fortsättningen av "mitt explorer funkar ej :("

[ellllle]

tja detta är fortsättningen på ett forum på pcforalla.se.

Anledningen till att jag skriver här är för att Cecilia bad mig att fortsätta tråden här för att denna sidan klarar av långa loggar bättre här är en länk till original sidan på pcforalla:http://pcforallasmart.idg.se/forum/thread.jsp?forumid=9&rootid=503947&&page=1

 

[ellllle]

[log]

Malwarebytes' Anti-Malware 1.34

Databasversion: 1766

Windows 5.1.2600 Service Pack 3

 

2009-02-16 20:14:58

mbam-log-2009-02-16 (20-14-58).txt

 

Skanningstyp: Fullständig skanning (C:\|E:\|)

Antal skannade objekt: 222400

Förfluten tid: 58 minute(s), 18 second(s)

 

Infekterade minnesprocesser: 6

Infekterade minnesmoduler: 0

Infekterade registernycklar: 2

Infekterade registervärden: 3

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 10

 

Infekterade minnesprocesser:

C:\WINDOWS1\system32\8.tmp (Trojan.Agent) -> Unloaded process successfully.

C:\WINDOWS1\system32\E.tmp (Trojan.Agent) -> Unloaded process successfully.

C:\WINDOWS1\service.exe (Backdoor.Bot) -> Unloaded process successfully.

C:\WINDOWS1\temp\BN9D.tmp (Trojan.Agent) -> Unloaded process successfully.

C:\WINDOWS1\temp\BN9E.tmp (Trojan.Agent) -> Unloaded process successfully.

C:\WINDOWS1\system32\wininet.exe (Trojan.Proxy) -> Unloaded process successfully.

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

HKEY_CLASSES_ROOT\CLSID\{d7ffd784-5276-42d1-887b-00267870a4c7} (Trojan.BHO) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\synsend (Trojan.Agent) -> Quarantined and deleted successfully.

 

Infekterade registervärden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.FakeAlert.H) -> Quarantined and deleted successfully.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vxslvvft.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad\sysrun (Trojan.BHO) -> Quarantined and deleted successfully.

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\WINDOWS1\system32\reader_s.exe (Trojan.FakeAlert.H) -> Delete on reboot.

C:\WINDOWS1\vxslvvft.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\WINDOWS1\system32\svshost.dll (Trojan.BHO) -> Quarantined and deleted successfully.

C:\WINDOWS1\system32\7.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS1\system32\8.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS1\system32\E.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS1\service.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\WINDOWS1\temp\BN9D.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS1\temp\BN9E.tmp (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS1\system32\wininet.exe (Trojan.Proxy) -> Quarantined and deleted successfully.

[/log]

 

[Cecilia]

Bra!

Klistra in en aktuell HijackThis-logg och ComboFix-logg också. Här behöver du inte dela upp några loggar utan klistra in hela loggen och så använd LOG-knappen så som du gjorde med MBAM-loggen.

 

[ellllle]

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:40, on 2009-02-18

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

 

Running processes:

C:\WINDOWS1\System32\smss.exe

C:\WINDOWS1\system32\winlogon.exe

C:\WINDOWS1\system32\services.exe

C:\WINDOWS1\system32\lsass.exe

C:\WINDOWS1\system32\svchost.exe

C:\WINDOWS1\System32\svchost.exe

C:\WINDOWS1\system32\svchost.exe

C:\WINDOWS1\system32\spoolsv.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\MDM.EXE

C:\Program\Delade filer\Nero\Nero BackItUp 4\NBService.exe

C:\WINDOWS1\system32\IoctlSvc.exe

C:\WINDOWS1\system32\svchost.exe

C:\WINDOWS1\System32\TUProgSt.exe

C:\Program\Q-Dir\Q-Dir.exe

C:\Program\Hewlett-Packard\HPSHAR~1\hpgs2wnf.exe

C:\WINDOWS1\System32\svchost.exe

C:\WINDOWS1\System32\svchost.exe

C:\WINDOWS1\System32\svchost.exe

C:\WINDOWS1\System32\svchost.exe

C:\WINDOWS1\System32\svchost.exe

C:\WINDOWS1\system32\notepad.exe

C:\WINDOWS1\system32\ctfmon.exe

E:\Mina Dokument\program\Malwarebytes' Anti-Malware\mbam.exe

C:\WINDOWS1\System32\svchost.exe

C:\Program\uTorrent\uTorrent.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

R3 - URLSearchHook: (no name) - {930f1200-f5f1-4870-bac6-e233ec8e7023} - (no file)

F2 - REG:system.ini: UserInit=C:\WINDOWS1\system32\userinit.exe

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre6\bin\ssv.dll

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - (no file)

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - (no file)

O3 - Toolbar: (no name) - {930f1200-f5f1-4870-bac6-e233ec8e7023} - (no file)

O3 - Toolbar: Google Web Accelerator - {DB87BFA2-A2E3-451E-8E5A-C89982D87CBF} - (no file)

O3 - Toolbar: (no name) - {A057A204-BACC-4D26-9990-79A187E2698E} - (no file)

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS1\system32\hkcmd.exe

O4 - HKLM\..\Run: [sigmatelSysTrayApp] stsystra.exe

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS1\system32\igfxtray.exe

O4 - HKLM\..\Run: [ANIWZCS2Service] C:\Program\ANI\ANIWZCS2 Service\WZCSLDR2.exe

O4 - HKLM\..\Run: [NBKeyScan] "C:\Program\Nero\Nero 7\Nero BackItUp\NBKeyScan.exe"

O4 - HKLM\..\Run: [Perfect Process shield] E:\Mina Dokument\program\ppshield.exe

O4 - HKLM\..\Run: [WinDLL (service.exe)] service.exe

O4 - HKLM\..\Run: [share-to-Web Namespace Daemon] C:\Program\Hewlett-Packard\HP Share-to-Web\hpgs2wnd.exe

O4 - HKLM\..\Run: [reader_s] C:\WINDOWS1\System32\reader_s.exe

O4 - HKLM\..\RunOnce: [Malwarebytes Anti-Malware (reboot)] "E:\Mina Dokument\program\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS1\system32\ctfmon.exe

O4 - HKCU\..\Run: [AnyDVD] E:\Mina Dokument\program\AnyDVD\AnyDVDtray.exe

O4 - HKCU\..\RunOnce: [WMC_WMPDBExport] C:\Program\Windows Media Player\wmdbexport.exe

O4 - HKUS\S-1-5-21-1078081533-2111687655-725345543-1003\..\Run: [CTFMON.EXE] C:\WINDOWS1\system32\ctfmon.exe (User '?')

O4 - HKUS\S-1-5-21-1078081533-2111687655-725345543-1003\..\Run: [AnyDVD] E:\Mina Dokument\program\AnyDVD\AnyDVDtray.exe (User '?')

O4 - HKUS\S-1-5-21-1078081533-2111687655-725345543-1003\..\RunOnce: [WMC_WMPDBExport] C:\Program\Windows Media Player\wmdbexport.exe (User '?')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS1\system32\CTFMON.EXE (User '?')

O4 - HKUS\S-1-5-18\..\Run: [phikzzzi.exe] C:\WINDOWS1\phikzzzi.exe (User '?')

O4 - HKUS\S-1-5-18\..\Run: [hddizzcm.exe] C:\WINDOWS1\hddizzcm.exe (User '?')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS1\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: HPAiODevice(hp officejet 7100 series) - 2.lnk = C:\Program\Hewlett-Packard\AiO\hp officejet 7100 series\Bin\hpogrp07.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~3\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~3\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS1\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS1\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows1\system32\nwprovau.dll

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6662.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} (get_atlcom Class) - http://wwwimages.adobe.com/www.adobe.com/products/acrobat/nos/gp.cab

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - (no file)

O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Unknown owner - C:\Program\a-squared Anti-Malware\a2service.exe (file missing)

O23 - Service: ANIWZCSd Service (ANIWZCSdService) - Alpha Networks Inc. - C:\Program\ANI\ANIWZCS2 Service\ANIWZCSdS.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - Unknown owner - C:\Program\AVG\AVG8\avgwdsvc.exe (file missing)

O23 - Service: getPlus® Helper - Unknown owner - C:\Program\NOS\bin\getPlus_HelperSvc.exe (file missing)

O23 - Service: getPlus® Helper - Unknown owner - C:\Program\NOS\bin\getPlus_HelperSvc.exe (file missing)

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: LANeyeSRV (LANeyeSRV_NetworkService) - Unknown owner - C:\Program\LANeye\sys\LANeyeSRV.exe (file missing)

O23 - Service: NBService - Nero AG - C:\Program\Nero\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program\Delade filer\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program\Delade filer\Ahead\Lib\NMIndexingService.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS1\system32\IoctlSvc.exe

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS1\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS1\System32\TUProgSt.exe

 

--

End of file - 7246 bytes

[/log]

 

[ellllle]

asså mitt internet funkar typ ej det funkar i en minut när jag sätter på datorn sen lägger det av och om jag är inne på nätverket så funkar inte internet på någon annan dator heller i huset!? har det att göra med detta viruset?

 

[Cecilia]

Jag vet inte, men det finns en hel del otrevliga filer i loggen så det är svårt att svara på vad de har för sig. Men några har MBAM angett är av typen Downloader och sådana filer använder internet för att ladda ner fler skadliga program så de kan ju om inte annat använda internet så mycket att det inte blir kvar något till någon annan.

 

Kan du föra över filer från en annan dator med fungerande internet? För i så fall kan du ju ladda ner ComboFix på en annan dator och föra över till den infekterade med hjälp av USB-minne eller CD och så föra över loggen åt andra hållet?

 

Nu har datorn varit infekterad åtminstone i en månad och det blir lätt bara värre med tiden så antingen får datorn installeras om eller också får den rensas nu.

 

[ellllle]

Combofix funkar ju ej med avg och avg är ju borttaget finns det inget annat program? jag försöker verkligen rensa den ju det är min enda dator varenda gång jag skriver så skriver jag från en annan dator så det är därför det dröjer så lång tid så snälla fortsätt hjälp mig jag kan ju föra över filer!

 

[Cecilia]

Visst går det att ha AVG i datorn och köra ComboFix. Om det inte fungerar i normalt läge så pröva i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Uppdatera MBAM och skanna med det igen också.

 

[ellllle]

Men vänta nu tror du inte jag kan installera Puppy Linux http://www.puppylinux.org/ det låter väldigt bra ju jag menar mitt virus låter ju rätt så hopplöst?

 

[Cecilia]

Om du menar att du ska börja köra Puppy Linux i stället för Windows så visst kan du göra det.

Däremot så är Puppy en väldigt liten distribution och kanske lite begränsad för att ha som enda dator, då kan ju en mer vanlig Linux-distribution som Ubuntu eller Mandriva passa bättre om inte datorn har väldigt dålig processor och/eller lite RAM-minne, men om du kunde köra XP utan större problem så borde de två kunna gå.

http://ubuntu.se/

http://wiki.mandriva.com/en/Home

 

[ellllle]

med begränsad menar du då att man inte kan installera så måna program på puppy linux?

 

[Cecilia]

Jag har inte prövat Puppy själv, men storleken på installationsfilen är bara 94 MB och kraven på processorn är en Pentium 166MMX processor (drygt 10 år gammal) och 128 MB RAM-minne.

http://www.puppylinux.org/wiki/hardware/general/minreq

 

Ubuntus rekommenderade dator har minst en 700 MHz x86 processor och 384 MB RAM och installationsfilen är 699 MB.

https://help.ubuntu.com/community/Installation/SystemRequirements

Ungefär detsamma gäller Mandriva.

 

 

[ellllle]

Ubunti ser ju väldigt bra ut på youtube så ska nog testa det för man kan ladda ner en test fil ju!

 

[Cecilia]

Lycka till!

 

[ellllle]

Hej måste bara säga tack så sjukt mycket!!

det funkar jätte bra men har bara en testverision just nu men om någon annan har samma problem så borde ni ladda ner ubuntu iallafall ta en titt på det! http://www.ubuntu.com/

[inlägget ändrat 2009-02-23 20:19:53 av 123]

[Cecilia]

Testversion av Ubuntu? Vad menar du med det?

 

[ellllle]

Man kan ladda ner en verision som inte tar bort min xp, man kan välja hur mycket plats den ska ta och man kan dessutom avinstallera det precis som ett vanligt program!

Jag tror att man dessutom man kan använda det utan att installera det har jag upptäckt nu så då körs det från en cd skiva som man bränner!

 

[inlägget ändrat 2009-02-24 20:27:36 av 123]

[Cecilia]

Man kan ladda ner en verision som inte tar bort min xp, man kan välja hur mycket plats den ska ta och man kan dessutom avinstallera det precis som ett vanligt program!

Jaha, du menar wubi-installationen, men den behöver inte användas som en testinstallationen, man kan fortsätta att använda den för tid och evighet i alla fall.

 

Jag tror att man dessutom man kan använda det utan att installera det har jag upptäckt nu så då körs det från en cd skiva som man bränner!

Japp, installationsskivan fungerar även som en så kallad Live-CD, men det blir väl lätt lite långsamt i längden.

 

[ellllle]

Ja men går inte datorn långsammare om man använder xp och en linuxdist?

 

[inlägget ändrat 2009-02-25 11:17:48 av 123]

[Cecilia]

Även vid en Wubi-installation så är det ju bara det ena operativsystemet som är igång så det borde det inte bli långsamt av. Tycker du att det är långsammare nu än med XP?

 

[ellllle]

Ja faktiskt det går långsammare att ta upp tex open office och det kan börja "lagga" när man har uppe många program vad kan detta betyda?

 

[Cecilia]

Att starta OpenOffice.org tycker jag tar tid även på min datorn med Vista. Vet du hur mycket RAM-minne du har?

Hur många program har du uppe när det börjar lagga?

 

[ellllle]

Det är ju inget exakt men det kan börja om jag har tre program uppe så börjar det väldigt lätt.

 

[Cecilia]

Vi får väl se om det blir bättre när du har uppdaterat och installerat en del enligt den andra tråden

 

[ellllle]

Japp