Mozilla\Firefox\Profiles\by6b0hql.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

FF - plugin: c:\program\Google\Google Updater\2.4.1439.6872\npCIDetect13.dll

FF - plugin: c:\program\Google\Update\1.2.141.5\npGoogleOneClick7.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\np32dsw.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\npdeploytk.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\npnul32.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\nppdf32.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\nppl3260.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\nprjplug.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\nprpjplug.dll

 

---- FIREFOX POLICY ----

c:\program\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-14 16:24:14

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

------------------------ Andra processer som körs ------------------------

.

c:\program\Lavasoft\Ad-Aware\aawservice.exe

c:\windows\temp\BN1.tmp

c:\program\Internet Explorer\iexplore.exe

.

**************************************************************************

.

Sluttid: 2009-02-14 16:27:21 - datorn startades om. [krst0701]

ComboFix-quarantined-files.txt 2009-02-14 15:27:18

 

Före genomsökningen: 10,829,201,408 byte ledigt

Efter genomsökningen: 10,810,372,096 byte ledigt

 

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4

202 --- E O F --- 2009-02-04 21:44:17

[/log]

 

Link to comment
Share on other sites

Surfa till http://www.virustotal.com (fungerar bäst med Internet Explorer) klistra in ett av följande filnamn i rutan,

c:\windows\system32\drivers\aec.sys.bak

c:\windows\system32\secupdat.dat

c:\windows\system32\11C.tmp

c:\windows\system32\118.tmp

c:\windows\system32\117.tmp

tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här. Upprepa med nästa filnamn.

 

Link to comment
Share on other sites

Den andra filen, c:\windows\system32\secupdat.dat, hittade jag bara som c:\windows\system32\secupd, men jag skrev i hela det namnet du angivit när jag skickade och verkade fungera.

 

c:\windows\system32\drivers\aec.sys.bak

 

[log]Antivirus Version Senaste Uppdatering Resultat

a-squared 4.0.0.93 2009.02.14 -

AhnLab-V3 5.0.0.2 2009.02.13 -

AntiVir 7.9.0.79 2009.02.13 -

Authentium 5.1.0.4 2009.02.14 -

Avast 4.8.1335.0 2009.02.14 -

AVG 8.0.0.237 2009.02.14 -

BitDefender 7.2 2009.02.14 -

CAT-QuickHeal 10.00 2009.02.13 -

ClamAV 0.94.1 2009.02.14 -

Comodo 976 2009.02.13 -

DrWeb 4.44.0.09170 2009.02.14 -

eSafe 7.0.17.0 2009.02.12 -

eTrust-Vet 31.6.6358 2009.02.14 -

F-Prot 4.4.4.56 2009.02.13 -

F-Secure 8.0.14470.0 2009.02.14 -

Fortinet 3.117.0.0 2009.02.14 -

GData 19 2009.02.14 -

Ikarus T3.1.1.45.0 2009.02.14 -

K7AntiVirus 7.10.629 2009.02.13 -

Kaspersky 7.0.0.125 2009.02.14 -

McAfee 5525 2009.02.13 -

McAfee+Artemis 5525 2009.02.14 -

Microsoft 1.4306 2009.02.14 -

NOD32 3852 2009.02.13 -

Norman 6.00.02 2009.02.13 -

nProtect 2009.1.8.0 2009.02.14 -

Panda 10.0.0.10 2009.02.14 -

PCTools 4.4.2.0 2009.02.13 -

Prevx1 V2 2009.02.14 -

Rising 21.16.52.00 2009.02.14 -

SecureWeb-Gateway 6.7.6 2009.02.14 -

Sophos 4.38.0 2009.02.14 -

Sunbelt 3.2.1851.2 2009.02.12 -

Symantec 10 2009.02.14 -

TheHacker 6.3.2.1.256 2009.02.14 -

TrendMicro 8.700.0.1004 2009.02.13 -

VBA32 3.12.8.12 2009.02.14 -

ViRobot 2009.2.14.1607 2009.02.14 -

VirusBuster 4.5.11.0 2009.02.13 -

[/log]

 

c:\windows\system32\secupdat.dat

 

[log]Antivirus Version Senaste Uppdatering Resultat

a-squared 4.0.0.93 2009.02.13 -

AhnLab-V3 5.0.0.2 2009.02.13 -

AntiVir 7.9.0.79 2009.02.13 TR/Spy.Gen

Authentium 5.1.0.4 2009.02.13 -

Avast 4.8.1335.0 2009.02.12 -

AVG 8.0.0.237 2009.02.13 -

BitDefender 7.2 2009.02.13 -

CAT-QuickHeal 10.00 2009.02.13 -

ClamAV 0.94.1 2009.02.13 -

Comodo 976 2009.02.13 -

DrWeb 4.44.0.09170 2009.02.13 Trojan.Spambot.4336

eSafe 7.0.17.0 2009.02.12 -

eTrust-Vet 31.6.6356 2009.02.13 -

F-Prot 4.4.4.56 2009.02.13 -

F-Secure 8.0.14470.0 2009.02.13 Trojan-PSW.Win32.Agent.mbl

Fortinet 3.117.0.0 2009.02.13 -

GData 19 2009.02.13 -

Ikarus T3.1.1.45.0 2009.02.13 -

K7AntiVirus 7.10.628 2009.02.12 -

Kaspersky 7.0.0.125 2009.02.13 Trojan-PSW.Win32.Agent.mbl

McAfee 5524 2009.02.12 -

McAfee+Artemis 5524 2009.02.12 -

Microsoft 1.4306 2009.02.13 -

NOD32 3850 2009.02.13 -

Norman 6.00.02 2009.02.12 -

nProtect 2009.1.8.0 2009.02.13 -

Panda 10.0.0.10 2009.02.13 W32/Xor-encoded.A

PCTools 4.4.2.0 2009.02.13 -

Prevx1 V2 2009.02.13 -

Rising 21.16.42.00 2009.02.13 -

SecureWeb-Gateway 6.7.6 2009.02.13 -

Sophos 4.38.0 2009.02.13 -

Sunbelt 3.2.1851.2 2009.02.12 -

Symantec 10 2009.02.13 -

TheHacker 6.3.1.9.255 2009.02.13 -

TrendMicro 8.700.0.1004 2009.02.13 -

VBA32 3.12.8.12 2009.02.13 -

ViRobot 2009.2.13.1605 2009.02.13 -

VirusBuster 4.5.11.0 2009.02.12 -

[/log]

 

c:\windows\system32\11C.tmp

 

[log]Antivirus Version Senaste Uppdatering Resultat

a-squared 4.0.0.93 2009.02.14 -

AhnLab-V3 5.0.0.2 2009.02.13 -

AntiVir 7.9.0.79 2009.02.13 -

Authentium 5.1.0.4 2009.02.14 -

Avast 4.8.1335.0 2009.02.14 -

AVG 8.0.0.237 2009.02.14 -

BitDefender 7.2 2009.02.14 -

CAT-QuickHeal 10.00 2009.02.13 -

ClamAV 0.94.1 2009.02.14 -

Comodo 977 2009.02.14 -

DrWeb 4.44.0.09170 2009.02.14 -

eSafe 7.0.17.0 2009.02.12 -

eTrust-Vet 31.6.6358 2009.02.14 -

F-Prot 4.4.4.56 2009.02.14 -

F-Secure 8.0.14470.0 2009.02.14 -

Fortinet 3.117.0.0 2009.02.14 -

GData 19 2009.02.14 -

Ikarus T3.1.1.45.0 2009.02.14 -

K7AntiVirus 7.10.630 2009.02.14 -

Kaspersky 7.0.0.125 2009.02.14 -

McAfee 5525 2009.02.13 -

McAfee+Artemis 5525 2009.02.14 -

Microsoft 1.4306 2009.02.14 -

NOD32 3852 2009.02.13 -

Norman 6.00.02 2009.02.13 -

nProtect 2009.1.8.0 2009.02.14 -

Panda 10.0.0.10 2009.02.14 -

PCTools 4.4.2.0 2009.02.14 -

Prevx1 V2 2009.02.14 -

Rising 21.16.52.00 2009.02.14 -

SecureWeb-Gateway 6.7.6 2009.02.14 -

Sophos 4.38.0 2009.02.14 -

Sunbelt 3.2.1851.2 2009.02.12 -

Symantec 10 2009.02.14 -

TheHacker 6.3.2.1.256 2009.02.14 -

TrendMicro 8.700.0.1004 2009.02.14 -

VBA32 3.12.8.12 2009.02.14 -

ViRobot 2009.2.14.1607 2009.02.14 -

VirusBuster 4.5.11.0 2009.02.13 -

[/log]

 

c:\windows\system32\118.tmp

 

[log]Fil 1F.tmpds mottagen 2009.02.14 05:10:25 (CET)

 

Antivirus Version Senaste Uppdatering Resultat

a-squared 4.0.0.93 2009.02.14 Trojan.Peed!IK

AhnLab-V3 5.0.0.2 2009.02.13 -

AntiVir 7.9.0.79 2009.02.13 TR/Dropper.Gen

Authentium 5.1.0.4 2009.02.14 W32/Ristix.A

Avast 4.8.1335.0 2009.02.14 -

AVG 8.0.0.237 2009.02.14 Rootkit-Agent.BU

BitDefender 7.2 2009.02.14 -

CAT-QuickHeal 10.00 2009.02.13 -

ClamAV 0.94.1 2009.02.13 -

Comodo 976 2009.02.13 -

DrWeb 4.44.0.09170 2009.02.14 Trojan.DownLoad.12588

eSafe 7.0.17.0 2009.02.12 -

eTrust-Vet 31.6.6357 2009.02.14 -

F-Prot 4.4.4.56 2009.02.13 W32/Zbot.I.gen!Eldorado

F-Secure 8.0.14470.0 2009.02.14 -

Fortinet 3.117.0.0 2009.02.14 -

GData 19 2009.02.14 -

Ikarus T3.1.1.45.0 2009.02.14 Trojan.Peed

K7AntiVirus 7.10.629 2009.02.13 -

Kaspersky 7.0.0.125 2009.02.14 -

McAfee 5525 2009.02.13 -

McAfee+Artemis 5525 2009.02.14 -

Microsoft 1.4306 2009.02.14 Trojan:Win32/Rlsloup.gen!A

NOD32 3852 2009.02.13 a variant of Win32/Agent.OEQ

Norman 6.00.02 2009.02.13 -

nProtect 2009.1.8.0 2009.02.14 -

Panda 10.0.0.10 2009.02.13 -

PCTools 4.4.2.0 2009.02.13 -

Prevx1 V2 2009.02.14 Malicious Software

Rising 21.16.50.00 2009.02.14 -

SecureWeb-Gateway 6.7.6 2009.02.14 Trojan.Dropper.Gen

Sophos 4.38.0 2009.02.14 -

Sunbelt 3.2.1851.2 2009.02.12 -

Symantec 10 2009.02.14 -

TheHacker 6.3.2.1.256 2009.02.14 -

TrendMicro 8.700.0.1004 2009.02.13 -

VBA32 3.12.8.12 2009.02.14 Trojan-Downloader.Win32.Agent.vdf

ViRobot 2009.2.14.1606 2009.02.14 -

VirusBuster 4.5.11.0 2009.02.13 -

[/log]

 

c:\windows\system32\117.tmp

 

[log]Antivirus Version Senaste Uppdatering Resultat

a-squared 4.0.0.93 2009.02.14 -

AhnLab-V3 2009.2.14.0 2009.02.13 -

AntiVir 7.9.0.79 2009.02.13 -

Authentium 5.1.0.4 2009.02.14 -

Avast 4.8.1335.0 2009.02.13 -

AVG 8.0.0.237 2009.02.14 -

BitDefender 7.2 2009.02.14 -

CAT-QuickHeal 10.00 2009.02.13 -

ClamAV 0.94.1 2009.02.14 -

Comodo 974 2009.02.14 -

DrWeb 4.44.0.09170 2009.02.14 -

eSafe 7.0.17.0 2009.02.12 -

eTrust-Vet 31.6.6358 2009.02.14 -

F-Prot 4.4.4.56 2009.02.14 -

F-Secure 8.0.14470.0 2009.02.14 -

Fortinet 3.117.0.0 2009.02.14 -

GData 19 2009.02.14 -

Ikarus T3.1.1.45.0 2009.02.14 -

K7AntiVirus 7.10.582 2009.01.09 -

Kaspersky 7.0.0.125 2009.02.14 -

McAfee 5525 2009.02.13 -

McAfee+Artemis 5525 2009.02.13 -

Microsoft 1.4306 2009.02.14 -

NOD32 3852 2009.02.13 -

Norman 6.00.02 2009.02.13 -

nProtect 2009.1.8.0 2009.02.14 -

Panda 9.4.3.20 2009.02.14 -

PCTools 4.4.2.0 2009.02.14 -

Prevx1 V2 2009.02.14 -

Rising 21.16.52.00 2009.02.14 -

SecureWeb-Gateway 6.7.6 2009.02.14 -

Sophos 4.38.0 2009.02.14 -

Sunbelt 3.2.1851.2 2009.02.12 -

Symantec 10 2009.02.14 -

TheHacker 6.3.2.1.256 2009.02.14 -

TrendMicro 8.700.0.1004 2009.02.14 -

VBA32 3.12.8.12 2009.02.14 -

ViRobot 2009.2.14.1607 2009.02.14 -

VirusBuster 4.5.11.0 2009.02.13 -

[/log]

 

Link to comment
Share on other sites

Ok!

Kopiera alla rader i rutan (använd markera kod)

File::
c:\windows\system32\secupdat.dat
c:\windows\system32\118.tmp

och klistra in i Anteckningar.

Spara filen på Skrivbordet med namnet CFScript.

 

Förbered datorn på samma sätt som tidigare för ComboFix.

Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.

Klistra in loggen som kommer ut och en ny HijackThis-logg.

 

 

[inlägget ändrat 2009-02-14 18:12:00 av Laston]

Link to comment
Share on other sites

Här är ComboFix-loggen:

 

[log]ComboFix 09-02-12.03 - krst0701 2009-02-14 18:16:20.3 - NTFSx86 NETWORK

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1053.18.1015.769 [GMT 1:00]

Körs från: c:\documents and settings\krst0701\Skrivbord\ComboFix.exe

Använda kommandoväxlar :: c:\documents and settings\krst0701\Skrivbord\CFScript.txt

AV: Panda Security for Desktops *On-access scanning enabled* (Updated)

 

FILE ::

c:\windows\system32\118.tmp

c:\windows\system32\secupdat.dat

.

 

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\118.tmp

c:\windows\system32\drivers\ntndis.sys

c:\windows\system32\secupdat.dat

 

.

((((((((((((((((((((((((((((((((((((((( Drivrutiner/Tjänster )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_RESTORE

 

 

(((((((((((((((((((((((( Filer Skapade från 2009-01-14 till 2009-02-14 ))))))))))))))))))))))))))))))

.

 

2009-02-14 16:05 . 2009-02-14 17:04 <KAT> d-------- c:\windows\system32\config\systemprofile\Tracing

2009-02-14 15:04 . 2009-02-14 15:04 135,168 --a------ C:\zip.exe

2009-02-14 15:04 . 2009-02-14 15:04 19,286 --a------ C:\cleanup.exe

2009-02-14 15:04 . 2009-02-14 15:04 574 --a------ C:\cleanup.bat

2009-02-14 13:39 . 2009-02-14 13:39 <KAT> d-------- c:\program\Malwarebytes' Anti-Malware

2009-02-14 13:39 . 2009-02-14 13:39 <KAT> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-02-14 13:39 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-14 13:39 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-02-13 23:41 . 2009-02-13 23:41 <KAT> d-------- c:\program\DVD Shrink

2009-02-13 23:41 . 2009-02-13 23:41 <KAT> d-------- c:\documents and settings\krst0701\Application Data\SPORE

2009-02-13 22:28 . 2009-02-14 18:11 664 --a------ c:\windows\system32\d3d9caps.dat

2009-02-13 21:30 . 2009-02-13 21:30 <KAT> d-------- c:\documents and settings\krst0701\Application Data\Malwarebytes

2009-02-13 21:29 . 2009-02-13 23:42 <KAT> d-------- c:\program\Malwarebytes' Anti-Malware(2)

2009-02-13 21:29 . 2009-02-13 23:42 <KAT> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes(2)

2009-02-13 14:12 . 2009-02-13 14:12 <KAT> d-------- c:\program\Trend Micro

2009-02-13 00:30 . 2008-04-13 21:09 142,592 --a------ c:\windows\system32\drivers\aec.sys.bak

2009-02-13 00:30 . 2009-02-13 00:30 616 --a------ c:\windows\system32\11C.tmp

2009-02-13 00:27 . 2009-02-13 00:27 172 --a------ c:\windows\system32\117.tmp

2009-02-12 23:47 . 2009-02-12 23:53 <KAT> d-------- c:\documents and settings\All Users\Application Data\Sports Interactive

2009-02-04 21:52 . 2009-02-04 21:52 <KAT> d-------- c:\windows\County Fair

2009-02-04 21:52 . 2009-02-04 21:52 <KAT> d-------- c:\program\County Fair

2009-01-21 14:57 . 2009-02-11 22:58 <KAT> d-------- c:\program\Google

2009-01-21 14:57 . 2009-02-13 14:21 <KAT> d-------- c:\documents and settings\All Users\Application Data\Google Updater

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-13 22:44 --------- d-----w c:\program\Sports Interactive

2009-02-13 22:44 --------- d-----w c:\documents and settings\krst0701\Application Data\uTorrent

2009-02-13 22:41 --------- d-----w c:\program\WinAVI Video Converter

2009-02-13 22:41 --------- d-----w c:\program\CDBurnerXP

2009-02-13 22:22 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-02-13 13:46 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-02-12 23:30 182,656 ----a-w c:\windows\system32\drivers\ndis.sys

2009-02-12 23:22 --------- d-----w c:\documents and settings\krst0701\Application Data\Sports Interactive

2009-02-12 14:40 --------- d-----w c:\program\MZ Manager 2

2009-02-06 12:50 --------- d-----w c:\program\Messenger Plus! Live

2009-02-04 20:51 --------- d-----w c:\program\Rock Tour

2009-01-20 10:42 --------- d-----w c:\program\FysioFix Exercise

2009-01-12 12:58 --------- d-----w c:\documents and settings\krst0701\Application Data\Spotify

2008-12-31 15:54 --------- d-----w c:\documents and settings\krst0701\Application Data\Artogon

2008-12-31 15:49 --------- d-----w c:\program\Charma The Land of Enchantment

2008-12-28 14:36 --------- d-----w c:\documents and settings\All Users\Application Data\TVU Networks

2008-12-27 21:02 --------- d-----w c:\documents and settings\krst0701\Application Data\Nero

2008-12-27 19:21 --------- d-----w c:\program\Delade filer\Nero

2008-12-27 19:03 --------- d-----w c:\program\Nero

2008-12-27 18:55 --------- d-----w c:\documents and settings\All Users\Application Data\Nero

2008-12-25 23:15 --------- d-----w c:\program\Windows Sidebar

2008-12-25 21:07 --------- d-----w c:\program\Avi2Dvd

2008-12-20 22:59 --------- d-----w c:\program\Windows Live SkyDrive

2008-12-20 22:59 --------- d-----w c:\program\Microsoft

2008-12-19 12:56 --------- d-----w c:\program\Java

.

 

------- Sigcheck -------

 

2009-02-13 00:30 213120 1df7f42665c94b825322fae71721130d c:\windows\system32\dllcache\ndis.sys

2009-02-13 00:30 213120 1df7f42665c94b825322fae71721130d c:\windows\system32\drivers\ndis.sys

.

((((((((((((((((((((((((((((( SnapShot@2009-02-14_16.26.22.92 )))))))))))))))))))))))))))))))))))))))))

.

- 2009-02-14 15:23:19 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2009-02-14 16:44:12 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

- 2009-02-14 15:23:19 49,152 ----a-w c:\windows\system32\config\systemprofile\Lokala inställningar\Tidigare\History.IE5\index.dat

+ 2009-02-14 16:44:12 49,152 ----a-w c:\windows\system32\config\systemprofile\Lokala inställningar\Tidigare\History.IE5\index.dat

- 2009-02-14 15:23:20 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokala inställningar\Tidigare\History.IE5\MSHist012009021420090215\index.dat

+ 2009-02-14 16:44:12 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokala inställningar\Tidigare\History.IE5\MSHist012009021420090215\index.dat

- 2009-02-14 15:08:06 71,308 ----a-w c:\windows\system32\perfc009.dat

+ 2009-02-14 15:26:59 71,308 ----a-w c:\windows\system32\perfc009.dat

- 2009-02-14 15:08:06 83,090 ----a-w c:\windows\system32\perfc01D.dat

+ 2009-02-14 15:26:59 83,090 ----a-w c:\windows\system32\perfc01D.dat

- 2009-02-14 15:08:06 441,624 ----a-w c:\windows\system32\perfh009.dat

+ 2009-02-14 15:26:59 441,624 ----a-w c:\windows\system32\perfh009.dat

- 2009-02-14 15:08:07 443,464 ----a-w c:\windows\system32\perfh01D.dat

+ 2009-02-14 15:26:59 443,464 ----a-w c:\windows\system32\perfh01D.dat

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"Eraser"="c:\program\Eraser\Eraser.exe" [2007-12-23 916240]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]

"SoundMAXPnP"="c:\program\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-14 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-14 166424]

"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-14 137752]

"WatchDog"="c:\program\InterVideo\DVD Check\DVDCheck.exe" [2006-03-31 184320]

"SynTPStart"="c:\program\Synaptics\SynTP\SynTPStart.exe" [2007-09-15 102400]

"QlbCtrl.exe"="c:\program\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-10-19 177456]

"Panda Controller Client"="c:\program\Panda Software\AVTC\PSCtrlC.exe" [2008-02-07 226608]

"CameraFixer"="c:\windows\CameraFixer.exe" [2006-06-01 20480]

"snpstd3"="c:\windows\vsnpstd3.exe" [2005-09-05 339968]

"Adobe Reader Speed Launcher"="c:\program\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"SunJavaUpdateSched"="c:\program\Java\jre6\bin\jusched.exe" [2008-11-10 136600]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\program\Windows Live\Messenger\msnmsgr.exe" [2008-12-02 3882312]

 

c:\documents and settings\All Users\Start-meny\Program\AutostartDVD Check.lnk - c:\program\InterVideo\DVD Check\DVDCheck.exe [2008-05-27 184320]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"DisallowCpl"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=secuload.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1792577560-2397486594-2620553692-16569\Scripts\Logon\0\0]

"Script"=all_ChangeLocalAdminPassword.bat

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1792577560-2397486594-2620553692-16569\Scripts\Logon\1\0]

"Script"=AddUserToLocalAdmins.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1792577560-2397486594-2620553692-16569\Scripts\Logon\2\0]

"Script"=jkpg_jb_Logon.bat

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1792577560-2397486594-2620553692-16569\Scripts\Logon\3\0]

"Script"=LogSeriaNr.vbs

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\program\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe"= c:\program\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe

"c:\\Program\\uTorrent\\uTorrent.exe"=

"c:\\Program\\Mozilla Firefox\\firefox.exe"=

"c:\\Program\\Spotify\\spotify.exe"=

"c:\\Program\\Sports Interactive\\Football Manager 2008\\fm.exe"=

"c:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program\\Java\\jre6\\bin\\java.exe"=

 

S1 ShldDrv;Panda File Shield Driver;c:\windows\system32\drivers\ShlDrv51.sys [2008-07-23 38328]

S2 gupdate1c9870991c5a778;Google Update Service (gupdate1c9870991c5a778);c:\program\Google\Update\GoogleUpdate.exe [2009-02-04 133104]

S2 PavProc;Panda Process Protection Driver;c:\windows\system32\drivers\PavProc.sys [2008-07-23 179512]

S3 restore;restore;\??\c:\windows\system32\drivers\restore.sys --> c:\windows\system32\drivers\restore.sys [?]

 

--- Övriga tjänster/drivrutiner i minnet ---

 

*NewlyCreated* - RESTORE

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##cujkpgfil01.customer.global#StudentsArea]

\Shell\AutoRun\command - S:\Shell\explore\Command - WScript.exe .\test.vbs

\Shell\open\Command - WScript.exe .\test.vbs

.

Innehållet i mappen 'Schemalagda aktiviteter':

 

2009-02-14 c:\windows\Tasks\GoogleUpdateTaskMachine.job

- c:\program\Google\Update\GoogleUpdate.exe [2009-02-04 21:45]

 

2009-02-12 c:\windows\Tasks\OGADaily.job

- c:\windows\system32\OGAVerify.exe [2008-12-31 17:04]

 

2009-02-14 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAVerify.exe [2008-12-31 17:04]

.

.

------- Extra genomsökning -------

.

uStart Page = about:blank

IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\krst0701\Application Data\Mozilla\Firefox\Profiles\by6b0hql.defaultFF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.msn.se

FF - plugin: c:\documents and settings\krst0701\Application Data\Mozilla\Firefox\Profiles\by6b0hql.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

FF - plugin: c:\program\Google\Google Updater\2.4.1439.6872\npCIDetect13.dll

FF - plugin: c:\program\Google\Update\1.2.141.5\npGoogleOneClick7.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\np32dsw.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\npdeploytk.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\npnul32.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\nppdf32.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\nppl3260.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\nprjplug.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\nprpjplug.dll

 

---- FIREFOX POLICY ----

c:\program\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-14 18:25:26

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

 

- - - - - - - > 'winlogon.exe'(860)

c:\windows\system32\cscui.dll

.

------------------------ Andra processer som körs ------------------------

.

c:\program\Lavasoft\Ad-Aware\aawservice.exe

c:\windows\temp\BN1.tmp

.

**************************************************************************

.

Sluttid: 2009-02-14 18:28:19 - datorn startades om.

ComboFix-quarantined-files.txt 2009-02-14 17:28:16

ComboFix2.txt 2009-02-14 15:27:22

 

Före genomsökningen: 10,817,077,248 byte ledigt

Efter genomsökningen: 10,804,936,704 byte ledigt

 

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4

215 --- E O F --- 2009-02-04 21:44:17

[/log]

 

Här är Hijackthis-loggen:

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:32, on 2009-02-14

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Safe mode with network support

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\notepad.exe

C:\WINDOWS\explorer.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://go.microsoft.com/fwlink/?LinkId=74005

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Länkhjälp till Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre6\bin\ssv.dll

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program\Google\GoogleToolbarNotifier\5.0.926.3450\swg.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [igfxTray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [WatchDog] C:\Program\InterVideo\DVD Check\DVDCheck.exe

O4 - HKLM\..\Run: [synTPStart] C:\Program\Synaptics\SynTP\SynTPStart.exe

O4 - HKLM\..\Run: [QlbCtrl.exe] C:\Program\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

O4 - HKLM\..\Run: [Panda Controller Client] "C:\Program\Panda Software\AVTC\PSCtrlC.exe"

O4 - HKLM\..\Run: [CameraFixer] C:\WINDOWS\CameraFixer.exe

O4 - HKLM\..\Run: [snpstd3] C:\WINDOWS\vsnpstd3.exe

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program\Adobe\Reader 8.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Eraser] C:\Program\Eraser\Eraser.exe -hide

O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [msnmsgr] "C:\Program\Windows Live\Messenger\msnmsgr.exe" /background (User 'Default user')

O4 - Global Startup: DVD Check.lnk = C:\Program\InterVideo\DVD Check\DVDCheck.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\Office12\EXCEL.EXE/3000

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {05D44720-58E3-49E6-BDF6-D00330E511D3} (StagingUI Object) - http://zone.msn.com/binFrameWork/v10/StagingUI.cab55579.cab

O16 - DPF: {0742B9EF-8C83-41CA-BFBA-830A59E23533} (Microsoft Data Collection Control) - https://support.microsoft.com/OAS/ActiveX/MSDcode.cab

O16 - DPF: {3BB54395-5982-4788-8AF4-B5388FFDD0D8} (MSN Games – Buddy Invite) - http://zone.msn.com/BinFrameWork/v10/ZBuddy.cab55579.cab

O16 - DPF: {3EA4FA88-E0BE-419A-A732-9B79B87A6ED0} (CTVUAxCtrl Object) - http://dl.tvunetworks.com/TVUAx.cab

O16 - DPF: {5736C456-EA94-4AAC-BB08-917ABDD035B3} (ZonePAChat Object) - http://zone.msn.com/binframework/v10/ZPAChat.cab55579.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1211873758916

O16 - DPF: {9BDF4724-10AA-43D5-BD15-AEA0D2287303} (MSN Games – Texas Holdem Poker) - http://zone.msn.com/bingame/zpagames/zpa_txhe.cab79352.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (MSN Games - Installer) - http://cdn2.zone.msn.com/binFramework/v10/ZIntro.cab56649.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsPAClient.cab56907.cab

O16 - DPF: {DA2AA6CF-5C7A-4B71-BC3B-C771BB369937} (MSN Games – Game Communicator) - http://zone.msn.com/binframework/v10/StProxy.cab55579.cab

O16 - DPF: {E6187999-9FEC-46A1-A20F-F4CA977D5643} (ZoneChess Object) - http://messenger.zone.msn.com/binary/Chess.cab57176.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineSweeper.cab56986.cab

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: Domain = student.global

O17 - HKLM\Software\..\Telephony: DomainName = student.global

O17 - HKLM\System\CS1\Services\Tcpip\Parameters: Domain = student.global

O17 - HKLM\System\CS2\Services\Tcpip\Parameters: Domain = student.global

O17 - HKLM\System\CS3\Services\Tcpip\Parameters: Domain = student.global

O17 - HKLM\System\CS4\Services\Tcpip\Parameters: Domain = student.global

O20 - AppInit_DLLs: secuload.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Agere Modem Call Progress Audio (AgereModemAudio) - Agere Systems - C:\WINDOWS\system32\agrsmsvc.exe

O23 - Service: Google Update Service (gupdate1c9870991c5a778) (gupdate1c9870991c5a778) - Google Inc. - C:\Program\Google\Update\GoogleUpdate.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program\Hewlett-Packard\Shared\hpqwmiex.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program\Delade filer\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: NMSAccessU - Unknown owner - C:\Program\CDBurnerXP\NMSAccessU.exe

O23 - Service: Panda Software Controller - Panda Software International - C:\Program\Panda Software\AVTC\PsCtrlS.exe

O23 - Service: Panda AdminSecure Communications Agent (PAVAGENTE) - Panda Software - C:\Program\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe

O23 - Service: Panda AdminSecure Scheduler (PavAtScheduler) - Panda Software - C:\Program\Panda Software\Panda Administrator 3\Scheduler\pavsched.exe

O23 - Service: Panda Process Protection Service (PavPrSrv) - Panda Security - C:\Program\Delade filer\Panda Software\PavShld\pavprsrv.exe

O23 - Service: Panda Antivirus Report Service (PavReport) - Panda Software - C:\Program\Panda Software\Panda Administrator 3\PavReport\PavReport.exe

O23 - Service: Panda Antivirus Service (PavSrv) - Panda Software International - C:\Program\Panda Software\AVTC\PavSrv51.exe

O23 - Service: Panda AntiSpam Engine (PMShellSrv) - Panda Software International - C:\Program\Panda Software\AVTC\PSKMsSvc.exe

O23 - Service: Panda IManager Service (PsImSvc) - Panda Software International - C:\Program\Panda Software\AVTC\PsImSvc.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program\WinPcap\rpcapd.exe

 

--

End of file - 8520 bytes

[/log]

 

Link to comment
Share on other sites

Hej! Missade lite till som måste med bort

Kopiera alla rader i rutan (använd markera kod)

File::
c:\windows\system32\11C.tmp
c:\windows\system32\117.tmp
c:\windows\temp\BN1.tmp

och klistra in i Anteckningar.

Spara filen på Skrivbordet med namnet CFScript.

 

Förbered datorn på samma sätt som tidigare för ComboFix.

Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.

Klistra in loggen som kommer ut ihop med en ny logga från Malwarebytes som du uppdaterar och skannar med efter ComboFix

 

Link to comment
Share on other sites

Här är den ComboFix-loggen:

 

[log]ComboFix 09-02-12.03 - krst0701 2009-02-14 19:02:38.4 - NTFSx86 NETWORK

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1053.18.1015.766 [GMT 1:00]

Körs från: c:\documents and settings\krst0701\Skrivbord\ComboFix.exe

Använda kommandoväxlar :: c:\documents and settings\krst0701\Skrivbord\CFScript.txt

AV: Panda Security for Desktops *On-access scanning enabled* (Updated)

 

FILE ::

c:\windows\system32\117.tmp

c:\windows\system32\11C.tmp

c:\windows\temp\BN1.tmp

.

 

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\117.tmp

c:\windows\system32\11C.tmp

c:\windows\system32\drivers\ntndis.sys

 

.

((((((((((((((((((((((((((((((((((((((( Drivrutiner/Tjänster )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_RESTORE

-------\Service_restore

 

 

(((((((((((((((((((((((( Filer Skapade från 2009-01-14 till 2009-02-14 ))))))))))))))))))))))))))))))

.

 

2009-02-14 16:05 . 2009-02-14 17:04 <KAT> d-------- c:\windows\system32\config\systemprofile\Tracing

2009-02-14 15:04 . 2009-02-14 15:04 135,168 --a------ C:\zip.exe

2009-02-14 15:04 . 2009-02-14 15:04 19,286 --a------ C:\cleanup.exe

2009-02-14 15:04 . 2009-02-14 15:04 574 --a------ C:\cleanup.bat

2009-02-14 13:39 . 2009-02-14 13:39 <KAT> d-------- c:\program\Malwarebytes' Anti-Malware

2009-02-14 13:39 . 2009-02-14 13:39 <KAT> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-02-14 13:39 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-02-14 13:39 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-02-13 23:41 . 2009-02-13 23:41 <KAT> d-------- c:\program\DVD Shrink

2009-02-13 23:41 . 2009-02-13 23:41 <KAT> d-------- c:\documents and settings\krst0701\Application Data\SPORE

2009-02-13 22:28 . 2009-02-14 18:11 664 --a------ c:\windows\system32\d3d9caps.dat

2009-02-13 21:30 . 2009-02-13 21:30 <KAT> d-------- c:\documents and settings\krst0701\Application Data\Malwarebytes

2009-02-13 21:29 . 2009-02-13 23:42 <KAT> d-------- c:\program\Malwarebytes' Anti-Malware(2)

2009-02-13 21:29 . 2009-02-13 23:42 <KAT> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes(2)

2009-02-13 14:12 . 2009-02-13 14:12 <KAT> d-------- c:\program\Trend Micro

2009-02-13 00:30 . 2008-04-13 21:09 142,592 --a------ c:\windows\system32\drivers\aec.sys.bak

2009-02-12 23:47 . 2009-02-12 23:53 <KAT> d-------- c:\documents and settings\All Users\Application Data\Sports Interactive

2009-02-04 21:52 . 2009-02-04 21:52 <KAT> d-------- c:\windows\County Fair

2009-02-04 21:52 . 2009-02-04 21:52 <KAT> d-------- c:\program\County Fair

2009-01-21 14:57 . 2009-02-11 22:58 <KAT> d-------- c:\program\Google

2009-01-21 14:57 . 2009-02-13 14:21 <KAT> d-------- c:\documents and settings\All Users\Application Data\Google Updater

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-13 22:44 --------- d-----w c:\program\Sports Interactive

2009-02-13 22:44 --------- d-----w c:\documents and settings\krst0701\Application Data\uTorrent

2009-02-13 22:41 --------- d-----w c:\program\WinAVI Video Converter

2009-02-13 22:41 --------- d-----w c:\program\CDBurnerXP

2009-02-13 22:22 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-02-13 13:46 --------- d-----w c:\documents and settings\All Users\Application Data\Microsoft Help

2009-02-12 23:30 182,656 ----a-w c:\windows\system32\drivers\ndis.sys

2009-02-12 23:22 --------- d-----w c:\documents and settings\krst0701\Application Data\Sports Interactive

2009-02-12 14:40 --------- d-----w c:\program\MZ Manager 2

2009-02-06 12:50 --------- d-----w c:\program\Messenger Plus! Live

2009-02-04 20:51 --------- d-----w c:\program\Rock Tour

2009-01-20 10:42 --------- d-----w c:\program\FysioFix Exercise

2009-01-12 12:58 --------- d-----w c:\documents and settings\krst0701\Application Data\Spotify

2008-12-31 15:54 --------- d-----w c:\documents and settings\krst0701\Application Data\Artogon

2008-12-31 15:49 --------- d-----w c:\program\Charma The Land of Enchantment

2008-12-28 14:36 --------- d-----w c:\documents and settings\All Users\Application Data\TVU Networks

2008-12-27 21:02 --------- d-----w c:\documents and settings\krst0701\Application Data\Nero

2008-12-27 19:21 --------- d-----w c:\program\Delade filer\Nero

2008-12-27 19:03 --------- d-----w c:\program\Nero

2008-12-27 18:55 --------- d-----w c:\documents and settings\All Users\Application Data\Nero

2008-12-25 23:15 --------- d-----w c:\program\Windows Sidebar

2008-12-25 21:07 --------- d-----w c:\program\Avi2Dvd

2008-12-20 22:59 --------- d-----w c:\program\Windows Live SkyDrive

2008-12-20 22:59 --------- d-----w c:\program\Microsoft

2008-12-19 12:56 --------- d-----w c:\program\Java

.

 

------- Sigcheck -------

 

2009-02-13 00:30 213120 1df7f42665c94b825322fae71721130d c:\windows\system32\dllcache\ndis.sys

2009-02-13 00:30 213120 1df7f42665c94b825322fae71721130d c:\windows\system32\drivers\ndis.sys

.

((((((((((((((((((((((((((((( SnapShot@2009-02-14_16.26.22.92 )))))))))))))))))))))))))))))))))))))))))

.

- 2009-02-14 15:23:19 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

+ 2009-02-14 18:02:23 32,768 ----a-w c:\windows\system32\config\systemprofile\Cookies\index.dat

- 2009-02-14 15:23:19 49,152 ----a-w c:\windows\system32\config\systemprofile\Lokala inställningar\Tidigare\History.IE5\index.dat

+ 2009-02-14 18:02:23 65,536 ----a-w c:\windows\system32\config\systemprofile\Lokala inställningar\Tidigare\History.IE5\index.dat

- 2009-02-14 15:23:20 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokala inställningar\Tidigare\History.IE5\MSHist012009021420090215\index.dat

+ 2009-02-14 18:02:23 32,768 --sha-w c:\windows\system32\config\systemprofile\Lokala inställningar\Tidigare\History.IE5\MSHist012009021420090215\index.dat

- 2009-02-14 15:08:06 71,308 ----a-w c:\windows\system32\perfc009.dat

+ 2009-02-14 17:28:38 71,308 ----a-w c:\windows\system32\perfc009.dat

- 2009-02-14 15:08:06 83,090 ----a-w c:\windows\system32\perfc01D.dat

+ 2009-02-14 17:28:38 83,090 ----a-w c:\windows\system32\perfc01D.dat

- 2009-02-14 15:08:06 441,624 ----a-w c:\windows\system32\perfh009.dat

+ 2009-02-14 17:28:38 441,624 ----a-w c:\windows\system32\perfh009.dat

- 2009-02-14 15:08:07 443,464 ----a-w c:\windows\system32\perfh01D.dat

+ 2009-02-14 17:28:38 443,464 ----a-w c:\windows\system32\perfh01D.dat

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"Eraser"="c:\program\Eraser\Eraser.exe" [2007-12-23 916240]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]

"SoundMAXPnP"="c:\program\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2007-09-14 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2007-09-14 166424]

"Persistence"="c:\windows\system32\igfxpers.exe" [2007-09-14 137752]

"WatchDog"="c:\program\InterVideo\DVD Check\DVDCheck.exe" [2006-03-31 184320]

"SynTPStart"="c:\program\Synaptics\SynTP\SynTPStart.exe" [2007-09-15 102400]

"QlbCtrl.exe"="c:\program\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-10-19 177456]

"Panda Controller Client"="c:\program\Panda Software\AVTC\PSCtrlC.exe" [2008-02-07 226608]

"CameraFixer"="c:\windows\CameraFixer.exe" [2006-06-01 20480]

"snpstd3"="c:\windows\vsnpstd3.exe" [2005-09-05 339968]

"Adobe Reader Speed Launcher"="c:\program\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"SunJavaUpdateSched"="c:\program\Java\jre6\bin\jusched.exe" [2008-11-10 136600]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\program\Windows Live\Messenger\msnmsgr.exe" [2008-12-02 3882312]

 

c:\documents and settings\All Users\Start-meny\Program\AutostartDVD Check.lnk - c:\program\InterVideo\DVD Check\DVDCheck.exe [2008-05-27 184320]

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"DisallowCpl"= 1 (0x1)

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=secuload.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1792577560-2397486594-2620553692-16569\Scripts\Logon\0\0]

"Script"=all_ChangeLocalAdminPassword.bat

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1792577560-2397486594-2620553692-16569\Scripts\Logon\1\0]

"Script"=AddUserToLocalAdmins.vbs

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1792577560-2397486594-2620553692-16569\Scripts\Logon\2\0]

"Script"=jkpg_jb_Logon.bat

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-1792577560-2397486594-2620553692-16569\Scripts\Logon\3\0]

"Script"=LogSeriaNr.vbs

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\program\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe"= c:\program\Panda Software\Panda Administrator 3\Pav_Agent\Pagent.exe

"c:\\Program\\uTorrent\\uTorrent.exe"=

"c:\\Program\\Mozilla Firefox\\firefox.exe"=

"c:\\Program\\Spotify\\spotify.exe"=

"c:\\Program\\Sports Interactive\\Football Manager 2008\\fm.exe"=

"c:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program\\Java\\jre6\\bin\\java.exe"=

 

S1 ShldDrv;Panda File Shield Driver;c:\windows\system32\drivers\ShlDrv51.sys [2008-07-23 38328]

S2 gupdate1c9870991c5a778;Google Update Service (gupdate1c9870991c5a778);c:\program\Google\Update\GoogleUpdate.exe [2009-02-04 133104]

S2 PavProc;Panda Process Protection Driver;c:\windows\system32\drivers\PavProc.sys [2008-07-23 179512]

 

--- Övriga tjänster/drivrutiner i minnet ---

 

*NewlyCreated* - RESTORE

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\##cujkpgfil01.customer.global#StudentsArea]

\Shell\AutoRun\command - S:\Shell\explore\Command - WScript.exe .\test.vbs

\Shell\open\Command - WScript.exe .\test.vbs

.

Innehållet i mappen 'Schemalagda aktiviteter':

 

2009-02-14 c:\windows\Tasks\GoogleUpdateTaskMachine.job

- c:\program\Google\Update\GoogleUpdate.exe [2009-02-04 21:45]

 

2009-02-12 c:\windows\Tasks\OGADaily.job

- c:\windows\system32\OGAVerify.exe [2008-12-31 17:04]

 

2009-02-14 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAVerify.exe [2008-12-31 17:04]

.

.

------- Extra genomsökning -------

.

uStart Page = about:blank

IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\Office12\EXCEL.EXE/3000

FF - ProfilePath - c:\documents and settings\krst0701\Application Data\Mozilla\Firefox\Profiles\by6b0hql.defaultFF - prefs.js: browser.search.defaulturl - hxxp://www.google.com/search?lr=&ie=UTF-8&oe=UTF-8&q=

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - hxxp://www.msn.se

FF - plugin: c:\documents and settings\krst0701\Application Data\Mozilla\Firefox\Profiles\by6b0hql.default\extensions\firefox@tvunetworks.com\plugins\npTVUAx.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

FF - plugin: c:\program\Google\Google Updater\2.4.1439.6872\npCIDetect13.dll

FF - plugin: c:\program\Google\Update\1.2.141.5\npGoogleOneClick7.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\np32dsw.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\npdeploytk.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\npnul32.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\nppdf32.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\nppl3260.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\nprjplug.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\nprpjplug.dll

 

---- FIREFOX POLICY ----

c:\program\Mozilla Firefox 3.1 Beta 1\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-02-14 19:11:34

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

------------------------ Andra processer som körs ------------------------

.

c:\program\Lavasoft\Ad-Aware\aawservice.exe

c:\windows\temp\BN1.tmp

.

**************************************************************************

.

Sluttid: 2009-02-14 19:14:25 - datorn startades om.

ComboFix-quarantined-files.txt 2009-02-14 18:14:23

ComboFix2.txt 2009-02-14 17:28:19

ComboFix3.txt 2009-02-14 15:27:22

 

Före genomsökningen: 10,815,946,752 byte ledigt

Efter genomsökningen: 10,802,270,208 byte ledigt

 

Current=2 Default=2 Failed=3 LastKnownGood=4 Sets=1,2,3,4

211 --- E O F --- 2009-02-04 21:44:17

[/log]

 

Och här är Malwarebytes-loggen:

 

[log]Malwarebytes' Anti-Malware 1.34

Databasversion: 1762

Windows 5.1.2600 Service Pack 3

 

2009-02-14 19:17:57

mbam-log-2009-02-14 (19-17-57).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 67377

Förfluten tid: 2 minute(s), 7 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

[/log]

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.




×
×
  • Create New...