Trög dator. Troligen virus

March 9, 2009

Det verkar som andra personer använder min dator. Försöker stänga av misstänkta personer i Currports efter att ha kollat deras ipnr i IPadress locator men de återkommer. Kan ha fått msnviruset då konstiga länkar uppenbarat sig där. Har stängt av messenger. Ibland är datorn jättetrög. Ibland visar sig 2 ieexplorer i aktivitetshanteraren. Använder Norton 360, SUPERANTIspyware 4.25.1014, och Ad-aware och Advance system care.

Enligt Secunia har jag 3 osäkra program + 1 end of life som jag försökt åtgärda med inte lyckats:

[log]Microsoft Office PowerPoint Viewer 2003 11.0.5703.0

Installation Path

c:\Program Files\Microsoft Office\PowerPoint Viewer\PPTVIEW.EXE

Installation Path

d:\I386\APPS\APP01470\src\MSWORKS\PFiles\Office\PPV\PPTVIEW.EXE

Symantec Norton AntiVirus 2006

Installation Path

d:\I386\APPS\APP06762\src\NAV\External\NORTON\APP\navapsvc.exe

Macromedia Flash Player 7.x (ActiveX Control)

c:\WINDOWS\system32\FLASH.OCX[/log]

Enligt Currports som visar öppna portar kan man nu se 5 misstänkta användare på IEXPLORE.EXE

[log] alg.exe 2380 TCP 1029 127.0.0.1 0.0.0.0 Listening C:\WINDOWS\System32\alg.exe Microsoft® Windows® Operating System Application Layer Gateway Service 5.1.2600.5512 (xpsp.080413-0852) Microsoft Corporation 2009-03-09 16:15:37 ALG A 2009-03-09 18:40:58 C:\WINDOWS\System32\alg.exe

AppleMobileDeviceService.exe 1520 TCP 27015 127.0.0.1 0.0.0.0 Listening C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe Apple Mobile Device Service Apple Mobile Device Service 2.12.33.0 Apple Inc. 2009-03-09 16:14:59 NT INSTANS\SYSTEM Apple Mobile Device A 2009-03-09 18:40:58 C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

AWC.exe 400 UDP 1040 127.0.0.1 C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe Advanced SystemCare 3 Advanced SystemCare 3 3.2.0.633 IObit 2009-03-09 16:15:59 BERITSDATOR\HP_Administrator A 2009-03-09 18:40:58 C:\WINDOWS\system32\wininet.dll

ccSvcHst.exe 3976 TCP 1039 127.0.0.1 0.0.0.0 Listening C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe Symantec Security Technologies Symantec Service Framework 107.0.6.4 Symantec Corporation 2009-03-09 16:15:56 A 2009-03-09 18:40:58 C:\PROGRA~1\COMMON~1\SYMANT~1\CCEMLPXY.DLL

IEXPLORE.EXE 2104 TCP 2613 217.72.54.61 80 http 207.211.21.22 Established C:\Program Files\Internet Explorer\IEXPLORE.EXE Windows® Internet Explorer Internet Explorer 7.00.6000.16791 (vista_gdr.081217-1620) Microsoft Corporation 2009-03-09 16:46:35 BERITSDATOR\HP_Administrator A 2009-03-09 18:40:58 C:\WINDOWS\system32\WININET.dll TrendSecure | HijackThis Data Display - Windows Internet Explorer

IEXPLORE.EXE 2104 TCP 2609 217.72.54.61 80 http 207.211.21.22 Established C:\Program Files\Internet Explorer\IEXPLORE.EXE Windows® Internet Explorer Internet Explorer 7.00.6000.16791 (vista_gdr.081217-1620) Microsoft Corporation 2009-03-09 16:46:35 BERITSDATOR\HP_Administrator A 2009-03-09 18:40:58 C:\WINDOWS\system32\WININET.dll TrendSecure | HijackThis Data Display - Windows Internet Explorer

IEXPLORE.EXE 2104 TCP 2600 217.72.54.61 80 http 74.125.43.154 bw-in-f154.google.com Close Wait C:\Program Files\Internet Explorer\IEXPLORE.EXE Windows® Internet Explorer Internet Explorer 7.00.6000.16791 (vista_gdr.081217-1620) Microsoft Corporation 2009-03-09 16:46:35 BERITSDATOR\HP_Administrator A 2009-03-09 18:40:58 C:\WINDOWS\system32\WININET.dll TrendSecure | HijackThis Data Display - Windows Internet Explorer

IEXPLORE.EXE 2104 TCP 2606 217.72.54.61 80 http 82.96.58.48 a82-96-58-48.deploy.akamaitechnologies.com Established C:\Program Files\Internet Explorer\IEXPLORE.EXE Windows® Internet Explorer Internet Explorer 7.00.6000.16791 (vista_gdr.081217-1620) Microsoft Corporation 2009-03-09 16:46:35 BERITSDATOR\HP_Administrator A 2009-03-09 18:40:58 C:\WINDOWS\system32\WININET.dll TrendSecure | HijackThis Data Display - Windows Internet Explorer

IEXPLORE.EXE 2104 TCP 2611 217.72.54.61 80 http 216.239.59.127 gv-in-f127.google.com Established C:\Program Files\Internet Explorer\IEXPLORE.EXE Windows® Internet Explorer Internet Explorer 7.00.6000.16791 (vista_gdr.081217-1620) Microsoft Corporation 2009-03-09 16:46:35 BERITSDATOR\HP_Administrator A 2009-03-09 18:40:58 C:\WINDOWS\system32\WININET.dll TrendSecure | HijackThis Data Display - Windows Internet Explorer

IEXPLORE.EXE 2104 UDP 1174 127.0.0.1 C:\Program Files\Internet Explorer\IEXPLORE.EXE Windows® Internet Explorer Internet Explorer 7.00.6000.16791 (vista_gdr.081217-1620) Microsoft Corporation 2009-03-09 16:46:35 BERITSDATOR\HP_Administrator A 2009-03-09 18:40:58 C:\WINDOWS\system32\WININET.dll TrendSecure | HijackThis Data Display - Windows Internet Explorer

lsass.exe 1080 UDP 500 isakmp 0.0.0.0 C:\WINDOWS\system32\lsass.exe Microsoft® Windows® Operating System LSA Shell (Export Version) 5.1.2600.5512 (xpsp.080413-2113) Microsoft Corporation 2009-03-09 16:14:33 NT INSTANS\SYSTEM PolicyAgent, ProtectedStorage, SamSs A 2009-03-09 18:40:58 C:\WINDOWS\system32\oakley.DLL

lsass.exe 1080 UDP 4500 0.0.0.0 C:\WINDOWS\system32\lsass.exe Microsoft® Windows® Operating System LSA Shell (Export Version) 5.1.2600.5512 (xpsp.080413-2113) Microsoft Corporation 2009-03-09 16:14:33 NT INSTANS\SYSTEM PolicyAgent, ProtectedStorage, SamSs A 2009-03-09 18:40:58 C:\WINDOWS\system32\oakley.DLL

mcrdsvc.exe 2620 UDP 3776 0.0.0.0 C:\WINDOWS\ehome\mcrdsvc.exe Microsoft® Windows® Operating System MCRD Device Service 4.1.2710.2732 (xpsp(wmbla).050805-1239) Microsoft Corporation 2009-03-09 16:15:07 McrdSvc A 2009-03-09 18:40:58 C:\WINDOWS\ehome\mcrdsvc.exe

mDNSResponder.exe 1732 TCP 5354 127.0.0.1 0.0.0.0 Listening C:\Program Files\Bonjour\mDNSResponder.exe Bonjour Bonjour Service 1,0,6,2 Apple Inc. 2009-03-09 16:15:00 NT INSTANS\SYSTEM Bonjour Service A 2009-03-09 18:40:58

mDNSResponder.exe 1732 UDP 51525 0.0.0.0 C:\Program Files\Bonjour\mDNSResponder.exe Bonjour Bonjour Service 1,0,6,2 Apple Inc. 2009-03-09 16:15:00 NT INSTANS\SYSTEM Bonjour Service A 2009-03-09 18:40:58

mDNSResponder.exe 1732 UDP 5353 217.72.54.61 C:\Program Files\Bonjour\mDNSResponder.exe Bonjour Bonjour Service 1,0,6,2 Apple Inc. 2009-03-09 16:15:00 NT INSTANS\SYSTEM Bonjour Service A 2009-03-09 18:40:58

mDNSResponder.exe 1732 UDP 1025 0.0.0.0 C:\Program Files\Bonjour\mDNSResponder.exe Bonjour Bonjour Service 1,0,6,2 Apple Inc. 2009-03-09 16:15:00 NT INSTANS\SYSTEM Bonjour Service A 2009-03-09 18:40:58

svchost.exe 1312 TCP 135 epmap 0.0.0.0 0.0.0.0 Listening C:\WINDOWS\system32\svchost.exe Microsoft® Windows® Operating System Generic Host Process for Win32 Services 5.1.2600.5512 (xpsp.080413-2111) Microsoft Corporation 2009-03-09 16:14:38 RpcSs A 2009-03-09 18:40:58 C:\WINDOWS\system32\RPCRT4.dll

svchost.exe 1436 UDP 123 ntp 217.72.54.61 C:\WINDOWS\system32\svchost.exe Microsoft® Windows® Operating System Generic Host Process for Win32 Services 5.1.2600.5512 (xpsp.080413-2111) Microsoft Corporation 2009-03-09 16:14:38 NT INSTANS\SYSTEM AudioSrv, BITS, Browser, CryptSvc, Dhcp, dmserver, EventSystem, FastUserSwitchingCompatibility, helpsvc, lanmanserver, lanmanworkstation, Netman, Nla, RasMan, Schedule A 2009-03-09 18:40:58 c:\windows\system32\w32time.dll

svchost.exe 1436 UDP 123 ntp 127.0.0.1 C:\WINDOWS\system32\svchost.exe Microsoft® Windows® Operating System Generic Host Process for Win32 Services 5.1.2600.5512 (xpsp.080413-2111) Microsoft Corporation 2009-03-09 16:14:38 NT INSTANS\SYSTEM AudioSrv, BITS, Browser, CryptSvc, Dhcp, dmserver, EventSystem, FastUserSwitchingCompatibility, helpsvc, lanmanserver, lanmanworkstation, Netman, Nla, RasMan, Schedule A 2009-03-09 18:40:58 c:\windows\system32\w32time.dll

svchost.exe 2468 UDP 1900 217.72.54.61 C:\WINDOWS\system32\svchost.exe Microsoft® Windows® Operating System Generic Host Process for Win32 Services 5.1.2600.5512 (xpsp.080413-2111) Microsoft Corporation 2009-03-09 16:15:06 SSDPSRV A 2009-03-09 18:40:58 c:\windows\system32\ssdpsrv.dll

svchost.exe 2468 UDP 1900 127.0.0.1 C:\WINDOWS\system32\svchost.exe Microsoft® Windows® Operating System Generic Host Process for Win32 Services 5.1.2600.5512 (xpsp.080413-2111) Microsoft Corporation 2009-03-09 16:15:06 SSDPSRV A 2009-03-09 18:40:58 c:\windows\system32\ssdpsrv.dll

System 4 TCP 445 microsoft-ds 0.0.0.0 0.0.0.0 Listening N/A 2009-03-09 18:40:58

System 4 TCP 139 netbios-ssn 217.72.54.61 0.0.0.0 Listening N/A 2009-03-09 18:40:58

System 4 UDP 137 netbios-ns 217.72.54.61 N/A 2009-03-09 18:40:58

System 4 UDP 138 netbios-dgm 217.72.54.61 N/A 2009-03-09 18:40:58

System 4 UDP 445 microsoft-ds 0.0.0.0 N/A 2009-03-09 18:40:58 [/log]

Gick in på hijackthis och gjorde en sökning tyvärr efter jag stängt de misstänkta portarna. Nu är de där igen. Se ovan. Tyvärr kan jag inte tolka vad som visas. Vore mycket tacksam för hjälp.

Berit Zethraeus

[inlägget ändrat 2009-03-10 12:01:06 av Anders N]

March 9, 2009

Kan ha fått msnviruset då konstiga länkar uppenbarat sig där.

Låter ju mer som att andra har haft infekterade datorer.

Den där listan med öppna portar du har klistrat in är ju grötig att försöka läsa, men jag ser inget konstigt där.

D:\I386 ska man inte röra, det är sådant som kom med datorn från början och finns kvar som en säkerhetskopia.

Flash Player går väl bra att avinstallera på vanligt sätt i Kontrollpanelen - Lägg till eller ta bort program.

March 10, 2009

Tack för att du försökte hjälpa mig. Var inne på hijackthis. Hur kan jag skicka genomgången till er som en fil. Lägger jag den i klartext?

Hälsningar

Berit

March 10, 2009

Du ska använda LOG-knappen när du klistrar in loggen från HijackThis på det här sättet:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen nappen i Besvara-fönstret

March 11, 2009

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 12:54:02, on 2009-03-11

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\arservice.exe

C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Windows Live\Family Safety\fsssvc.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Program Files\McAfee\SiteAdvisor\McSACore.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe

C:\Program Files\Windows Live\Family Safety\fsui.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe

C:\Program Files\Personal\bin\Personal.exe

C:\Program Files\Secunia\PSI\psi.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Windows Live\Toolbar\wltuser.exe

C:\Program Files\Windows Live\Mail\wlmail.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.ie7pro.com/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://search.yahoo.com/search?fr=mcafee&p=%s

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O2 - BHO: IE7Pro - {00011268-E188-40DF-A514-835FCD78B1BF} - C:\Program Files\IEPro\iepro.dll

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Windows Live Family Safety Browser Helper - {4f3ed5cd-0726-42a9-87f5-d13f3d2976ac} - C:\Program Files\Windows Live\Family Safety\fssbho.dll

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: NCO 2.0 IE BHO - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.6\coIEPlg.dll

O2 - BHO: Symantec Intrusion Prevention - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\PROGRA~1\COMMON~1\SYMANT~1\IDS\IPSBHO.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files\Microsoft\Search Enhancement Pack\Search Helper\SearchHelper.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program files\google\googletoolbar2.dll

O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program Files\Google\GoogleToolbarNotifier\3.1.807.1746\swg.dll

O2 - BHO: McAfee SiteAdvisor BHO - {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll

O2 - BHO: Windows Live Toolbar Helper - {E15A8DC0-8516-42A1-81EA-DC94EC1ACF10} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program files\google\googletoolbar2.dll

O3 - Toolbar: (no name) - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - (no file)

O3 - Toolbar: McAfee SiteAdvisor Toolbar - {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll

O3 - Toolbar: &Windows Live Toolbar - {21FA44EF-376D-4D53-9B0F-8A89D3229068} - C:\Program Files\Windows Live\Toolbar\wltcore.dll

O3 - Toolbar: Show Norton Toolbar - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program Files\Common Files\Symantec Shared\coShared\Browser\2.6\CoIEPlg.dll

O4 - HKLM\..\Run: [ftutil2] rundll32.exe ftutil2.dll,SetWriteCacheMode

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE

O4 - HKLM\..\Run: [DMAScheduler] "c:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe"

O4 - HKLM\..\Run: [fssui] "C:\Program Files\Windows Live\Family Safety\fsui.exe" -autorun

O4 - HKLM\..\Run: [Ad-Watch] C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

O4 - HKLM\..\Run: [ccApp] "C:\Program Files\Common Files\Symantec Shared\ccApp.exe"

O4 - HKLM\..\Run: [osCheck] "C:\Program Files\Norton 360\osCheck.exe"

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [Advanced SystemCare 3] "C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe" /startup

O4 - HKUS\S-1-5-18\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [Picasa Media Detector] C:\Program Files\Picasa2\PicasaMediaDetector.exe (User 'Default user')

O4 - S-1-5-18 Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe (User 'SYSTEM')

O4 - .DEFAULT Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe (User 'Default user')

O4 - .DEFAULT User Startup: Pin.lnk = C:\hp\bin\CLOAKER.EXE (User 'Default user')

O4 - .DEFAULT User Startup: PinMcLnk.lnk = C:\hp\bin\cloaker.exe (User 'Default user')

O4 - Startup: Secunia PSI.lnk = C:\Program Files\Secunia\PSI\psi.exe

O4 - Global Startup: Personal.lnk = C:\Program Files\Personal\bin\Personal.exe

O8 - Extra context menu item: Add to Google Photos Screensa&ver - res://C:\WINDOWS\system32\GPhotos.scr/200

O9 - Extra button: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Program Files\IEPro\iepro.dll

O9 - Extra 'Tools' menuitem: IE7Pro Grab and Drag - {000002a3-84fe-43f1-b958-f2c3ca804f1a} - C:\Program Files\IEPro\iepro.dll

O9 - Extra button: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll

O9 - Extra 'Tools' menuitem: IE7Pro Preferences - {0026439F-A980-4f18-8C95-4F1CBBF9C1D8} - C:\Program Files\IEPro\iepro.dll

O9 - Extra button: Blogga detta - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Blogga detta i Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: (no name) - {53F6FCCD-9E22-4d71-86EA-6E43136192AB} - (no file)

O9 - Extra button: (no name) - {925DAB62-F9AC-4221-806A-057BFB1014AA} - (no file)

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra button: Hjälp med anslutning - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra 'Tools' menuitem: Hjälp med anslutning - {E2D4D26B-0180-43a4-B05F-462D6D54C789} - C:\WINDOWS\PCHEALTH\HELPCTR\Vendors\CN=Hewlett-Packard,L=Cupertino,S=Ca,C=US\IEButton\support.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O15 - Trusted Zone: http://www.postfoto.se

O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://beritslusthus.spaces.live.com//PhotoUpload/MsnPUpld.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase8300.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1182337578640

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1182347269312

O16 - DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} (Image Uploader Control) - http://www.fuji.se/aurigma/ImageUploader4.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://beritslusthus.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {8436FE12-31DB-48BF-83BF-FE682F9160B4} (NanoInstaller Class) - http://www.nanoscan.com/cabs/nanoinst.cab

O16 - DPF: {B1E2B96C-12FE-45E2-BEF1-44A219113CDD} (SABScanProcesses Class) - http://www.superadblocker.com/activex/sabspx.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E008A543-CEFB-4559-912F-C27C2B89F13B} (Domino Web Access 7 Control) - https://distans.svt.se/,DanaInfo=webbmail.svt.se+dwa7W.cab

O18 - Protocol: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\PROGRA~1\mcafee\SITEAD~1\mcieplg.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Program Files\SUPERAntiSpyware\SASWINLO.DLL

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Automatisk LiveUpdate-schemaläggare (Automatic LiveUpdate Scheduler) - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: Symantec Lic NetConnect service (CLTNetCnService) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: COM Host (comHost) - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\VAScanner\comHost.exe

O23 - Service: Google Update Service (gupdate1c9907fdd3c50c5) (gupdate1c9907fdd3c50c5) - Google Inc. - C:\Program Files\Google\Update\GoogleUpdate.exe

O23 - Service: Google Updater Service (gusvc) - Google - C:\Program Files\Google\Common\Google Updater\GoogleUpdaterService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Lavasoft Ad-Aware Service - Lavasoft - C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - C:\Program Files\Common Files\LightScribe\LSSrvc.exe

O23 - Service: LiveUpdate - Symantec Corporation - C:\Program Files\Symantec\LiveUpdate\LuComServer_3_4.EXE

O23 - Service: LiveUpdate Notice - Symantec Corporation - C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

O23 - Service: McAfee SiteAdvisor Service - Unknown owner - C:\Program Files\McAfee\SiteAdvisor\McSACore.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Seekeen Service - Unknown owner - C:\Program Files\Seekeen\seekeen.exe (file missing)

O23 - Service: Symantec Core LC - Unknown owner - C:\PROGRA~1\COMMON~1\SYMANT~1\CCPD-LC\symlcsvc.exe

--

End of file - 13787 bytes

[/log]

March 11, 2009

Finns en ofarlig rest kvar i loggen av av något bara.

Kontrollpanelen - Administrationsverktyg - Tjänster

Leta upp Seekeen Service i listan, dubbelklicka och välj Startmetod Inaktiverad.

Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

[log]Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.[/log]

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

March 11, 2009

Tack, Cecilia för all hjälp. Nu har jag kört combofix och hoppas alla konstigheter är borta. Ska jag skicka loggen för koll eller köra hijackthis en gång till och skicka? Vad tycker du? :thumbsup:

March 11, 2009

Du bör klistra in loggen från ComboFix.

March 12, 2009

Hittar inte logfilen från Combofix. Hade lite för bråttom igår och läste inte anvisningarna och klickade på kör i stället för spara. Stängde av allt öppet nere i startmenyn. Fick till slut en log. Tror att jag sparade de men kan inte hitta den någonstans. Fick blå skärm länge. Hävde den med ctrl-alt-delete och startade om där. Ska jag göra om allt tycker du? Datorn fungerade när jag slog på den i morse

March 12, 2009

Kolla om du har någon ComboFix.txt i C:\ för där ska loggen hamna.

March 12, 2009

[log]ComboFix 09-03-10.03 - HP_Administrator 2009-03-11 22:22:08.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.510.159 [GMT 1:00]

Körs från: c:\docume~1\HP_ADM~1\LOCALS~1\Temp\ComboFix.exe

AV: Norton 360 *On-access scanning disabled* (Updated)

FW: Norton 360 *enabled*

* Skapade en ny återställningspunkt

.

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

D:\Autorun.inf

.

(((((((((((((((((((((((( Filer Skapade från 2009-02-11 till 2009-03-11 ))))))))))))))))))))))))))))))

.

2009-03-11 22:20 . 2009-03-11 22:20 6,736 --a------ c:\windows\system32\drivers\PROCEXP90.SYS

2009-03-11 22:19 . 2009-03-11 22:19 389,120 --a------ c:\windows\system32\CF3799.exe

2009-03-11 09:29 . 2009-03-11 09:29 <DIR> d-------- c:\windows\LastGood

2009-03-10 19:39 . 2009-03-10 19:39 <DIR> d-------- c:\program files\Task Killer

2009-03-09 16:53 . 2009-03-09 16:53 <DIR> d-------- c:\program files\Trend Micro

2009-03-08 13:15 . 2009-03-08 13:15 <DIR> d-------- c:\program files\SIW

2009-03-07 19:09 . 2009-03-07 19:10 <DIR> d-------- c:\windows\system32\NtmsData

2009-03-05 14:12 . 2009-03-05 14:12 <DIR> d-------- c:\program files\Bonjour

2009-03-02 16:32 . 2009-01-09 20:19 1,089,593 --------- c:\windows\system32\dllcache\ntprint.cat

2009-02-20 13:59 . 2009-02-20 13:59 <DIR> d-------- c:\windows\system32\XPSViewer

2009-02-20 13:59 . 2009-02-20 13:59 <DIR> d-------- c:\program files\Reference Assemblies

2009-02-20 13:59 . 2009-02-20 13:59 <DIR> d-------- c:\program files\MSBuild

2009-02-20 13:56 . 2009-02-20 13:58 <DIR> d-------- C:\f21f980d2079b7075ebc9f

2009-02-20 13:56 . 2008-07-06 13:06 1,676,288 --------- c:\windows\system32\xpssvcs.dll

2009-02-20 13:56 . 2008-07-06 13:06 1,676,288 --------- c:\windows\system32\dllcache\xpssvcs.dll

2009-02-20 13:56 . 2008-07-06 11:50 597,504 --------- c:\windows\system32\dllcache\printfilterpipelinesvc.exe

2009-02-20 13:56 . 2008-07-06 13:06 575,488 --------- c:\windows\system32\xpsshhdr.dll

2009-02-20 13:56 . 2008-07-06 13:06 575,488 --------- c:\windows\system32\dllcache\xpsshhdr.dll

2009-02-20 13:56 . 2008-07-06 13:06 117,760 --------- c:\windows\system32\prntvpt.dll

2009-02-20 13:56 . 2008-07-06 13:06 89,088 --------- c:\windows\system32\dllcache\filterpipelineprintproc.dll

2009-02-19 12:03 . 2009-02-19 12:03 579,464 --a------ c:\windows\system32\SymNeti.dll

2009-02-19 12:03 . 2009-02-19 12:03 207,240 --a------ c:\windows\system32\SymRedir.dll

2009-02-19 11:31 . 2009-02-19 11:31 184,496 --a------ c:\windows\system32\drivers\symtdi.sys

2009-02-19 11:31 . 2009-02-19 11:31 96,560 --a------ c:\windows\system32\drivers\symfw.sys

2009-02-19 11:31 . 2009-02-19 11:31 41,008 --a------ c:\windows\system32\drivers\symndisv.sys

2009-02-19 11:31 . 2009-02-19 11:31 38,576 --a------ c:\windows\system32\drivers\symids.sys

2009-02-19 11:31 . 2009-02-19 11:31 37,424 --a------ c:\windows\system32\drivers\symndis.sys

2009-02-19 11:31 . 2009-02-19 11:31 31,280 --a------ c:\windows\system32\drivers\SymIM.sys

2009-02-19 11:31 . 2009-02-19 11:31 22,320 --a------ c:\windows\system32\drivers\symredrv.sys

2009-02-19 11:31 . 2009-02-19 11:31 13,616 --a------ c:\windows\system32\drivers\symdns.sys

2009-02-19 11:31 . 2009-02-19 11:31 9,844 --a------ c:\windows\system32\drivers\SymRedir.cat

2009-02-19 11:31 . 2009-02-19 11:31 1,611 --a------ c:\windows\system32\drivers\SymRedir.inf

2009-02-12 13:58 . 2009-02-12 17:40 <DIR> d-------- c:\documents and settings\HP_Administrator\Application Data\Symantec

2009-02-12 13:53 . 2009-02-12 13:53 <DIR> d-------- c:\program files\Windows Sidebar

2009-02-12 13:53 . 2009-02-13 08:28 <DIR> d-------- c:\program files\Norton 360

2009-02-12 13:50 . 2009-02-12 16:11 <DIR> d-------- c:\program files\Symantec

2009-02-12 13:50 . 2009-02-12 16:11 124,464 --a------ c:\windows\system32\drivers\SYMEVENT.SYS

2009-02-12 13:50 . 2009-02-12 16:11 60,808 --a------ c:\windows\system32\S32EVNT1.DLL

2009-02-12 13:50 . 2009-02-12 16:11 10,635 --a------ c:\windows\system32\drivers\SYMEVENT.CAT

2009-02-12 13:50 . 2009-02-12 16:11 806 --a------ c:\windows\system32\drivers\SYMEVENT.INF

2009-02-12 10:03 . 2009-02-12 10:03 <DIR> d-------- c:\documents and settings\HP_Administrator\Application Data\PCToolsSpamMonitorPlus

2009-02-12 10:03 . 2009-02-12 10:03 <DIR> d-------- c:\documents and settings\HP_Administrator\Application Data\PCToolsFirewallPlus

2009-02-12 09:51 . 2009-02-12 13:31 <DIR> d-------- c:\program files\PC Tools Internet Security

2009-02-12 09:51 . 2009-02-12 13:29 <DIR> d-------- c:\documents and settings\All Users\Application Data\PC Tools

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-11 21:26 --------- d-----w c:\program files\Common Files\Symantec Shared

2009-03-10 19:07 --------- d-----w c:\documents and settings\HP_Administrator\Application Data\wsInspector

2009-03-09 19:43 --------- d-----w c:\documents and settings\LocalService\Application Data\SACore

2009-03-07 22:30 --------- d-----w c:\documents and settings\HP_Administrator\Application Data\Spotify

2009-03-07 13:52 64,160 ----a-w c:\windows\system32\drivers\Lbd.sys

2009-03-07 13:52 15,688 ----a-w c:\windows\system32\lsdelete.exe

2009-03-06 19:04 --------- d-----w c:\program files\Java

2009-03-03 08:03 --------- d-----w c:\program files\SUPERAntiSpyware

2009-02-22 20:51 --------- d-----w c:\program files\Launchy

2009-02-20 18:03 --------- d-----w c:\program files\Common Files\Real

2009-02-20 12:23 46,280 ----a-w c:\documents and settings\HP_Administrator\Application Data\wklnhst.dat

2009-02-16 21:51 --------- d-----w c:\program files\Google

2009-02-12 15:12 --------- d-----w c:\documents and settings\All Users\Application Data\Symantec

2009-02-12 12:29 --------- d---a-w c:\documents and settings\All Users\Application Data\TEMP

2009-02-12 08:50 --------- d-----w c:\documents and settings\All Users\Application Data\avg8

2009-02-12 08:43 --------- d-----w c:\program files\ThreatFire

2009-02-09 11:13 1,846,784 ----a-w c:\windows\system32\win32k.sys

2009-02-09 11:13 1,846,784 ----a-w c:\windows\system32\dllcache\win32k.sys

2009-02-07 13:34 --------- dc-h--w c:\documents and settings\All Users\Application Data\{83C91755-2546-441D-AC40-9A6B4B860800}

2009-02-07 13:32 --------- d-----w c:\program files\Lavasoft

2009-02-07 13:30 --------- d-----w c:\program files\Common Files\Wise Installation Wizard

2009-02-07 12:18 --------- d-----w c:\documents and settings\HP_Administrator\Application Data\SiteAdvisor

2009-02-06 08:46 --------- d-----w c:\program files\IEPro

2009-02-04 09:14 --------- d-----w c:\program files\microsoft frontpage

2009-01-31 20:36 --------- d-----w c:\program files\Unlocker

2009-01-31 20:35 --------- d-----w c:\program files\XnView

2009-01-27 15:22 --------- d-----w c:\program files\QuickTime

2009-01-20 18:43 26,624 ----a-w c:\windows\system32\drivers\fsbts.sys

2009-01-18 12:18 34 ----a-w c:\documents and settings\HP_Administrator\jagex_runescape_preferences.dat

2009-01-17 17:15 --------- d-----w c:\program files\Free Offers from Freeze.com

2009-01-17 08:36 --------- d-----w c:\documents and settings\HP_Administrator\Application Data\UpdateStar

2009-01-16 20:35 3,594,752 ----a-w c:\windows\system32\dllcache\mshtml.dll

2009-01-14 22:45 --------- d-----w c:\program files\McAfee

2009-01-14 09:07 --------- d-----w c:\program files\Electronic Arts

2009-01-14 09:07 --------- d-----w c:\documents and settings\All Users\Application Data\Electronic Arts

2009-01-13 21:21 --------- d-----w c:\documents and settings\HP_Administrator\Application Data\Launchy

2009-01-13 18:26 --------- d-----w c:\documents and settings\HP_Administrator\Application Data\MiniDm

2009-01-13 18:17 --------- d-----w c:\program files\Paint.NET

2009-01-12 10:34 --------- d-----w c:\documents and settings\HP_Administrator\Application Data\IEPro

2009-01-11 20:44 --------- d--h--w c:\program files\InstallShield Installation Information

2009-01-03 21:35 107,888 ----a-w c:\windows\system32\CmdLineExt.dll

2008-12-19 09:10 70,656 ----a-w c:\windows\system32\dllcache\ie4uinit.exe

2008-12-19 09:10 13,824 ----a-w c:\windows\system32\dllcache\ieudinit.exe

2008-12-19 05:25 634,024 ----a-w c:\windows\system32\dllcache\iexplore.exe

2008-12-19 05:23 161,792 ----a-w c:\windows\system32\dllcache\ieakui.dll

2008-12-12 21:47 3,751,995 ----a-w c:\windows\system32\GPhotos.scr

2008-12-12 10:18 87,336 ----a-w c:\windows\system32\dns-sd.exe

2008-12-12 10:11 61,440 ----a-w c:\windows\system32\dnssd.dll

2008-12-11 10:57 333,952 ----a-w c:\windows\system32\dllcache\srv.sys

2006-12-02 02:55 22 --sha-w c:\windows\SMINST\HPCD.sys

2008-09-24 21:00 32,768 --sha-w c:\windows\system32\config\systemprofile\Local Settings\History\History.IE5\MSHist012008092420080925\index.dat

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SpybotSD TeaTimer"="c:\program files\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

"SUPERAntiSpyware"="c:\program files\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2009-03-03 1830128]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"Advanced SystemCare 3"="c:\program files\IObit\Advanced SystemCare 3\AWC.exe" [2009-02-22 2272592]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2005-07-22 237568]

"DMAScheduler"="c:\program files\HP DigitalMedia Archive\DMAScheduler.exe" [2006-04-13 90112]

"fssui"="c:\program files\Windows Live\Family Safety\fsui.exe" [2008-12-08 453984]

"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2009-03-07 515416]

"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2008-10-17 51048]

"osCheck"="c:\program files\Norton 360\osCheck.exe" [2008-02-26 988512]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-06-21 7622656]

"ftutil2"="ftutil2.dll" [2004-06-07 c:\windows\system32\ftutil2.dll]

"RTHDCPL"="RTHDCPL.EXE" [2006-07-22 c:\windows\RTHDCPL.EXE]

c:\documents and settings\HP_Administrator\Start Menu\Programs\StartupSecunia PSI.lnk - c:\program files\Secunia\PSI\psi.exe [2008-11-25 728408]

c:\documents and settings\All Users\Start Menu\Programs\StartupPersonal.lnk - c:\program files\Personal\bin\Personal.exe [2006-12-01 722728]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program files\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2008-12-31 20:45 356352 c:\program files\SUPERAntiSpyware\SASWINLO.DLL

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"c:\\Program Files\\Spotify\\spotify.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"c:\\Program Files\\IEPro\\MiniDM.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpfccopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpoews01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpofxm08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposfx08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqCopy.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqDIA.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqnrs08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\Unload\\HpqPhUnl.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqscnvw.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program Files\\HP\\Digital Imaging\\bin\\hpzwiz01.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [2009-01-20 26624]

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2009-02-07 64160]

R0 sfdrv01a;StarForce Protection Environment Driver (version 1.x.a);c:\windows\system32\drivers\sfdrv01a.sys [2006-07-05 63352]

R1 SASDIFSV;SASDIFSV;c:\program files\SUPERAntiSpyware\sasdifsv.sys [2008-11-17 8944]

R1 SASKUTIL;SASKUTIL;c:\program files\SUPERAntiSpyware\SASKUTIL.SYS [2008-11-17 55024]

R2 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr_tdi.sys [2008-12-19 55136]

R2 fsssvc;Windows Live Family Safety;c:\program files\Windows Live\Family Safety\fsssvc.exe [2008-12-08 533344]

R2 LiveUpdate Notice;LiveUpdate Notice;c:\program files\Common Files\Symantec Shared\CCSVCHST.EXE [2008-02-18 149352]

R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;c:\program files\McAfee\SiteAdvisor\McSACore.exe [2008-11-05 206096]

R2 SeaPort;SeaPort;c:\program files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe [2008-12-04 226640]

R3 CAM1690;USB 2.0 Compliance JPEG Video Camera;c:\windows\system32\drivers\cam1690.sys [2007-01-05 123264]

R3 COH_Mon;COH_Mon;c:\windows\system32\drivers\COH_Mon.sys [2008-01-12 23888]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2009-03-02 101936]

R3 SASENUM;SASENUM;c:\program files\SUPERAntiSpyware\SASENUM.SYS [2008-11-17 7408]

S2 gupdate1c9907fdd3c50c5;Google Update Service (gupdate1c9907fdd3c50c5);c:\program files\Google\Update\GoogleUpdate.exe [2009-02-16 133104]

S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2009-01-18 951120]

S3 PavSRK.sys;PavSRK.sys; [x]

S3 PavTPK.sys;PavTPK.sys; [x]

S3 PSI;PSI;c:\windows\system32\drivers\psi_mf.sys [2008-11-18 7808]

S4 Seekeen Service;Seekeen Service;"c:\program files\Seekeen\seekeen.exe" "c:\program files\Seekeen\seekeen.dll" Service --> c:\program files\Seekeen\seekeen.exe [?]

--- Övriga tjänster/drivrutiner i minnet ---

*NewlyCreated* - COMHOST

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{66b4852a-2e1a-11dc-98de-0018f387b5fe}]

\Shell\Auto\command - bittorrent.exe e

\Shell\AutoRun\command - c:\windows\system32\RunDLL32.EXE Shell32.DLL,ShellExec_RunDLL bittorrent.exe e

.

Innehållet i mappen 'Schemalagda aktiviteter':

2009-03-07 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-03-07 14:52]

2009-03-05 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

2009-03-11 c:\windows\Tasks\GoogleUpdateTaskMachine.job

- c:\program files\Google\Update\GoogleUpdate.exe [2009-02-16 22:44]

2009-03-08 c:\windows\Tasks\Internet-tjänster.job

- c:\program files\Hewlett-Packard\SDP\HPSdpApp.exe [2005-09-08 19:23]

2009-03-11 c:\windows\Tasks\PCConfidential.job

- c:\program files\Winferno\PC Confidential\PCConfidential.exe []

2009-03-11 c:\windows\Tasks\User_Feed_Synchronization-{39F62890-5F52-4ABD-8E39-D2D32DBF6BF8}.job

- c:\windows\system32\msfeedssync.exe [2006-10-17 10:58]

.

- - - - FÖRÄLDRALÖSA POSTER SOM TAGITS BORT - - - -

HKU-Default-Run-Picasa Media Detector - c:\program files\Picasa2\PicasaMediaDetector.exe

.

------- Extra genomsökning -------

.

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uStart Page = hxxp://search.ie7pro.com/

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://search.yahoo.com/search?fr=mcafee&p=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: {{000002a3-84fe-43f1-b958-f2c3ca804f1a} - {CD275D4E-791A-4993-9D4D-6A071EDD2709} - c:\program files\IEPro\iepro.dll

Trusted Zone: postfoto.se\www

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-11 22:27:01

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

[HKEY_USERS\S-1-5-21-998731037-1624564239-2438294346-1006\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

[HKEY_USERS\S-1-5-21-998731037-1624564239-2438294346-1006\Software\SecuROM\License information*]

"datasecu"=hex:d3,94,67,a2,8e,27,dc,7d,a7,bd,d4,18,05,5b,8e,84,90,c2,89,9b,3b,

52,d0,f5,01,72,24,f4,16,47,5e,e7,3c,45,ad,a2,d8,e7,47,c4,39,ff,ef,12,ae,c7,"rkeysecu"=hex:cb,bd,f2,61,5a,4e,c6,95,f2,29,8b,82,ba,6b,3d,44

[HKEY_USERS\S-1-5-21-998731037-1624564239-2438294346-1006\Software\UpdateStar\1.0\History\S*P*O*R*E*"!\1.00.0000]

"ProductID"=dword:000a3a1b

"InstallDate"="20090103"

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

- - - - - - - > 'winlogon.exe'(1008)

c:\program files\SUPERAntiSpyware\SASWINLO.DLL

.

Sluttid: 2009-03-11 22:29:01

ComboFix-quarantined-files.txt 2009-03-11 21:28:40

Före genomsökningen: 112,556,441,600 bytes free

Efter genomsökningen: 112,624,148,480 byte ledigt

261 --- E O F --- 2009-03-11 09:11:30

[/log]

March 12, 2009

Det ser ut som att det är en typ av skadligt program som sprider sig bland annat via USB-minnen, flyttbara hårddiskar, iPods och annat man ansluter till datorn. Kan det skadliga programmet ha kommit en den vägen eller har något sådant varit anslutet till datorn medan det var infekterad?

Om du har avinstallerat AVG så kör deras borttagningsprogram för att få bort rester: http://www.avg.com/download-tools

[log]Om du inte ska ha PC Tools Internet Security något mer så ta bort bort dess mappar (under förutsättning att det är avinstallerat förstås).

c:\documents and settings\HP_Administrator\Application Data\PCToolsSpamMonitorPlus

2009-02-12 10:03 . 2009-02-12 10:03 <DIR> d-------- c:\documents and settings\HP_Administrator\Application Data\PCToolsFirewallPlus

2009-02-12 09:51 . 2009-02-12 13:31 <DIR> d-------- c:\program files\PC Tools Internet Security

2009-02-12 09:51 . 2009-02-12 13:29 <DIR> d-------- c:\documents and settings\All Users\Application Data\PC Tools

2009-02-12 08:43 --------- d-----w c:\program files\ThreatFire

Man ska ha bra säkerhetsprogram innan datorn blir infekterad så att de kan stoppa infektionen innan den hinner göra så mycket skada. Har du haft F-secure i datorn också? För jag tror den här filen hör ihop med F-secure:

R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [2009-01-20 26624]

Ta bort mappen

c:\program files\Free Offers from Freeze.com[/log]

March 12, 2009

Mitt barnbarn hade sin ipod ansluten i julas. Viruset är kanske gammalt. Jag har usbminnen men har inte använt dem på länge. Har tagit bort avgresterna. Vad göra nu?

March 12, 2009

Hör med barnbarnet om iPoden har varit ansluten till andra datorer som kan ha smittats.

Tryckte du på +tecknet i mitt inlägg så att du såg hela?

Om datorn verkar normal så är det dags för en sista städning.[log]1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade. Du gör det genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt.

Systemåterställningsfunktionen slår man av och på här:

Högerklick på Den här datorn - Egenskaper - Systemåterställning

2. Om du har använt något fix-program, t ex ComboFix så ladda ner avinstallationsprogrammet OTCleanIt till Skrivbordet.

http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe

Dubbelklicka på filen för att starta programmet.

Tryck på knappen CleanUp! och de olika fix-program som du har laddat ner kommer att avinstalleras, inkl. detta program, efter en omstart av datorn. Om något fix-program är kvar efter det så fråga hur du ska ta bort det.

3. Ta bort alla tillfälliga filer genom att ladda ner ATF-Cleaner på Skrivbordet:

http://www.atribune.org/ccount/click.php?id=1

Stäng av alla andra program, särskilt webbläsare.

Dubbelklicka på ATF-Cleaner.exe för att starta programmet.

Bocka i Select All. Tryck på Empty Selected.

Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

Tryck på Exit i Main-menyn för att stänga programmet.

Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.

4. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.

http://mnin.blogspot.com/2009/02/why-i-enjoyed-tiggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.

5. Förbättra skyddet i datorn, se mina Råd för en säkrare dator. http://ceblstockholm.googlepages.com/home

[/log]

March 12, 2009

Nu har jag försökt ta bort de föreslagna filerna men när jag söker på F-securefilen får jag upp "menade du R0 facts;fsbs;c:\windows\system32\drivers\fsbs.sys [2009-01-20 26624] ". Ska jag trycka på den?

För att ta bort filerna har jag sökt upp dem i adressfältet och sedan vidarebefodrat dem till papperskorgen

Fanns det något lättare sätt? Skulle jag använt mig av combofixlogfilen?

March 12, 2009

Nu har jag försökt ta bort de föreslagna filerna men när jag söker på F-securefilen får jag upp "menade du R0 facts;fsbs;c:\windows\system32\drivers\fsbs.sys [2009-01-20 26624] ". Ska jag trycka på den?

För att ta bort filerna har jag sökt upp dem i adressfältet och sedan vidarebefodrat dem till papperskorgen

Fanns det något lättare sätt? Skulle jag använt mig av combofixlogfilen?

När jag har laddat ner ATF-cleaner ska jag stänga ner alla program skriver du. Menar du då även virusprogrammet och de andra som ligger i startpanelen längst till höger?

March 12, 2009

Till att börja med har du haft F-secure installerad i år?

Fanns det något lättare sätt? Skulle jag använt mig av combofixlogfilen?

Nej

March 12, 2009

Nej. Jag hade Avg free

March 12, 2009

Nu när jag gick tillbaks till HijackThis-logger så ser jag att du har kört F-secures online-skanning så filen är nog från det tillfället.

Du behöver bara stänga vanliga program innan du kör ATF-Cleaner.

March 12, 2009

Nu har jag gjort allt du sade.

skapat ny återställningspunkt

använt OTCleanit och ATF-Cleaner

Ska jag köra en ny Hijackthis så du kan kolla om allt ser bra ut nu?

March 12, 2009

Ja, det kan du göra.

March 12, 2009

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:55:35, on 2009-03-12

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\WINDOWS\Explorer.EXE

C:\Program Files\Lavasoft\Ad-Aware\AAWService.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Google\Update\GoogleUpdate.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\WINDOWS\arservice.exe

C:\Program Files\Symantec\LiveUpdate\AluSchedulerSvc.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Windows Live\Family Safety\fsssvc.exe

C:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Program Files\McAfee\SiteAdvisor\McSACore.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program Files\HP DigitalMedia Archive\DMAScheduler.exe

C:\Program Files\Windows Live\Family Safety\fsui.exe

C:\Program Files\Lavasoft\Ad-Aware\AAWTray.exe

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe

C:\Program Files\Personal\bin\Personal.exe

C:\Program Files\Secunia\PSI\psi.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

c:\WINDOWS\Microsoft.NET\Framework\v3.0\Windows Communication Foundation\infocard.exe