Virus? resycled\boot.com och 0x8104000b

[e-minor]

Hej. Jag är ganska säker på att jag fått virus på min dator, en HP Compaq 6715b med Windows XP.

 

Bland annat kommer jag inte in på Windows update över huvud taget och om jag försöker öppna C: Får jag felmeddelandet "Det går inte att hitta filen resycled\boot.com. Kontrollera att du angav rätt namn och försök igen. Du kan söka efter en fil..." jag kan dock komma in i mappen genom att skriva C: och så.

Jag har försökt installera nya msn messenger och får felmeddelandet 0x8104000b som påstår att jag inte är ansluten till internet, vilket jag är. Det var så jag upptäckte att det var något fel. Jag scannar flera gånger i veckan med adaware men jag är inte riktigt säker på vad jag letar efter. Dyker det upp något skadligt tar jag bort det, men jag vet inte hur bra adaware är. Jag scannade nyss med Hijackthis och om det är någon som kan läsa ut något vettigt från logfilen vore det schyst med hjälp.

[inlägget ändrat 2009-03-29 21:48:40 av e-minor]

[e-minor]

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:31:14, on 2009-03-29

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\ifxspmgt.exe

C:\WINDOWS\system32\ifxtcs.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\McAfee\Common Framework\FrameworkService.exe

C:\Program\McAfee\VirusScan Enterprise\Mcshield.exe

C:\Program\McAfee\VirusScan Enterprise\VsTskMgr.exe

C:\Program\PDF Complete\pdfsvc.exe

C:\WINDOWS\system32\IfxPsdSv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Hewlett-Packard\Shared\hpqWmiEx.exe

C:\Program\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Hewlett-Packard\IAM\bin\asghost.exe

C:\Program\Analog Devices\Core\smax4pnp.exe

C:\Program\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE

C:\WINDOWS\system32\AccelerometerSt.exe

C:\Program\Synaptics\SynTP\SynTPEnh.exe

C:\Program\PDF Complete\pdfsty.exe

C:\Program\Java\jre6\bin\jusched.exe

C:\Program\Roxio\Drag-to-Disc\DrgToDsc.exe

C:\Program\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe

C:\Program\McAfee\VirusScan Enterprise\SHSTAT.EXE

C:\Program\McAfee\Common Framework\UdaterUI.exe

C:\Program\McAfee\Common Framework\McTray.exe

C:\Program\Hewlett-Packard\Embedded Security Software\PSDrt.exe

C:\Program\iTunes\iTunesHelper.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\CCC.exe

C:\Program\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

C:\Program\iPod\bin\iPodService.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Vuze\Azureus.exe

C:\Program\Messenger\msmsgs.exe

C:\Program\Windows Live\Messenger\msnmsgr.exe

C:\Program\Windows Live\Messenger\msvs.exe

C:\WINDOWS\system32\RunDLL32.EXE

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: Ask Toolbar - {F0D4B239-DA4B-4daf-81E4-DFEE4931A4AA} - C:\Program\AskSBar\bar\1.bin\ASKSBAR.DLL

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [soundMAX] C:\Program\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [PTHOSTTR] C:\Program\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

O4 - HKLM\..\Run: [iFXSPMGT] C:\WINDOWS\system32\ifxspmgt.exe /NotifyLogon

O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\Program\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule

O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PDF Complete] "C:\Program\PDF Complete\pdfsty.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program\Roxio\Drag-to-Disc\DrgToDsc.exe"

O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

O4 - HKLM\..\Run: [shStatEXE] "C:\Program\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [bVRPLiveUpdate] C:\Program\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\DOCUME~1\ALLUSE~1\APPLIC~1\SONYER~1\SONYER~1\LIVEUP~1\LISTOF~1.DAT

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [startCCC] C:\Program\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\Windows Live\Messenger\msnmsgr.exe" /background

O4 - Startup: CCC.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BankID säkerhetsprogram.lnk = C:\Program\Personal\bin\Personal.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Skicka till &Bluetooth-enhet... - C:\Program\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220943677921

O20 - AppInit_DLLs: APSHook.dll hwxqhy.dll

O20 - Winlogon Notify: OneCard - C:\Program\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Drive Encryption Service (HpFkCryptService) - SafeBoot International - C:\Program\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program\Hewlett-Packard\Shared\hpqWmiEx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\ifxspmgt.exe

O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\ifxtcs.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program\McAfee\Common Framework\FrameworkService.exe

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program\McAfee\VirusScan Enterprise\Mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program\McAfee\VirusScan Enterprise\VsTskMgr.exe

O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program\PDF Complete\pdfsvc.exe

O23 - Service: Personal Secure Drive service (PersonalSecureDriveService) - Infineon Technologies AG - C:\WINDOWS\system32\IfxPsdSv.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program\Delade filer\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program\Delade filer\SureThing Shared\stllssvr.exe

O23 - Service: SWIHPWMI - Sierra Wireless Inc. - C:\Program\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe

 

--

End of file - 10050 bytes

[/log]

 

[Cecilia]

C:\Program\Vuze\Azureus.exe

Ha absolut inga fildelningsprogram igång på en infekterad dator, för det är så lätt att det sprids mer skadliga program den vägen då.

 

Kontrollpanelen - Lägg till eller ta bort program

Ta bort Ask och/eller Ask Toolbar (liknande) om de finns där, ta sedan bort mappen C:\Program\AskSBar.

 

Ladda ner Malwarebytes Anti-Malware (MBAM) från en av dessa länkar:

http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

http://projects.securitywonks.net/projects/details.php?file=158

Dubbelklicka på mbam-setup för att installera programmet.

 

[log]Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj "Utför snabb skanning" och tryck på Skanna.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan "Visa resultat".

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.

Kopiera loggen och klistra in den i ditt svar tillsammans med en ny HijackThis-logg.[/log]

 

[e-minor]

tack Cecilia, jag skannar just nu.

 

efter installationen påstod malwarebytes dock att det inte gick att uppdatera pga att jag inte är ansluten till internet, men jag är ju ansluten?

 

[e-minor]

Från Malwarebytes

 

 

[log]Malwarebytes' Anti-Malware 1.35

Databasversion: 1904

Windows 5.1.2600 Service Pack 3

 

2009-03-29 22:12:10

mbam-log-2009-03-29 (22-12-10).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 69991

Förfluten tid: 5 minute(s), 1 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 1

Infekterade registernycklar: 10

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 2

Infekterade filer: 12

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

C:\Program\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Delete on reboot.

 

Infekterade registernycklar:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\totalvid (Trojan.DNSChanger) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\totalvid (Trojan.DNSChanger) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\totalvid (Trojan.DNSChanger) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Track System (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\{NSINAME} (Trojan.Agent) -> Quarantined and deleted successfully.

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

C:\resycled (Trojan.DNSChanger) -> Quarantined and deleted successfully.

C:\Program\totalvid (Trojan.DNSChanger) -> Quarantined and deleted successfully.

 

Infekterade filer:

C:\WINDOWS\system32\msqpdxdexsacjg.dll (Trojan.TDSS) -> Quarantined and deleted successfully.

C:\Program\totalvid\Uninstall.exe (Trojan.DNSChanger) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\gaopdxserv.sys (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\msqpdxjpqpykrd.sys (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\drivers\msqpdxkvttjixb.sys (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Program\Mozilla Firefox\components\iamfamous.dll (Trojan.Agent) -> Delete on reboot.

C:\WINDOWS\Temp\tempo-033.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tempo-095.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tempo-363.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tempo-847.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tempo-BD3.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.

C:\WINDOWS\Temp\tempo-DE1.tmp (Trojan.DNSChanger) -> Quarantined and deleted successfully.

[/log]

 

 

 

 

Från Hijackthis

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 22:32:42, on 2009-03-29

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16762)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\ifxspmgt.exe

C:\WINDOWS\system32\ifxtcs.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\McAfee\Common Framework\FrameworkService.exe

C:\Program\McAfee\VirusScan Enterprise\Mcshield.exe

C:\Program\McAfee\VirusScan Enterprise\VsTskMgr.exe

C:\Program\PDF Complete\pdfsvc.exe

C:\WINDOWS\system32\IfxPsdSv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Hewlett-Packard\Shared\hpqWmiEx.exe

C:\Program\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Hewlett-Packard\IAM\bin\asghost.exe

C:\Program\Analog Devices\Core\smax4pnp.exe

C:\WINDOWS\system32\AccelerometerSt.exe

C:\Program\Synaptics\SynTP\SynTPEnh.exe

C:\Program\PDF Complete\pdfsty.exe

C:\Program\Java\jre6\bin\jusched.exe

C:\Program\Roxio\Drag-to-Disc\DrgToDsc.exe

C:\Program\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe

C:\Program\McAfee\VirusScan Enterprise\SHSTAT.EXE

C:\Program\McAfee\Common Framework\UdaterUI.exe

C:\Program\iTunes\iTunesHelper.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Windows Live\Messenger\msnmsgr.exe

C:\Program\McAfee\Common Framework\McTray.exe

C:\Program\Hewlett-Packard\Embedded Security Software\PSDrt.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

C:\Program\iPod\bin\iPodService.exe

C:\Program\Hewlett-Packard\HP ProtectTools Security Manager\PTServs.exe

C:\Program\Malwarebytes' Anti-Malware\mbam.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\system32\NOTEPAD.EXE

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre6\bin\ssv.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [soundMAX] C:\Program\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [PTHOSTTR] C:\Program\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

O4 - HKLM\..\Run: [iFXSPMGT] C:\WINDOWS\system32\ifxspmgt.exe /NotifyLogon

O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\Program\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule

O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PDF Complete] "C:\Program\PDF Complete\pdfsty.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program\Roxio\Drag-to-Disc\DrgToDsc.exe"

O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

O4 - HKLM\..\Run: [shStatEXE] "C:\Program\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [bVRPLiveUpdate] C:\Program\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\DOCUME~1\ALLUSE~1\APPLIC~1\SONYER~1\SONYER~1\LIVEUP~1\LISTOF~1.DAT

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [startCCC] C:\Program\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\Windows Live\Messenger\msnmsgr.exe" /background

O4 - Startup: CCC.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BankID säkerhetsprogram.lnk = C:\Program\Personal\bin\Personal.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Skicka till &Bluetooth-enhet... - C:\Program\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220943677921

O20 - AppInit_DLLs: APSHook.dll hwxqhy.dll

O20 - Winlogon Notify: OneCard - C:\Program\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Drive Encryption Service (HpFkCryptService) - SafeBoot International - C:\Program\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program\Hewlett-Packard\Shared\hpqWmiEx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\ifxspmgt.exe

O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\ifxtcs.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program\McAfee\Common Framework\FrameworkService.exe

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program\McAfee\VirusScan Enterprise\Mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program\McAfee\VirusScan Enterprise\VsTskMgr.exe

O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program\PDF Complete\pdfsvc.exe

O23 - Service: Personal Secure Drive service (PersonalSecureDriveService) - Infineon Technologies AG - C:\WINDOWS\system32\IfxPsdSv.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program\Delade filer\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program\Delade filer\SureThing Shared\stllssvr.exe

O23 - Service: SWIHPWMI - Sierra Wireless Inc. - C:\Program\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe

 

--

End of file - 9822 bytes

[/log]

 

[Cecilia]

Starta om datorn och se om det går att uppdatera MBAM nu och oavsett det så skanna igen.

 

[e-minor]

Jag har lyckats uppdatera och genomför nu en skanning.

 

[e-minor]

MBAM hittade ingenting när jag genomförde en full scan, men mcaffee hittar tre filer som identifieras som Vundo!grb och Generic!atr, hur får jag bort dessa? Hijack loggen ser ut som följer

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 02:40:50, on 2009-03-30

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\Program\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\ifxspmgt.exe

C:\WINDOWS\system32\ifxtcs.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\McAfee\Common Framework\FrameworkService.exe

C:\Program\McAfee\VirusScan Enterprise\Mcshield.exe

C:\Program\McAfee\VirusScan Enterprise\VsTskMgr.exe

C:\Program\PDF Complete\pdfsvc.exe

C:\WINDOWS\system32\IfxPsdSv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Hewlett-Packard\Shared\hpqWmiEx.exe

C:\Program\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Hewlett-Packard\IAM\bin\asghost.exe

C:\Program\Analog Devices\Core\smax4pnp.exe

C:\Program\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE

C:\WINDOWS\system32\AccelerometerSt.exe

C:\Program\Synaptics\SynTP\SynTPEnh.exe

C:\Program\PDF Complete\pdfsty.exe

C:\Program\Java\jre6\bin\jusched.exe

C:\Program\Roxio\Drag-to-Disc\DrgToDsc.exe

C:\Program\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe

C:\Program\McAfee\VirusScan Enterprise\SHSTAT.EXE

C:\Program\McAfee\Common Framework\UdaterUI.exe

C:\Program\iTunes\iTunesHelper.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\Program\Windows Live\Messenger\msnmsgr.exe

C:\Program\Hewlett-Packard\Embedded Security Software\PSDrt.exe

C:\Program\McAfee\Common Framework\McTray.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Program\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

C:\Program\iPod\bin\iPodService.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\Program\Windows Live\Contacts\wlcomm.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\iTunes\iTunes.exe

C:\Program\Last.fm\LastFM.exe

C:\Program\Hewlett-Packard\Shared\HpqToaster.exe

C:\Program\Spotify\spotify.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre6\bin\ssv.dll

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [soundMAX] C:\Program\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [PTHOSTTR] C:\Program\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

O4 - HKLM\..\Run: [iFXSPMGT] C:\WINDOWS\system32\ifxspmgt.exe /NotifyLogon

O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\Program\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule

O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PDF Complete] "C:\Program\PDF Complete\pdfsty.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program\Roxio\Drag-to-Disc\DrgToDsc.exe"

O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

O4 - HKLM\..\Run: [shStatEXE] "C:\Program\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [bVRPLiveUpdate] C:\Program\Avanquest update\Engine\Setup.exe -s /PATCH,/SRCUPDATEC:\DOCUME~1\ALLUSE~1\APPLIC~1\SONYER~1\SONYER~1\LIVEUP~1\LISTOF~1.DAT

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [startCCC] C:\Program\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\Windows Live\Messenger\msnmsgr.exe" /background

O4 - Startup: CCC.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BankID säkerhetsprogram.lnk = C:\Program\Personal\bin\Personal.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Skicka till &Bluetooth-enhet... - C:\Program\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220943677921

O20 - AppInit_DLLs: APSHook.dll hwxqhy.dll

O20 - Winlogon Notify: OneCard - C:\Program\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Drive Encryption Service (HpFkCryptService) - SafeBoot International - C:\Program\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program\Hewlett-Packard\Shared\hpqWmiEx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\ifxspmgt.exe

O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\ifxtcs.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program\McAfee\Common Framework\FrameworkService.exe

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program\McAfee\VirusScan Enterprise\Mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program\McAfee\VirusScan Enterprise\VsTskMgr.exe

O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program\PDF Complete\pdfsvc.exe

O23 - Service: Personal Secure Drive service (PersonalSecureDriveService) - Infineon Technologies AG - C:\WINDOWS\system32\IfxPsdSv.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program\Delade filer\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program\Delade filer\SureThing Shared\stllssvr.exe

O23 - Service: SWIHPWMI - Sierra Wireless Inc. - C:\Program\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe

 

--

End of file - 10034 bytes

[/log]

 

[Cecilia]

I vilka filer och mappar hittade McAfee de tre filerna? Det borde framgå av någon logg eller synas i karantänen.

 

Det är en infektion som kan spridas via USB-minnen, externa hårddiskar, iPods etc. Har något sådant varit anslutet medan datorn har varit infekterad eller kan det ha varit något sådant som smittade ner datorn? Dvs är det något sådant som behöver rensas också.

 

Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

[log]Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.[/log]

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

 

[e-minor]

Jag har något som heter McAfee VirusScan Enterprise 8.5.0i, så det finns inget "exit". Om jag väljer inaktivera så är det väl brandväggen som inte är igång, eller? Så här ser det ut om jag högerklickar.

 

http://img140.imageshack.us/img140/1894/mcafee.png

 

Jag är ganska säker på att det är min externa hårddisk, som innehåller allt jag äger, som är orsaken till viruset. Jag har försökt scanna den men Malwarebytes hängde sig bara, jag ska skrota den så fort jag införskaffat en ny.

 

 

 

[e-minor]

Jag har något som heter McAfee VirusScan Enterprise 8.5.0i, så det finns inget "exit". Om jag väljer inaktivera så är det väl brandväggen som inte är igång, eller? Så här ser det ut om jag högerklickar.

 

 

Jag är ganska säker på att det är min externa hårddisk, som innehåller allt jag äger, som är orsaken till viruset. Jag har försökt scanna den men Malwarebytes hängde sig bara, jag ska skrota den så fort jag införskaffat en ny.

 

 

[bild bifogad 2009-03-30 21:45:46 av e-minor]

[Cecilia]

Är det en företagsdator eftersom du har en företagsversion av McAfee?

I så fall är inte MBAM gratis och ska i så fall avinstalleras genast om du inte betalar för den.

 

Så vitt jag kan förstå så ska du välja "Inaktivera sökning vid användning" för att stänga av antivirusprogrammet.

 

Ladda ner Flash Disinfector by sUBs till Skrivbordet:

http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

 

Dubbelklicka på den nedladdade filen för att starta programmet.

Följ de anvisningar som kommer upp.

 

När det står att du ska sätta in flash-diskar så stoppar du in de USB-minnen, extern hårddisk etc som kan tänkas vara infekterade.

När allt är klart så avsluta programmet och starta om datorn.

 

Har den externa hårddisken etc, som kan tänkas vara smittad, varit ansluten till någon annan dator?

 

[e-minor]

Min sambos pappa har köpt datorn genom sitt företag, men den används för privat bruk och inget annat av mig och min sambo. Så det borde väl inte vara några problem?

 

Den externa hårddisken har varit ansluten till en tidigare dator ja, som kasserats.

 

Jag ska testa Flash disinfector.

 

[Cecilia]

Min sambos pappa har köpt datorn genom sitt företag, men den används för privat bruk och inget annat av mig och min sambo. Så det borde väl inte vara några problem?

Då ska det vara enligt MBAMs licensvillkor.

 

Den externa hårddisken har varit ansluten till en tidigare dator ja, som kasserats.

Då lär ju inte den datorn behöva rensas på skadliga program i alla fall.

 

[e-minor]

Flash disinfector hittade ingenting på hårddisken, vilket jag tycker är konstigt, för jag är ganska säker på att det är något allvarligt fel på den, men den kanske kan vara dålig för datorn utan att ha virus?

 

Loggen från Combofix:

 

[log]ComboFix 09-03-29.02 - Breda1 2009-03-31 16:15:57.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1053.18.1919.1352 [GMT 2:00]

Körs från: c:\documents and settings\Breda1\Skrivbord\ComboFix.exe

AV: McAfee VirusScan Enterprise *On-access scanning disabled* (Updated)

* Skapade en ny återställningspunkt

.

 

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\bKkQYJlm.ini

c:\windows\system32\bKkQYJlm.ini2

 

.

(((((((((((((((((((((((( Filer Skapade från 2009-02-28 till 2009-03-31 ))))))))))))))))))))))))))))))

.

 

2009-03-29 22:41 . 2009-03-29 22:41 <KAT> d-------- c:\program\Windows Live SkyDrive

2009-03-29 22:41 . 2009-03-29 22:41 <KAT> d-------- c:\program\Microsoft

2009-03-29 22:05 . 2009-03-29 22:05 <KAT> d-------- c:\program\Malwarebytes' Anti-Malware

2009-03-29 22:05 . 2009-03-29 22:05 <KAT> d-------- c:\documents and settings\Breda1\Application Data\Malwarebytes

2009-03-29 22:05 . 2009-03-29 22:05 <KAT> d-------- c:\documents and settings\All Users\Application Data\Malwarebytes

2009-03-29 22:05 . 2009-03-26 16:49 38,496 --a------ c:\windows\system32\drivers\mbamswissarmy.sys

2009-03-29 22:05 . 2009-03-26 16:49 15,504 --a------ c:\windows\system32\drivers\mbam.sys

2009-03-29 21:30 . 2009-03-29 21:30 <KAT> d-------- c:\program\Trend Micro

2009-03-29 17:46 . 2009-03-31 16:20 <KAT> d-------- c:\documents and settings\Breda1\Tracing

2009-03-28 16:42 . 2009-03-28 16:42 <KAT> d-------- c:\program\iPod

2009-03-28 16:42 . 2009-03-28 16:42 <KAT> d-------- c:\documents and settings\All Users\Application Data\{00D89592-F643-4D8D-8F0F-AFAE0F14D4C3}

2009-03-28 16:40 . 2009-03-28 16:40 <KAT> d-------- c:\program\Bonjour

2009-03-28 16:39 . 2009-03-28 16:39 <KAT> d-------- c:\program\QuickTime

2009-03-28 16:37 . 2009-03-06 00:59 1,900,544 --a------ c:\windows\system32\usbaaplrc.dll

2009-03-28 00:29 . 2009-03-28 00:29 <KAT> d-------- c:\documents and settings\Breda1\cbt

2009-03-28 00:20 . 2009-03-28 00:20 <KAT> d-------- c:\documents and settings\Breda1\Application Data\Personal

2009-03-28 00:19 . 2009-03-28 00:19 <KAT> d-------- c:\program\Personal

2009-03-10 22:25 . 2009-03-10 22:25 <KAT> d-------- c:\program\Delade filer\Windows Live

2009-03-07 23:48 . 2008-05-16 12:33 120,744 --a------ c:\windows\system32\drivers\s0016mdm.sys

2009-03-07 23:48 . 2008-05-16 12:33 115,752 --a------ c:\windows\system32\drivers\s0016unic.sys

2009-03-07 23:48 . 2008-05-16 12:33 114,216 --a------ c:\windows\system32\drivers\s0016mgmt.sys

2009-03-07 23:48 . 2008-05-16 12:33 110,632 --a------ c:\windows\system32\drivers\s0016obex.sys

2009-03-07 23:48 . 2008-05-16 12:33 89,256 --a------ c:\windows\system32\drivers\s0016bus.sys

2009-03-07 23:48 . 2008-05-16 12:33 25,512 --a------ c:\windows\system32\drivers\s0016nd5.sys

2009-03-07 23:48 . 2008-05-16 12:33 15,016 --a------ c:\windows\system32\drivers\s0016mdfl.sys

2009-03-07 23:48 . 2008-05-16 12:33 12,200 --a------ c:\windows\system32\drivers\s0016whnt.sys

2009-03-07 23:48 . 2008-05-16 12:33 12,200 --a------ c:\windows\system32\drivers\s0016wh.sys

2009-03-07 23:48 . 2008-05-16 12:33 12,200 --a------ c:\windows\system32\drivers\s0016cmnt.sys

2009-03-07 23:48 . 2008-05-16 12:33 12,200 --a------ c:\windows\system32\drivers\s0016cm.sys

2009-03-07 23:48 . 2008-05-16 12:33 10,792 --a------ c:\windows\system32\drivers\s0016cr.sys

2009-02-06 21:40 . 2009-02-06 21:40 <KAT> d-------- c:\program\Spotify

2009-02-06 21:40 . 2009-03-30 23:54 <KAT> d-------- c:\documents and settings\Breda1\Application Data\Spotify

2009-02-06 18:52 . 2009-02-06 18:52 49,504 --a------ c:\windows\system32\sirenacm.dll

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-03-29 20:43 --------- d-----w c:\program\Windows Live

2009-03-29 19:56 --------- d-----w c:\program\Vuze

2009-03-29 19:55 --------- d-----w c:\documents and settings\Breda1\Application Data\Azureus

2009-03-29 11:37 --------- d-----w c:\program\Windows Live Toolbar

2009-03-28 14:42 --------- d-----w c:\program\iTunes

2009-03-28 14:42 --------- d-----w c:\program\Delade filer\Apple

2009-03-28 11:48 --------- d-----w c:\program\Last.fm

2009-03-07 21:47 --------- d--h--w c:\program\InstallShield Installation Information

2009-03-07 21:46 --------- d-----w c:\program\Avanquest update

2009-03-05 22:59 36,864 ----a-w c:\windows\system32\drivers\usbaapl.sys

2007-06-21 17:38 30,280 ----a-w c:\program\mozilla firefox\plugins\cgpcfg.dll

2007-06-21 17:38 79,432 ----a-w c:\program\mozilla firefox\plugins\CgpCore.dll

2007-06-21 17:38 71,240 ----a-w c:\program\mozilla firefox\plugins\confmgr.dll

2007-06-21 17:38 140,872 ----a-w c:\program\mozilla firefox\plugins\ctxmui.dll

2007-06-21 17:39 38,472 ----a-w c:\program\mozilla firefox\plugins\icafile.dll

2007-06-21 17:39 46,664 ----a-w c:\program\mozilla firefox\plugins\icalogon.dll

2007-06-21 17:39 34,376 ----a-w c:\program\mozilla firefox\plugins\logging.dll

2007-06-21 17:39 685,640 ----a-w c:\program\mozilla firefox\plugins\sslsdk_b.dll

2007-06-21 17:40 30,280 ----a-w c:\program\mozilla firefox\plugins\TcpPServ.dll

.

 

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"StartCCC"="c:\program\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2006-11-10 90112]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"MsnMsgr"="c:\program\Windows Live\Messenger\msnmsgr.exe" [2009-02-06 3885408]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMAXPnP"="c:\program\Analog Devices\Core\smax4pnp.exe" [2007-01-05 872448]

"PTHOSTTR"="c:\program\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE" [2007-01-09 145184]

"IFXSPMGT"="c:\windows\system32\ifxspmgt.exe" [2007-05-23 677408]

"CognizanceTS"="c:\program\HEWLET~1\IAM\Bin\ASTSVCC.dll" [2003-12-22 17920]

"AccelerometerSysTrayApplet"="c:\windows\system32\AccelerometerSt.exe" [2007-01-24 124928]

"SynTPEnh"="c:\program\Synaptics\SynTP\SynTPEnh.exe" [2007-01-12 827392]

"PDF Complete"="c:\program\PDF Complete\pdfsty.exe" [2007-05-08 331552]

"SunJavaUpdateSched"="c:\program\Java\jre6\bin\jusched.exe" [2008-12-18 136600]

"RoxioDragToDisc"="c:\program\Roxio\Drag-to-Disc\DrgToDsc.exe" [2006-11-08 1116920]

"QlbCtrl"="c:\program\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2007-11-06 177456]

"ShStatEXE"="c:\program\McAfee\VirusScan Enterprise\SHSTAT.EXE" [2006-11-30 112216]

"McAfeeUpdaterUI"="c:\program\McAfee\Common Framework\UdaterUI.exe" [2006-11-17 136768]

"QuickTime Task"="c:\program\QuickTime\QTTask.exe" [2009-01-05 413696]

"iTunesHelper"="c:\program\iTunes\iTunesHelper.exe" [2009-03-12 342312]

 

c:\documents and settings\Breda1\Start-meny\Program\AutostartCCC.lnk - c:\program\ATI Technologies\ATI.ACE\Core-Static\CCC.exe [2006-09-29 49152]

 

c:\documents and settings\All Users\Start-meny\Program\AutostartAdobe Gamma Loader.exe.lnk - c:\program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe [2009-01-06 113664]

BankID s„kerhetsprogram.lnk - c:\program\Personal\bin\Personal.exe [2009-03-28 939536]

BTTray.lnk - c:\program\WIDCOMM\Bluetooth Software\BTTray.exe [2007-02-06 561213]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OneCard]

2007-02-07 03:30 74240 c:\program\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=APSHook.dll

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Notification Packages REG_MULTI_SZ SbHpNp scecli ASWLNPkg

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program\\McAfee\\Common Framework\\FrameworkService.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program\\Spotify\\spotify.exe"=

"c:\\Program\\Messenger\\msmsgs.exe"=

"c:\\Program\\Bonjour\\mDNSResponder.exe"=

"c:\\Program\\iTunes\\iTunes.exe"=

"c:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=

 

R0 SafeBoot;SafeBoot;c:\windows\system32\drivers\SafeBoot.sys [2007-02-07 100495]

R0 SbAlg;SbAlg;c:\windows\system32\drivers\SbAlg.sys [2006-10-09 44720]

R0 SbFsLock;SbFsLock;c:\windows\system32\drivers\SbFsLock.sys [2007-03-29 13696]

R1 PersonalSecureDrive;PersonalSecureDrive;c:\windows\system32\drivers\psd.sys [2007-04-18 39080]

R1 RsvLock;RsvLock;c:\windows\system32\drivers\rsvlock.sys [2007-02-07 5808]

R2 ASBroker;Logon Session Broker;c:\windows\System32\svchost.exe -k Cognizance [2006-03-02 14336]

R2 ASChannel;Local Communication Channel;c:\windows\System32\svchost.exe -k Cognizance [2006-03-02 14336]

R2 HpFkCryptService;Drive Encryption Service;c:\program\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe [2007-03-29 221184]

R2 pdfcDispatcher;PDF Document Manager;c:\program\PDF Complete\pdfsvc.exe [2008-09-08 540448]

R2 SWIHPWMI;SWIHPWMI;c:\program\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe [2006-12-04 292384]

R3 IFXTPM;IFXTPM;c:\windows\system32\drivers\ifxtpm.sys [2008-09-08 41216]

S3 b3d7fc51-c425-4e72-9874-dcac06149609;b3d7fc51-c425-4e72-9874-dcac06149609;\??\d:\player\cds300.dll --> d:\player\cds300.dll [?]

S3 HP24X;HP PC Card Smart Card Reader;c:\windows\system32\drivers\HP24X.sys [2008-09-08 33024]

S3 s0016bus;Sony Ericsson Device 0016 driver (WDM);c:\windows\system32\drivers\s0016bus.sys [2009-03-07 89256]

S3 s0016mdfl;Sony Ericsson Device 0016 USB WMC Modem Filter;c:\windows\system32\drivers\s0016mdfl.sys [2009-03-07 15016]

S3 s0016mdm;Sony Ericsson Device 0016 USB WMC Modem Driver;c:\windows\system32\drivers\s0016mdm.sys [2009-03-07 120744]

S3 s0016mgmt;Sony Ericsson Device 0016 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\s0016mgmt.sys [2009-03-07 114216]

S3 s0016nd5;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (NDIS);c:\windows\system32\drivers\s0016nd5.sys [2009-03-07 25512]

S3 s0016obex;Sony Ericsson Device 0016 USB WMC OBEX Interface;c:\windows\system32\drivers\s0016obex.sys [2009-03-07 110632]

S3 s0016unic;Sony Ericsson Device 0016 USB Ethernet Emulation SEMC0016 (WDM);c:\windows\system32\drivers\s0016unic.sys [2009-03-07 115752]

S3 se3ebus;Sony Ericsson Device 062 (WDM);c:\windows\system32\drivers\se3ebus.sys [2008-11-21 83080]

S3 se3emdfl;Sony Ericsson Device 062 USB WMC Modem Filter;c:\windows\system32\drivers\se3emdfl.sys [2008-11-21 15112]

S3 se3emdm;Sony Ericsson Device 062 USB WMC Modem Driver;c:\windows\system32\drivers\se3emdm.sys [2008-11-21 108552]

S3 se3emgmt;Sony Ericsson Device 062 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\se3emgmt.sys [2008-11-21 100360]

S3 se3eobex;Sony Ericsson Device 062 USB WMC OBEX Interface;c:\windows\system32\drivers\se3eobex.sys [2008-11-21 98568]

S3 TdsNordecr;Nordea NCR1 SmartCard Reader;c:\windows\system32\drivers\nordecr.sys [2007-10-30 23040]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

Cognizance REG_MULTI_SZ ASBroker ASChannel

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\ccc-core-static]

msiexec /fums {09258F12-48E7-B18E-C414-1F48C215685F} /qb

.

Innehållet i mappen 'Schemalagda aktiviteter':

 

2009-03-28 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program\Apple Software Update\SoftwareUpdate.exe [2008-07-30 12:34]

.

- - - - FÖRÄLDRALÖSA POSTER SOM TAGITS BORT - - - -

 

HKLM-Run-BVRPLiveUpdate - c:\program\Avanquest update\Engine\Setup.exe

 

 

.

------- Extra genomsökning -------

.

uInternet Settings,ProxyOverride = *.local

IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Skicka till &Bluetooth-enhet... - c:\program\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

FF - ProfilePath - c:\documents and settings\Breda1\Application Data\Mozilla\Firefox\Profiles\amx5qhga.defaultFF - prefs.js: browser.search.defaulturl - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=

FF - prefs.js: browser.startup.homepage - hxxp://go.microsoft.com/fwlink/?LinkId=69157

FF - prefs.js: keyword.URL - hxxp://search.live.com/results.aspx?FORM=IEFM1&q=

FF - plugin: c:\documents and settings\Breda1\Application Data\Mozilla\Firefox\Profiles\amx5qhga.default\extensions\moveplayer@movenetworks.com\platform\WINNT_x86-msvc\plugins\npmnqmp071101000055.dll

FF - plugin: c:\program\Mozilla Firefox\plugins\npicaN.dll

FF - plugin: c:\program\Personal\bin\np_prsnl.dll

 

---- FIREFOX POLICY ----

c:\program\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

.

 

**************************************************************************

 

catchme 0.3.1375 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-03-31 16:22:42

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\pdfcDispatcher]

"ImagePath"="c:\program\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService"

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h–€|ÿÿÿÿ¤•€|ù•6~*]

"D140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

 

- - - - - - - > 'winlogon.exe'(944)

c:\windows\system32\Ati2evxx.dll

c:\program\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

c:\program\Hewlett-Packard\IAM\bin\ItMsg.dll

c:\windows\SbHpNp.DLL

c:\program\Hewlett-Packard\IAM\Bin\TrayIcon.dll

c:\program\Hewlett-Packard\IAM\bin\HPBrand.dll

c:\program\Hewlett-Packard\IAM\Bin\ASChnl.dll

 

- - - - - - - > 'lsass.exe'(1000)

c:\windows\SbHpNp.dll

c:\program\Hewlett-Packard\IAM\bin\ASWLNPkg.dll

c:\program\Hewlett-Packard\IAM\bin\ItMsg.dll

.

------------------------ Andra processer som körs ------------------------

.

c:\windows\system32\ati2evxx.exe

c:\program\WIDCOMM\Bluetooth Software\bin\btwdins.exe

c:\windows\system32\ati2evxx.exe

c:\program\Lavasoft\Ad-Aware\aawservice.exe

c:\windows\system32\scardsvr.exe

c:\program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program\Bonjour\mDNSResponder.exe

c:\windows\system32\drivers\CDAC11BA.EXE

c:\windows\system32\IFXTCS.exe

c:\program\Java\jre6\bin\jqs.exe

c:\program\McAfee\Common Framework\FrameworkService.exe

c:\program\McAfee\VirusScan Enterprise\Mcshield.exe

c:\program\McAfee\VirusScan Enterprise\VsTskMgr.exe

c:\program\McAfee\Common Framework\naPrdMgr.exe

c:\windows\system32\IfxPsdSv.exe

c:\program\Hewlett-Packard\Shared\hpqwmiex.exe

c:\program\Hewlett-Packard\IAM\Bin\asghost.exe

c:\program\Hewlett-Packard\Embedded Security Software\PSDrt.exe

c:\program\McAfee\Common Framework\Mctray.exe

c:\program\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

c:\program\ATI Technologies\ATI.ACE\Core-Static\MOM.exe

c:\program\iPod\bin\iPodService.exe

.

**************************************************************************

.

Sluttid: 2009-03-31 16:25:10 - datorn startades om.

ComboFix-quarantined-files.txt 2009-03-31 14:25:07

 

Före genomsökningen: 42 795 200 512 byte ledigt

Efter genomsökningen: 42,890,739,712 byte ledigt

 

WindowsXP-KB310994-SP2-Pro-BootDisk-SVE.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect /usepmtimer

 

238 --- E O F --- 2009-03-29 21:36:20

[/log]

 

[Cecilia]

Den externa hårddisken kan ju hålla på och gå sönder. Testa hårddisken med det testprogram som tillverkaren av den har på sin webbplats. Om du inte vet vilken tillverkare det är av hårddisken så kan man ofta få fram det genom att titta i Enhetshanteraren (högerklick på Den här datorn - Hantera), där brukar det stå åtminstone ett artikelnummer för hårddisken som man kan googla på för att få fram tillverkaren.

 

Det är oftare lättare att gå via sidan http://www.tacktech.com/display.cfm?ttid=287 för att hitta testprogrammet än att leta på tillverkarens webbplats.

 

Hur går det med Windows Update och öppnande av C: nu?

 

[e-minor]

Okej, ska kolla upp det.

 

 

Dina instruktioner verkar ha hjälpt, windows update och C: funkar som det ska nu. Tack så jättemycket för det

 

 

Dock fortsätter Vundo!grb att dyka upp i McAfee.

 

[Cecilia]

Kul att datorn verkar må bättre!

 

Skanna igenom datorn med McAfee och så skriver du här vilka filer som McAfee anser vara infekterade och i vilka mappar de finns.

 

[e-minor]

Här finns de:

 

2009-03-31 17:52:59 1027 Breda1 c:\System Volume Information\_restore{E2AD3FC9-0E33-4D5B-B136-3DDDAF81E6D5}\RP148\A0045562.ini Vundo!grb

2009-03-31 17:53:02 1027 Breda1 c:\System Volume Information\_restore{E2AD3FC9-0E33-4D5B-B136-3DDDAF81E6D5}\RP148\A0045563.ini Vundo!grb

 

[Cecilia]

C:\System Volume Information\_restore är stället där systemåterställningsfunktionen lagrar olika systemåterställningspunkter. Det betyder att medan din dator var infekterad så skapade Windows en systemåterställningspunkt. Så länge som de skadliga filerna ligger i den mappen så är de ofarliga. Däremot så om du återställer till en tidpunkt då datorn var infekterad så blir även de skadliga filerna återställda.

 

Du kan ta bort samtliga systemåterställningspunkter genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt.

Systemåterställningsfunktionen slår man av och på här:

Högerklick på Den här datorn - Egenskaper - Systemåterställning

 

Uppdatera och sök med MBAM och så klistra in en ny HijackThis-logg för en sista koll.

 

[e-minor]

Okej, här är senaste logge:

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:07:06, on 2009-04-01

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.6000.16791)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\WIDCOMM\Bluetooth Software\bin\btwdins.exe

C:\Program\Lavasoft\Ad-Aware\aawservice.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\drivers\CDAC11BA.EXE

C:\WINDOWS\system32\ifxspmgt.exe

C:\WINDOWS\system32\ifxtcs.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\McAfee\Common Framework\FrameworkService.exe

C:\Program\McAfee\VirusScan Enterprise\Mcshield.exe

C:\Program\McAfee\VirusScan Enterprise\VsTskMgr.exe

C:\Program\PDF Complete\pdfsvc.exe

C:\WINDOWS\system32\IfxPsdSv.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Hewlett-Packard\Shared\hpqWmiEx.exe

C:\Program\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Hewlett-Packard\IAM\bin\asghost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\Program\Analog Devices\Core\smax4pnp.exe

C:\Program\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE

C:\WINDOWS\system32\AccelerometerSt.exe

C:\Program\Synaptics\SynTP\SynTPEnh.exe

C:\Program\PDF Complete\pdfsty.exe

C:\Program\Java\jre6\bin\jusched.exe

C:\Program\Roxio\Drag-to-Disc\DrgToDsc.exe

C:\Program\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe

C:\Program\McAfee\VirusScan Enterprise\SHSTAT.EXE

C:\Program\McAfee\Common Framework\UdaterUI.exe

C:\Program\McAfee\Common Framework\McTray.exe

C:\Program\iTunes\iTunesHelper.exe

C:\Program\Hewlett-Packard\Embedded Security Software\PSDrt.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\MOM.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Windows Live\Messenger\msnmsgr.exe

C:\Program\WIDCOMM\Bluetooth Software\BTTray.exe

C:\Program\WIDCOMM\BLUETO~1\BTSTAC~1.EXE

C:\Program\iPod\bin\iPodService.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program\ATI Technologies\ATI.ACE\Core-Static\ccc.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program\VideoLAN\VLC\vlc.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Java\jre6\bin\jucheck.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Java Plug-In SSV Helper - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre6\bin\ssv.dll

O2 - BHO: scriptproxy - {7DB2D5A0-7241-4E79-B68D-6309F01C5231} - C:\Program\McAfee\VirusScan Enterprise\scriptcl.dll

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [soundMAXPnP] C:\Program\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [PTHOSTTR] C:\Program\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

O4 - HKLM\..\Run: [iFXSPMGT] C:\WINDOWS\system32\ifxspmgt.exe /NotifyLogon

O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe C:\Program\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule

O4 - HKLM\..\Run: [AccelerometerSysTrayApplet] C:\WINDOWS\system32\AccelerometerSt.exe

O4 - HKLM\..\Run: [synTPEnh] C:\Program\Synaptics\SynTP\SynTPEnh.exe

O4 - HKLM\..\Run: [PDF Complete] "C:\Program\PDF Complete\pdfsty.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre6\bin\jusched.exe"

O4 - HKLM\..\Run: [RoxioDragToDisc] "C:\Program\Roxio\Drag-to-Disc\DrgToDsc.exe"

O4 - HKLM\..\Run: [QlbCtrl] %ProgramFiles%\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe /Start

O4 - HKLM\..\Run: [shStatEXE] "C:\Program\McAfee\VirusScan Enterprise\SHSTAT.EXE" /STANDALONE

O4 - HKLM\..\Run: [McAfeeUpdaterUI] "C:\Program\McAfee\Common Framework\UdaterUI.exe" /StartedFromRunKey

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"

O4 - HKCU\..\Run: [startCCC] C:\Program\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\Windows Live\Messenger\msnmsgr.exe" /background

O4 - Startup: CCC.lnk = ?

O4 - Global Startup: Adobe Gamma Loader.exe.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe

O4 - Global Startup: BankID säkerhetsprogram.lnk = C:\Program\Personal\bin\Personal.exe

O4 - Global Startup: BTTray.lnk = ?

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O8 - Extra context menu item: Skicka till &Bluetooth-enhet... - C:\Program\WIDCOMM\Bluetooth Software\btsendto_ie_ctx.htm

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: @btrez.dll,-4015 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra 'Tools' menuitem: @btrez.dll,-12650 - {CCA281CA-C863-46ef-9331-5C8D4460577F} - C:\Program\WIDCOMM\Bluetooth Software\btsendto_ie.htm

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5) - http://upload.facebook.com/controls/FacebookPhotoUploader5.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1220943677921

O20 - AppInit_DLLs: APSHook.dll

O20 - Winlogon Notify: OneCard - C:\Program\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program\Lavasoft\Ad-Aware\aawservice.exe

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: Bluetooth Service (btwdins) - Broadcom Corporation. - C:\Program\WIDCOMM\Bluetooth Software\bin\btwdins.exe

O23 - Service: C-DillaCdaC11BA - Macrovision - C:\WINDOWS\system32\drivers\CDAC11BA.EXE

O23 - Service: Drive Encryption Service (HpFkCryptService) - SafeBoot International - C:\Program\Hewlett-Packard\Drive Encryption\HpFkCrypt.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - C:\Program\Hewlett-Packard\Shared\hpqWmiEx.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Roxio\Roxio MyDVD Basic v9\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: Security Platform Management Service (IFXSpMgtSrv) - Infineon Technologies AG - C:\WINDOWS\system32\ifxspmgt.exe

O23 - Service: Trusted Platform Core Service (IFXTCS) - Infineon Technologies AG - C:\WINDOWS\system32\ifxtcs.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: McAfee Framework Service (McAfeeFramework) - McAfee, Inc. - C:\Program\McAfee\Common Framework\FrameworkService.exe

O23 - Service: McAfee McShield (McShield) - McAfee, Inc. - C:\Program\McAfee\VirusScan Enterprise\Mcshield.exe

O23 - Service: McAfee Task Manager (McTaskManager) - McAfee, Inc. - C:\Program\McAfee\VirusScan Enterprise\VsTskMgr.exe

O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program\PDF Complete\pdfsvc.exe

O23 - Service: Personal Secure Drive service (PersonalSecureDriveService) - Infineon Technologies AG - C:\WINDOWS\system32\IfxPsdSv.exe

O23 - Service: RoxMediaDB9 - Sonic Solutions - C:\Program\Delade filer\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program\Delade filer\SureThing Shared\stllssvr.exe

O23 - Service: SWIHPWMI - Sierra Wireless Inc. - C:\Program\HPQ\Shared\Sierra Wireless\Win32\Unicode\SWIHPWMI.exe

 

--

End of file - 9890 bytes[/log]

 

[Cecilia]

Jag tror att det är en gammal Java-version med säkerhetshål i datorn. Jag rekommenderar dig att installera en ny från http://www.java.com/sv/ och därefter avinstallera alla Java och J2SE utom den senaste i Kontrollpanelen - Lägg till eller ta bort program (inga webbläsare igång).

 

Jag såg inget skadligt i den loggen.

 

Nu återstår bara en sista städomgång.

[log]1. Om du har använt något fix-program, t ex ComboFix så ladda ner avinstallationsprogrammet OTCleanIt till Skrivbordet.

http://download.bleepingcomputer.com/oldtimer/OTCleanIt.exe

 

Dubbelklicka på filen för att starta programmet.

Tryck på knappen CleanUp! och de olika fix-program som du har laddat ner kommer att avinstalleras, inkl. detta program, efter en omstart av datorn. Om något fix-program är kvar efter det så fråga hur du ska ta bort det.

 

2. Ta bort alla tillfälliga filer genom att ladda ner ATF-Cleaner på Skrivbordet:

http://www.atribune.org/ccount/click.php?id=1

 

Stäng av alla andra program, särskilt webbläsare.

Dubbelklicka på ATF-Cleaner.exe för att starta programmet.

Bocka i Select All. Tryck på Empty Selected.

 

Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

 

Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

 

Tryck på Exit i Main-menyn för att stänga programmet.

 

Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.

 

3. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.

http://mnin.blogspot.com/2009/02/why-i-enjoyed-tiggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.[/log]

4. Förbättra skyddet i datorn, se mina Råd för en säkrare dator. http://ceblstockholm.googlepages.com/home