Virus, register mm.

[Spellbinder]

Har en kompis laptop hemma så jag vet inte vad han installerat/avinstallerat. Men här kommer lite symptom och loggar.

 

Först får jag upp denna ruta (tydligen något program som vill starta genom registret som inte finns)

http://i109.photobucket.com/albums/n41/SpeIlbinder/stuff/reg.jpg

 

När datorn gått ett tag poppar den här upp

http://i109.photobucket.com/albums/n41/SpeIlbinder/stuff/generic.jpg

 

Jag har kört HijackThis och MBAM men har inte kunnat uppdaterat MBAM över internet för laptopen är inte kopplad till nätet.

 

Här kommer loggfil från HiJackThis och MBAM:

 

[log]Malwarebytes' Anti-Malware 1.34

Databasversion: 1749

Windows 5.1.2600 Service Pack 3

 

2009-03-21 08:36:10

mbam-log-2009-03-21 (08-35-31).txt

 

Skanningstyp: Fullständig skanning (C:\|E:\|)

Antal skannade objekt: 125423

Förfluten tid: 1 hour(s), 17 minute(s), 32 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 4

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 20

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\win system (Backdoor.Bot) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows explorer (Backdoor.Bot) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advanced DHTML Enable (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\local security authority service (Heuristics.Reserved.Word.Exploit) -> No action taken.

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\WINDOWS\winav.exe (Backdoor.Bot) -> No action taken.

C:\WINDOWS\system32\explorer.exe (Backdoor.Bot) -> No action taken.

C:\am.exe (Backdoor.Bot) -> No action taken.

C:\nmat.exe (Rootkit.Seneka) -> No action taken.

C:\pap.exe (Backdoor.Bot) -> No action taken.

C:\pps.exe (Backdoor.Bot) -> No action taken.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP000.TMP\blabla.exe (Backdoor.Bot) -> No action taken.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP001.TMP\blabla.exe (Backdoor.Bot) -> No action taken.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP002.TMP\love.exe (Backdoor.Bot) -> No action taken.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP003.TMP\love.exe (Backdoor.Bot) -> No action taken.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP004.TMP\love.exe (Backdoor.Bot) -> No action taken.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP005.TMP\love.exe (Backdoor.Bot) -> No action taken.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP006.TMP\love.exe (Backdoor.Bot) -> No action taken.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP007.TMP\love.exe (Backdoor.Bot) -> No action taken.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP008.TMP\love.exe (Backdoor.Bot) -> No action taken.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP009.TMP\love.exe (Backdoor.Bot) -> No action taken.

C:\WINDOWS\fxstaller.exe (Backdoor.Bot) -> No action taken.

C:\WINDOWS\wswc.exe (Backdoor.Bot) -> No action taken.

C:\dmari.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\Isass.exe (Heuristics.Reserved.Word.Exploit) -> No action taken.

[/log]

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:31:09, on 2009-03-19

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Alwil Software\Avast4\aswUpdSv.exe

C:\Program\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\brss01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Dell\OpenManage\Client\Iap.exe

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Program\Dell\QuickSet\NICCONFIGSVC.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\Program\QuickTime\qttask.exe

C:\WINDOWS\fxstaller.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\winav.exe

C:\WINDOWS\system32\clfsxrx.exe

C:\dmari.exe

C:\WINDOWS\wswc.exe

C:\WINDOWS\system32\explorer.exe

C:\WINDOWS\system32\Isass.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\NETGEAR\WG111T\wlan111t.exe

C:\Program\Alwil Software\Avast4\ashWebSv.exe

C:\Program\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\WINDOWS\system32\dwwin.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotinfolink.com

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program\Delade filer\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe

O4 - HKLM\..\Run: [win system] C:\WINDOWS\winav.exe

O4 - HKLM\..\Run: [Ogalak] rundll32.exe "C:\WINDOWS\Otuzikagupiseri.dll",e

O4 - HKLM\..\Run: [Windows Explorer] C:\WINDOWS\system32\explorer.exe

O4 - HKLM\..\Run: [Advanced DHTML Enable] C:\dmari.exe

O4 - HKLM\..\Run: [Windows UDP's Control Service] wswc.exe

O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\system32\clfsxrx.exe

O4 - HKLM\..\Run: [Local Security Authority Service] C:\WINDOWS\system32\Isass.exe

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ?

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: Iap - Dell Inc. - C:\Program\Dell\OpenManage\Client\Iap.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program\Dell\QuickSet\NICCONFIGSVC.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

 

 

End of file - 5506 bytes

[/log]

Bytt KOD- till LOG-taggar

Cecilia - Moderator för Virus, skadliga program & botemedel

 

[inlägget ändrat 2009-03-21 09:34:09 av Cecilia]

[Cecilia]

Första steget är i alla fall att du låter MBAM åtgärda det som den har hittat, så kör MBAM igen och låt det åtgärda det som hittas. Klistra in loggen från den körningen och sedan en ny HijackThis-logg som är skapad efter en omstart av datorn.

 

[Spellbinder]

Tack för hjälpen med taggarna, tyckte det såg konstigt ut, inte undra på då eftersom jag råka välja KOD ist

 

Jag kom på att jag glömde stänga av dmari.exe mfl i msconfig men här kommer loggarna iaf.

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 10:00:26, on 2009-03-21

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Alwil Software\Avast4\aswUpdSv.exe

C:\Program\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\brss01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Dell\OpenManage\Client\Iap.exe

C:\Program\Delade filer\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Program\Dell\QuickSet\NICCONFIGSVC.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\wltrysvc.exe

C:\WINDOWS\System32\bcmwltry.exe

C:\WINDOWS\system32\SearchIndexer.exe

C:\WINDOWS\Explorer.EXE

C:\Program\QuickTime\qttask.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\clfsxrx.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\NETGEAR\WG111T\wlan111t.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program\Alwil Software\Avast4\ashWebSv.exe

C:\Program\Alwil Software\Avast4\ashMaiSv.exe

C:\WINDOWS\system32\SearchProtocolHost.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = http://search.live.com/sphome.aspx

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program\Delade filer\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [Windows UDP Control Center] fxstaller.exe

O4 - HKLM\..\Run: [Ogalak] rundll32.exe "C:\WINDOWS\Otuzikagupiseri.dll",e

O4 - HKLM\..\Run: [Windows UDP's Control Service] wswc.exe

O4 - HKLM\..\Run: [PromoReg] C:\WINDOWS\system32\clfsxrx.exe

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ?

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{FABF5E28-6B30-488D-ADDA-096A3FCD84F9}: NameServer = 195.54.122.200

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: Iap - Dell Inc. - C:\Program\Dell\OpenManage\Client\Iap.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program\Dell\QuickSet\NICCONFIGSVC.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

 

--

End of file - 5190 bytes

[/log]

 

[log]Malwarebytes' Anti-Malware 1.34

Databasversion: 1749

Windows 5.1.2600 Service Pack 3

 

2009-03-21 09:48:53

mbam-log-2009-03-21 (09-48-53).txt

 

Skanningstyp: Fullständig skanning (C:\|E:\|)

Antal skannade objekt: 125423

Förfluten tid: 1 hour(s), 17 minute(s), 32 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 4

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 20

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\win system (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\windows explorer (Backdoor.Bot) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Advanced DHTML Enable (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\local security authority service (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\WINDOWS\winav.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\explorer.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\am.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\nmat.exe (Rootkit.Seneka) -> Quarantined and deleted successfully.

C:\pap.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\pps.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP000.TMP\blabla.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP001.TMP\blabla.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP002.TMP\love.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP003.TMP\love.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP004.TMP\love.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP005.TMP\love.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP006.TMP\love.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP007.TMP\love.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP008.TMP\love.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\Documents and Settings\Astracan\Lokala inställningar\Temp\IXP009.TMP\love.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\WINDOWS\fxstaller.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\WINDOWS\wswc.exe (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\dmari.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\Isass.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

[/log]

 

[Cecilia]

Det är bäst om du inte stänger av något i msconfig och nu ska förhoppningsvis just dmari vara borta för gott. Om du nu har inaktiverat något i msconfig så aktivera igen.

 

Ladda ner en nyare MBAM-databas på http://www.gt500.org/malwarebytes/database.jsp och skanna med MBAM igen och så nya loggar.

 

Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

[log]

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

[/log]

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

 

[Spellbinder]

Tar en liten stund jag använder ett kamera minne för att flytta filer fram och tillbaks , man tager vad man haver. Dessutom får jag tillbaks den här: http://i109.photobucket.com/albums/n41/SpeIlbinder/stuff/generic.

jpg hela tiden och måste starta om, ibland ignorerar jag den bara iof.

 

 

Uppdaterar:

 

Glömde säga jag kör MBAM i felsäkert läge, kan inte starta MBAM i normal. Försökte köra MBAM i normal nu och fick BSOD (Blue Screen Of Death) den var inge rolig alls den här datorn :/

[inlägget ändrat 2009-03-21 10:50:24 av Spellbinder]

 

Uppdaterar:

 

Kör MBAM i felsäkert, fått svchost.exe Programfel 2 gngr nu men jag ignorerar den och MBAM forsätter att skanna.

http://i109.photobucket.com/albums/n41/SpeIlbinder/stuff/svchost.jpg

[inlägget ändrat 2009-03-21 11:51:26 av Spellbinder]

[Spellbinder]

Allt är kört i felsäkert läge hoppas det duger. Har som sagt inge nät till den här så combofix kunde inte koppla upp sig, dessutom sa den att avast körde och gav mig en varning. Kollade processer men hitta inget utom MS egna så jag vet inte vad den hylade om. Och som jag sa mitt i MBAM fick det där svchost felet. Här e loggarna iaf.

 

 

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:49:43, on 2009-03-21

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Safe mode

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Acrobat\ActiveX\AcroIEHelper.dll

O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll

O2 - BHO: AcroIEToolbarHelper Class - {AE7CD045-E861-484f-8273-0445EE161910} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O3 - Toolbar: Adobe PDF - {47833539-D0C5-4125-9FA8-0819E2EAAC93} - C:\Program\Adobe\Acrobat 6.0\Acrobat\AcroIEFavClient.dll

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iSUSPM Startup] "C:\Program\Delade filer\InstallShield\UpdateService\isuspm.exe" -startup

O4 - HKLM\..\Run: [userFaultCheck] %systemroot%\system32\dumprep 0 -u

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Global Startup: NETGEAR WG111T Smart Wizard.lnk = ?

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O10 - Unknown file in Winsock LSP: c:\windows\system32\nwprovau.dll

O17 - HKLM\System\CCS\Services\Tcpip\..\{FABF5E28-6B30-488D-ADDA-096A3FCD84F9}: NameServer = 195.54.122.200

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: Iap - Dell Inc. - C:\Program\Dell\OpenManage\Client\Iap.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\1150\Intel 32\IDriverT.exe

O23 - Service: Intel NCS NetService (NetSvc) - Intel® Corporation - C:\Program\Intel\PROSetWired\NCS\Sync\NetSvc.exe

O23 - Service: NICCONFIGSVC - Dell Inc. - C:\Program\Dell\QuickSet\NICCONFIGSVC.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: Dell Wireless WLAN Tray Service (wltrysvc) - Unknown owner - C:\WINDOWS\System32\wltrysvc.exe

 

--

End of file - 4127 bytes

[/log]

 

 

[log]Malwarebytes' Anti-Malware 1.34

Databasversion: 1863

Windows 5.1.2600 Service Pack 3

 

2009-03-21 12:31:19

mbam-log-2009-03-21 (12-30-45).txt

 

Skanningstyp: Fullständig skanning (C:\|E:\|)

Antal skannade objekt: 129771

Förfluten tid: 1 hour(s), 18 minute(s), 34 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 3

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 4

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\PromoReg (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ogalak (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Windows UDP Control Center (Backdoor.Bot) -> No action taken.

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\WINDOWS\system32\cilwzc.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\seyincs.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\system32\clfsxrx.exe (Trojan.Agent) -> No action taken.

C:\WINDOWS\Otuzikagupiseri.dll (Trojan.Agent) -> No action taken.

[/log]

 

[log]ComboFix 09-03-19.02 - Admin 2009-03-21 12:52:32.1 - NTFSx86 MINIMAL

Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1053.18.247.152 [GMT 1:00]

Körs från: c:\documents and settings\Admin\Skrivbord\ComboFix.exe

AV: avast! antivirus 4.7.1098 [VPS 080731-0] *On-access scanning enabled* (Outdated)

 

VARNINIG -ÅTERSTÄLLNINGSKONSOLEN (THE RECOVERY CONSOLE) ÄR INTE INSTALLERAD PÅ DEN HÄR DATORN !!

.

 

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\adware.exe

c:\windows\IE4 Error Log.txt

c:\windows\system32\chert6-303369.exe

c:\windows\system32\drivers\seneka.sys

c:\windows\system32\drivers\senekauxipylks.sys

c:\windows\system32\senekabevsotfm.dll

c:\windows\system32\senekaixrebavy.dat

c:\windows\system32\senekataaemlij.dat

c:\windows\system32\senekaucxavdnk.dll

c:\windows\system32\senekaxalqbuyf.dll

 

.

((((((((((((((((((((((((((((((((((((((( Drivrutiner/Tjänster )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Service_SENEKA

 

 

(((((((((((((((((((((((( Filer Skapade från 2009-02-21 till 2009-03-21 ))))))))))))))))))))))))))))))

.

 

2009-03-19 14:33 . 2009-03-19 19:15 <KAT> d-------- c:\program\Malwarebytes' Anti-Malware

2009-03-19 14:33 . 2009-03-19 14:33 <KAT> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-03-19 14:33 . 2009-03-19 14:33 <KAT> d-------- c:\documents and settings\Admin\Application Data\Malwarebytes

2009-03-19 14:33 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-19 14:33 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-03-19 14:30 . 2009-03-19 14:30 <KAT> d-------- c:\program\Trend Micro

2009-03-12 21:41 . 2001-09-28 15:00 10,129,408 --a--c--- c:\windows\system32\dllcache\hwxkor.dll

2009-03-12 21:38 . 2001-09-28 15:00 10,096,640 --a--c--- c:\windows\system32\dllcache\hwxcht.dll

2009-03-12 19:27 . 2008-04-14 17:04 116,224 --a--c--- c:\windows\system32\dllcache\xrxwiadr.dll

2009-03-12 19:26 . 2001-09-06 20:33 27,648 --a--c--- c:\windows\system32\dllcache\xrxftplt.exe

2009-03-12 19:26 . 2001-09-06 20:33 23,040 --a--c--- c:\windows\system32\dllcache\xrxwbtmp.dll

2009-03-12 19:26 . 2008-04-14 17:04 18,944 --a--c--- c:\windows\system32\dllcache\xrxscnui.dll

2009-03-12 19:26 . 2001-09-06 20:33 4,608 --a--c--- c:\windows\system32\dllcache\xrxflnch.exe

2009-03-12 19:25 . 2001-08-18 06:37 99,865 --a--c--- c:\windows\system32\dllcache\xlog.exe

2009-03-12 19:24 . 2001-08-17 20:11 16,970 --a--c--- c:\windows\system32\dllcache\xem336n5.sys

2009-03-12 19:23 . 2004-08-03 21:29 19,455 --a--c--- c:\windows\system32\dllcache\wvchntxx.sys

2009-03-12 19:23 . 2008-04-13 19:46 19,200 --a--c--- c:\windows\system32\dllcache\wstcodec.sys

2009-03-12 19:23 . 2004-08-03 21:29 12,063 --a--c--- c:\windows\system32\dllcache\wsiintxx.sys

2009-03-12 19:23 . 2008-04-14 17:04 8,192 --a--c--- c:\windows\system32\dllcache\wshirda.dll

2009-03-12 19:22 . 2004-08-03 21:31 154,624 --a--c--- c:\windows\system32\dllcache\wlluc48.sys

2009-03-12 19:22 . 2008-04-13 19:36 8,832 --a--c--- c:\windows\system32\dllcache\wmiacpi.sys

2009-03-12 19:21 . 2001-08-17 21:28 771,581 --a--c--- c:\windows\system32\dllcache\winacisa.sys

2009-03-12 19:21 . 2001-09-06 20:33 87,040 --a--c--- c:\windows\system32\dllcache\wiafbdrv.dll

2009-03-12 19:21 . 2001-09-06 20:33 54,272 --a--c--- c:\windows\system32\dllcache\wiamsmud.dll

2009-03-12 19:21 . 2001-09-06 19:56 34,890 --a--c--- c:\windows\system32\dllcache\wlandrv2.sys

2009-03-12 19:19 . 2001-08-17 21:28 701,386 --a--c--- c:\windows\system32\dllcache\wdhaalba.sys

2009-03-12 19:19 . 2004-08-03 21:29 23,615 --a--c--- c:\windows\system32\dllcache\wch7xxnt.sys

2009-03-12 19:17 . 2001-08-17 20:10 35,871 --a--c--- c:\windows\system32\dllcache\wbfirdma.sys

2009-03-12 19:17 . 2004-08-03 21:29 33,599 --a--c--- c:\windows\system32\dllcache\watv04nt.sys

2009-03-12 19:17 . 2004-08-03 21:29 29,311 --a--c--- c:\windows\system32\dllcache\watv01nt.sys

2009-03-12 19:17 . 2004-08-03 21:29 19,551 --a--c--- c:\windows\system32\dllcache\watv02nt.sys

2009-03-12 19:17 . 2001-08-17 20:13 19,016 --a--c--- c:\windows\system32\dllcache\w926nd.sys

2009-03-12 19:17 . 2001-08-17 20:13 16,925 --a--c--- c:\windows\system32\dllcache\w940nd.sys

2009-03-12 19:17 . 2004-08-03 21:29 12,415 --a--c--- c:\windows\system32\dllcache\wadv01nt.sys

2009-03-12 19:17 . 2004-08-03 21:29 12,127 --a--c--- c:\windows\system32\dllcache\wadv02nt.sys

2009-03-12 19:17 . 2004-08-03 21:29 11,775 --a--c--- c:\windows\system32\dllcache\wadv05nt.sys

2009-03-12 19:16 . 2001-08-17 21:28 604,253 --a--c--- c:\windows\system32\dllcache\vmodem.sys

2009-03-12 19:16 . 2001-08-17 21:28 397,502 --a--c--- c:\windows\system32\dllcache\vpctcom.sys

2009-03-12 19:16 . 2001-08-17 20:14 249,402 --a--c--- c:\windows\system32\dllcache\vinwm.sys

2009-03-12 19:16 . 2001-08-17 21:28 64,605 --a--c--- c:\windows\system32\dllcache\vvoice.sys

2009-03-12 19:16 . 2001-08-17 20:13 19,528 --a--c--- c:\windows\system32\dllcache\w840nd.sys

2009-03-12 19:14 . 2001-08-17 21:28 765,884 --a--c--- c:\windows\system32\dllcache\usrti.sys

2009-03-12 19:14 . 2001-08-17 21:28 687,999 --a--c--- c:\windows\system32\dllcache\usrwdxjs.sys

2009-03-12 19:14 . 2001-08-17 21:28 113,762 --a--c--- c:\windows\system32\dllcache\usrpda.sys

2009-03-12 19:14 . 2008-04-14 17:04 54,272 --a--c--- c:\windows\system32\dllcache\vfwwdm32.dll

2009-03-12 19:14 . 2001-08-17 21:49 24,576 --a--c--- c:\windows\system32\dllcache\viairda.sys

2009-03-12 19:14 . 2001-08-17 21:28 7,556 --a--c--- c:\windows\system32\dllcache\usroslba.sys

2009-03-12 19:14 . 2008-04-13 19:40 5,376 --a--c--- c:\windows\system32\dllcache\viaide.sys

2009-03-12 19:13 . 2001-08-17 21:28 794,399 --a--c--- c:\windows\system32\dllcache\usr1806v.sys

2009-03-12 19:13 . 2001-08-17 21:28 793,598 --a--c--- c:\windows\system32\dllcache\usr1806.sys

2009-03-12 19:13 . 2001-08-17 21:28 224,802 --a--c--- c:\windows\system32\dllcache\usr1807a.sys

2009-03-12 19:12 . 2001-08-17 21:28 794,654 --a--c--- c:\windows\system32\dllcache\usr1801.sys

2009-03-12 19:12 . 2008-04-13 19:45 60,032 --a--c--- c:\windows\system32\dllcache\usbaudio.sys

2009-03-12 19:12 . 2008-04-13 19:45 26,112 --a--c--- c:\windows\system32\dllcache\usbser.sys

2009-03-12 19:12 . 2008-04-13 19:45 17,152 --a--c--- c:\windows\system32\dllcache\usbohci.sys

2009-03-12 19:11 . 2001-09-06 20:33 211,968 --a--c--- c:\windows\system32\dllcache\um54scan.dll

2009-03-12 19:11 . 2001-09-06 20:33 94,720 --a--c--- c:\windows\system32\dllcache\umaxud32.dll

2009-03-12 19:11 . 2001-09-06 20:33 69,632 --a--c--- c:\windows\system32\dllcache\umaxu12.dll

2009-03-12 19:11 . 2001-09-06 20:33 50,688 --a--c--- c:\windows\system32\dllcache\umaxscan.dll

2009-03-12 19:11 . 2001-09-06 20:33 50,176 --a--c--- c:\windows\system32\dllcache\umaxp60.dll

2009-03-12 19:11 . 2001-09-06 20:33 47,616 --a--c--- c:\windows\system32\dllcache\umaxcam.dll

2009-03-12 19:11 . 2004-08-04 00:16 32,384 --a--c--- c:\windows\system32\dllcache\usb101et.sys

2009-03-12 19:11 . 2001-09-06 20:33 28,160 --a--c--- c:\windows\system32\dllcache\umaxu40.dll

2009-03-12 19:11 . 2001-09-06 20:33 26,624 --a--c--- c:\windows\system32\dllcache\umaxu22.dll

2009-03-12 19:11 . 2001-08-17 21:58 22,912 --a--c--- c:\windows\system32\dllcache\umaxpcls.sys

2009-03-12 19:10 . 2001-09-06 20:33 525,568 --a--c--- c:\windows\system32\dllcache\tridxp.dll

2009-03-12 19:10 . 2001-09-06 20:33 440,576 --a--c--- c:\windows\system32\dllcache\tridkb.dll

2009-03-12 19:10 . 2001-09-06 20:33 315,520 --a--c--- c:\windows\system32\dllcache\trid3d.dll

2009-03-12 19:10 . 2001-08-17 20:51 222,336 --a--c--- c:\windows\system32\dllcache\trid3dm.sys

2009-03-12 19:10 . 2001-09-06 20:33 216,064 --a--c--- c:\windows\system32\dllcache\um34scan.dll

2009-03-12 19:10 . 2001-08-17 20:51 166,784 --a--c--- c:\windows\system32\dllcache\tridxpm.sys

2009-03-12 19:10 . 2001-08-17 20:51 159,232 --a--c--- c:\windows\system32\dllcache\tridkbm.sys

2009-03-12 19:10 . 2001-08-17 21:52 36,736 --a--c--- c:\windows\system32\dllcache\ultra.sys

2009-03-12 19:10 . 2001-08-17 21:48 11,520 --a--c--- c:\windows\system32\dllcache\twotrack.sys

2009-03-12 19:09 . 2001-08-17 22:02 230,912 --a--c--- c:\windows\system32\dllcache\tosdvd03.sys

2009-03-12 19:09 . 2008-04-14 17:05 82,944 --a--c--- c:\windows\system32\dllcache\tp4mon.exe

2009-03-12 19:09 . 2001-09-06 20:32 42,496 --a--c--- c:\windows\system32\dllcache\tp4res.dll

2009-03-12 19:09 . 2001-08-17 20:12 34,375 --a--c--- c:\windows\system32\dllcache\tpro4.sys

2009-03-12 19:09 . 2001-09-06 20:33 31,744 --a--c--- c:\windows\system32\dllcache\tp4.dll

2009-03-12 19:09 . 2001-09-06 19:50 4,992 --a--c--- c:\windows\system32\dllcache\toside.sys

2009-03-12 19:08 . 2001-08-17 22:01 241,664 --a--c--- c:\windows\system32\dllcache\tosdvd02.sys

2009-03-12 19:08 . 2001-08-17 20:51 138,528 --a--c--- c:\windows\system32\dllcache\tgiulnt5.sys

2009-03-12 19:08 . 2001-08-17 20:14 123,995 --a--c--- c:\windows\system32\dllcache\tjisdn.sys

2009-03-12 19:08 . 2001-09-06 20:33 81,408 --a--c--- c:\windows\system32\dllcache\tgiul50.dll

2009-03-12 19:08 . 2001-08-17 20:10 28,232 --a--c--- c:\windows\system32\dllcache\tos4mo.sys

2009-03-12 19:07 . 2001-09-06 20:33 172,768 --a--c--- c:\windows\system32\dllcache\t2r4disp.dll

2009-03-12 19:07 . 2008-04-13 19:40 149,376 --a--c--- c:\windows\system32\dllcache\tffsport.sys

2009-03-12 19:07 . 2001-08-17 20:13 37,961 --a--c--- c:\windows\system32\dllcache\tdk100b.sys

2009-03-12 19:07 . 2001-08-17 20:50 36,640 --a--c--- c:\windows\system32\dllcache\t2r4mini.sys

2009-03-12 19:07 . 2001-08-17 22:07 32,640 --a--c--- c:\windows\system32\dllcache\symc8xx.sys

2009-03-12 19:07 . 2001-08-17 21:49 30,464 --a--c--- c:\windows\system32\dllcache\tbatm155.sys

2009-03-12 19:07 . 2001-08-17 20:13 17,129 --a--c--- c:\windows\system32\dllcache\tdkcd31.sys

2009-03-12 19:07 . 2001-08-17 22:07 16,256 --a--c--- c:\windows\system32\dllcache\symc810.sys

2009-03-12 19:07 . 2001-08-17 21:52 7,040 --a--c--- c:\windows\system32\dllcache\tandqic.sys

2009-03-12 19:06 . 2001-08-17 21:50 103,936 --a--c--- c:\windows\system32\dllcache\sx.sys

2009-03-12 19:06 . 2001-09-06 20:33 94,293 --a--c--- c:\windows\system32\dllcache\sxports.dll

2009-03-12 19:06 . 2001-09-06 20:33 53,760 --a--c--- c:\windows\system32\dllcache\sw_wheel.dll

2009-03-12 19:06 . 2001-09-06 20:33 41,472 --a--c--- c:\windows\system32\dllcache\sw_effct.dll

2009-03-12 19:06 . 2001-08-17 22:07 30,688 --a--c--- c:\windows\system32\dllcache\sym_u3.sys

2009-03-12 19:06 . 2001-08-17 22:07 28,384 --a--c--- c:\windows\system32\dllcache\sym_hi.sys

2009-03-12 19:06 . 2008-04-13 19:46 15,232 --a--c--- c:\windows\system32\dllcache\streamip.sys

2009-03-12 19:06 . 2001-09-06 20:33 10,240 --a--c--- c:\windows\system32\dllcache\swpidflt.dll

2009-03-12 19:06 . 2001-09-06 20:33 10,240 --a--c--- c:\windows\system32\dllcache\swpdflt2.dll

2009-03-12 19:06 . 2001-08-17 22:02 3,968 --a--c--- c:\windows\system32\dllcache\swusbflt.sys

2009-03-12 19:05 . 2001-09-06 19:47 285,760 --a--c--- c:\windows\system32\dllcache\stlnata.sys

2009-03-12 19:05 . 2001-09-06 20:33 155,648 --a--c--- c:\windows\system32\dllcache\stlnprop.dll

2009-03-12 19:05 . 2001-09-06 20:33 99,328 --a--c--- c:\windows\system32\dllcache\srusd.dll

2009-03-12 19:05 . 2001-08-17 21:51 61,824 --a--c--- c:\windows\system32\dllcache\speed.sys

2009-03-12 19:05 . 2001-09-06 20:33 53,248 --a--c--- c:\windows\system32\dllcache\stlncoin.dll

2009-03-12 19:05 . 2001-08-17 20:11 48,736 --a--c--- c:\windows\system32\dllcache\srwlnd5.sys

2009-03-12 19:05 . 2001-09-06 20:33 24,660 --a--c--- c:\windows\system32\dllcache\spxupchk.dll

2009-03-12 19:05 . 2001-09-06 19:47 17,024 --a--c--- c:\windows\system32\dllcache\stcusb.sys

2009-03-12 19:04 . 2001-09-06 20:33 114,688 --a--c--- c:\windows\system32\dllcache\sonypi.dll

2009-03-12 19:04 . 2001-09-06 20:33 106,584 --a--c--- c:\windows\system32\dllcache\spdports.dll

2009-03-12 19:04 . 2001-08-17 20:51 58,368 --a--c--- c:\windows\system32\dllcache\smiminib.sys

2009-03-12 19:04 . 2001-08-17 20:51 37,040 --a--c--- c:\windows\system32\dllcache\sonypi.sys

2009-03-12 19:04 . 2001-08-17 20:51 20,752 --a--c--- c:\windows\system32\dllcache\sonync.sys

2009-03-12 19:04 . 2001-08-17 22:07 19,072 --a--c--- c:\windows\system32\dllcache\sparrow.sys

2009-03-12 19:04 . 2001-08-17 21:53 9,600 --a--c--- c:\windows\system32\dllcache\sonymc.sys

2009-03-12 19:04 . 2001-08-17 21:56 7,552 --a--c--- c:\windows\system32\dllcache\sonypvu1.sys

2009-03-12 19:04 . 2008-04-13 19:40 7,552 --a--c--- c:\windows\system32\dllcache\sonyait.sys

2009-03-12 19:04 . 2001-08-17 21:53 7,040 --a--c--- c:\windows\system32\dllcache\snyaitmc.sys

2009-03-12 19:02 . 2001-09-06 20:33 252,032 --a--c--- c:\windows\system32\dllcache\sis300iv.dll

2009-03-12 19:02 . 2001-09-06 20:33 238,592 --a--c--- c:\windows\system32\dllcache\sisgrv.dll

2009-03-12 19:02 . 2001-09-06 20:33 157,696 --a--c--- c:\windows\system32\dllcache\sisv256.dll

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-08 14:52 86,066 ----a-w c:\windows\system32\intqurw.exe

2009-02-08 14:52 29,184 ----a-w C:\sihw.exe

2009-02-08 12:21 86,066 ----a-w c:\windows\system32\vvbpuos.exe

2009-02-08 11:21 86,066 ----a-w c:\windows\system32\anhvhhq.exe

2009-02-08 10:53 --------- d-----w c:\program\Windows Live

2009-02-04 17:34 29,184 ----a-w c:\windows\system32\bvfsgbi.exe

2009-02-04 17:06 29,184 ----a-w c:\windows\system32\kvxks.exe

2009-01-28 20:24 102,912 ----a-w C:\ukf.exe

2009-01-28 20:14 102,912 ----a-w C:\nina.exe

2009-01-28 20:03 102,912 ----a-w C:\efe.exe

2009-01-28 19:17 102,912 ----a-w C:\xhe.exe

.

 

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]

"QuickTime Task"="c:\program\QuickTime\qttask.exe" [2006-09-01 282624]

"ISUSPM Startup"="c:\program\Delade filer\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]

"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 170496]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Start-meny\Program\AutostartNETGEAR WG111T Smart Wizard.lnk - c:\program\NETGEAR\WG111T\wlan111t.exe [2008-05-18 884840]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Acrobat Assistant.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\Acrobat Assistant.lnk

backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^HP Digital Imaging Monitor.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^HP Image Zone Snabbstarta.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\HP Image Zone Snabbstarta.lnk

backup=c:\windows\pss\HP Image Zone Snabbstarta.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Personal.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\Personal.lnk

backup=c:\windows\pss\Personal.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Windows Skrivbordssökning.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\Windows Skrivbordssökning.lnk

backup=c:\windows\pss\Windows Skrivbordssökning.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dell Wireless Manager UI]

c:\windows\system32\WLTRAY [X]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]

--a------ 2007-12-04 14:00 79224 c:\program\ALWILS~1\Avast4\ashDisp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

--a------ 2008-04-14 17:05 15360 c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dell QuickSet]

--a------ 2007-02-20 11:29 1191936 c:\program\Dell\QuickSet\quickset.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]

--a------ 2005-05-31 04:33 122941 c:\windows\system32\dla\tfswctrl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2004-09-13 14:49 49152 c:\program\HP\HP Software Update\hpwuSchd2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]

--a------ 2006-06-06 16:06 77824 c:\windows\system32\hkcmd.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]

--a------ 2006-06-06 16:10 118784 c:\windows\system32\igfxpers.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]

--a------ 2006-06-06 16:09 94208 c:\windows\system32\igfxtray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

--a------ 2005-08-11 14:30 249856 c:\program\Delade filer\InstallShield\UpdateService\ISUSPM.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

--a------ 2005-08-11 14:30 81920 c:\program\Delade filer\InstallShield\UpdateService\issch.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JobHisInit]

--a------ 2001-11-16 20:23 135168 c:\program files\RMClient\JobHisInit.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MplSetUp]

--a------ 2000-11-04 20:09 40960 c:\program files\RMClient\MplSetUp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2008-04-14 17:05 1695232 c:\program\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PRISMSVR.EXE]

--a------ 2003-11-20 14:12 282713 c:\windows\system32\PRISMSVR.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]

--a------ 2004-05-14 08:35 536576 c:\program\Synaptics\SynTP\SynTPEnh.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]

--a------ 2004-05-13 18:23 98304 c:\program\Synaptics\SynTP\SynTPLpr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PMX Daemon]

--a------ 2006-06-09 11:47 47104 c:\windows\system32\ico.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program\\Messenger\\msmsgs.exe"=

"c:\\WINDOWS\\system32\\dplaysvr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

 

S3 bvrp_pci;bvrp_pci; [x]

S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;c:\windows\system32\DNINDIS5.sys [2008-05-18 17149]

.

- - - - FÖRÄLDRALÖSA POSTER SOM TAGITS BORT - - - -

 

HKLM-Run-Windows UDP's Control Service - wswc.exe

MSConfigStartUp-swg - c:\program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

 

 

.

------- Extra genomsökning -------

.

uStart Page = about:blank

TCP: {FABF5E28-6B30-488D-ADDA-096A3FCD84F9} = 195.54.122.200

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-21 12:55:58

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]

"D140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

 

- - - - - - - > 'winlogon.exe'(212)

c:\windows\System32\BCMLogon.dll

.

Sluttid: 2009-03-21 12:59:33

ComboFix-quarantined-files.txt 2009-03-21 11:58:56

 

Före genomsökningen: 11,630,600,192 byte ledigt

Efter genomsökningen: 12,117,766,144 byte ledigt

 

276

[/log]

 

[Cecilia]

Man får inget bevakningsmejl vid redigeringar så redigera inte dina inlägg långt efteråt för då missar jag det antagligen.

 

Nu står det No action överallt i MBAM-loggen. Du bör ju låta MBAM åtgärda det den hittar så skanna med MBAM igen och sedan med ComboFix en gång till.

 

[Spellbinder]

Blir det sista jag klistrar i kväll Nu blir det natta.

 

[log]Malwarebytes' Anti-Malware 1.34

Databasversion: 1863

Windows 5.1.2600 Service Pack 3

 

2009-03-21 20:44:43

mbam-log-2009-03-21 (20-44-43).txt

 

Skanningstyp: Fullständig skanning (C:\|E:\|)

Antal skannade objekt: 128027

Förfluten tid: 2 hour(s), 6 minute(s), 48 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 2

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\Qoobox\Quarantine\C\WINDOWS\system32\senekabevsotfm.dll.vir (Trojan.Vundo) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{3457DC75-84CD-43E6-9D87-213C3CB30CF8}\RP242\A0041074.dll (Trojan.Vundo) -> Quarantined and deleted successfully.

[/log]

 

[log]ComboFix 09-03-19.02 - Admin 2009-03-21 20:55:15.2 - NTFSx86 MINIMAL

Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1053.18.247.139 [GMT 1:00]

Körs från: c:\documents and settings\Admin\Skrivbord\ComboFix.exe

AV: avast! antivirus 4.7.1098 [VPS 080731-0] *On-access scanning enabled* (Outdated)

 

VARNINIG -ÅTERSTÄLLNINGSKONSOLEN (THE RECOVERY CONSOLE) ÄR INTE INSTALLERAD PÅ DEN HÄR DATORN !!

.

 

(((((((((((((((((((((((( Filer Skapade från 2009-02-21 till 2009-03-21 ))))))))))))))))))))))))))))))

.

 

2009-03-19 14:33 . 2009-03-19 19:15 <KAT> d-------- c:\program\Malwarebytes' Anti-Malware

2009-03-19 14:33 . 2009-03-19 14:33 <KAT> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-03-19 14:33 . 2009-03-19 14:33 <KAT> d-------- c:\documents and settings\Admin\Application Data\Malwarebytes

2009-03-19 14:33 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-19 14:33 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-03-19 14:30 . 2009-03-19 14:30 <KAT> d-------- c:\program\Trend Micro

2009-03-12 21:41 . 2001-09-28 15:00 10,129,408 --a--c--- c:\windows\system32\dllcache\hwxkor.dll

2009-03-12 21:38 . 2001-09-28 15:00 10,096,640 --a--c--- c:\windows\system32\dllcache\hwxcht.dll

2009-03-12 19:27 . 2008-04-14 17:04 116,224 --a--c--- c:\windows\system32\dllcache\xrxwiadr.dll

2009-03-12 19:26 . 2001-09-06 20:33 27,648 --a--c--- c:\windows\system32\dllcache\xrxftplt.exe

2009-03-12 19:26 . 2001-09-06 20:33 23,040 --a--c--- c:\windows\system32\dllcache\xrxwbtmp.dll

2009-03-12 19:26 . 2008-04-14 17:04 18,944 --a--c--- c:\windows\system32\dllcache\xrxscnui.dll

2009-03-12 19:26 . 2001-09-06 20:33 4,608 --a--c--- c:\windows\system32\dllcache\xrxflnch.exe

2009-03-12 19:25 . 2001-08-18 06:37 99,865 --a--c--- c:\windows\system32\dllcache\xlog.exe

2009-03-12 19:24 . 2001-08-17 20:11 16,970 --a--c--- c:\windows\system32\dllcache\xem336n5.sys

2009-03-12 19:23 . 2004-08-03 21:29 19,455 --a--c--- c:\windows\system32\dllcache\wvchntxx.sys

2009-03-12 19:23 . 2008-04-13 19:46 19,200 --a--c--- c:\windows\system32\dllcache\wstcodec.sys

2009-03-12 19:23 . 2004-08-03 21:29 12,063 --a--c--- c:\windows\system32\dllcache\wsiintxx.sys

2009-03-12 19:23 . 2008-04-14 17:04 8,192 --a--c--- c:\windows\system32\dllcache\wshirda.dll

2009-03-12 19:22 . 2004-08-03 21:31 154,624 --a--c--- c:\windows\system32\dllcache\wlluc48.sys

2009-03-12 19:22 . 2008-04-13 19:36 8,832 --a--c--- c:\windows\system32\dllcache\wmiacpi.sys

2009-03-12 19:21 . 2001-08-17 21:28 771,581 --a--c--- c:\windows\system32\dllcache\winacisa.sys

2009-03-12 19:21 . 2001-09-06 20:33 87,040 --a--c--- c:\windows\system32\dllcache\wiafbdrv.dll

2009-03-12 19:21 . 2001-09-06 20:33 54,272 --a--c--- c:\windows\system32\dllcache\wiamsmud.dll

2009-03-12 19:21 . 2001-09-06 19:56 34,890 --a--c--- c:\windows\system32\dllcache\wlandrv2.sys

2009-03-12 19:19 . 2001-08-17 21:28 701,386 --a--c--- c:\windows\system32\dllcache\wdhaalba.sys

2009-03-12 19:19 . 2004-08-03 21:29 23,615 --a--c--- c:\windows\system32\dllcache\wch7xxnt.sys

2009-03-12 19:17 . 2001-08-17 20:10 35,871 --a--c--- c:\windows\system32\dllcache\wbfirdma.sys

2009-03-12 19:17 . 2004-08-03 21:29 33,599 --a--c--- c:\windows\system32\dllcache\watv04nt.sys

2009-03-12 19:17 . 2004-08-03 21:29 29,311 --a--c--- c:\windows\system32\dllcache\watv01nt.sys

2009-03-12 19:17 . 2004-08-03 21:29 19,551 --a--c--- c:\windows\system32\dllcache\watv02nt.sys

2009-03-12 19:17 . 2001-08-17 20:13 19,016 --a--c--- c:\windows\system32\dllcache\w926nd.sys

2009-03-12 19:17 . 2001-08-17 20:13 16,925 --a--c--- c:\windows\system32\dllcache\w940nd.sys

2009-03-12 19:17 . 2004-08-03 21:29 12,415 --a--c--- c:\windows\system32\dllcache\wadv01nt.sys

2009-03-12 19:17 . 2004-08-03 21:29 12,127 --a--c--- c:\windows\system32\dllcache\wadv02nt.sys

2009-03-12 19:17 . 2004-08-03 21:29 11,775 --a--c--- c:\windows\system32\dllcache\wadv05nt.sys

2009-03-12 19:16 . 2001-08-17 21:28 604,253 --a--c--- c:\windows\system32\dllcache\vmodem.sys

2009-03-12 19:16 . 2001-08-17 21:28 397,502 --a--c--- c:\windows\system32\dllcache\vpctcom.sys

2009-03-12 19:16 . 2001-08-17 20:14 249,402 --a--c--- c:\windows\system32\dllcache\vinwm.sys

2009-03-12 19:16 . 2001-08-17 21:28 64,605 --a--c--- c:\windows\system32\dllcache\vvoice.sys

2009-03-12 19:16 . 2001-08-17 20:13 19,528 --a--c--- c:\windows\system32\dllcache\w840nd.sys

2009-03-12 19:14 . 2001-08-17 21:28 765,884 --a--c--- c:\windows\system32\dllcache\usrti.sys

2009-03-12 19:14 . 2001-08-17 21:28 687,999 --a--c--- c:\windows\system32\dllcache\usrwdxjs.sys

2009-03-12 19:14 . 2001-08-17 21:28 113,762 --a--c--- c:\windows\system32\dllcache\usrpda.sys

2009-03-12 19:14 . 2008-04-14 17:04 54,272 --a--c--- c:\windows\system32\dllcache\vfwwdm32.dll

2009-03-12 19:14 . 2001-08-17 21:49 24,576 --a--c--- c:\windows\system32\dllcache\viairda.sys

2009-03-12 19:14 . 2001-08-17 21:28 7,556 --a--c--- c:\windows\system32\dllcache\usroslba.sys

2009-03-12 19:14 . 2008-04-13 19:40 5,376 --a--c--- c:\windows\system32\dllcache\viaide.sys

2009-03-12 19:13 . 2001-08-17 21:28 794,399 --a--c--- c:\windows\system32\dllcache\usr1806v.sys

2009-03-12 19:13 . 2001-08-17 21:28 793,598 --a--c--- c:\windows\system32\dllcache\usr1806.sys

2009-03-12 19:13 . 2001-08-17 21:28 224,802 --a--c--- c:\windows\system32\dllcache\usr1807a.sys

2009-03-12 19:12 . 2001-08-17 21:28 794,654 --a--c--- c:\windows\system32\dllcache\usr1801.sys

2009-03-12 19:12 . 2008-04-13 19:45 60,032 --a--c--- c:\windows\system32\dllcache\usbaudio.sys

2009-03-12 19:12 . 2008-04-13 19:45 26,112 --a--c--- c:\windows\system32\dllcache\usbser.sys

2009-03-12 19:12 . 2008-04-13 19:45 17,152 --a--c--- c:\windows\system32\dllcache\usbohci.sys

2009-03-12 19:11 . 2001-09-06 20:33 211,968 --a--c--- c:\windows\system32\dllcache\um54scan.dll

2009-03-12 19:11 . 2001-09-06 20:33 94,720 --a--c--- c:\windows\system32\dllcache\umaxud32.dll

2009-03-12 19:11 . 2001-09-06 20:33 69,632 --a--c--- c:\windows\system32\dllcache\umaxu12.dll

2009-03-12 19:11 . 2001-09-06 20:33 50,688 --a--c--- c:\windows\system32\dllcache\umaxscan.dll

2009-03-12 19:11 . 2001-09-06 20:33 50,176 --a--c--- c:\windows\system32\dllcache\umaxp60.dll

2009-03-12 19:11 . 2001-09-06 20:33 47,616 --a--c--- c:\windows\system32\dllcache\umaxcam.dll

2009-03-12 19:11 . 2004-08-04 00:16 32,384 --a--c--- c:\windows\system32\dllcache\usb101et.sys

2009-03-12 19:11 . 2001-09-06 20:33 28,160 --a--c--- c:\windows\system32\dllcache\umaxu40.dll

2009-03-12 19:11 . 2001-09-06 20:33 26,624 --a--c--- c:\windows\system32\dllcache\umaxu22.dll

2009-03-12 19:11 . 2001-08-17 21:58 22,912 --a--c--- c:\windows\system32\dllcache\umaxpcls.sys

2009-03-12 19:10 . 2001-09-06 20:33 525,568 --a--c--- c:\windows\system32\dllcache\tridxp.dll

2009-03-12 19:10 . 2001-09-06 20:33 440,576 --a--c--- c:\windows\system32\dllcache\tridkb.dll

2009-03-12 19:10 . 2001-09-06 20:33 315,520 --a--c--- c:\windows\system32\dllcache\trid3d.dll

2009-03-12 19:10 . 2001-08-17 20:51 222,336 --a--c--- c:\windows\system32\dllcache\trid3dm.sys

2009-03-12 19:10 . 2001-09-06 20:33 216,064 --a--c--- c:\windows\system32\dllcache\um34scan.dll

2009-03-12 19:10 . 2001-08-17 20:51 166,784 --a--c--- c:\windows\system32\dllcache\tridxpm.sys

2009-03-12 19:10 . 2001-08-17 20:51 159,232 --a--c--- c:\windows\system32\dllcache\tridkbm.sys

2009-03-12 19:10 . 2001-08-17 21:52 36,736 --a--c--- c:\windows\system32\dllcache\ultra.sys

2009-03-12 19:10 . 2001-08-17 21:48 11,520 --a--c--- c:\windows\system32\dllcache\twotrack.sys

2009-03-12 19:09 . 2001-08-17 22:02 230,912 --a--c--- c:\windows\system32\dllcache\tosdvd03.sys

2009-03-12 19:09 . 2008-04-14 17:05 82,944 --a--c--- c:\windows\system32\dllcache\tp4mon.exe

2009-03-12 19:09 . 2001-09-06 20:32 42,496 --a--c--- c:\windows\system32\dllcache\tp4res.dll

2009-03-12 19:09 . 2001-08-17 20:12 34,375 --a--c--- c:\windows\system32\dllcache\tpro4.sys

2009-03-12 19:09 . 2001-09-06 20:33 31,744 --a--c--- c:\windows\system32\dllcache\tp4.dll

2009-03-12 19:09 . 2001-09-06 19:50 4,992 --a--c--- c:\windows\system32\dllcache\toside.sys

2009-03-12 19:08 . 2001-08-17 22:01 241,664 --a--c--- c:\windows\system32\dllcache\tosdvd02.sys

2009-03-12 19:08 . 2001-08-17 20:51 138,528 --a--c--- c:\windows\system32\dllcache\tgiulnt5.sys

2009-03-12 19:08 . 2001-08-17 20:14 123,995 --a--c--- c:\windows\system32\dllcache\tjisdn.sys

2009-03-12 19:08 . 2001-09-06 20:33 81,408 --a--c--- c:\windows\system32\dllcache\tgiul50.dll

2009-03-12 19:08 . 2001-08-17 20:10 28,232 --a--c--- c:\windows\system32\dllcache\tos4mo.sys

2009-03-12 19:07 . 2001-09-06 20:33 172,768 --a--c--- c:\windows\system32\dllcache\t2r4disp.dll

2009-03-12 19:07 . 2008-04-13 19:40 149,376 --a--c--- c:\windows\system32\dllcache\tffsport.sys

2009-03-12 19:07 . 2001-08-17 20:13 37,961 --a--c--- c:\windows\system32\dllcache\tdk100b.sys

2009-03-12 19:07 . 2001-08-17 20:50 36,640 --a--c--- c:\windows\system32\dllcache\t2r4mini.sys

2009-03-12 19:07 . 2001-08-17 22:07 32,640 --a--c--- c:\windows\system32\dllcache\symc8xx.sys

2009-03-12 19:07 . 2001-08-17 21:49 30,464 --a--c--- c:\windows\system32\dllcache\tbatm155.sys

2009-03-12 19:07 . 2001-08-17 20:13 17,129 --a--c--- c:\windows\system32\dllcache\tdkcd31.sys

2009-03-12 19:07 . 2001-08-17 22:07 16,256 --a--c--- c:\windows\system32\dllcache\symc810.sys

2009-03-12 19:07 . 2001-08-17 21:52 7,040 --a--c--- c:\windows\system32\dllcache\tandqic.sys

2009-03-12 19:06 . 2001-08-17 21:50 103,936 --a--c--- c:\windows\system32\dllcache\sx.sys

2009-03-12 19:06 . 2001-09-06 20:33 94,293 --a--c--- c:\windows\system32\dllcache\sxports.dll

2009-03-12 19:06 . 2001-09-06 20:33 53,760 --a--c--- c:\windows\system32\dllcache\sw_wheel.dll

2009-03-12 19:06 . 2001-09-06 20:33 41,472 --a--c--- c:\windows\system32\dllcache\sw_effct.dll

2009-03-12 19:06 . 2001-08-17 22:07 30,688 --a--c--- c:\windows\system32\dllcache\sym_u3.sys

2009-03-12 19:06 . 2001-08-17 22:07 28,384 --a--c--- c:\windows\system32\dllcache\sym_hi.sys

2009-03-12 19:06 . 2008-04-13 19:46 15,232 --a--c--- c:\windows\system32\dllcache\streamip.sys

2009-03-12 19:06 . 2001-09-06 20:33 10,240 --a--c--- c:\windows\system32\dllcache\swpidflt.dll

2009-03-12 19:06 . 2001-09-06 20:33 10,240 --a--c--- c:\windows\system32\dllcache\swpdflt2.dll

2009-03-12 19:06 . 2001-08-17 22:02 3,968 --a--c--- c:\windows\system32\dllcache\swusbflt.sys

2009-03-12 19:05 . 2001-09-06 19:47 285,760 --a--c--- c:\windows\system32\dllcache\stlnata.sys

2009-03-12 19:05 . 2001-09-06 20:33 155,648 --a--c--- c:\windows\system32\dllcache\stlnprop.dll

2009-03-12 19:05 . 2001-09-06 20:33 99,328 --a--c--- c:\windows\system32\dllcache\srusd.dll

2009-03-12 19:05 . 2001-08-17 21:51 61,824 --a--c--- c:\windows\system32\dllcache\speed.sys

2009-03-12 19:05 . 2001-09-06 20:33 53,248 --a--c--- c:\windows\system32\dllcache\stlncoin.dll

2009-03-12 19:05 . 2001-08-17 20:11 48,736 --a--c--- c:\windows\system32\dllcache\srwlnd5.sys

2009-03-12 19:05 . 2001-09-06 20:33 24,660 --a--c--- c:\windows\system32\dllcache\spxupchk.dll

2009-03-12 19:05 . 2001-09-06 19:47 17,024 --a--c--- c:\windows\system32\dllcache\stcusb.sys

2009-03-12 19:04 . 2001-09-06 20:33 114,688 --a--c--- c:\windows\system32\dllcache\sonypi.dll

2009-03-12 19:04 . 2001-09-06 20:33 106,584 --a--c--- c:\windows\system32\dllcache\spdports.dll

2009-03-12 19:04 . 2001-08-17 20:51 58,368 --a--c--- c:\windows\system32\dllcache\smiminib.sys

2009-03-12 19:04 . 2001-08-17 20:51 37,040 --a--c--- c:\windows\system32\dllcache\sonypi.sys

2009-03-12 19:04 . 2001-08-17 20:51 20,752 --a--c--- c:\windows\system32\dllcache\sonync.sys

2009-03-12 19:04 . 2001-08-17 22:07 19,072 --a--c--- c:\windows\system32\dllcache\sparrow.sys

2009-03-12 19:04 . 2001-08-17 21:53 9,600 --a--c--- c:\windows\system32\dllcache\sonymc.sys

2009-03-12 19:04 . 2001-08-17 21:56 7,552 --a--c--- c:\windows\system32\dllcache\sonypvu1.sys

2009-03-12 19:04 . 2008-04-13 19:40 7,552 --a--c--- c:\windows\system32\dllcache\sonyait.sys

2009-03-12 19:04 . 2001-08-17 21:53 7,040 --a--c--- c:\windows\system32\dllcache\snyaitmc.sys

2009-03-12 19:02 . 2001-09-06 20:33 252,032 --a--c--- c:\windows\system32\dllcache\sis300iv.dll

2009-03-12 19:02 . 2001-09-06 20:33 238,592 --a--c--- c:\windows\system32\dllcache\sisgrv.dll

2009-03-12 19:02 . 2001-09-06 20:33 157,696 --a--c--- c:\windows\system32\dllcache\sisv256.dll

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-08 14:52 86,066 ----a-w c:\windows\system32\intqurw.exe

2009-02-08 14:52 29,184 ----a-w C:\sihw.exe

2009-02-08 12:21 86,066 ----a-w c:\windows\system32\vvbpuos.exe

2009-02-08 11:21 86,066 ----a-w c:\windows\system32\anhvhhq.exe

2009-02-08 10:53 --------- d-----w c:\program\Windows Live

2009-02-04 17:34 29,184 ----a-w c:\windows\system32\bvfsgbi.exe

2009-02-04 17:06 29,184 ----a-w c:\windows\system32\kvxks.exe

2009-01-28 20:24 102,912 ----a-w C:\ukf.exe

2009-01-28 20:14 102,912 ----a-w C:\nina.exe

2009-01-28 20:03 102,912 ----a-w C:\efe.exe

2009-01-28 19:17 102,912 ----a-w C:\xhe.exe

.

 

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]

"QuickTime Task"="c:\program\QuickTime\qttask.exe" [2006-09-01 282624]

"ISUSPM Startup"="c:\program\Delade filer\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Start-meny\Program\AutostartNETGEAR WG111T Smart Wizard.lnk - c:\program\NETGEAR\WG111T\wlan111t.exe [2008-05-18 884840]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Acrobat Assistant.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\Acrobat Assistant.lnk

backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^HP Digital Imaging Monitor.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^HP Image Zone Snabbstarta.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\HP Image Zone Snabbstarta.lnk

backup=c:\windows\pss\HP Image Zone Snabbstarta.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Personal.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\Personal.lnk

backup=c:\windows\pss\Personal.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Windows Skrivbordssökning.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\Windows Skrivbordssökning.lnk

backup=c:\windows\pss\Windows Skrivbordssökning.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dell Wireless Manager UI]

c:\windows\system32\WLTRAY [X]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]

--a------ 2007-12-04 14:00 79224 c:\program\ALWILS~1\Avast4\ashDisp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

--a------ 2008-04-14 17:05 15360 c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dell QuickSet]

--a------ 2007-02-20 11:29 1191936 c:\program\Dell\QuickSet\quickset.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]

--a------ 2005-05-31 04:33 122941 c:\windows\system32\dla\tfswctrl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2004-09-13 14:49 49152 c:\program\HP\HP Software Update\hpwuSchd2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]

--a------ 2006-06-06 16:06 77824 c:\windows\system32\hkcmd.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]

--a------ 2006-06-06 16:10 118784 c:\windows\system32\igfxpers.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]

--a------ 2006-06-06 16:09 94208 c:\windows\system32\igfxtray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

--a------ 2005-08-11 14:30 249856 c:\program\Delade filer\InstallShield\UpdateService\ISUSPM.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

--a------ 2005-08-11 14:30 81920 c:\program\Delade filer\InstallShield\UpdateService\issch.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JobHisInit]

--a------ 2001-11-16 20:23 135168 c:\program files\RMClient\JobHisInit.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MplSetUp]

--a------ 2000-11-04 20:09 40960 c:\program files\RMClient\MplSetUp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2008-04-14 17:05 1695232 c:\program\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PRISMSVR.EXE]

--a------ 2003-11-20 14:12 282713 c:\windows\system32\PRISMSVR.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]

--a------ 2004-05-14 08:35 536576 c:\program\Synaptics\SynTP\SynTPEnh.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]

--a------ 2004-05-13 18:23 98304 c:\program\Synaptics\SynTP\SynTPLpr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PMX Daemon]

--a------ 2006-06-09 11:47 47104 c:\windows\system32\ico.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program\\Messenger\\msmsgs.exe"=

"c:\\WINDOWS\\system32\\dplaysvr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

 

S3 bvrp_pci;bvrp_pci; [x]

S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;c:\windows\system32\DNINDIS5.sys [2008-05-18 17149]

.

.

------- Extra genomsökning -------

.

uStart Page = about:blank

TCP: {FABF5E28-6B30-488D-ADDA-096A3FCD84F9} = 195.54.122.200

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-21 20:57:55

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]

"D140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

 

- - - - - - - > 'winlogon.exe'(212)

c:\windows\System32\BCMLogon.dll

.

Sluttid: 2009-03-21 21:01:33

ComboFix-quarantined-files.txt 2009-03-21 20:01:10

ComboFix2.txt 2009-03-21 11:59:34

 

Före genomsökningen: 12 095 672 320 byte ledigt

Efter genomsökningen: 12,077,502,464 byte ledigt

 

257

[/log]

 

[Cecilia]

Det räcker att köra snabbskanning i MBAM.

 

Varför har du inaktiverat starten av Avast i msconfig? Du har ju inget annat antivirusprogram installerat.

 

Det är ett problem att datorn har varit infekterad i ca två månader för det gör att inte allt syns i ComboFix-loggen.

 

Surfa till http://www.virustotal.com (fungerar bäst med Internet Explorer) klistra in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här. Upprepa med nästa filnamn.

c:\windows\system32\intqurw.exe

C:\sihw.exe

c:\windows\system32\vvbpuos.exe

c:\windows\system32\anhvhhq.exe

c:\windows\system32\bvfsgbi.exe

c:\windows\system32\kvxks.exe

C:\ukf.exe

C:\nina.exe

C:\efe.exe

C:\xhe.exe

 

 

[Spellbinder]

Godmorgon.

 

Jag har inte rört msconfig efter du sa till mig, och innan dess av bockade jag bara dmari.exe och fxstall.exe, dom kom tillbaka själv efter du sa att jag skulle bocka i dom igen så efter det har jag inte rört något där. Jag har som sagt inget internet till laptopen så jag har ett minnes kort och skickar filer fram och tillbaks. Min egen dator är ganska tät för otyg + att jag aldrig klickar på några länkar var än dom kommer ifrån. Även om det är från bekanta dubbelcheckar jag först. I alla fall jag har nu all dom filerna på ett minnes kort och har försökt skicka upp dom, för det första sparkar mitt avg bakut med en gång, det är trojaner. Sen vet jag inte om avg gjorde nåt med dom fastän jag bara valde Close knappen på avg't för nu går det inte att höger klicka på dom (tänkte använda Virus Total Uploader) och när jag försöker skicka dom på den siten hamnar jag här: http://www.virustotal.com/vt/sv/recepcion?899dbf57ce4dacd996970466ae5c2f52

 

Jag antar att du redan förstått liksom jag att det är fulfiler men att du vill se hur dom olika anti-vir appsen reagerar på dom så du vet vad som är bäst att göra med dom, men kan som sagt inte ladda upp dom som det är nu. Kan ju så vara att det bara är ett slags avbrott på siten så jag ska fortsätta försöka ladda upp dom. Men om detta inte går vad ska vi hitta på då?

 

[inlägget ändrat 2009-03-22 09:01:50 av Spellbinder]

[Spellbinder]

Eftersom jag trodde avg gjort nåt med filerna så prova jag ta bort dom och kopiera dom igen, stängde så klart av avg. Men jag kan fortfarande inte höger klicka på dom och får samma felmeddelande på den siten, så nu vet jag inte.

 

Här är AVG rapporten btw, http://i109.photobucket.com/albums/n41/SpeIlbinder/stuff/avgalert.jpg

 

[inlägget ändrat 2009-03-22 09:20:14 av Spellbinder]

[Cecilia]

Samtliga dåliga och i huvudsak av typen Backdoor, dvs öppnar datorn mot internet för intrång så det är ju bra att datorn inte har internet förbindelse.

 

Kopiera alla rader i rutan (använd markera kod)

File::
c:\windows\system32\intqurw.exe
C:\sihw.exe
c:\windows\system32\vvbpuos.exe
c:\windows\system32\anhvhhq.exe
c:\windows\system32\bvfsgbi.exe
c:\windows\system32\kvxks.exe
C:\ukf.exe
C:\nina.exe
C:\efe.exe
C:\xhe.exe

och klistra in i Anteckningar.

Spara filen på Skrivbordet med namnet CFScript.

 

Förbered datorn på samma sätt som tidigare för ComboFix.

Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.

Klistra in loggen som kommer ut och en ny MBAM-logg.

 

[Spellbinder]

[log]ComboFix 09-03-19.02 - Admin 2009-03-22 12:55:31.4 - NTFSx86 MINIMAL

Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1053.18.247.115 [GMT 1:00]

Körs från: c:\documents and settings\Admin\Skrivbord\ComboFix.exe

Använda kommandoväxlar :: c:\documents and settings\Admin\Skrivbord\CFScript

AV: avast! antivirus 4.7.1098 [VPS 080731-0] *On-access scanning enabled* (Outdated)

 

VARNINIG -ÅTERSTÄLLNINGSKONSOLEN (THE RECOVERY CONSOLE) ÄR INTE INSTALLERAD PÅ DEN HÄR DATORN !!

 

FILE ::

C:\efe.exe

C:\nina.exe

C:\sihw.exe

C:\ukf.exe

c:\windows\system32\anhvhhq.exe

c:\windows\system32\bvfsgbi.exe

c:\windows\system32\intqurw.exe

c:\windows\system32\kvxks.exe

c:\windows\system32\vvbpuos.exe

C:\xhe.exe

.

 

(((((((((((((((((((((((( Filer Skapade från 2009-02-22 till 2009-03-22 ))))))))))))))))))))))))))))))

.

 

2009-03-19 14:33 . 2009-03-19 19:15 <KAT> d-------- c:\program\Malwarebytes' Anti-Malware

2009-03-19 14:33 . 2009-03-19 14:33 <KAT> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-03-19 14:33 . 2009-03-19 14:33 <KAT> d-------- c:\documents and settings\Admin\Application Data\Malwarebytes

2009-03-19 14:33 . 2009-02-11 10:19 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-19 14:33 . 2009-02-11 10:19 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-03-19 14:30 . 2009-03-19 14:30 <KAT> d-------- c:\program\Trend Micro

2009-03-12 21:41 . 2001-09-28 15:00 10,129,408 --a--c--- c:\windows\system32\dllcache\hwxkor.dll

2009-03-12 21:38 . 2001-09-28 15:00 10,096,640 --a--c--- c:\windows\system32\dllcache\hwxcht.dll

2009-03-12 19:27 . 2008-04-14 17:04 116,224 --a--c--- c:\windows\system32\dllcache\xrxwiadr.dll

2009-03-12 19:26 . 2001-09-06 20:33 27,648 --a--c--- c:\windows\system32\dllcache\xrxftplt.exe

2009-03-12 19:26 . 2001-09-06 20:33 23,040 --a--c--- c:\windows\system32\dllcache\xrxwbtmp.dll

2009-03-12 19:26 . 2008-04-14 17:04 18,944 --a--c--- c:\windows\system32\dllcache\xrxscnui.dll

2009-03-12 19:26 . 2001-09-06 20:33 4,608 --a--c--- c:\windows\system32\dllcache\xrxflnch.exe

2009-03-12 19:25 . 2001-08-18 06:37 99,865 --a--c--- c:\windows\system32\dllcache\xlog.exe

2009-03-12 19:24 . 2001-08-17 20:11 16,970 --a--c--- c:\windows\system32\dllcache\xem336n5.sys

2009-03-12 19:23 . 2004-08-03 21:29 19,455 --a--c--- c:\windows\system32\dllcache\wvchntxx.sys

2009-03-12 19:23 . 2008-04-13 19:46 19,200 --a--c--- c:\windows\system32\dllcache\wstcodec.sys

2009-03-12 19:23 . 2004-08-03 21:29 12,063 --a--c--- c:\windows\system32\dllcache\wsiintxx.sys

2009-03-12 19:23 . 2008-04-14 17:04 8,192 --a--c--- c:\windows\system32\dllcache\wshirda.dll

2009-03-12 19:22 . 2004-08-03 21:31 154,624 --a--c--- c:\windows\system32\dllcache\wlluc48.sys

2009-03-12 19:22 . 2008-04-13 19:36 8,832 --a--c--- c:\windows\system32\dllcache\wmiacpi.sys

2009-03-12 19:21 . 2001-08-17 21:28 771,581 --a--c--- c:\windows\system32\dllcache\winacisa.sys

2009-03-12 19:21 . 2001-09-06 20:33 87,040 --a--c--- c:\windows\system32\dllcache\wiafbdrv.dll

2009-03-12 19:21 . 2001-09-06 20:33 54,272 --a--c--- c:\windows\system32\dllcache\wiamsmud.dll

2009-03-12 19:21 . 2001-09-06 19:56 34,890 --a--c--- c:\windows\system32\dllcache\wlandrv2.sys

2009-03-12 19:19 . 2001-08-17 21:28 701,386 --a--c--- c:\windows\system32\dllcache\wdhaalba.sys

2009-03-12 19:19 . 2004-08-03 21:29 23,615 --a--c--- c:\windows\system32\dllcache\wch7xxnt.sys

2009-03-12 19:17 . 2001-08-17 20:10 35,871 --a--c--- c:\windows\system32\dllcache\wbfirdma.sys

2009-03-12 19:17 . 2004-08-03 21:29 33,599 --a--c--- c:\windows\system32\dllcache\watv04nt.sys

2009-03-12 19:17 . 2004-08-03 21:29 29,311 --a--c--- c:\windows\system32\dllcache\watv01nt.sys

2009-03-12 19:17 . 2004-08-03 21:29 19,551 --a--c--- c:\windows\system32\dllcache\watv02nt.sys

2009-03-12 19:17 . 2001-08-17 20:13 19,016 --a--c--- c:\windows\system32\dllcache\w926nd.sys

2009-03-12 19:17 . 2001-08-17 20:13 16,925 --a--c--- c:\windows\system32\dllcache\w940nd.sys

2009-03-12 19:17 . 2004-08-03 21:29 12,415 --a--c--- c:\windows\system32\dllcache\wadv01nt.sys

2009-03-12 19:17 . 2004-08-03 21:29 12,127 --a--c--- c:\windows\system32\dllcache\wadv02nt.sys

2009-03-12 19:17 . 2004-08-03 21:29 11,775 --a--c--- c:\windows\system32\dllcache\wadv05nt.sys

2009-03-12 19:16 . 2001-08-17 21:28 604,253 --a--c--- c:\windows\system32\dllcache\vmodem.sys

2009-03-12 19:16 . 2001-08-17 21:28 397,502 --a--c--- c:\windows\system32\dllcache\vpctcom.sys

2009-03-12 19:16 . 2001-08-17 20:14 249,402 --a--c--- c:\windows\system32\dllcache\vinwm.sys

2009-03-12 19:16 . 2001-08-17 21:28 64,605 --a--c--- c:\windows\system32\dllcache\vvoice.sys

2009-03-12 19:16 . 2001-08-17 20:13 19,528 --a--c--- c:\windows\system32\dllcache\w840nd.sys

2009-03-12 19:14 . 2001-08-17 21:28 765,884 --a--c--- c:\windows\system32\dllcache\usrti.sys

2009-03-12 19:14 . 2001-08-17 21:28 687,999 --a--c--- c:\windows\system32\dllcache\usrwdxjs.sys

2009-03-12 19:14 . 2001-08-17 21:28 113,762 --a--c--- c:\windows\system32\dllcache\usrpda.sys

2009-03-12 19:14 . 2008-04-14 17:04 54,272 --a--c--- c:\windows\system32\dllcache\vfwwdm32.dll

2009-03-12 19:14 . 2001-08-17 21:49 24,576 --a--c--- c:\windows\system32\dllcache\viairda.sys

2009-03-12 19:14 . 2001-08-17 21:28 7,556 --a--c--- c:\windows\system32\dllcache\usroslba.sys

2009-03-12 19:14 . 2008-04-13 19:40 5,376 --a--c--- c:\windows\system32\dllcache\viaide.sys

2009-03-12 19:13 . 2001-08-17 21:28 794,399 --a--c--- c:\windows\system32\dllcache\usr1806v.sys

2009-03-12 19:13 . 2001-08-17 21:28 793,598 --a--c--- c:\windows\system32\dllcache\usr1806.sys

2009-03-12 19:13 . 2001-08-17 21:28 224,802 --a--c--- c:\windows\system32\dllcache\usr1807a.sys

2009-03-12 19:12 . 2001-08-17 21:28 794,654 --a--c--- c:\windows\system32\dllcache\usr1801.sys

2009-03-12 19:12 . 2008-04-13 19:45 60,032 --a--c--- c:\windows\system32\dllcache\usbaudio.sys

2009-03-12 19:12 . 2008-04-13 19:45 26,112 --a--c--- c:\windows\system32\dllcache\usbser.sys

2009-03-12 19:12 . 2008-04-13 19:45 17,152 --a--c--- c:\windows\system32\dllcache\usbohci.sys

2009-03-12 19:11 . 2001-09-06 20:33 211,968 --a--c--- c:\windows\system32\dllcache\um54scan.dll

2009-03-12 19:11 . 2001-09-06 20:33 94,720 --a--c--- c:\windows\system32\dllcache\umaxud32.dll

2009-03-12 19:11 . 2001-09-06 20:33 69,632 --a--c--- c:\windows\system32\dllcache\umaxu12.dll

2009-03-12 19:11 . 2001-09-06 20:33 50,688 --a--c--- c:\windows\system32\dllcache\umaxscan.dll

2009-03-12 19:11 . 2001-09-06 20:33 50,176 --a--c--- c:\windows\system32\dllcache\umaxp60.dll

2009-03-12 19:11 . 2001-09-06 20:33 47,616 --a--c--- c:\windows\system32\dllcache\umaxcam.dll

2009-03-12 19:11 . 2004-08-04 00:16 32,384 --a--c--- c:\windows\system32\dllcache\usb101et.sys

2009-03-12 19:11 . 2001-09-06 20:33 28,160 --a--c--- c:\windows\system32\dllcache\umaxu40.dll

2009-03-12 19:11 . 2001-09-06 20:33 26,624 --a--c--- c:\windows\system32\dllcache\umaxu22.dll

2009-03-12 19:11 . 2001-08-17 21:58 22,912 --a--c--- c:\windows\system32\dllcache\umaxpcls.sys

2009-03-12 19:10 . 2001-09-06 20:33 525,568 --a--c--- c:\windows\system32\dllcache\tridxp.dll

2009-03-12 19:10 . 2001-09-06 20:33 440,576 --a--c--- c:\windows\system32\dllcache\tridkb.dll

2009-03-12 19:10 . 2001-09-06 20:33 315,520 --a--c--- c:\windows\system32\dllcache\trid3d.dll

2009-03-12 19:10 . 2001-08-17 20:51 222,336 --a--c--- c:\windows\system32\dllcache\trid3dm.sys

2009-03-12 19:10 . 2001-09-06 20:33 216,064 --a--c--- c:\windows\system32\dllcache\um34scan.dll

2009-03-12 19:10 . 2001-08-17 20:51 166,784 --a--c--- c:\windows\system32\dllcache\tridxpm.sys

2009-03-12 19:10 . 2001-08-17 20:51 159,232 --a--c--- c:\windows\system32\dllcache\tridkbm.sys

2009-03-12 19:10 . 2001-08-17 21:52 36,736 --a--c--- c:\windows\system32\dllcache\ultra.sys

2009-03-12 19:10 . 2001-08-17 21:48 11,520 --a--c--- c:\windows\system32\dllcache\twotrack.sys

2009-03-12 19:09 . 2001-08-17 22:02 230,912 --a--c--- c:\windows\system32\dllcache\tosdvd03.sys

2009-03-12 19:09 . 2008-04-14 17:05 82,944 --a--c--- c:\windows\system32\dllcache\tp4mon.exe

2009-03-12 19:09 . 2001-09-06 20:32 42,496 --a--c--- c:\windows\system32\dllcache\tp4res.dll

2009-03-12 19:09 . 2001-08-17 20:12 34,375 --a--c--- c:\windows\system32\dllcache\tpro4.sys

2009-03-12 19:09 . 2001-09-06 20:33 31,744 --a--c--- c:\windows\system32\dllcache\tp4.dll

2009-03-12 19:09 . 2001-09-06 19:50 4,992 --a--c--- c:\windows\system32\dllcache\toside.sys

2009-03-12 19:08 . 2001-08-17 22:01 241,664 --a--c--- c:\windows\system32\dllcache\tosdvd02.sys

2009-03-12 19:08 . 2001-08-17 20:51 138,528 --a--c--- c:\windows\system32\dllcache\tgiulnt5.sys

2009-03-12 19:08 . 2001-08-17 20:14 123,995 --a--c--- c:\windows\system32\dllcache\tjisdn.sys

2009-03-12 19:08 . 2001-09-06 20:33 81,408 --a--c--- c:\windows\system32\dllcache\tgiul50.dll

2009-03-12 19:08 . 2001-08-17 20:10 28,232 --a--c--- c:\windows\system32\dllcache\tos4mo.sys

2009-03-12 19:07 . 2001-09-06 20:33 172,768 --a--c--- c:\windows\system32\dllcache\t2r4disp.dll

2009-03-12 19:07 . 2008-04-13 19:40 149,376 --a--c--- c:\windows\system32\dllcache\tffsport.sys

2009-03-12 19:07 . 2001-08-17 20:13 37,961 --a--c--- c:\windows\system32\dllcache\tdk100b.sys

2009-03-12 19:07 . 2001-08-17 20:50 36,640 --a--c--- c:\windows\system32\dllcache\t2r4mini.sys

2009-03-12 19:07 . 2001-08-17 22:07 32,640 --a--c--- c:\windows\system32\dllcache\symc8xx.sys

2009-03-12 19:07 . 2001-08-17 21:49 30,464 --a--c--- c:\windows\system32\dllcache\tbatm155.sys

2009-03-12 19:07 . 2001-08-17 20:13 17,129 --a--c--- c:\windows\system32\dllcache\tdkcd31.sys

2009-03-12 19:07 . 2001-08-17 22:07 16,256 --a--c--- c:\windows\system32\dllcache\symc810.sys

2009-03-12 19:07 . 2001-08-17 21:52 7,040 --a--c--- c:\windows\system32\dllcache\tandqic.sys

2009-03-12 19:06 . 2001-08-17 21:50 103,936 --a--c--- c:\windows\system32\dllcache\sx.sys

2009-03-12 19:06 . 2001-09-06 20:33 94,293 --a--c--- c:\windows\system32\dllcache\sxports.dll

2009-03-12 19:06 . 2001-09-06 20:33 53,760 --a--c--- c:\windows\system32\dllcache\sw_wheel.dll

2009-03-12 19:06 . 2001-09-06 20:33 41,472 --a--c--- c:\windows\system32\dllcache\sw_effct.dll

2009-03-12 19:06 . 2001-08-17 22:07 30,688 --a--c--- c:\windows\system32\dllcache\sym_u3.sys

2009-03-12 19:06 . 2001-08-17 22:07 28,384 --a--c--- c:\windows\system32\dllcache\sym_hi.sys

2009-03-12 19:06 . 2008-04-13 19:46 15,232 --a--c--- c:\windows\system32\dllcache\streamip.sys

2009-03-12 19:06 . 2001-09-06 20:33 10,240 --a--c--- c:\windows\system32\dllcache\swpidflt.dll

2009-03-12 19:06 . 2001-09-06 20:33 10,240 --a--c--- c:\windows\system32\dllcache\swpdflt2.dll

2009-03-12 19:06 . 2001-08-17 22:02 3,968 --a--c--- c:\windows\system32\dllcache\swusbflt.sys

2009-03-12 19:05 . 2001-09-06 19:47 285,760 --a--c--- c:\windows\system32\dllcache\stlnata.sys

2009-03-12 19:05 . 2001-09-06 20:33 155,648 --a--c--- c:\windows\system32\dllcache\stlnprop.dll

2009-03-12 19:05 . 2001-09-06 20:33 99,328 --a--c--- c:\windows\system32\dllcache\srusd.dll

2009-03-12 19:05 . 2001-08-17 21:51 61,824 --a--c--- c:\windows\system32\dllcache\speed.sys

2009-03-12 19:05 . 2001-09-06 20:33 53,248 --a--c--- c:\windows\system32\dllcache\stlncoin.dll

2009-03-12 19:05 . 2001-08-17 20:11 48,736 --a--c--- c:\windows\system32\dllcache\srwlnd5.sys

2009-03-12 19:05 . 2001-09-06 20:33 24,660 --a--c--- c:\windows\system32\dllcache\spxupchk.dll

2009-03-12 19:05 . 2001-09-06 19:47 17,024 --a--c--- c:\windows\system32\dllcache\stcusb.sys

2009-03-12 19:04 . 2001-09-06 20:33 114,688 --a--c--- c:\windows\system32\dllcache\sonypi.dll

2009-03-12 19:04 . 2001-09-06 20:33 106,584 --a--c--- c:\windows\system32\dllcache\spdports.dll

2009-03-12 19:04 . 2001-08-17 20:51 58,368 --a--c--- c:\windows\system32\dllcache\smiminib.sys

2009-03-12 19:04 . 2001-08-17 20:51 37,040 --a--c--- c:\windows\system32\dllcache\sonypi.sys

2009-03-12 19:04 . 2001-08-17 20:51 20,752 --a--c--- c:\windows\system32\dllcache\sonync.sys

2009-03-12 19:04 . 2001-08-17 22:07 19,072 --a--c--- c:\windows\system32\dllcache\sparrow.sys

2009-03-12 19:04 . 2001-08-17 21:53 9,600 --a--c--- c:\windows\system32\dllcache\sonymc.sys

2009-03-12 19:04 . 2001-08-17 21:56 7,552 --a--c--- c:\windows\system32\dllcache\sonypvu1.sys

2009-03-12 19:04 . 2008-04-13 19:40 7,552 --a--c--- c:\windows\system32\dllcache\sonyait.sys

2009-03-12 19:04 . 2001-08-17 21:53 7,040 --a--c--- c:\windows\system32\dllcache\snyaitmc.sys

2009-03-12 19:02 . 2001-09-06 20:33 252,032 --a--c--- c:\windows\system32\dllcache\sis300iv.dll

2009-03-12 19:02 . 2001-09-06 20:33 238,592 --a--c--- c:\windows\system32\dllcache\sisgrv.dll

2009-03-12 19:02 . 2001-09-06 20:33 157,696 --a--c--- c:\windows\system32\dllcache\sisv256.dll

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-02-08 10:53 --------- d-----w c:\program\Windows Live

.

 

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UserFaultCheck"="c:\windows\system32\dumprep 0 -u" [X]

"QuickTime Task"="c:\program\QuickTime\qttask.exe" [2006-09-01 282624]

"ISUSPM Startup"="c:\program\Delade filer\InstallShield\UpdateService\isuspm.exe" [2005-08-11 249856]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\All Users\Start-meny\Program\AutostartNETGEAR WG111T Smart Wizard.lnk - c:\program\NETGEAR\WG111T\wlan111t.exe [2008-05-18 884840]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program\Windows Desktop Search\MSNLNamespaceMgr.dll" [2007-02-05 294400]

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Acrobat Assistant.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\Acrobat Assistant.lnk

backup=c:\windows\pss\Acrobat Assistant.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^HP Digital Imaging Monitor.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\HP Digital Imaging Monitor.lnk

backup=c:\windows\pss\HP Digital Imaging Monitor.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^HP Image Zone Snabbstarta.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\HP Image Zone Snabbstarta.lnk

backup=c:\windows\pss\HP Image Zone Snabbstarta.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Personal.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\Personal.lnk

backup=c:\windows\pss\Personal.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Windows Skrivbordssökning.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\Windows Skrivbordssökning.lnk

backup=c:\windows\pss\Windows Skrivbordssökning.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dell Wireless Manager UI]

c:\windows\system32\WLTRAY [X]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avast!]

--a------ 2007-12-04 14:00 79224 c:\program\ALWILS~1\Avast4\ashDisp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

--a------ 2008-04-14 17:05 15360 c:\windows\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Dell QuickSet]

--a------ 2007-02-20 11:29 1191936 c:\program\Dell\QuickSet\quickset.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dla]

--a------ 2005-05-31 04:33 122941 c:\windows\system32\dla\tfswctrl.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\HP Software Update]

--a------ 2004-09-13 14:49 49152 c:\program\HP\HP Software Update\hpwuSchd2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxhkcmd]

--a------ 2006-06-06 16:06 77824 c:\windows\system32\hkcmd.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxpers]

--a------ 2006-06-06 16:10 118784 c:\windows\system32\igfxpers.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\igfxtray]

--a------ 2006-06-06 16:09 94208 c:\windows\system32\igfxtray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSPM Startup]

--a------ 2005-08-11 14:30 249856 c:\program\Delade filer\InstallShield\UpdateService\ISUSPM.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

--a------ 2005-08-11 14:30 81920 c:\program\Delade filer\InstallShield\UpdateService\issch.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\JobHisInit]

--a------ 2001-11-16 20:23 135168 c:\program files\RMClient\JobHisInit.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MplSetUp]

--a------ 2000-11-04 20:09 40960 c:\program files\RMClient\MplSetUp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

--------- 2008-04-14 17:05 1695232 c:\program\Messenger\msmsgs.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PRISMSVR.EXE]

--a------ 2003-11-20 14:12 282713 c:\windows\system32\PRISMSVR.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPEnh]

--a------ 2004-05-14 08:35 536576 c:\program\Synaptics\SynTP\SynTPEnh.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SynTPLpr]

--a------ 2004-05-13 18:23 98304 c:\program\Synaptics\SynTP\SynTPLpr.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PMX Daemon]

--a------ 2006-06-09 11:47 47104 c:\windows\system32\ico.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program\\HP\\Digital Imaging\\bin\\hpqtra08.exe"=

"c:\\Program\\Messenger\\msmsgs.exe"=

"c:\\WINDOWS\\system32\\dplaysvr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

 

S3 bvrp_pci;bvrp_pci; [x]

S3 DNINDIS5;DNINDIS5 NDIS Protocol Driver;c:\windows\system32\DNINDIS5.sys [2008-05-18 17149]

.

.

------- Extra genomsökning -------

.

uStart Page = about:blank

TCP: {FABF5E28-6B30-488D-ADDA-096A3FCD84F9} = 195.54.122.200

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-22 12:58:12

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]

"D140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

 

- - - - - - - > 'winlogon.exe'(212)

c:\windows\System32\BCMLogon.dll

.

Sluttid: 2009-03-22 13:01:41

ComboFix-quarantined-files.txt 2009-03-22 12:01:19

ComboFix2.txt 2009-03-22 10:18:24

ComboFix3.txt 2009-03-21 20:01:35

ComboFix4.txt 2009-03-21 11:59:34

 

Före genomsökningen: 12 081 266 688 byte ledigt

Efter genomsökningen: 12,065,320,960 byte ledigt

 

261

[/log]

 

[log]Malwarebytes' Anti-Malware 1.34

Databasversion: 1863

Windows 5.1.2600 Service Pack 3

 

2009-03-22 13:19:39

mbam-log-2009-03-22 (13-19-39).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 79913

Förfluten tid: 8 minute(s), 39 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

[/log]

 

[Spellbinder]

Såg ju grymt bra ut ligger väl massa dll filer som inte hör hemma där men det är en annan saga Ska jag bocka för avast i msconfig? Vet inte ens om det är helt, han skulle nog behöva en ominstallation av den först.

 

[inlägget ändrat 2009-03-22 13:28:52 av Spellbinder]

[Cecilia]

Ja, det verkar ju bra i loggarna. Sätt igång Avast eller installera om det.

 

Kan du göra en zipp-fil av mappen C:\Qoobox och så mejla den till mig? Då kan jag skicka de filer som ComboFix tog bort nu vidare till de som utvecklar MBAM, ComboFix och antivirusprogram så att de kan uppdatera sina program. Du ser min mejl-adress när du trycker på Anv.info i underkanten av inlägget.

 

Verkar datorn helt normal nu?

Du kan ju installera en brandvägg innan du ansluter datorn till internet och sedan kan du köra Kasperskys online-skanning. Se min webbsida

http://ceblstockholm.googlepages.com/home med förslag på brandväggar och länken till online-skanningen.

 

[Spellbinder]

Datorn verkar fungera bra nu. Jag har kopierat, komprimerat och skickat en kopia av Qoobox katalogen. Har bockat för avast i msconfig och det verkar ok än så länge. Brandvägg ska jag säga till han när jag lämnar tillbaks den. Ska säga till han om Karspersky Online åckså.

 

Jag får en än gång tacka och bocka och buga för snabb effektiv hjälp Ska sätta några guldstjärnor på dig

 

[inlägget ändrat 2009-03-22 18:29:26 av Spellbinder]

[Cecilia]

Tack för poäng och guldstjärnor!

 

Nu återstår bara en sista städomgång.

[log]1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade. Du gör det genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt.

 

Systemåterställningsfunktionen slår man av och på här:

Högerklick på Den här datorn - Egenskaper - Systemåterställning

 

2. Om du har använt något fix-program, t ex ComboFix så ladda ner avinstallationsprogrammet OTCleanIt till Skrivbordet.

http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe

 

Dubbelklicka på filen för att starta programmet.

Tryck på knappen CleanUp! och de olika fix-program som du har laddat ner kommer att avinstalleras, inkl. detta program, efter en omstart av datorn. Om något fix-program är kvar efter det så fråga hur du ska ta bort det.

 

3. Ta bort alla tillfälliga filer genom att ladda ner ATF-Cleaner på Skrivbordet:

http://www.atribune.org/ccount/click.php?id=1

 

Stäng av alla andra program, särskilt webbläsare.

Dubbelklicka på ATF-Cleaner.exe för att starta programmet.

Bocka i Select All. Tryck på Empty Selected.

 

Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

 

Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

 

Tryck på Exit i Main-menyn för att stänga programmet.

 

Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.

 

4. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.

http://mnin.blogspot.com/2009/02/why-i-enjoyed-tiggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.[/log]

5. Förbättra skyddet i datorn, se mina Råd för en säkrare dator. http://ceblstockholm.googlepages.com/home

 

[Spellbinder]

Done and done! Ska vidarebefodra länlen Bockar och bugar än en gång \o/