kan inte ladda ner från windows update och acrobate reader

[christofers]

Hej!

 

Jag har problem med att ladda ner från Windows update och kan inte ladda ner Adobe acrobate reader. Det står serverfel och sen stannar nedladdningen. Jag misstänker att ett virus jag tog bort tidigare finns kvar. Tidigare kunde jag inte uppdatera mitt virusprogram och en del sidor kunde inte visas i webläsaren, som t ex Windows update. När jag tog bort viruset försvann detta problem, men som sagt kan jag fortfarande inte ladda ner Acrobate reader eller från Windows update. När jag använt Hijack this log visar den något skumt med samma filer som viruset fanns i tidigare. Mycket tacksam för hjälp! Så här ser logfilen ut:

 

 

 

[log]Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 09:11:24, on 2009-05-24

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

D:\WINDOWS\System32\smss.exe

D:\WINDOWS\system32\winlogon.exe

D:\WINDOWS\system32\services.exe

D:\WINDOWS\system32\lsass.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\system32\svchost.exe

D:\WINDOWS\System32\svchost.exe

D:\WINDOWS\Explorer.EXE

D:\WINDOWS\system32\spoolsv.exe

D:\Program Files\Analog Devices\Core\smax4pnp.exe

D:\WINDOWS\system32\hkcmd.exe

D:\WINDOWS\system32\igfxpers.exe

D:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe

D:\Program Files\ActivIdentity\ActivClient Mini\accrdsub.exe

D:\PROGRA~1\AVG\AVG8\avgtray.exe

D:\WINDOWS\system32\ctfmon.exe

D:\Program Files\Messenger\msmsgs.exe

D:\WINDOWS\system32\igfxsrvc.exe

D:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe

D:\Program Files\ActivIdentity\ActivClient Mini\acevents.exe

D:\Program Files\ActivIdentity\ActivClient Mini\acachsrv.exe

D:\Program Files\ActivIdentity\ActivClient Mini\accoca.exe

D:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

D:\PROGRA~1\AVG\AVG8\avgemc.exe

D:\PROGRA~1\AVG\AVG8\avgrsx.exe

D:\PROGRA~1\AVG\AVG8\avgnsx.exe

D:\Program Files\AVG\AVG8\avgcsrvx.exe

D:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

D:\Program Files\Hewlett-Packard\Shared\HpqToaster.exe

D:\Program Files\AVG\AVG8\avgui.exe

D:\Program Files\AVG\AVG8\avgscanx.exe

D:\Program Files\AVG\AVG8\avgcsrvx.exe

D:\Program Files\Mozilla Firefox\firefox.exe

D:\Program Files\NOS\bin\getPlus_HelperSvc.exe

D:\Program Files\NOS\bin\getPlus_HelperSvc.exe

D:\Program Files\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.hotmail.com/

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - D:\Program Files\AVG\AVG8\avgssie.dll

O2 - BHO: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - D:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL

O2 - BHO: Credential Manager for HP ProtectTools - {DF21F1DB-80C6-11D3-9483-B03D0EC10000} - D:\Program Files\Hewlett-Packard\IAM\Bin\ItIEAddIn.dll

O3 - Toolbar: AVG Security Toolbar - {A057A204-BACC-4D26-9990-79A187E2698E} - D:\PROGRA~1\AVG\AVG8\AVGTOO~1.DLL

O4 - HKLM\..\Run: [iMJPMIG8.1] "D:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32

O4 - HKLM\..\Run: [PHIME2002ASync] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

O4 - HKLM\..\Run: [PHIME2002A] D:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

O4 - HKLM\..\Run: [soundMAXPnP] D:\Program Files\Analog Devices\Core\smax4pnp.exe

O4 - HKLM\..\Run: [soundMAX] D:\Program Files\Analog Devices\SoundMAX\Smax4.exe /tray

O4 - HKLM\..\Run: [igfxTray] D:\WINDOWS\system32\igfxtray.exe

O4 - HKLM\..\Run: [HotKeysCmds] D:\WINDOWS\system32\hkcmd.exe

O4 - HKLM\..\Run: [Persistence] D:\WINDOWS\system32\igfxpers.exe

O4 - HKLM\..\Run: [hpWirelessAssistant] D:\Program Files\Hewlett-Packard\HP Wireless Assistant\HPWAMain.exe

O4 - HKLM\..\Run: [PTHOSTTR] D:\Program Files\Hewlett-Packard\HP ProtectTools Security Manager\PTHOSTTR.EXE /Start

O4 - HKLM\..\Run: [accrdsub] "D:\Program Files\ActivIdentity\ActivClient Mini\accrdsub.exe"

O4 - HKLM\..\Run: [CognizanceTS] rundll32.exe D:\PROGRA~1\HEWLET~1\IAM\Bin\ASTSVCC.dll,RegisterModule

O4 - HKLM\..\Run: [AVG8_TRAY] D:\PROGRA~1\AVG\AVG8\avgtray.exe

O4 - HKLM\..\RunOnce: [uninstall getPlus® for Adobe] "D:\Program Files\NOS\bin\getPlus_HelperSvc.exe" /UninstallGet1noarp

O4 - HKCU\..\Run: [ctfmon.exe] D:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [skype] "D:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized

O4 - HKCU\..\Run: [MSMSGS] "D:\Program Files\Messenger\msmsgs.exe" /background

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Program Files\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - D:\Program Files\Messenger\msmsgs.exe

O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - D:\Program Files\AVG\AVG8\avgpp.dll

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - D:\PROGRA~1\COMMON~1\Skype\SKYPE4~1.DLL

O20 - AppInit_DLLs: APSHook.dll

O20 - Winlogon Notify: ackpbsc - D:\Program Files\ActivIdentity\ActivClient Mini\ackpbsc.dll

O20 - Winlogon Notify: acunlock - D:\Program Files\ActivIdentity\ActivClient Mini\acunlock.dll

O20 - Winlogon Notify: avgrsstarter - D:\WINDOWS\SYSTEM32\avgrsstx.dll

O20 - Winlogon Notify: OneCard - D:\Program Files\Hewlett-Packard\IAM\Bin\ASWLNPkg.dll

O23 - Service: ActivClient Authentication Service (acachsrv) - ActivIdentity - D:\Program Files\ActivIdentity\ActivClient Mini\acachsrv.exe

O23 - Service: ActivClient Middleware Service (accoca) - ActivIdentity - D:\Program Files\ActivIdentity\ActivClient Mini\accoca.exe

O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - D:\PROGRA~1\AVG\AVG8\avgemc.exe

O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - D:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

O23 - Service: getPlus® Helper - NOS Microsystems Ltd. - D:\Program Files\NOS\bin\getPlus_HelperSvc.exe

O23 - Service: hpqwmiex - Hewlett-Packard Development Company, L.P. - D:\Program Files\Hewlett-Packard\Shared\hpqwmiex.exe

 

 

End of file - 5685 bytes

[/log]

 

[Cecilia]

När jag använt Hijack this log visar den något skumt med samma filer som viruset fanns i tidigare.

Vilka då filer?

Vad för typ av skadligt program?

Har du använt något annat än AVG för att ta bort de skadliga filerna?

 

[christofers]

Jo, alltså när jag gjorde en analys med Hijack This "analyzer" så var dessa filer "possibly nasty":

 

D:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe

 

D:\PROGRA~1\AVG\AVG8\avgemc.exe

 

Den övre av dessa två var samma ställe där jag tog bort ett virus tidigare som påverkade webläsaren. Programmet som jag lyckades ta bort viruset med var Malwarebytes´Anti-Malware. Jag har även AVG Free 8.5 installerat på datorn som dock inte kunde hitta det här viruset förra gången. Eftersom Hijack this hittade något skumt i samma fil som jag hade problem med virus innan tänkte jag att viruset kanske inte riktigt försvann. Men jag vet inte så mycket om detta.

 

Vet inte om det har någon betydelse, men dessa filer kunde inte hijack känna igen:

 

 

O2 - BHO: AskBar BHO - {201f27d4-3704-41d6-89c1-aa35e39143ed} - D:\Program Files\AskBarDis\bar\bin\askBar.dll

 

O3 - Toolbar: Ask Toolbar - {3041d03e-fd4b-44e0-b742-2d9b88305f98} - D:\Program Files\AskBarDis\bar\bin\askBar.dll

 

O4 - HKLM\..\RunOnce: [uninstall getPlus® for Adobe] "D:\Program Files\NOS\bin\getPlus_HelperSvc.exe" /UninstallGet1noarp

 

/Christofer

 

[Cecilia]

D:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe

Program från HP som har med fingeravtrycksidentifiering eller liknande.

 

D:\PROGRA~1\AVG\AVG8\avgemc.exe

Är en del av AVGs antivirusprogram.

 

AskBar/Ask Toolbar bör man avinstallera men de två raderna var inte med i HijackThis-loggen, Ask anses inte vara riktigt rumsren.

 

O4 - HKLM\..\RunOnce: [uninstall getPlus® for Adobe] "D:\Program Files\NOS\bin\getPlus_HelperSvc.exe" /UninstallGet1noarp

Inget skadligt, utan är nog som det står något som har med avinstallation av något Adobe-program (trial-version?) att göra. http://www.nosltd.com/

 

Starta Malwarebytes Anti-Malware (MBAM) på fliken Loggar så hittar du gamla loggar. Kopiera och klistra in den logg(ar), där det framgår vad MBAM tog bort från din datorn, i ditt svar.

 

[christofers]

Här är loggen från Anti-Malware:

 

[log]

Malwarebytes' Anti-Malware 1.36

Database version: 1945

Windows 5.1.2600 Service Pack 2

 

2009-05-22 20:48:04

mbam-log-2009-05-22 (20-48-04).txt

 

Scan type: Full Scan (C:\|D:\|E:\|)

Objects scanned: 75073

Time elapsed: 8 minute(s), 0 second(s)

 

Memory Processes Infected: 0

Memory Modules Infected: 0

Registry Keys Infected: 0

Registry Values Infected: 0

Registry Data Items Infected: 1

Folders Infected: 0

Files Infected: 0

 

Memory Processes Infected:

(No malicious items detected)

 

Memory Modules Infected:

(No malicious items detected)

 

Registry Keys Infected:

(No malicious items detected)

 

Registry Values Infected:

(No malicious items detected)

 

Registry Data Items Infected:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue (Hijack.System.Hidden) -> Bad: (0) Good: (1) -> Quarantined and deleted successfully.

 

Folders Infected:

(No malicious items detected)

 

Files Infected:

(No malicious items detected)

[/log]

 

Här är loggen från AVG där jag också tog bort virus nyligen:

 

[log]

"C:\MiniNT\system32\SMSS.EXE";"Virus found Win32/Alman";"Moved to Virus Vault"

"C:\MiniNT\system32\ntkrnlmp.exe";"Virus found Corrupted";"Moved to Virus Vault"

"C:\MiniNT\system32\autofmt.exe";"Virus found Win32/Alman";"Moved to Virus Vault"

"C:\MiniNT\system32\autochk.exe";"Virus found Win32/Alman";"Moved to Virus Vault"

"C:\cmdcons\system32\smss.exe";"Virus found Win32/Alman";"Moved to Virus Vault"

"C:\cmdcons\autofmt.exe";"Virus found Win32/Alman";"Moved to Virus Vault"

"C:\cmdcons\autochk.exe";"Virus found Win32/Alman";"Moved to Virus Vault"

[/log]

 

Ska jag installera om AVG då eller och kan jag ta bort detta program: D:\Program Files\Hewlett-Packard\IAM\bin\asghost.exe? Vet inte om jag behöver fingertrycksidentifiering eller inte. Jag kanske fått fel för mig om ashgost, men jag fick för mig att jag hade sett det i samband med ett virus jag hade nyligen.

 

[Cecilia]

Nej, det finns ingen anledning att vare sig installera om AVG eller ta bort asghost.exe. Ett filnamn avgör inte om en fil är skadlig eller inte utan man måste ju titta på helheten, mapp, datorfabrikat etc.

 

MBAM har endast hittat en konstig registerinställning men inget skadligt program.

 

Hmm, undrar om AVG har gjort rätt eller om den har falsklarmat. Vet du vad det är meningen att mappen C:\MiniNT ska användas till?

 

Jag föreslår att du återställer en av filerna från "virus vault" och sedan surfar du till http://www.virustotal.com bläddrar fram filen, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här.

 

Om nu det verkligen skulle vara Alman så är detta bra. Skanna datorn med Blacklight:

http://www.f-secure.com/en_EMEA/security/security-lab/tools-and-services/blacklight/ länken Download

Klistra in loggen därifrån om den hittar något.

 

[christofers]

Tyvärr vet jag inte riktigt hur man gör för att återställa någon av filerna som AVG ansåg var infekterade. De finns inte kvar i virusvault och i scan history finns inte alternativet att återställa.

 

Vet inte om detta är till någon hjälp, men jag sökte på MiniNT på internet och fick fram att mappen i386 har bytt namn till detta.

 

[Cecilia]

De finns inte kvar i virusvault

Hmm, finns de kvar på sina ursprungliga platser? Utifall att AVG misslyckades med att flytta på dem. Eller har du tömt "virus vault"?

 

Skanna datorn online på

http://www.kaspersky.com/virusscanner

Spara loggen och klistra in i ditt svar.