Just nu i M3-nätverket
Jump to content

Boot-problem med XP


Pelleman Jensen

Recommended Posts

BSOD = Blue Screen of Death = blåskärm

 

Dumpcheck eller något liknande är väl vad Zipp brukar använda för att kolla vad en möjlig orsak till blåskärmen är.

 

Det finns ingen anledning att ändra något i registret.

 

Vilken dump-typ har du ställt in?

I vilken mapp ska den hamna?

När startade du senast Studio-systemet i normalt läge så att det blev en blåskärm?

Vet du hur mycket virtuellt minne som du har ställt in i Studiosystemet eller vet du om du har stängt av användningen av virtuellt minne?

Om du inte vet kolla här:

Kontrollpanelen - System - Avancerat - Prestanda Inställningar - Avancerat

Virtuellt minne Ändra

Link to comment
Share on other sites

  • Replies 52
  • Created
  • Last Reply
Pelleman Jensen

BSOD = Blue Screen of Death = blåskärm

 

Dumpcheck eller något liknande är väl vad Zipp brukar använda för att kolla vad en möjlig orsak till blåskärmen är.

 

Det finns ingen anledning att ändra något i registret.

 

Vilken dump-typ har du ställt in?

I vilken mapp ska den hamna?

När startade du senast Studio-systemet i normalt läge så att det blev en blåskärm?

Vet du hur mycket virtuellt minne som du har ställt in i Studiosystemet eller vet du om du har stängt av användningen av virtuellt minne?

Om du inte vet kolla här:

Kontrollpanelen - System - Avancerat - Prestanda Inställningar - Avancerat

Virtuellt minne Ändra

Dumpning av kernelminnet, dvs. den "stora" dumpen.

Mapp: %SystemRoot%\MEMORY.DMP

Virtuellt minne: På (Storlek: Urspr. 1536 MB, Max. 3072 MB.)

Jag har startat den tre gånger bara i dag i normalläge och söker varje gång efter dump-fil, dock utan resultat! Jag får för mig att det har med målmappen att göra (att jag inte når den). Jag kanske skulle skapa en mapp på skrivbordet istället?

Link to comment
Share on other sites

Når du inte C:\Windows? Eller vad menar du?

Eller ligger Studiosystemet på något annat än C:?

 

Hur mycket RAM-minne har du i datorn? För att man ska vara säker på att alla sorters dumpfiler kan skapas måste det virtuella minnet vara inställt på minst 1,5 gånger mängden RAM. Så din inställning går ju bra om du har max 1 GB RAM, annars så behövs det virtuella minnet utökas.

Link to comment
Share on other sites

Pelleman Jensen

Når du inte C:\Windows? Eller vad menar du?

Eller ligger Studiosystemet på något annat än C:?

 

Hur mycket RAM-minne har du i datorn? För att man ska vara säker på att alla sorters dumpfiler kan skapas måste det virtuella minnet vara inställt på minst 1,5 gånger mängden RAM. Så din inställning går ju bra om du har max 1 GB RAM, annars så behövs det virtuella minnet utökas.

Studion ligger under D (Hemdatorn under C)

Jag har 3Gb RAM så det kanske förklarar en del, men vad ska jag då ställa det virtuella minnet på?

Link to comment
Share on other sites

Då ska du ju titta i D:\Windows efter dmp-filer. Om där inte finns några så ställ upp det virtuella minnet till 4,5 GB.

Link to comment
Share on other sites

Pelleman Jensen

Då ska du ju titta i D:\Windows efter dmp-filer. Om där inte finns några så ställ upp det virtuella minnet till 4,5 GB.

Det är i D:\Windows jag har letat hela tiden. Jag ska gå in och ändra minnet om en stund.

 

Ändrade minnet till 4096 MB, vilket var max vad jag kunde ändra till, men jag får ändå inte fram någon dump-fil!

 

Var finns egentligen %SystemRoot%? Jag har sökt på det exakta mappnamnet, när jag ändå inte hittar den förbaskade dump-filen, men får inte fram något resultat.

Dessutom vill jag komma tillbaka till min fråga om konflikt-program för Windows. Det skulle väl kunna vara en konflikt mellan två program / drivrutiner som gör att allt låser sig, coh det borde väl finnas något program som kan reda ut det?

Link to comment
Share on other sites

Man får inte bevakningsmejl när ett inlägg redigeras, det innebär att det var rena turen att jag såg att du hade skrivit något mer.

 

%SystemRoot% är samma sak som Windows-mappen (\Windows) för den Windows som håller på och kör. Man skriver så för att det ska vara oberoende av om Windows ligger på C:, D: eller någon annan bokstav samt av om Windows har installeras i en annan mapp än \Windows. Man kallar %SystemRoot% för en miljövariabel.

 

Med hjälp av dumpfilen kan man oftast, men inte alltid, komma fram till vilken drivrutin det är som kraschar.

 

Det går kanske att komma vidare genom att pröva med något läge som är mellan felsäkert och normalt läge.

Start - Kör - msconfig

På fliken Allmänt så kan man välja Selektiv start och sedan på Tjänster kan du först dölja alla Microsoft-tjänster och sedan avbocka de tjänster som är kvar.

 

Det är också möjligt att det går att komma fram till något med hjälp av Loggboken. Den kan du t ex starta från msconfig, fliken Verktyg. Men det är ofta svårt att hitta rätt i Loggboken.

 

Eller kolla i Kontrollpanelen - Problemrapporter och -lösningar - Visa problemhistorik

Link to comment
Share on other sites

Pelleman Jensen

Man får inte bevakningsmejl när ett inlägg redigeras, det innebär att det var rena turen att jag såg att du hade skrivit något mer.

 

%SystemRoot% är samma sak som Windows-mappen (\Windows) för den Windows som håller på och kör. Man skriver så för att det ska vara oberoende av om Windows ligger på C:, D: eller någon annan bokstav samt av om Windows har installeras i en annan mapp än \Windows. Man kallar %SystemRoot% för en miljövariabel.

 

Med hjälp av dumpfilen kan man oftast, men inte alltid, komma fram till vilken drivrutin det är som kraschar.

 

Det går kanske att komma vidare genom att pröva med något läge som är mellan felsäkert och normalt läge.

Start - Kör - msconfig

På fliken Allmänt så kan man välja Selektiv start och sedan på Tjänster kan du först dölja alla Microsoft-tjänster och sedan avbocka de tjänster som är kvar.

 

Det är också möjligt att det går att komma fram till något med hjälp av Loggboken. Den kan du t ex starta från msconfig, fliken Verktyg. Men det är ofta svårt att hitta rätt i Loggboken.

 

Eller kolla i Kontrollpanelen - Problemrapporter och -lösningar - Visa problemhistorik

Det var bra att jag fick lite fler alternativ än att söka efter dump-filer som inte finns/syns. Jag ska prova de olika alternativen, framför allt att använda mig av msconfig. Jag meddelar dig så fort jag kommit fram till något - utan att redigera!

Link to comment
Share on other sites

Pelleman Jensen

Man får inte bevakningsmejl när ett inlägg redigeras, det innebär att det var rena turen att jag såg att du hade skrivit något mer.

 

%SystemRoot% är samma sak som Windows-mappen (\Windows) för den Windows som håller på och kör. Man skriver så för att det ska vara oberoende av om Windows ligger på C:, D: eller någon annan bokstav samt av om Windows har installeras i en annan mapp än \Windows. Man kallar %SystemRoot% för en miljövariabel.

 

Med hjälp av dumpfilen kan man oftast, men inte alltid, komma fram till vilken drivrutin det är som kraschar.

 

Det går kanske att komma vidare genom att pröva med något läge som är mellan felsäkert och normalt läge.

Start - Kör - msconfig

På fliken Allmänt så kan man välja Selektiv start och sedan på Tjänster kan du först dölja alla Microsoft-tjänster och sedan avbocka de tjänster som är kvar.

 

Det är också möjligt att det går att komma fram till något med hjälp av Loggboken. Den kan du t ex starta från msconfig, fliken Verktyg. Men det är ofta svårt att hitta rätt i Loggboken.

 

Eller kolla i Kontrollpanelen - Problemrapporter och -lösningar - Visa problemhistorik

Då ska vi se, jag har provat det mesta av vad du skrev, dock utan att det hjälpte. Jag körde först start utan Autostartsobjekt (no success, därefter Selektiv start i ett antal olika varianter (no success), och till sist Diagnostisk start, som jag absolut trodde skulle gå, men icke! Jag sökte på nytt efter dump-filer, och jag hittade denna: DUMPREP.EXE-1C032A1C.pf

Den var skapad 23/1, men ändrad 31/1, så det kan ju ligga rätt i tiden kanske. Ska jag skicka den dumpfilen via Sprend?

Link to comment
Share on other sites

Nej, pf-filer är inte rätt. Det där en "prefetch"-variant av programmet som hanterar dump-filer.

 

Välj dump-sättet Kernel-minne. Den är mindre än en full dump, om det nu skulle vara för lite virtuellt minne för att en full dump skulle få plats. Du behöver inte hålla på och söka efter dmp-filer för de skapas just på det ställe det står att de ska skapas i inställningarna.

Link to comment
Share on other sites

Pelleman Jensen

Nej, pf-filer är inte rätt. Det där en "prefetch"-variant av programmet som hanterar dump-filer.

 

Välj dump-sättet Kernel-minne. Den är mindre än en full dump, om det nu skulle vara för lite virtuellt minne för att en full dump skulle få plats. Du behöver inte hålla på och söka efter dmp-filer för de skapas just på det ställe det står att de ska skapas i inställningarna.

Det tycks faktiskt inte spela någon roll vad jag gör, ingen förändring märks. Jag funderar på en återställning längre tillbaka i tiden, och fungerar inte det får jag väl först prova "Total återställning" och, om inte det fungerar, att formatera om hårddisken. I sistnämnda fallen undrar jag om du har någon åsikt om val av BackUp-typ: Ska man använda sig av XP:s interna backup-tjänst (och isf varför?) eller räcker det med att kopiera över all viktig information till en extern hårddisk? Jag har redan kopierat över "Documents & Settings" samt "Program" (för att se exakt vad jag har installerat och kunna bygga upp allt på nytt som det var.)

Link to comment
Share on other sites

I XP Home så tycker jag inte att det inbyggda säkerhetskopieringsprogrammet är mycket att ha. Jag vet inte om XP Professional har ett bättre program. En kopia av Documents and Settings innehåller nog allt viktigt, tror jag, dock kan du nog inte kopiera tillbaks den rakt av utan får nog ta bara de enskilda mappar som det fungerar med.

Link to comment
Share on other sites

Pelleman Jensen

I XP Home så tycker jag inte att det inbyggda säkerhetskopieringsprogrammet är mycket att ha. Jag vet inte om XP Professional har ett bättre program. En kopia av Documents and Settings innehåller nog allt viktigt, tror jag, dock kan du nog inte kopiera tillbaks den rakt av utan får nog ta bara de enskilda mappar som det fungerar med.

Innan jag gör en återställning kanske jag skulle använda HiJack This för att kolla upp så att det inte är någon form av elakt virus som låser upp hela datorn? Jag vet inte om det skulle kunna vara möjligt (jag använder NOD32AV) men jag kunde ju kolla, spara och klistra in loggen här?

Link to comment
Share on other sites

Pelleman Jensen

Hellre då en logg från DDS som visar mer. Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

 

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Medan du bifogar Attach.txt som en fil.

Här är resultatet från DDS:

 

[log]

DDS (Ver_09-12-01.01) - NTFSx86 MINIMAL

Run by Pelleman at 12:19:50,32 on 2010-02-24

Internet Explorer: 6.0.2900.5512 BrowserJavaVersion: 1.6.0_17

Microsoft Windows XP Professional 5.1.2600.3.1252.46.1053.18.3071.2759 [GMT 1:00]

 

AV: ESET NOD32 Antivirus 4.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

 

============== Running Processes ===============

 

D:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

D:\WINDOWS\system32\svchost.exe -k netsvcs

D:\WINDOWS\Explorer.EXE

D:\Program\Mozilla Firefox\firefox.exe

D:\Documents and Settings\All Users\Skrivbord\dds.scr

 

============== Pseudo HJT Report ===============

 

uStart Page = hxxp://www.google.com/

uInternet Settings,ProxyOverride = *.local

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - d:\program\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - d:\program\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

uRun: [uTorrent] "d:\program\utorrent\uTorrent.exe"

uRun: [uniblue RegistryBooster 2009] d:\program\uniblue\registrybooster\RegistryBooster.exe /S

uRun: [TiFiC Client Restart] "d:\program\tific\tific client g1\ShbGSGuide.exe" /SERVER shbid.tific.com /LINK shbid.tific.com#133682 /OFFLINE

uRun: [DAEMON Tools] "d:\program\daemon tools\daemon.exe" -lang 1033

uRun: [CTFMON.EXE] d:\windows\system32\CTFMON.EXE

uRun: [Antivirus] d:\program\vav\vav.exe

uRunOnce: [FlashPlayerUpdate] d:\windows\system32\macromed\flash\NPSWF32_FlashUtil.exe -p

mRun: [sunJavaUpdateSched] "d:\program\java\jre6\bin\jusched.exe"

mRun: [QuickTime Task] "d:\program\quicktime\QTTask.exe" -atboottime

mRun: [nwiz] nwiz.exe /install

mRun: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

mRun: [NvCplDaemon] RUNDLL32.EXE d:\windows\system32\NvCpl.dll,NvStartup

mRun: [egui] "d:\program\eset\eset nod32 antivirus\egui.exe" /hide /waitservice

dRun: [CTFMON.EXE] d:\windows\system32\CTFMON.EXE

StartupFolder: d:\docume~1\alluse~1\startm~1\programs\startup\bankid~1.lnk - d:\program\personal\bin\Personal.exe

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - d:\program\messenger\msmsgs.exe

IE: {7F9DB11C-E358-4ca6-A83D-ACC663939424} - {9999A076-A9E2-4C99-8A2B-632FC9429223} - d:\program\bonjour\ExplorerPlugin.dll

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

TCP: {D712BC18-58DA-48B4-88CF-F5BEB936F361} = 192.168.1.1

 

================= FIREFOX ===================

 

FF - ProfilePath - d:\docume~1\pelleman\applic~1\mozilla\firefox\profiles\o7lxy0qy.default\

FF - plugin: d:\program\personal\bin\np_prsnl.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - d:\windows\microsoft.net\framework\v3.5\windows presentation foundation\dotnetassistantextension\

FF - HiddenExtension: Java Console: No Registry Reference - d:\program\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}

FF - HiddenExtension: Java Console: No Registry Reference - d:\program\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}

FF - HiddenExtension: Java Console: No Registry Reference - d:\program\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}

FF - HiddenExtension: Java Console: No Registry Reference - d:\program\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

 

---- FIREFOX POLICIES ----

d:\program\mozilla firefox\greprefs\all.js - pref("browser.visited_color", "#551A8B");

d:\program\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

d:\program\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

d:\program\mozilla firefox\defaults\pref\firefox.js - pref("browser.videoFeeds.handler", "ask");

 

============= SERVICES / DRIVERS ===============

 

S1 ehdrv;ehdrv;d:\windows\system32\drivers\ehdrv.sys [2009-2-13 106208]

S1 epfwtdir;epfwtdir;d:\windows\system32\drivers\epfwtdir.sys [2009-2-13 93336]

S2 ekrn;ESET Service;d:\program\eset\eset nod32 antivirus\ekrn.exe [2009-2-13 727720]

S2 NOD32FiXTemDono;Eset Nod32 Boot;d:\windows\system32\regedt32.exe [2001-9-28 3584]

S2 RVIEGVST;VSC VST Engine;d:\program\roland\virtual sound canvas vst\RVIEg01VST.sys [2008-11-21 188276]

S3 PSI;PSI;d:\windows\system32\drivers\psi_mf.sys [2008-12-10 7808]

S3 RDID1053;EDIROL PC-50;d:\windows\system32\drivers\RDWM1053.SYS [2008-4-29 59649]

S3 Tdsshbecr;Handelsbanken card reader;d:\windows\system32\drivers\shbecr.sys [2010-2-17 42368]

S3 vsc32;Virtual Sound Canvas 3.2;d:\windows\system32\drivers\vsc.sys --> d:\windows\system32\drivers\vsc.sys [?]

 

=============== Created Last 30 ================

 

2010-02-17 16:56:56 0 d-----w- d:\docume~1\pelleman\applic~1\Personal

2010-02-17 16:56:52 0 d-----w- d:\program\Personal

2010-02-17 16:56:48 42368 ----a-w- d:\windows\system32\drivers\shbecr.sys

2010-02-17 16:51:51 0 d-----w- d:\docume~1\pelleman\applic~1\TiFiC

2010-02-17 16:51:46 0 d-----w- d:\program\TiFiC

2010-02-17 16:51:44 0 d-----w- d:\program\delade filer\TiFiC

2010-02-14 16:46:23 0 d-----w- d:\windows\LastGood.Tmp

2010-02-14 12:19:33 0 d-----w- d:\windows\system32\wbem\Repository

 

==================== Find3M ====================

 

2010-01-18 14:14:51 361600 ----a-w- d:\windows\system32\drivers\TCPIP.SYS

2010-01-16 14:32:56 361600 ----a-w- d:\windows\system32\drivers\TCPIP.SYS.ORIGINAL

2009-12-22 05:21:11 667648 ----a-w- d:\windows\system32\wininet.dll

2009-12-22 05:20:58 81920 ----a-w- d:\windows\system32\ieencode.dll

2009-12-12 11:51:09 434528 ----a-w- d:\windows\system32\perfh01D.dat

2009-12-12 11:51:08 78734 ----a-w- d:\windows\system32\perfc01D.dat

 

============= FINISH: 12:20:05,93 ===============

[/log]

Attach.txt

Link to comment
Share on other sites

Illegala program tycker jag inte om. Avinstallera:

NOD32 v3.0.642 FiX1.2 by TemDono (31 days remaining forever up

ESET NOD32 Antivirus

 

Start - Kör

Skriv in:

sc delete NOD32FiXTemDono

innan du trycker på Ok.

 

Vad är det här för något du har hållit på med?

2010-01-18 14:14:51 361600 ----a-w- d:\windows\system32\drivers\TCPIP.SYS

2010-01-16 14:32:56 361600 ----a-w- d:\windows\system32\drivers\TCPIP.SYS.ORIGINAL

 

Jag ser att du har MBAM installerad. Kör det programmet och se om det hittar något. Kom ihåg att uppdatera innan skanningen.

Link to comment
Share on other sites

Pelleman Jensen

Illegala program tycker jag inte om. Avinstallera:

NOD32 v3.0.642 FiX1.2 by TemDono (31 days remaining forever up

ESET NOD32 Antivirus

 

Start - Kör

Skriv in:

sc delete NOD32FiXTemDono

innan du trycker på Ok.

 

Vad är det här för något du har hållit på med?

2010-01-18 14:14:51 361600 ----a-w- d:\windows\system32\drivers\TCPIP.SYS

2010-01-16 14:32:56 361600 ----a-w- d:\windows\system32\drivers\TCPIP.SYS.ORIGINAL

 

Jag ser att du har MBAM installerad. Kör det programmet och se om det hittar något. Kom ihåg att uppdatera innan skanningen.

 

TCPIP-drivarna är bara en patch som tar bort begränsningen anslutningar från 10 st. till ett högre antal, vilket underlättar en hel del när man spelar onlinespel. Den har aldrig ställt till med några problem på andra datorer och gör det inte här heller. Där är inget illegalt med det, vad jag vet.

Det gamla NOD32-programmet var en kvarleva från förr. Det är avinstallerat nu.

MBAM hittade en infekterad fil i Registret, men det har inte gjort någon skillnad efter att jag avlägsnat den. Jag närmar mig en ominstallation, om inte du har någon annan "mirakelkur" på lager?

Link to comment
Share on other sites

Pelleman Jensen

Vad hittade MBAM för något? Jag undrar om det var samma sak som jag såg i DDS-filen.

 

Registry Keys Infected:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\cs41275 (Malware.Trace) -> Quarantined and deleted successfully.

 

Kan du säga vad det är för något? Man blir ju konfunderad när det står SOFTWARE\Microsoft! Men det har som sagt inte gjort någon skillnad efter borttagandet.

Link to comment
Share on other sites

Det var något annat jag såg i DDS-loggen. Men loggen var väldigt svårläst. Kan du klistra in en ny utan att använda någon knapp så att den blir komprimerad.

 

Trace (spår) innebär att det i sig inte har någon påverkan på datorn men att det är ett skadligt program som skapade registerposten.

 

Skadliga program gör ju normalt vad de kan för att dölja sig, lägger filer antingen i Windows-mappar där det redan finns mängder med filer så att man inte ser dem bland alla andra eller i udda mappar där man inte letar, och använder filnamn som är likadana som Windows-program eller slumpmässiga så att man inte kan hitta dem med Google. Samma sak när de lägger in saker i registret.

 

Har MBAM eller annat program tidigare hittat skadliga filer i datorn som registerposten kan vara en rest av?

Link to comment
Share on other sites

Pelleman Jensen

Det var något annat jag såg i DDS-loggen. Men loggen var väldigt svårläst. Kan du klistra in en ny utan att använda någon knapp så att den blir komprimerad.

 

Trace (spår) innebär att det i sig inte har någon påverkan på datorn men att det är ett skadligt program som skapade registerposten.

 

Skadliga program gör ju normalt vad de kan för att dölja sig, lägger filer antingen i Windows-mappar där det redan finns mängder med filer så att man inte ser dem bland alla andra eller i udda mappar där man inte letar, och använder filnamn som är likadana som Windows-program eller slumpmässiga så att man inte kan hitta dem med Google. Samma sak när de lägger in saker i registret.

 

Har MBAM eller annat program tidigare hittat skadliga filer i datorn som registerposten kan vara en rest av?

 

Här är DDS-loggen i "original". Följande förbryllar mig:

uRun: [Antivirus] d:\program\vav\vav.exe

Jag hade Avast AV tidigare, kan det vara någon rest av det? Jag hittar nämnligen inte någon mapp "VAV" under Program, däremot fanns en mapp från Alwil (Avast) kvar, dock utan innehåll.

 

DDS (Ver_09-12-01.01) - NTFSx86 MINIMAL

Run by Pelleman at 12:19:50,32 on 2010-02-24

Internet Explorer: 6.0.2900.5512 BrowserJavaVersion: 1.6.0_17

Microsoft Windows XP Professional 5.1.2600.3.1252.46.1053.18.3071.2759 [GMT 1:00]

 

AV: ESET NOD32 Antivirus 4.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

 

============== Running Processes ===============

 

D:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

D:\WINDOWS\system32\svchost.exe -k netsvcs

D:\WINDOWS\Explorer.EXE

D:\Program\Mozilla Firefox\firefox.exe

D:\Documents and Settings\All Users\Skrivbord\dds.scr

 

============== Pseudo HJT Report ===============

 

uStart Page = hxxp://www.google.com/

uInternet Settings,ProxyOverride = *.local

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - d:\program\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - d:\program\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

uRun: [uTorrent] "d:\program\utorrent\uTorrent.exe"

uRun: [uniblue RegistryBooster 2009] d:\program\uniblue\registrybooster\RegistryBooster.exe /S

uRun: [TiFiC Client Restart] "d:\program\tific\tific client g1\ShbGSGuide.exe" /SERVER shbid.tific.com /LINK shbid.tific.com#133682 /OFFLINE

uRun: [DAEMON Tools] "d:\program\daemon tools\daemon.exe" -lang 1033

uRun: [CTFMON.EXE] d:\windows\system32\CTFMON.EXE

uRun: [Antivirus] d:\program\vav\vav.exe

uRunOnce: [FlashPlayerUpdate] d:\windows\system32\macromed\flash\NPSWF32_FlashUtil.exe -p

mRun: [sunJavaUpdateSched] "d:\program\java\jre6\bin\jusched.exe"

mRun: [QuickTime Task] "d:\program\quicktime\QTTask.exe" -atboottime

mRun: [nwiz] nwiz.exe /install

mRun: [NvMediaCenter] RunDLL32.exe NvMCTray.dll,NvTaskbarInit

mRun: [NvCplDaemon] RUNDLL32.EXE d:\windows\system32\NvCpl.dll,NvStartup

mRun: [egui] "d:\program\eset\eset nod32 antivirus\egui.exe" /hide /waitservice

dRun: [CTFMON.EXE] d:\windows\system32\CTFMON.EXE

StartupFolder: d:\docume~1\alluse~1\startm~1\programs\startup\bankid~1.lnk - d:\program\personal\bin\Personal.exe

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - d:\program\messenger\msmsgs.exe

IE: {7F9DB11C-E358-4ca6-A83D-ACC663939424} - {9999A076-A9E2-4C99-8A2B-632FC9429223} - d:\program\bonjour\ExplorerPlugin.dll

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

TCP: {D712BC18-58DA-48B4-88CF-F5BEB936F361} = 192.168.1.1

 

================= FIREFOX ===================

 

FF - ProfilePath - d:\docume~1\pelleman\applic~1\mozilla\firefox\profiles\o7lxy0qy.default\

FF - plugin: d:\program\personal\bin\np_prsnl.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - d:\windows\microsoft.net\framework\v3.5\windows presentation foundation\dotnetassistantextension\

FF - HiddenExtension: Java Console: No Registry Reference - d:\program\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0012-ABCDEFFEDCBA}

FF - HiddenExtension: Java Console: No Registry Reference - d:\program\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0013-ABCDEFFEDCBA}

FF - HiddenExtension: Java Console: No Registry Reference - d:\program\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA}

FF - HiddenExtension: Java Console: No Registry Reference - d:\program\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA}

 

---- FIREFOX POLICIES ----

d:\program\mozilla firefox\greprefs\all.js - pref("browser.visited_color", "#551A8B");

d:\program\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

d:\program\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

d:\program\mozilla firefox\defaults\pref\firefox.js - pref("browser.videoFeeds.handler", "ask");

 

============= SERVICES / DRIVERS ===============

 

S1 ehdrv;ehdrv;d:\windows\system32\drivers\ehdrv.sys [2009-2-13 106208]

S1 epfwtdir;epfwtdir;d:\windows\system32\drivers\epfwtdir.sys [2009-2-13 93336]

S2 ekrn;ESET Service;d:\program\eset\eset nod32 antivirus\ekrn.exe [2009-2-13 727720]

S2 NOD32FiXTemDono;Eset Nod32 Boot;d:\windows\system32\regedt32.exe [2001-9-28 3584]

S2 RVIEGVST;VSC VST Engine;d:\program\roland\virtual sound canvas vst\RVIEg01VST.sys [2008-11-21 188276]

S3 PSI;PSI;d:\windows\system32\drivers\psi_mf.sys [2008-12-10 7808]

S3 RDID1053;EDIROL PC-50;d:\windows\system32\drivers\RDWM1053.SYS [2008-4-29 59649]

S3 Tdsshbecr;Handelsbanken card reader;d:\windows\system32\drivers\shbecr.sys [2010-2-17 42368]

S3 vsc32;Virtual Sound Canvas 3.2;d:\windows\system32\drivers\vsc.sys --> d:\windows\system32\drivers\vsc.sys [?]

 

=============== Created Last 30 ================

 

2010-02-17 16:56:56 0 d-----w- d:\docume~1\pelleman\applic~1\Personal

2010-02-17 16:56:52 0 d-----w- d:\program\Personal

2010-02-17 16:56:48 42368 ----a-w- d:\windows\system32\drivers\shbecr.sys

2010-02-17 16:51:51 0 d-----w- d:\docume~1\pelleman\applic~1\TiFiC

2010-02-17 16:51:46 0 d-----w- d:\program\TiFiC

2010-02-17 16:51:44 0 d-----w- d:\program\delade filer\TiFiC

2010-02-14 16:46:23 0 d-----w- d:\windows\LastGood.Tmp

2010-02-14 12:19:33 0 d-----w- d:\windows\system32\wbem\Repository

 

==================== Find3M ====================

 

2010-01-18 14:14:51 361600 ----a-w- d:\windows\system32\drivers\TCPIP.SYS

2010-01-16 14:32:56 361600 ----a-w- d:\windows\system32\drivers\TCPIP.SYS.ORIGINAL

2009-12-22 05:21:11 667648 ----a-w- d:\windows\system32\wininet.dll

2009-12-22 05:20:58 81920 ----a-w- d:\windows\system32\ieencode.dll

2009-12-12 11:51:09 434528 ----a-w- d:\windows\system32\perfh01D.dat

2009-12-12 11:51:08 78734 ----a-w- d:\windows\system32\perfc01D.dat

 

============= FINISH: 12:20:05,93 ===============

Link to comment
Share on other sites

Det var raden

uRun: [Antivirus] d:\program\vav\vav.exe

som jag reagerade på eftersom den hör ihop med ett falsk antivirusprogram. Det + spåret som MBAM hittade är orsaken till att jag frågade om något program har tagit bort skadliga filer tidigare.

 

TCP: {D712BC18-58DA-48B4-88CF-F5BEB936F361} = 192.168.1.1

Är 192.168.1.1 din router?

Link to comment
Share on other sites

Pelleman Jensen

Det var raden

uRun: [Antivirus] d:\program\vav\vav.exe

som jag reagerade på eftersom den hör ihop med ett falsk antivirusprogram. Det + spåret som MBAM hittade är orsaken till att jag frågade om något program har tagit bort skadliga filer tidigare.

 

TCP: {D712BC18-58DA-48B4-88CF-F5BEB936F361} = 192.168.1.1

Är 192.168.1.1 din router?

Ja, det är min router.

Vad säger du då om det falska antivirusprogrammet? Jag kan inte hitta det, och inte mitt äkta antivirusprogram heller, så hur går jag till väga?

Vad menar du med "...om något program har tagit bort skadliga filer tidigare."? Vilken typ av program?

Link to comment
Share on other sites

Jag menade om något antivirusprogram, MBAM eller liknande tagit bort något förut. Det är avgörande för att bestämma hur stor risken är att det finns något i datorn som döljer sig.

 

Eftersom du har två Windows-installationer så skulle du kunna installera MBAM i din vanliga Windowsinstallation (C:) och därifrån söka igenom alla filer på D:.

Link to comment
Share on other sites

Pelleman Jensen

Jag menade om något antivirusprogram, MBAM eller liknande tagit bort något förut. Det är avgörande för att bestämma hur stor risken är att det finns något i datorn som döljer sig.

 

Eftersom du har två Windows-installationer så skulle du kunna installera MBAM i din vanliga Windowsinstallation (C:) och därifrån söka igenom alla filer på D:.

Då var jag i full gång med att installera om allting. Puh, vilket jobb när man vill att allt ska vara exakt som i den förra studion! Jag har faktiskt bara en fråga kvar:

Nu när jag installerade om systemet så skapade jag ett Administratörskonto och ett personligt användarkonto med Administratörsrättigheter, precis som jag hade det innan. Problemet är bara att datorn hela tiden loggar in automatiskt på Admin-kontot, trots att jag valt alternativet Välkomstskärm under Användarkonton. Jag måste logga ut från Admin för att överhuvudtaget se Välkomstskärmen med mitt kontonamn. Vad kan detta bero på?

 

PS. Tack för all tid du lagt ner på att hjälpa mig, trots att det hela slutade med en ominstallation. :thumbsup:

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.




×
×
  • Create New...