Just nu i M3-nätverket
Jump to content

IE7 problem


lensjo

Recommended Posts

Fick ett "nasty" virus som nästlade sig in i systemet för någon dag sedan. En av filerna hette nfr.dll. När jag fått bort allt som den ställt till med (använde prevX) så fungerade inte IE7 längre. Försökte gå in i internetalternativ men det startade inte ens upp. Troligen gjorde viruset några registerändringar för när jag försökte installera/reparera IE igen så gick det inte. Hämtade fil från Microsofts hemsida men datorn meddelade att den gamla togs bort och därefter startade datorn om, meddelade att den tar bort den gamla och startade om osv. Fick gå in i felsäkert läge för att låsa upp den. Lyckades inte på något sätt att få igång den igen så jag installerade Firefox istället. Ångrar det inte för den är ju blixtsnabb. Min fråga är, vad hände egentligen med IE/ och varför vägrar XP att ta emot den igen.

Nätverket och outlook express fungerade så det var inte där felet fanns.

 

Link to comment
Share on other sites

Det finns en typ av skadligt program som ändrar om i registret så att Internet Explorer inte kan starta. Vi kan se vad HijackThis visar till att börja med. Ladda ner från en av länkarna:

http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

http://www.download.com/Trend-Micro-HijackThis/3000-8022_4-10227353.html

Installera, starta och välj "Do a system scan and save a logfile", kopiera loggen som kommer upp (inget annat).

 

I ditt svar bifogar du HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen nappen i Besvara-fönstret

 

Link to comment
Share on other sites

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 06:22:36, on 2009-03-08

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Intel\Wireless\Bin\EvtEng.exe

C:\Program\Intel\Wireless\Bin\S24EvMon.exe

C:\Program\Intel\Wireless\Bin\WLKeeper.exe

C:\Program\Intel\Wireless\Bin\ZcfgSvc.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Program\PC Protection Plus\Anti-Virus\fsgk32st.exe

C:\Program\PC Protection Plus\Common\FSMA32.EXE

C:\Program\PC Protection Plus\Anti-Virus\FSGK32.EXE

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\PC Protection Plus\Common\FSMB32.EXE

C:\Program\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

C:\Program\Intel\Wireless\Bin\RegSrvc.exe

C:\WINDOWS\System32\TUProgSt.exe

C:\Program\PC Protection Plus\Common\FCH32.EXE

C:\Program\PC Protection Plus\Common\FAMEH32.EXE

C:\Program\PC Protection Plus\Anti-Virus\fsqh.exe

C:\Program\Apoint\Apoint.exe

C:\Program\Intel\Wireless\Bin\ifrmewrk.exe

C:\Program\Intel\Wireless\Bin\1XConfig.exe

C:\Program\Dell\QuickSet\quickset.exe

C:\WINDOWS\system32\dla\tfswctrl.exe

C:\Program\PC Protection Plus\Common\FSM32.EXE

C:\Program\PC Protection Plus\FSGUI\fsguidll.exe

C:\WINDOWS\system32\hkcmd.exe

C:\WINDOWS\system32\igfxpers.exe

C:\WINDOWS\system32\igfxsrvc.exe

C:\Program\Java\jre6\bin\jusched.exe

C:\Program\Lavasoft\Ad-Aware\AAWTray.exe

C:\Program\Apoint\Apntex.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\IObit\Advanced SystemCare 3\AWC.exe

C:\Program\Messenger\msmsgs.exe

C:\Program\PC Protection Plus\FSAUA\program\fsaua.exe

C:\Program\PC Protection Plus\Anti-Virus\fssm32.exe

C:\Program\PC Protection Plus\FWES\Program\fsdfwd.exe

C:\Program\PC Protection Plus\FSAUA\program\fsus.exe

C:\Program\PC Protection Plus\Anti-Virus\fsav32.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\TuneUpDefragService.exe

C:\Program\Outlook Express\msimn.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.euro.dell.com/

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Easy-WebPrint - {327C2873-E90D-4c37-AA9D-10AC9BABA46C} - C:\Program\Canon\Easy-WebPrint\Toolband.dll

O4 - HKLM\..\Run: [Apoint] C:\Program\Apoint\Apoint.exe

O4 - HKLM\..\Run: [intelWireless] "C:\Program\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless

O4 - HKLM\..\Run: [Dell QuickSet] C:\Program\Dell\QuickSet\quickset.exe

O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\PC Protection Plus\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program\PC Protection Plus\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [igfxtray] C:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [igfxhkcmd] C:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [igfxpers] C:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [Ad-Watch] C:\Program\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Program\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~3\Office10\EXCEL.EXE/3000

O8 - Extra context menu item: Easy-WebPrint Add To Print List - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

O8 - Extra context menu item: Easy-WebPrint High Speed Print - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

O8 - Extra context menu item: Easy-WebPrint Preview - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

O8 - Extra context menu item: Easy-WebPrint Print - res://C:\Program\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

O9 - Extra button: Spyware Doctor - {2D663D1A-8670-49D9-A1A5-4C56B4E14E84} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {08B0E5C0-4FCB-11CF-AAA5-00401C608500} (Microsoft VM) - http://www.66.com/route66/images/website/downloads/msjavx86.exe

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} (Java Runtime Environment 1.6.0) - http://dl8-cdn-01.sun.com/s/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?e=1231330136571&h=86359a72eacb3fa593c2780e205f3aca/&filename=jinstall-6u11-windows-i586-jc.cab

O23 - Service: Diskeeper - Diskeeper Corporation - C:\Program\Diskeeper Corporation\Diskeeper\DkService.exe

O23 - Service: EvtEng - Intel Corporation - C:\Program\Intel\Wireless\Bin\EvtEng.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program\PC Protection Plus\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program\PC Protection Plus\FSAUA\program\fsaua.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program\PC Protection Plus\FWES\Program\fsdfwd.exe

O23 - Service: FSMA - F-Secure Corporation - C:\Program\PC Protection Plus\Common\FSMA32.EXE

O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program\PC Protection Plus\ORSP Client\fsorsp.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program\Dell\NICCONFIGSVC\NICCONFIGSVC.exe

O23 - Service: RegSrvc - Intel Corporation - C:\Program\Intel\Wireless\Bin\RegSrvc.exe

O23 - Service: Spectrum24 Event Monitor (S24EventMonitor) - Intel Corporation - C:\Program\Intel\Wireless\Bin\S24EvMon.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Unknown owner - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe (file missing)

O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe

O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe

O23 - Service: WLANKEEPER - Intel® Corporation - C:\Program\Intel\Wireless\Bin\WLKeeper.exe

 

--

End of file - 9193 bytes

[/log]

 

Link to comment
Share on other sites

Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

[log]Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.[/log]

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

 

Link to comment
Share on other sites

Tyvärr. Jag stängde alla program incl. ad-watch, system care samt frigjorde f-secure.

Körde combofix - fick upp kommandotolken (dosfönstret) med endast blinkande markör. Därefter hände inget. Väntade över 5 min utan resultat. Blev därefter tvungen att starta om datorn eftersom kommandotolken inte gick att kryssa bort.

Ska jag pröva i felsäkert läge?

 

Link to comment
Share on other sites

Så, nu gick det bättre. Den klagade på att realtidscannern i f-secure var igång, hur den nu kunde vara det i felsäkert läge men jag chansade och fortsatte. Här är loggen, jag fattar nada men firefox frågade om den skulle vara standardläsare vilket den inte frågat innan.

 

[log]ComboFix 09-03-06.02 - Familj 2009-03-08 19:57:19.1 - NTFSx86 MINIMAL

Microsoft Windows XP Home Edition 5.1.2600.3.1252.46.1053.18.1015.803 [GMT 1:00]

Körs från: c:\documents and settings\Familj\Skrivbord\ComboFix.exe

AV: F-Secure PC Protection Plus 8.01 *On-access scanning enabled* (Updated)

FW: F-Secure PC Protection Plus 8.01 *enabled*

 

VARNINIG -ÅTERSTÄLLNINGSKONSOLEN (THE RECOVERY CONSOLE) ÄR INTE INSTALLERAD PÅ DEN HÄR DATORN !!

.

 

(((((((((((((((((((((((( Filer Skapade från 2009-02-08 till 2009-03-08 ))))))))))))))))))))))))))))))

.

 

2009-03-08 06:21 . 2009-03-08 06:21 <KAT> d-------- c:\program\Trend Micro

2009-03-05 12:18 . 2009-03-05 12:18 0 --a------ c:\windows\nsreg.dat

2009-03-05 10:52 . 2006-12-12 11:59 66,048 --a------ c:\windows\ieResetIcons.exe

2009-03-04 18:58 . 2009-03-04 18:58 <KAT> d-------- c:\program\NOS

2009-03-04 16:58 . 2009-03-04 19:01 <KAT> d-------- c:\program\Prevx

2009-03-04 16:58 . 2009-03-04 18:58 <KAT> d-------- c:\documents and settings\All Users\Application Data\PrevxCSI

2009-03-04 16:27 . 2009-03-04 16:27 1 --a------ c:\windows\9gdfgjf23

2009-03-04 15:56 . 2009-03-04 15:56 1 ---h----- c:\windows\t55ft3518f44.dat

2009-03-04 15:56 . 2009-03-04 15:56 1 ---h----- c:\windows\t55ft3223f44.dat

2009-02-28 22:10 . 2009-02-28 22:10 <KAT> d-------- c:\windows\system32\IOSUBSYS

2009-02-12 22:24 . 2009-02-12 23:02 <KAT> d-------- c:\temp\cicci

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-08 16:19 --------- d-----w c:\program\PC Protection Plus

2009-03-04 18:52 --------- d-----w c:\program\TuneUp Utilities 2009

2009-03-04 18:01 --------- d-----w c:\program\Microsoft Silverlight

2009-02-28 21:10 --------- d-----w c:\program\Google

2009-02-24 13:27 --------- d-----w c:\documents and settings\All Users\Application Data\pdf995

2009-02-21 16:16 --------- d-----w c:\program\Mediaplayer Home cinema

2009-02-09 15:54 --------- d-----w c:\documents and settings\Familj\Application Data\dvdcss

2009-01-30 19:21 10,240 ----a-w c:\windows\system32\msxml3a.dll

2009-01-22 21:32 33,408 ----a-w c:\windows\system32\drivers\fsbts.sys

2009-01-20 20:55 --------- d-----w c:\documents and settings\All Users\Application Data\Lavasoft

2009-01-20 20:54 64,160 ----a-w c:\windows\system32\drivers\Lbd.sys

2009-01-20 20:54 15,688 ----a-w c:\windows\system32\lsdelete.exe

2009-01-20 20:53 --------- dc-h--w c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}

2009-01-20 20:53 --------- d-----w c:\program\Lavasoft

2009-01-17 14:45 --------- d-----w c:\documents and settings\Familj\Application Data\Media Player Classic

2009-01-17 14:42 --------- d-----w c:\program\Haali

2009-01-17 14:40 --------- d-----w c:\program\CoreCodec

2009-01-17 14:06 --------- d-----w c:\documents and settings\All Users\Application Data\F-Secure

2009-01-17 14:03 --------- d-----w c:\documents and settings\All Users\Application Data\fssg

2009-01-16 20:31 3,594,752 ------w c:\windows\system32\dllcache\mshtml.dll

2009-01-07 12:00 410,984 ----a-w c:\windows\system32\deploytk.dll

2009-01-06 10:18 603,904 ----a-w c:\windows\system32\TUProgSt.exe

2009-01-06 10:17 360,192 ----a-w c:\windows\system32\TuneUpDefragService.exe

2009-01-05 22:33 3,751,995 ----a-w c:\windows\system32\GPhotos.scr

2008-12-19 09:10 13,824 ------w c:\windows\system32\dllcache\ieudinit.exe

2008-12-11 12:31 27,904 ----a-w c:\windows\system32\uxtuneup.dll

2008-12-11 10:57 333,952 ----a-w c:\windows\system32\dllcache\srv.sys

2007-03-11 23:50 34,424 -c--a-w c:\documents and settings\Familj\Application Data\GDIPFONTCACHEV1.DAT

2008-07-22 13:06 32,768 -csha-w c:\windows\system32\config\systemprofile\Lokala inställningar\Tidigare\History.IE5\MSHist012008072220080723\index.dat

.

 

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"Advanced SystemCare 3"="c:\program\IObit\Advanced SystemCare 3\AWC.exe" [2009-02-22 2272592]

"MSMSGS"="c:\program\Messenger\msmsgs.exe" [2008-04-14 1695232]

"WMPNSCFG"="c:\program\Windows Media Player\WMPNSCFG.exe" [2006-10-18 204288]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Apoint"="c:\program\Apoint\Apoint.exe" [2004-09-13 155648]

"IntelWireless"="c:\program\Intel\Wireless\Bin\ifrmewrk.exe" [2004-10-30 385024]

"Dell QuickSet"="c:\program\Dell\QuickSet\quickset.exe" [2005-02-07 606208]

"dla"="c:\windows\system32\dla\tfswctrl.exe" [2004-12-06 127035]

"F-Secure Manager"="c:\program\PC Protection Plus\Common\FSM32.EXE" [2008-12-04 182936]

"F-Secure TNB"="c:\program\PC Protection Plus\FSGUI\TNBUtil.exe" [2008-12-04 957024]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2007-01-13 131072]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2007-01-13 163840]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2007-01-13 135168]

"SunJavaUpdateSched"="c:\program\Java\jre6\bin\jusched.exe" [2009-01-07 136600]

"Ad-Watch"="c:\program\Lavasoft\Ad-Aware\AAWTray.exe" [2009-02-09 509784]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\IntelWireless]

2004-09-07 16:08 110592 c:\program\Intel\Wireless\Bin\LgNotify.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]

BootExecute REG_MULTI_SZ autocheck autochk *\0autocheck SsiEfr.e\0autocheck SsiEfr.e\0autocheck lsdelete\0autocheck lsdelete

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\group policy\state\S-1-5-21-2476157557-1442681802-2354977627-1006\Scripts\Logoff\0\0]

"Script"=c:\program\Automatic Windows Internet Washer\xp.cmd

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]

"Adobe Reader Speed Launcher"="c:\program\Adobe\Reader 9.0\Reader\Reader_sl.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program\\Messenger\\msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"1723:TCP"= 1723:TCP:@xpsp2res.dll,-22015

"1701:UDP"= 1701:UDP:@xpsp2res.dll,-22016

"500:UDP"= 500:UDP:@xpsp2res.dll,-22017

 

R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2008-07-22 79872]

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-01-20 64160]

S0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [2009-01-17 33408]

S1 F-Secure HIPS;F-Secure HIPS;c:\program\PC Protection Plus\HIPS\drivers\fshs.sys [2009-01-17 67808]

S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 950096]

S2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-01-06 603904]

S3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program\PC Protection Plus\Anti-Virus\minifilter\fsgk.sys [2008-07-22 84616]

S3 FSORSPClient;F-Secure ORSP Client;c:\program\PC Protection Plus\ORSP Client\fsorsp.exe [2009-01-17 55904]

S3 hitmanpro3;Hitman Pro 3 Support Driver;\??\c:\windows\system32\drivers\hitmanpro3.sys --> c:\windows\system32\drivers\hitmanpro3.sys [?]

S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);c:\windows\system32\drivers\sea1bus.sys [2007-12-20 61536]

S3 sea1mdfl;Sony Ericsson Device 0A1 USB WMC Modem Filter;c:\windows\system32\drivers\sea1mdfl.sys [2007-12-20 9360]

S3 sea1mdm;Sony Ericsson Device 0A1 USB WMC Modem Driver;c:\windows\system32\drivers\sea1mdm.sys [2007-12-20 97088]

S3 sea1mgmt;Sony Ericsson Device 0A1 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\sea1mgmt.sys [2007-12-20 88624]

S3 sea1nd5;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (NDIS);c:\windows\system32\drivers\sea1nd5.sys [2007-12-20 18704]

S3 sea1obex;Sony Ericsson Device 0A1 USB WMC OBEX Interface;c:\windows\system32\drivers\sea1obex.sys [2007-12-20 86432]

S3 sea1unic;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (WDM);c:\windows\system32\drivers\sea1unic.sys [2007-12-20 90800]

S4 F-Secure Filter;F-Secure File System Filter;c:\program\PC Protection Plus\Anti-Virus\win2k\fsfilter.sys [2008-07-22 39776]

S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\program\PC Protection Plus\Anti-Virus\win2k\fsrec.sys [2008-07-22 25184]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

UxTuneUp

.

Innehållet i mappen 'Schemalagda aktiviteter':

 

2009-03-08 c:\windows\Tasks\1-Click Maintenance.job

- c:\program\TuneUp Utilities 2009\OneClickStarter.exe [2008-12-11 21:36]

 

2009-02-09 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-02-09 21:56]

 

2009-03-08 c:\windows\Tasks\AWC AutoSweep.job

- c:\program\IObit\Advanced SystemCare 3\AutoSweep.exe [2009-02-24 15:35]

 

2009-03-08 c:\windows\Tasks\Clean System Memory.job

- c:\windows\system32\CleanMem.exe [2008-10-03 22:05]

.

.

------- Extra genomsökning -------

.

uStart Page = hxxp://www.google.se/

uInternet Connection Wizard,ShellNext = iexplore

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xportera till Microsoft Excel - c:\program\MICROS~3\Office10\EXCEL.EXE/3000

IE: Easy-WebPrint Add To Print List - c:\program\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

IE: Easy-WebPrint High Speed Print - c:\program\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

IE: Easy-WebPrint Preview - c:\program\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

IE: Easy-WebPrint Print - c:\program\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

LSP: c:\program\PC Protection Plus\FSPS\program\FSLSP.DLL

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Familj\Application Data\Mozilla\Firefox\Profiles\fx62wftv.defaultFF - prefs.js: browser.startup.homepage - hxxp://www.google.se/

FF - plugin: c:\program\Google\Picasa3\npPicasa2.dll

FF - plugin: c:\program\Google\Picasa3\npPicasa3.dll

FF - plugin: c:\program\Viewpoint\Viewpoint Media Player\npViewpoint.dll

 

---- FIREFOX POLICY ----

c:\program\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-08 19:59:15

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

 

- - - - - - - > 'winlogon.exe'(252)

c:\program\Intel\Wireless\Bin\LgNotify.dll

.

Sluttid: 2009-03-08 20:01:59

ComboFix-quarantined-files.txt 2009-03-08 19:01:58

 

Före genomsökningen: 11 952 451 584 byte ledigt

Efter genomsökningen: 11,950,088,192 byte ledigt

 

170 --- E O F --- 2009-03-04 18:04:12

[/log]

 

Link to comment
Share on other sites

ComboFix ställer in sådant som många skadliga program ändrar till standardvärden och det är bland annat att Internet Explorer ska vara standardwebbläsare.

 

Surfa till http://www.virustotal.com (fungerar bäst med Internet Explorer) klistra in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här. Upprepa med nästa filnamn.

c:\windows\ieResetIcons.exe

c:\windows\system32\drivers\fsbts.sys

c:\windows\system32\CleanMem.exe

 

Vad finns i den här mappen?

c:\temp\cicci

 

 

Link to comment
Share on other sites

Bra såhär:

[log]

Fil ieResetIcons.exe mottagen 2009.03.08 21:41:31 (CET)

Närvarande status: Laddar ... köad väntar söker genomförd EJ FUNNEN STOPPAD

Resultat: 0/39 (0%)

Laddar server information...

Din fil är köad i position: ___.

Uppskattat starttid är mellan ___ och ___ .

Stäng inte ner detta fönster förens sökningen är genomförd.

Scannern som arbetade med din fil har stoppat, vi kommer att vänta ett par sekunder för att försöka återställa ditt resultat.

Om du väntar i mer än 5 minuter måste du skicka in din fil igen.

Din fil blir genomsökt av VirusTotal för tillfället,

resultat kommer att visas när de är klara.

Compact Compact

Skriv ut resultat Skriv ut resultat

Din fil har upphört eller existerar inte.

Tjänsten är stoppad för tillfället, din fil väntar på att bli genomsökt (position: ) för en obestämd tid.

 

Du kan vänta på ett svar (automatisk uppdatering) eller ange din email i formuläret nedan och klicka "begär" så kommer systemet att skicka dig ett email när sökningen är genomförd.

Email:

 

Antivirus Version Senaste Uppdatering Resultat

a-squared 4.0.0.101 2009.03.08 -

AhnLab-V3 5.0.0.2 2009.02.27 -

AntiVir 7.9.0.105 2009.03.07 -

Authentium 5.1.0.4 2009.03.08 -

Avast 4.8.1335.0 2009.03.08 -

AVG 8.0.0.237 2009.03.08 -

BitDefender 7.2 2009.03.08 -

CAT-QuickHeal 10.00 2009.03.07 -

ClamAV 0.94.1 2009.03.06 -

Comodo 1037 2009.03.08 -

DrWeb 4.44.0.09170 2009.03.08 -

eSafe 7.0.17.0 2009.03.08 -

eTrust-Vet 31.6.6386 2009.03.06 -

F-Prot 4.4.4.56 2009.03.08 -

F-Secure 8.0.14470.0 2009.03.08 -

Fortinet 3.117.0.0 2009.03.08 -

GData 19 2009.03.08 -

Ikarus T3.1.1.45.0 2009.03.08 -

K7AntiVirus 7.10.663 2009.03.07 -

Kaspersky 7.0.0.125 2009.03.08 -

McAfee 5547 2009.03.08 -

McAfee+Artemis 5547 2009.03.08 -

Microsoft 1.4405 2009.03.08 -

NOD32 3917 2009.03.07 -

Norman 6.00.06 2009.03.06 -

nProtect 2009.1.8.0 2009.03.08 -

Panda 10.0.0.10 2009.03.08 -

PCTools 4.4.2.0 2009.03.08 -

Prevx1 V2 2009.03.08 -

Rising 21.19.42.00 2009.03.06 -

SecureWeb-Gateway 6.7.6 2009.03.08 -

Sophos 4.39.0 2009.03.08 -

Sunbelt 3.2.1858.2 2009.03.08 -

Symantec 1.4.4.12 2009.03.08 -

TheHacker 6.3.2.7.275 2009.03.07 -

TrendMicro 8.700.0.1004 2009.03.06 -

VBA32 3.12.10.1 2009.03.08 -

ViRobot 2009.3.7.1639 2009.03.07 -

VirusBuster 4.5.11.0 2009.03.08 -[/log]

 

Nästa

[log]

Fil fsbts.sys mottagen 2009.02.14 09:18:27 (CET)

Närvarande status: genomförd

Resultat: 0/39 (0.00%)

Compact Compact

Skriv ut resultat Skriv ut resultat

Antivirus Version Senaste Uppdatering Resultat

a-squared 4.0.0.93 2009.02.14 -

AhnLab-V3 5.0.0.2 2009.02.13 -

AntiVir 7.9.0.79 2009.02.13 -

Authentium 5.1.0.4 2009.02.14 -

Avast 4.8.1335.0 2009.02.14 -

AVG 8.0.0.237 2009.02.14 -

BitDefender 7.2 2009.02.14 -

CAT-QuickHeal 10.00 2009.02.13 -

ClamAV 0.94.1 2009.02.14 -

Comodo 976 2009.02.13 -

DrWeb 4.44.0.09170 2009.02.14 -

eSafe 7.0.17.0 2009.02.12 -

eTrust-Vet 31.6.6357 2009.02.14 -

F-Prot 4.4.4.56 2009.02.13 -

F-Secure 8.0.14470.0 2009.02.14 -

Fortinet 3.117.0.0 2009.02.14 -

GData 19 2009.02.14 -

Ikarus T3.1.1.45.0 2009.02.14 -

K7AntiVirus 7.10.629 2009.02.13 -

Kaspersky 7.0.0.125 2009.02.14 -

McAfee 5525 2009.02.13 -

McAfee+Artemis 5525 2009.02.14 -

Microsoft 1.4306 2009.02.14 -

NOD32 3852 2009.02.13 -

Norman 6.00.02 2009.02.13 -

nProtect 2009.1.8.0 2009.02.14 -

Panda 10.0.0.10 2009.02.13 -

PCTools 4.4.2.0 2009.02.13 -

Prevx1 V2 2009.02.14 -

Rising 21.16.51.00 2009.02.14 -

SecureWeb-Gateway 6.7.6 2009.02.14 -

Sophos 4.38.0 2009.02.14 -

Sunbelt 3.2.1851.2 2009.02.12 -

Symantec 10 2009.02.14 -

TheHacker 6.3.2.1.256 2009.02.14 -

TrendMicro 8.700.0.1004 2009.02.13 -

VBA32 3.12.8.12 2009.02.14 -

ViRobot 2009.2.14.1606 2009.02.14 -

VirusBuster 4.5.11.0 2009.02.13 -[/log]

 

Nästa

 

[log]

Fil CleanMem.exe mottagen 2009.03.08 12:28:07 (CET)

Närvarande status: genomförd

Resultat: 0/39 (0.00%)

Compact Compact

Skriv ut resultat Skriv ut resultat

Antivirus Version Senaste Uppdatering Resultat

a-squared 4.0.0.101 2009.03.08 -

AhnLab-V3 5.0.0.2 2009.02.27 -

AntiVir 7.9.0.105 2009.03.07 -

Authentium 5.1.0.4 2009.03.07 -

Avast 4.8.1335.0 2009.03.08 -

AVG 8.0.0.237 2009.03.07 -

BitDefender 7.2 2009.03.08 -

CAT-QuickHeal 10.00 2009.03.07 -

ClamAV 0.94.1 2009.03.06 -

Comodo 1037 2009.03.08 -

DrWeb 4.44.0.09170 2009.03.08 -

eSafe 7.0.17.0 2009.03.05 -

eTrust-Vet 31.6.6386 2009.03.06 -

F-Prot 4.4.4.56 2009.03.07 -

F-Secure 8.0.14470.0 2009.03.08 -

Fortinet 3.117.0.0 2009.03.08 -

GData 19 2009.03.08 -

Ikarus T3.1.1.45.0 2009.03.08 -

K7AntiVirus 7.10.663 2009.03.07 -

Kaspersky 7.0.0.125 2009.03.08 -

McAfee 5546 2009.03.07 -

McAfee+Artemis 5546 2009.03.07 -

Microsoft 1.4405 2009.03.08 -

NOD32 3917 2009.03.07 -

Norman 6.00.06 2009.03.06 -

nProtect 2009.1.8.0 2009.03.08 -

Panda 10.0.0.10 2009.03.07 -

PCTools 4.4.2.0 2009.03.07 -

Prevx1 V2 2009.03.08 -

Rising 21.19.42.00 2009.03.06 -

SecureWeb-Gateway 6.7.6 2009.03.07 -

Sophos 4.39.0 2009.03.08 -

Sunbelt 3.2.1858.2 2009.03.08 -

Symantec 1.4.4.12 2009.03.08 -

TheHacker 6.3.2.7.275 2009.03.07 -

TrendMicro 8.700.0.1004 2009.03.06 -

VBA32 3.12.10.1 2009.03.08 -

ViRobot 2009.3.7.1639 2009.03.07 -

VirusBuster 4.5.11.0 2009.03.07 -[/log]

 

Vad jag kan se är det inga problem. Fil 2 o 3 fick jag svaret att filen redan är analyserad men jag tog upp resultatet ändå. I mappen cicci finns min dotter Cecilias telefonbilder tillfälligt innan hon överför dem till sin egen dator via nätverket. Det är bara tempmappen som är utdelad.

 

Link to comment
Share on other sites

Inget konstigt med de filerna så då såg jag inget konstigt i ComboFix-loggen och inte den typen av skadligt program som jag skrev om i mitt första inlägg i den här tråden.

 

Kan du få fram någon logg från Prevx så att jag kan se vad som fanns i datorn förut?

 

Link to comment
Share on other sites

Ja faktiskt, jag hittade loggen gömd i systemet.

[log]

[4/3/2009 17:03] The file [c:\windows\pp1.exe] contains a threat of type [Medium Risk Malware] - Identity: 467A815700F2C28F2E0A00AD794E9D00AC98F0AE

[4/3/2009 17:03] The file [\REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Run\not active] contains a threat of type [infected Entry: [pp]] - Identity: 467A815700F2C28F2E0A00AD794E9D00AC98F0AE

[4/3/2009 17:03] The file [\REGISTRY\Machine\Software\Microsoft\Windows\CurrentVersion\Run\not active] contains a threat of type [infected Entry: [pp]] - Identity: 467A815700F2C28F2E0A00AD794E9D00AC98F0AE

[4/3/2009 17:04] The file [c:\windows\system32\nfr.dll] contains a threat of type [High Risk Fraudulent Security Program] - Identity: CBA5E607001E1EBB2C9700C6DC3253003C699F75

[4/3/2009 17:04] The file [\REGISTRY\User\S-1-5-21-2476157557-1442681802-2354977627-1006\Software\Microsoft\Windows\CurrentVersion\Run\not active] contains a threat of type [infected Entry: [nfr]] - Identity: CBA5E607001E1EBB2C9700C6DC3253003C699F75

[/log]

Dessa kommer jag ihåg. Både filerna och registervärdena.

Filerna tog jag bort manuellt och sedan körde jag iobit systemcare. Då försvann även entrys.

 

 

Link to comment
Share on other sites

Det var ju inte precis en logg som sa så mycket förstås. Ladda ner Malwarebytes Anti-Malware (MBAM) från en av dessa länkar:

http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

http://projects.securitywonks.net/projects/details.php?file=158

Dubbelklicka på mbam-setup för att installera programmet.

 

[log]Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj "Utför snabb skanning" och tryck på Skanna.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan "Visa resultat".

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.

Kopiera loggen och klistra in den i ditt svar.

 

Skanna datorn online på

http://www.kaspersky.com/virusscanner

Spara loggen och klistra in i ditt svar.[/log]

 

Link to comment
Share on other sites

Snabb respons:

[log]

Malwarebytes' Anti-Malware 1.34

Databasversion: 1827

Windows 5.1.2600 Service Pack 3

 

2009-03-08 22:44:58

mbam-log-2009-03-08 (22-44-58).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 64957

Förfluten tid: 5 minute(s), 12 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)[/log]

 

Kasperskysökningen gick inte, den klagade på att jag hade f-secure igång, har prövat att slå av den och försöker igen. Tar lite tid update är 50Mb.

 

Klart, den gav inget heller men den slocknade så jag kunde inte kopiera någon logg. Den startade om från början efter 90%.

 

Har däremot kört en runda med f-secure och den gav inget heller.

 

Förmodar att du sökt på filerna som prevx hittade annars har du dem här:

http://www.prevx.com/filenames/2546110239154621693-X1/PP12EEXE.html

http://www.prevx.com/filenames/X426585141841074729-X1/NFR2EDLL.html

 

 

[inlägget ändrat 2009-03-09 00:01:47 av lensjo]

[inlägget ändrat 2009-03-09 00:06:19 av lensjo]

Link to comment
Share on other sites

Jo, men de sidorna gav inte så mycket om man vill veta varför IE inte fungerar längre.

 

Du kan ta bort filerna

2009-03-04 16:27 . 2009-03-04 16:27 1 --a------ c:\windows\9gdfgjf23

2009-03-04 15:56 . 2009-03-04 15:56 1 ---h----- c:\windows\t55ft3518f44.dat

2009-03-04 15:56 . 2009-03-04 15:56 1 ---h----- c:\windows\t55ft3223f44.dat

de hör ihop med de skadliga filerna men de är bara en byte stora så de kan inte göra någon skada.

 

Ladda ner Gmer till Skrivbordet från en av dessa sidor:

http://www.gmer.net/files.php välj Gmer application

http://www.majorgeeks.com/GMER_d5198.html

Packa upp filen till Skrivbordet.

Stäng alla program.

Starta programmet gmer.exe.

Välj fliken rootkit, kontrollera att allt är förbockat till höger utom Show All. Tryck på Scan. Låt datorn stå ifred medan Gmer håller på.

Tryck på Copy och klistra sedan in resultatet i ditt svar.

 

Link to comment
Share on other sites

Är du igång dygnet runt:)

Här är gmers logg

[log]

GMER 1.0.15.14878 - http://www.gmer.net

Rootkit scan 2009-03-09 10:40:21

Windows 5.1.2600 Service Pack 3

 

 

---- System - GMER 1.0.15 ----

 

SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwCreateKey [0xF75D787E]

SSDT \??\C:\Program\PC Protection Plus\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwCreateProcess [0xAA5CEC44]

SSDT \??\C:\Program\PC Protection Plus\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwCreateProcessEx [0xAA5CEC5E]

SSDT \??\C:\Program\PC Protection Plus\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwCreateThread [0xAA5CDE02]

SSDT \??\C:\Program\PC Protection Plus\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwLoadDriver [0xAA5CE12A]

SSDT \??\C:\Program\PC Protection Plus\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwMapViewOfSection [0xAA5CDB4E]

SSDT \??\C:\Program\PC Protection Plus\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwOpenSection [0xAA5CE55C]

SSDT \??\C:\Program\PC Protection Plus\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwRenameKey [0xAA5CF7FA]

SSDT \??\C:\Program\PC Protection Plus\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwSetSystemInformation [0xAA5CE3AC]

SSDT Lbd.sys (Boot Driver/Lavasoft AB) ZwSetValueKey [0xF75D7C10]

SSDT \??\C:\Program\PC Protection Plus\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwSuspendProcess [0xAA5CD9D4]

SSDT \??\C:\Program\PC Protection Plus\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwSuspendThread [0xAA5CDE36]

SSDT \??\C:\Program\PC Protection Plus\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwSystemDebugControl [0xAA5CDFB0]

SSDT \??\C:\Program\PC Protection Plus\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwTerminateProcess [0xAA5CD934]

SSDT \??\C:\Program\PC Protection Plus\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwTerminateThread [0xAA5CDA8A]

SSDT \??\C:\Program\PC Protection Plus\HIPS\drivers\fshs.sys (F-Secure HIPS 32-bit Driver/F-Secure Corporation) ZwWriteVirtualMemory [0xAA5CDEFA]

 

Code fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation) IoCreateDevice

 

---- Kernel code sections - GMER 1.0.15 ----

 

.text ntkrnlpa.exe!ZwCallbackReturn + 2420 80501C58 2 Bytes [44, EC] {INC ESP; IN AL, DX }

.text ntkrnlpa.exe!ZwCallbackReturn + 2438 80501C70 2 Bytes [02, DE] {ADD BL, DH}

.text ntkrnlpa.exe!ZwCallbackReturn + 2758 80501F90 2 Bytes [D4, D9] {AAM 0xd9}

.text ntkrnlpa.exe!ZwCallbackReturn + 275F 80501F97 5 Bytes [AA, B0, DF, 5C, AA] {STOSB ; MOV AL, 0xdf; POP ESP; STOSB }

.text ntkrnlpa.exe!ZwCallbackReturn + 2768 80501FA0 2 Bytes [34, D9] {XOR AL, 0xd9}

PAGENPNP NDIS.SYS!NdisOpenAdapter F72D0399 5 Bytes JMP F7300360 fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)

PAGENPNP NDIS.SYS!NdisDeregisterProtocol F72DA821 5 Bytes JMP F730017C fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)

PAGENDSP NDIS.SYS!NdisReturnPackets F72DD810 5 Bytes JMP F7300BD8 fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)

PAGENDSP NDIS.SYS!NdisRequest F72DD97B 5 Bytes JMP F7300578 fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)

PAGENDSP NDIS.SYS!NdisSend F72E0986 5 Bytes JMP F7301558 fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)

PAGENDSP NDIS.SYS!NdisSendPackets F72E09A3 5 Bytes JMP F730162A fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)

PAGENDSP NDIS.SYS!NdisTransferData F72E09BE 5 Bytes JMP F7300CD6 fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)

PAGENDCO NDIS.SYS!NdisCoSendPackets F72E8AF1 5 Bytes JMP F7301342 fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)

? System32\Drivers\hiber_WMILIB.SYS Det går inte att hitta sökvägen. !

 

---- Devices - GMER 1.0.15 ----

 

Device \Driver\Tcpip \Device\Ip fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)

 

AttachedDevice \Driver\Tcpip \Device\Ip SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice \Driver\Tcpip \Device\Ip Lbd.sys (Boot Driver/Lavasoft AB)

 

Device \Driver\Tcpip \Device\Tcp fsdfw.sys (F-Secure Internet Shield Driver/F-Secure Corporation)

 

AttachedDevice \Driver\Tcpip \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

AttachedDevice \Driver\Tcpip \Device\Tcp Lbd.sys (Boot Driver/Lavasoft AB)

AttachedDevice \FileSystem\Fastfat \Fat fltmgr.sys (Microsoft Filesystem Filter Manager/Microsoft Corporation)

 

Device \FileSystem\Fs_Rec \FileSystem\UdfsCdRomRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)

Device \FileSystem\Fs_Rec \FileSystem\FatCdRomRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)

Device \FileSystem\Fs_Rec \FileSystem\CdfsRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)

Device \FileSystem\Fs_Rec \FileSystem\FatDiskRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)

Device \FileSystem\Fs_Rec \FileSystem\UdfsDiskRecognizer tfsnifs.sys (Drive Letter Access Component/Sonic Solutions)

 

---- EOF - GMER 1.0.15 ----

[/log]

 

Link to comment
Share on other sites

:) Visst, varför lämna något som är roligt!

 

Har du något program från Symantec i datorn? Eller har haft?

 

Link to comment
Share on other sites

Förstår på dina snabba svar att du ser det som en utmaning, att det snart börjar bli personligt, att du ska lösa det.

 

NIS (Norton Internet Security) följde med datorn när jag köpte den. Jag uppgraderade den några gånger tills jag gick över till PC För Allas F-secure Protection Plus. Trodde jag avinstallerat allt med verktyget som Symantec erhöll.

 

Link to comment
Share on other sites

Körde du Norton Removal Tool?

http://service1.symantec.com/Support/tsgeninfo.nsf/docid/2005033108162039

 

Det finns en drivrutin kvar från Symantec. Starta Enhetshanteraren på det här viset:

 

Start - Program - Tillbehör - Kommandotolken

Skriv:

set DEVMGR_SHOW_DETAILS=1

set DEVMGR_SHOW_NONPRESENT_DEVICES=1

start devmgmt.msc

 

och välj att visa Dolda enheter i Visa-menyn. Leta efter SYMTDI och Network Dispatch Driver.

Högerklicka på den och välj Inaktivera

Starta om datorn.

 

Gör samma sak igen men denna gång välj att ta bort i stället för att inaktivera.

 

Link to comment
Share on other sites

Det fanns en hel massa symantec,osv

Symantec Eraser Control driver, SYMDNS, SymEvent, SYMFW, SYMIDS, SYMIDSCO, SYMNDIS, SYMREDRV, SYMTDI. Den sista inaktiverade jag Network Dispatch Driver hittade jag inte.

 

Nej jag använde inte verktyget, har gjort det en gång tidigare och det ställde till med en massa oreda som tog lång tid att reda ut, istället följde jag anvisningar: Avvinstallation via kontrollpanelen, ta bort mappar NIS - Symantec - SymantecShared vidare ta bort myprofile.userprofile vidare ta bort regnycklar för symantec i "current user" och "local machines" väldigt kortfattat som du förstår. Efter detta kunde nya versioner av NIS installeras utan konflikter och även f-secure utan protest.

 

Nu omstart, jag tar inte bort SYMTDI förrän du säger att det är okej, (nu är jag ute på djupt vatten för mina kunskaper) eftersom jag inte hittade network osv

 

Link to comment
Share on other sites

Oj, så många drivrutiner kvar som har med Norton att göra. Så vitt jag vet så kan du inaktivera allihop och ta bort efter en omstart. För säkerhets skull så skapa en systemåterställningspunkt som du kan backa till om det skulle bli något konstigt.

 

Systemåterställningspunkt: Start - Program - Tillbehör - Systemverktyg

 

Link to comment
Share on other sites

SYMTDI och Network Dispatch Driver är två namn på samma sak, jag visste inte vilket som skulle synas i Enhetshanteraren.

 

Starta Loggboken (Kontrollpanelen - Administrationsverktyg).

Försök sedan starta Internet-alternativ i Kontrollpanelen. Kommer det då till någon rad i någon av de olika loggböckerna (Program, System etc)?

I så fall dubbelklicka på raden och tryck på ikonen med två pappersark som betyder kopiera samt klistra in det i ditt svar.

 

Link to comment
Share on other sites

Tyvärr, det kommer inte till något i någon kolumn. I loggen för internet explorer finns inget överhuvudtaget.

När jag klickar på internetalternativ i kontrollpanelen blinkar något till på skrivbordet precis som om den vill starta men stängs omedelbart

 

Link to comment
Share on other sites

Ta fram Kommandotolken (Start - Program - Tillbehör) och skriv:

inetcpl.cpl

Något meddelande?

 

Gå med Utforskaren eller Den här datorn till mappen C:\Windows\system32 och högerklicka på inetcpl.cpl och välj Egenskaper. Vad står det för storlek och vilka datum är filen skapad och ändrad?

Vad finns det för flikar i Egenskaperna?

 

Link to comment
Share on other sites

Inget meddelande via kommandotolken

 

Egenskaper för inetcpl.cpl: 3 flikar Allmänt, Version, Sammanfattning.

Storlek 1.74Mb (1 831 424 byte)

Skapad: 16 sep 2004

Ändrad: 21 dec 2008

Använd: 11 feb 2009

 

Filversion:7.0.6000.16791 där stod ngt konstigt, (vista_gdr.081217-1620) jag har XP SP3.

 

Om du tänker på om ändringen var i samband med smittan så hände det den 4 mars på eftermiddagen.

 

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...