Antivirus soft

17 februari, 2010

Hej cecilia

Jag fick hjälp av dig för ett tag sen nu är det dags igen trots alla försiktighetsåtgärder så har jag drabbats av virus igen:(. Skulle hjälpa min syster att skriva ett cv och laddade ner från svsonlinetest.com skriv_ett_cv.com det skulle vara mallar till cv,men jag blev lurad och nu surfar den genom ie explorer av sig själv säger att min dator är smittad kommer meddelande om att jag inte har något antivirus programm etc. Vad ska jag göra?? Den har även installerat antivirus soft som inte slutar förrän man registrerar det

Snälla du hjälp mig

MVH

Jörgen/balsbyhills

17 februari, 2010

Jag har även provat starta datorn i felsäkert läge f8 men det går inte att ändra valen i menyn utan det går bara att starta i normalt läge. Det går heller inte genom msconfig då det nya virusprogrammet hindrar det från att starta

17 februari, 2010

Vi kan se om HijackThis visar något till att börja med. Ladda ner från en av länkarna:

http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

http://www.download.com/Trend-Micro-HijackThis/3000-8022_4-10227353.html

Installera, starta och välj "Do a system scan and save a logfile", kopiera loggen som kommer upp (inget annat).

I ditt svar bifogar du HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

17 februari, 2010

Vi kan se om HijackThis visar något till att börja med. Ladda ner från en av länkarna:

http://www.trendsecure.com/portal/en-US/_download/HJTInstall.exe

http://www.download.com/Trend-Micro-HijackThis/3000-8022_4-10227353.html

Installera, starta och välj "Do a system scan and save a logfile", kopiera loggen som kommer upp (inget annat).

I ditt svar bifogar du HijackThis-loggen på detta sätt:

Tryck på LOG-knappen i Besvara-fönstret

Klistra in loggen

Tryck igen på LOG-knappen

Går inte att starta hijack blockeras av det nya virusprogrammet säger att filen är infekterad

17 februari, 2010

Går inte att starta hijack blockeras av det nya virusprogrammet säger att filen är infekterad

Det går inte heller att installera

17 februari, 2010

Pröva här har bytt namn på filen

http://www.sendspace.com/file/3s4jwx

17 februari, 2010

Pröva här har bytt namn på filen

http://www.sendspace.com/file/3s4jwx

Går inte det heller, får upp samma felmeddelande och att jag skall trycka yes för att aktivera mitt virusprogramm

17 februari, 2010

Går inte det heller, får upp samma felmeddelande och att jag skall trycka yes för att aktivera mitt virusprogramm

dvs mitt nya oönskade virusprogramm

17 februari, 2010

Har du XP eller?

17 februari, 2010

Har du XP eller?

ja jag kör xp

17 februari, 2010

Spara ComboFix på Skrivbordet (jag har bytt namn på den)

http://www.sendspace.com/file/eezcfk

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingc...opic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

17 februari, 2010

Spara ComboFix på Skrivbordet (jag har bytt namn på den)

http://www.sendspace.com/file/eezcfk

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingc...opic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

Det går inte att installera combofix samma felmeddellande som innan

17 februari, 2010

Detta bör få igång internet och göra det möjligt att köra fler program:

1. I Internet Explorer välj Internet-alternativ i Verktygsmenyn.

Välj fliken Anslutningar

Tryck på LAN-inställningar

Ta bort bocken före "Använd en proxyserver".

Tryck på OK.

2. Spara RKill av Grinler på Skrivbordet. Ladda ner det från den första av dessa länkar:

http://download.blee...inler/rkill.com

http://download.blee...inler/rkill.pif

http://download.blee...inler/rkill.scr

http://download.blee...inler/rkill.exe

Om du inte kan ladda ner RKill så upprepa punkt 1 och det kan behöva göras flera gånger innan det fastnar. Om du inte lyckas efter 5 försök så säg till.

Starta Rkill (i Vista och Windows 7 genom att högerklicka på filen och välj Kör som administratör om det valet finns).

Det blir ett svart fönster/ruta en stund om programmet lyckades köra.

Om det inte blev något svart fönster/ruta så ta bort den RKill-varianten och upprepa med nästa RKill.

Om du får ett meddelande om att RKill är skadligt så bry dig inte om det. Det är det skadliga programmen som inte vill bli stoppat. Lämna kvar varningen på skärmen och kör RKill en gång till.

Kör RKill flera gånger efter varandra tills du inte ser till det skadliga programmet längre, dock max 10 gånger.

Om inte någon av program-varianterna kan köra så berätta det.

17 februari, 2010

Detta bör få igång internet och göra det möjligt att köra fler program:

1. I Internet Explorer välj Internet-alternativ i Verktygsmenyn.

Välj fliken Anslutningar

Tryck på LAN-inställningar

Ta bort bocken före "Använd en proxyserver".

Tryck på OK.

2. Spara RKill av Grinler på Skrivbordet. Ladda ner det från den första av dessa länkar:

http://download.blee...inler/rkill.com

http://download.blee...inler/rkill.pif

http://download.blee...inler/rkill.scr

http://download.blee...inler/rkill.exe

Om du inte kan ladda ner RKill så upprepa punkt 1 och det kan behöva göras flera gånger innan det fastnar. Om du inte lyckas efter 5 försök så säg till.

Starta Rkill (i Vista och Windows 7 genom att högerklicka på filen och välj Kör som administratör om det valet finns).

Det blir ett svart fönster/ruta en stund om programmet lyckades köra.

Om det inte blev något svart fönster/ruta så ta bort den RKill-varianten och upprepa med nästa RKill.

Om du får ett meddelande om att RKill är skadligt så bry dig inte om det. Det är det skadliga programmen som inte vill bli stoppat. Lämna kvar varningen på skärmen och kör RKill en gång till.

Kör RKill flera gånger efter varandra tills du inte ser till det skadliga programmet längre, dock max 10 gånger.

Om inte någon av program-varianterna kan köra så berätta det.

Jag kommer åt nätet genom firefox och jag har provat ie och tagit bort bocken i lan inställningarna och då kommer jag ut genom ie också, men ingen av RKilllänkarna som du skickade funkar kommer inte åt de varken med firefox eller ie

17 februari, 2010

Pröva här

http://www.sendspace.com/file/4dd5y6

17 februari, 2010

Pröva här

http://www.sendspace.com/file/4dd5y6

nu så fick jag en logg efter många försök

17 februari, 2010

[log]This log file is located at C:\rkill.log. Please post this only if requested to by the person helping you. Otherwise you can close this log when you wish. Ran as Vaio VGN-S4XP on 2010-02-17 at 16:32:55. Processes terminated by Rkill or while it was running: C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\system32\rundll32.exe C:\Documents and Settings\Vaio VGN-S4XP\Lokala inställningar\Application Data\ojrdeu\aqkxsftav.exe C:\Program\Logitech\Video\FxSvr2.exe C:\Documents and Settings\Vaio VGN-S4XP\Skrivbord\rkill.com Rkill completed on 2010-02-17 at 16:32:57. [/log]

17 februari, 2010

Pröva om Combofix funkar ja hade bytt namn på den till rensa.exe

Om den inte funkar så testa att byta namn på den till rensa.com

17 februari, 2010

Pröva om Combofix funkar ja hade bytt namn på den till rensa.exe

Om den inte funkar så testa att byta namn på den till rensa.com

[log]ComboFix 10-02-16.03 - Vaio VGN-S4XP 2010-02-17 16:54:29.2.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.46.1053.18.1022.552 [GMT 1:00]

Körs från: c:\documents and settings\Vaio VGN-S4XP\Skrivbord\rensa.exe

AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\Vaio VGN-S4XP\Lokala inställningar\Application Data\ojrdeu

c:\documents and settings\Vaio VGN-S4XP\Lokala inställningar\Application Data\ojrdeu\aqkxsftav.exe

c:\documents and settings\Vaio VGN-S4XP\Mina dokument\explorer.exe

c:\documents and settings\Vaio VGN-S4XP\Start-meny\Program\Autostart\MagicDisc.lnk

c:\windows\system32\pagefileconfig.vbs

.

(((((((((((((((((((((((( Filer Skapade från 2010-01-17 till 2010-02-17 ))))))))))))))))))))))))))))))

.

2010-02-17 15:46 . 2010-02-17 15:49 -------- d-----w- C:\rensa

2010-02-17 14:29 . 2010-02-17 14:29 -------- d-----w- c:\program\Trend Micro

2010-02-17 13:42 . 2010-02-05 08:17 233136 ----a-w- c:\windows\system32\drivers\pctgntdi.sys

2010-02-17 13:42 . 2009-10-06 15:31 87784 ----a-w- c:\windows\system32\drivers\PCTAppEvent.sys

2010-02-17 13:42 . 2009-09-23 15:10 207280 ----a-w- c:\windows\system32\drivers\PCTCore.sys

2010-02-17 13:41 . 2010-02-05 08:25 70408 ----a-w- c:\windows\system32\drivers\pctplsg.sys

2010-02-17 13:41 . 2010-02-17 13:43 -------- d-----w- c:\program\Spyware Doctor

2010-02-17 13:41 . 2010-02-17 13:42 -------- d-----w- c:\program\Delade filer\PC Tools

2010-02-17 13:41 . 2010-02-17 13:41 -------- d-----w- c:\documents and settings\Vaio VGN-S4XP\Application Data\PC Tools

2010-02-17 13:41 . 2010-02-17 13:41 -------- d-----w- c:\documents and settings\All Users\Application Data\PC Tools

2010-02-17 11:22 . 2010-02-17 11:22 87040 --sha-r- c:\windows\system32\wmerrSVE7.dll

2010-01-30 14:43 . 2010-01-30 14:43 -------- d-----w- C:\Ny mapp

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-02-17 16:03 . 2008-12-20 19:04 -------- d-----w- c:\documents and settings\Vaio VGN-S4XP\Application Data\Skype

2010-02-17 15:49 . 2008-12-21 15:31 -------- d-----w- c:\documents and settings\Vaio VGN-S4XP\Application Data\skypePM

2010-02-17 13:44 . 2009-08-05 07:33 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP

2010-02-17 11:53 . 2010-01-02 17:58 -------- d-----w- c:\documents and settings\Vaio VGN-S4XP\Application Data\vlc

2010-02-13 07:42 . 2009-12-27 11:38 -------- d-----w- c:\documents and settings\Vaio VGN-S4XP\Application Data\Spotify

2010-02-08 13:09 . 2008-09-02 17:12 -------- d-----w- c:\documents and settings\Vaio VGN-S4XP\Application Data\Canon

2010-01-30 18:49 . 2008-09-01 18:49 -------- d-----w- c:\program\Google

2010-01-30 14:54 . 2009-02-22 09:30 -------- d-----w- c:\documents and settings\Vaio VGN-S4XP\Application Data\dvdcss

2010-01-22 20:57 . 2008-09-02 16:36 -------- d-----w- c:\program\Windows Live

2010-01-08 17:46 . 2010-01-08 17:46 -------- d-----w- c:\program\Kwyshell

2010-01-01 13:31 . 2010-01-01 13:31 -------- d-----w- c:\program\test

2009-12-30 19:05 . 2001-09-28 14:00 47988 ----a-w- c:\windows\system32\perfc01D.dat

2009-12-30 19:05 . 2001-09-28 14:00 315336 ----a-w- c:\windows\system32\perfh01D.dat

2009-12-28 23:07 . 2009-10-25 19:48 -------- d-----w- c:\documents and settings\Vaio VGN-S4XP\Application Data\FileZilla

2009-12-28 22:59 . 2009-12-23 07:52 -------- d-----w- c:\program\DreamBoxEdit

2009-12-27 11:38 . 2009-12-27 11:38 -------- d-----w- c:\program\Spotify

2009-12-26 22:15 . 2009-12-26 18:14 -------- d-----w- c:\program\Delade filer\BitCtrl

2009-12-26 22:04 . 2009-12-26 18:12 193024 ------w- c:\windows\Setup1.exe

2009-12-26 22:04 . 2009-12-26 18:12 73216 ----a-w- c:\windows\ST6UNST.EXE

2009-12-26 22:01 . 2009-12-26 22:01 -------- d-----w- c:\program\Tunisia-sat dreambox web receiver

2009-12-26 21:57 . 2009-12-26 21:56 -------- d-----w- c:\program\Tunisia-sat dreambox player&streamer 5

2009-12-26 21:06 . 2009-12-26 21:05 -------- d-----w- c:\program\Ask.com

2009-12-26 21:05 . 2009-12-26 21:05 -------- d-----w- c:\program\PFPortChecker

2009-12-26 18:13 . 2009-12-26 18:13 -------- d-----w- c:\program\Tunisiasat dreambox player&streamer5.0

2009-12-24 09:05 . 2009-12-24 09:05 -------- d-----w- c:\program\Toshiba

2009-12-24 09:04 . 2008-09-02 16:18 -------- d-----w- c:\program\Delade filer\InstallShield

2009-12-22 20:35 . 2008-11-27 20:49 -------- d-----w- c:\program\VideoLAN

2009-12-21 21:35 . 2009-12-21 21:35 0 ----a-w- c:\windows\nsreg.dat

2009-12-19 20:15 . 2009-12-19 20:15 -------- d-----w- c:\documents and settings\Vaio VGN-S4XP\Application Data\TeamViewer

2009-12-19 20:15 . 2009-12-19 20:15 -------- d-----w- c:\program\TeamViewer

2009-12-07 17:59 . 2009-08-10 19:10 56816 ----a-w- c:\windows\system32\drivers\avgntflt.sys

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]

2009-07-10 16:28 1174920 ----a-w- c:\program\Ask.com\GenericAskToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program\Ask.com\GenericAskToolbar.dll" [2009-07-10 1174920]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]

[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program\Ask.com\GenericAskToolbar.dll" [2009-07-10 1174920]

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]

[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2008-10-10 68856]

"BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}"="c:\program\Delade filer\Ahead\Lib\NMBgMonitor.exe" [2006-10-09 139264]

"MsnMsgr"="c:\program\Windows Live\Messenger\MsnMsgr.Exe" [2007-10-18 5724184]

"LogitechSoftwareUpdate"="c:\program\Logitech\Video\ManifestEngine.exe" [2005-06-08 196608]

"AlcoholAutomount"="c:\program\Alcohol Soft\Alcohol 120\axcmd.exe" [2008-11-23 203720]

"SpybotSD TeaTimer"="c:\program\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

"Skype"="c:\program\Skype\Phone\Skype.exe" [2009-10-09 25623336]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2006-11-17 577536]

"NeroFilterCheck"="c:\program\Delade filer\Ahead\Lib\NeroCheck.exe" [2006-01-12 155648]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-01-03 13508608]

"nwiz"="nwiz.exe" [2008-01-03 1626112]

"WinSys2"="c:\windows\system32\winsys2.exe" [2007-10-30 208896]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-01-03 86016]

"CloneDVDElbyDelay"="c:\program\Elaborate Bytes\CloneDVD\ElbyCheck.exe" [2002-11-02 45056]

"LVCOMSX"="c:\windows\system32\LVCOMSX.EXE" [2005-07-19 221184]

"LogitechVideoRepair"="c:\program\Logitech\Video\ISStart.exe" [2005-06-08 458752]

"LogitechVideoTray"="c:\program\Logitech\Video\LogiTray.exe" [2005-06-08 217088]

"avgnt"="c:\program\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"Adobe ARM"="c:\program\Delade filer\Adobe\ARM\1.0\AdobeARM.exe" [2009-09-04 935288]

"BluetoothAuthenticationAgent"="bthprops.cpl" [2008-04-14 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"nltide_2"="shell32" [X]

"TSClientMSIUninstaller"="c:\windows\Installer\TSClientMsiTrans\tscuinst.vbs" [2007-10-30 13801]

"tscuninstall"="c:\windows\system32\tscupgrd.exe" [2004-08-03 44544]

"nltide_3"="advpack.dll" [2009-03-08 128512]

c:\documents and settings\Vaio VGN-S4XP\Start-meny\Program\Autostart\

OpenOffice.org 3.0.lnk - c:\program\OpenOffice.org 3\program\quickstart.exe [2008-9-12 384000]

c:\documents and settings\All Users\Start-meny\Program\Autostart\

BankID s„kerhetsprogram.lnk - c:\program\Personal\bin\Personal.exe [2009-11-14 939920]

Bluetooth Manager.lnk - c:\program\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2004-12-21 45056]

Microsoft Office.lnk - c:\program\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_USERS\.default\software\microsoft\windows\currentversion\policies\explorer]

"NoResolveTrack"= 1 (0x1)

"NoSMMyPictures"= 1 (0x1)

"NoSMHelp"= 1 (0x1)

"NoSMConfigurePrograms"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program\\Messenger\\msmsgs.exe"=

"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\helpctr.exe"=

"d:\\Program\\BitLord\\BitLord.exe"=

"c:\\Program\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Program\\TeamViewer\\Version5\\TeamViewer.exe"=

"c:\\WINDOWS\\system32\\ftp.exe"=

"c:\\Program\\VideoLAN\\VLC\\vlc.exe"=

"c:\\Program\\Mozilla Firefox\\firefox.exe"=

"c:\\Program\\Tunisiasat dreambox player&streamer5.0\\Tunisia-sat dreambox player&web streamer5.0.7.exe"=

"c:\\Program\\PFPortChecker\\PFPortChecker.exe"=

"c:\\Program\\Windows Media Player\\wmplayer.exe"=

"c:\\Program\\Tunisiasat dreambox player&streamer5.0\\tools\\pfportchecker.exe"=

"c:\\Program\\Spotify\\spotify.exe"=

"c:\\Program\\Toshiba\\Bluetooth Toshiba Stack\\TosBtPCS.exe"=

"c:\\Program\\test\\VideoLAN\\VLC\\vlc.exe"=

"c:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program\\Windows Live\\Messenger\\livecall.exe"=

"c:\\Program\\Skype\\Phone\\Skype.exe"=

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2010-02-17 207280]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2008-12-26 717296]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program\Avira\AntiVir Desktop\sched.exe [2009-08-10 108289]

R2 sdAuxService;PC Tools Auxiliary Service;c:\program\Spyware Doctor\pctsAuxs.exe [2010-02-17 365280]

S2 gupdate;Tjänsten Google Update (gupdate);c:\program\Google\Update\GoogleUpdate.exe [2010-01-30 135664]

S3 SetupNTGLM7X;SetupNTGLM7X;\??\e:\ntglm7x.sys --> e:\NTGLM7X.sys [?]

.

Innehållet i mappen 'Schemalagda aktiviteter':

2010-02-17 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program\Google\Update\GoogleUpdate.exe [2010-01-30 18:49]

2010-02-17 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program\Google\Update\GoogleUpdate.exe [2010-01-30 18:49]

2010-02-17 c:\windows\Tasks\OGADaily.job

- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]

2010-02-17 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]

2010-02-17 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job

- c:\program\Ask.com\UpdateTask.exe [2009-07-10 16:29]

2010-02-17 c:\windows\Tasks\User_Feed_Synchronization-{904306F7-2C62-4035-9E53-A67C7121FEEB}.job

- c:\windows\system32\msfeedssync.exe [2007-04-18 02:31]

.

------- Extra genomsökning -------

.

uStart Page = hxxp://www.ask.com?o=15183&l=dis

IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\Office10\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\program\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_96D6FF0C6D236BF8.dll/cmsidewiki.html

IE: Link to &MidpX - c:\program\Kwyshell\MidpX\JadInvoker\Extent\jad_wrap.htm

FF - ProfilePath - c:\documents and settings\Vaio VGN-S4XP\Application Data\Mozilla\Firefox\Profiles\a3zqdsou.default\

FF - prefs.js: browser.search.selectedEngine - Google

FF - prefs.js: browser.startup.homepage - /www.blocket.se/kristianstad?ca=23_8

FF - prefs.js: keyword.URL - hxxp://www.google.com/search?ie=UTF-8&oe=UTF-8&sourceid=navclient&gfns=1&q=

FF - plugin: c:\program\Google\Update\1.2.183.13\npGoogleOneClick8.dll

FF - plugin: c:\program\Personal\bin\np_prsnl.dll

FF - plugin: c:\program\test\VideoLAN\VLC\npvlc.dll

FF - plugin: c:\program\Unity\WebPlayer\loader\npUnity3D32.dll

---- FIREFOX POLICY ----

c:\program\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

.

- - - - FÖRÄLDRALÖSA POSTER SOM TAGITS BORT - - - -

HKCU-Run-cdwuyksj - c:\documents and settings\Vaio VGN-S4XP\Lokala inställningar\Application Data\ojrdeu\aqkxsftav.exe

HKLM-Run-cdwuyksj - c:\documents and settings\Vaio VGN-S4XP\Lokala inställningar\Application Data\ojrdeu\aqkxsftav.exe

AddRemove-HijackThis - c:\documents and settings\Vaio VGN-S4XP\Mina dokument\HijackThis.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net'>http://www.gmer.net

Rootkit scan 2010-02-17 17:00

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys PCTCore.sys ACPI.sys hal.dll atapi.sys spry.sys >>UNKNOWN [0x8655E938]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf74cbf28

\Driver\ACPI -> ACPI.sys @ 0xf7226cb8

\Driver\atapi -> atapi.sys @ 0xf71bbb40

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022

ParseProcedure -> ntkrnlpa.exe @ 0x80577c84

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80579022

ParseProcedure -> ntkrnlpa.exe @ 0x80577c84

NDIS: NVIDIA nForce Networking Controller -> SendCompleteHandler -> NDIS.sys @ 0xf707bbb0

PacketIndicateHandler -> NDIS.sys @ 0xf7088a21

SendHandler -> NDIS.sys @ 0xf706687b

user & kernel MBR OK

**************************************************************************

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

- - - - - - - > 'explorer.exe'(2392)

c:\windows\system32\nview.dll

c:\windows\system32\NVWRSSV.DLL

c:\windows\system32\nvwddi.dll

c:\windows\system32\webcheck.dll

.

------------------------ Andra processer som körs ------------------------

.

c:\windows\system32\rundll32.exe

c:\windows\system32\WgaTray.exe

c:\program\Avira\AntiVir Desktop\avguard.exe

c:\program\Java\jre6\bin\jqs.exe

c:\windows\system32\nvsvc32.exe

c:\program\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

c:\program\Alcohol Soft\Alcohol 120\StarWind\StarWindServiceAE.exe

c:\windows\SOUNDMAN.EXE

c:\windows\system32\RUNDLL32.EXE

c:\windows\system32\rundll32.exe

c:\program\Delade filer\Ahead\Lib\NMIndexStoreSvr.exe

c:\program\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe

c:\program\Logitech\Video\FxSvr2.exe

c:\program\OpenOffice.org 3\program\soffice.exe

c:\program\OpenOffice.org 3\program\soffice.bin

c:\program\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe

c:\program\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe

c:\program\Toshiba\Bluetooth Toshiba Stack\TosAVRC.exe

c:\program\Toshiba\Bluetooth Toshiba Stack\TosBtPSS.exe

c:\program\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe

c:\program\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe

c:\windows\system32\wbem\wmiapsrv.exe

c:\program\Skype\Plugin Manager\skypePM.exe

.

**************************************************************************

.

Sluttid: 2010-02-17 17:07:09 - datorn startades om.

ComboFix-quarantined-files.txt 2010-02-17 16:07

Före genomsökningen: 87 789 158 400 byte ledigt

Efter genomsökningen: 87 858 311 168 byte ledigt

WindowsXP-KB310994-SP2-Pro-BootDisk-SVE.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

- - End Of File - - C8D1DF182B74CB177E585B68BD2B00CF

[/log]

17 februari, 2010

Scanna filen i länken och kopiera resultat och skicka hit

c:\windows\system32\wmerrSVE7.dll

http://www.virustotal.com/

17 februari, 2010

Scanna filen i länken och kopiera resultat och skicka hit

c:\windows\system32\wmerrSVE7.dll

http://www.virustotal.com/

scannade följande fil c:\windows\system32\wmerrSVE.dll hittade inte filen med en 7:a i slutet så jag scannade den jag nämnde tidigare loggen är här[log]Antivirus Version Senaste Uppdatering Resultat

a-squared 4.5.0.50 2010.02.17 -

AhnLab-V3 5.0.0.2 2010.02.17 -

AntiVir 8.2.1.170 2010.02.17 -

Antiy-AVL 2.0.3.7 2010.02.17 -

Authentium 5.2.0.5 2010.02.17 -

Avast 4.8.1351.0 2010.02.17 -

AVG 9.0.0.730 2010.02.17 -

BitDefender 7.2 2010.02.17 -

CAT-QuickHeal 10.00 2010.02.17 -

ClamAV 0.96.0.0-git 2010.02.17 -

Comodo 3969 2010.02.17 -

DrWeb 5.0.1.12222 2010.02.17 -

eSafe 7.0.17.0 2010.02.16 -

eTrust-Vet 35.2.7308 2010.02.17 -

F-Prot 4.5.1.85 2010.02.16 -

F-Secure 9.0.15370.0 2010.02.17 -

Fortinet 4.0.14.0 2010.02.15 -

GData 19 2010.02.17 -

Ikarus T3.1.1.80.0 2010.02.17 -

Jiangmin 13.0.900 2010.02.17 -

K7AntiVirus 7.10.974 2010.02.15 -

Kaspersky 7.0.0.125 2010.02.17 -

McAfee 5894 2010.02.16 -

McAfee+Artemis 5894 2010.02.16 -

McAfee-GW-Edition 6.8.5 2010.02.17 -

Microsoft 1.5406 2010.02.17 -

NOD32 4874 2010.02.17 -

Norman 6.04.08 2010.02.17 -

nProtect 2009.1.8.0 2010.02.17 -

Panda 10.0.2.2 2010.02.16 -

PCTools 7.0.3.5 2010.02.17 -

Prevx 3.0 2010.02.17 -

Rising 22.34.01.03 2010.02.11 -

Sophos 4.50.0 2010.02.17 -

Sunbelt 5682 2010.02.17 -

Symantec 20091.2.0.41 2010.02.17 -

TheHacker 6.5.1.4.197 2010.02.17 -

TrendMicro 9.120.0.1004 2010.02.17 -

VBA32 3.12.12.2 2010.02.16 -

ViRobot 2010.2.17.2190 2010.02.17 -

VirusBuster 5.0.21.0 2010.02.17 -

Övrig information

File size: 53248 bytes

MD5...: dbfee3861395569f578cb9862491dfb9

SHA1..: 3eb285cd81b167c4f6f5b73016ecde9064f866af

SHA256: 8d08b8de4035eaafbfc633aa2b584191d61d63d72bb95521a68bdaed00d1c0d3

ssdeep: 768:kdba5bckcVv+ZJ0CczhKp+zUMI8u5rWt/QsldH9q8shc1nN4xFbGadzhyVoP

nREQ:kUCD29hW+hc1NI+k

PEiD..: -

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x0

timedatestamp.....: 0x3b97cf6e (Thu Sep 06 19:33:02 2001)

machinetype.......: 0x14c (I386)

( 2 sections )

name viradd virsiz rawdsiz ntrpy md5

.rdata 0x1000 0x94 0x200 1.49 18ce06a826151dc4ef8eef029a215dcc

.rsrc 0x2000 0xd000 0xcc00 4.89 99f75d100af12e7d9b89d1e1551f6cfe

( 0 imports )

( 0 exports )

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: Win32 Executable Generic (68.0%)

Generic Win/DOS Executable (15.9%)

DOS Executable Generic (15.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

sigcheck:

publisher....: Microsoft Corporation

product......: Microsoft_ Windows Media Services

description..: Feldefinitioner for Windows Media Services

original name: NsError.Dll

internal name: NsError.Dll

file version.: 8.00.00.4477

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned[/log]

17 februari, 2010

Scanna filen i länken och kopiera resultat och skicka hit

c:\windows\system32\wmerrSVE7.dll

http://www.virustotal.com/

[log]Antivirus Version Senaste Uppdatering Resultat

a-squared 4.5.0.50 2010.02.17 -

AhnLab-V3 5.0.0.2 2010.02.17 -

AntiVir 8.2.1.170 2010.02.17 -

Antiy-AVL 2.0.3.7 2010.02.17 -

Authentium 5.2.0.5 2010.02.17 -

Avast 4.8.1351.0 2010.02.17 -

AVG 9.0.0.730 2010.02.17 -

BitDefender 7.2 2010.02.17 -

CAT-QuickHeal 10.00 2010.02.17 -

ClamAV 0.96.0.0-git 2010.02.17 -

Comodo 3969 2010.02.17 -

DrWeb 5.0.1.12222 2010.02.17 -

eSafe 7.0.17.0 2010.02.16 -

eTrust-Vet 35.2.7308 2010.02.17 -

F-Prot 4.5.1.85 2010.02.16 -

F-Secure 9.0.15370.0 2010.02.17 -

Fortinet 4.0.14.0 2010.02.15 -

GData 19 2010.02.17 -

Ikarus T3.1.1.80.0 2010.02.17 -

Jiangmin 13.0.900 2010.02.17 -

K7AntiVirus 7.10.974 2010.02.15 -

Kaspersky 7.0.0.125 2010.02.17 -

McAfee 5894 2010.02.16 -

McAfee+Artemis 5894 2010.02.16 -

McAfee-GW-Edition 6.8.5 2010.02.17 -

Microsoft 1.5406 2010.02.17 -

NOD32 4874 2010.02.17 -

Norman 6.04.08 2010.02.17 -

nProtect 2009.1.8.0 2010.02.17 -

Panda 10.0.2.2 2010.02.16 -

PCTools 7.0.3.5 2010.02.17 -

Prevx 3.0 2010.02.17 -

Rising 22.34.01.03 2010.02.11 -

Sophos 4.50.0 2010.02.17 -

Sunbelt 5682 2010.02.17 -

Symantec 20091.2.0.41 2010.02.17 -

TheHacker 6.5.1.4.197 2010.02.17 -

TrendMicro 9.120.0.1004 2010.02.17 -

VBA32 3.12.12.2 2010.02.16 -

ViRobot 2010.2.17.2190 2010.02.17 -

VirusBuster 5.0.21.0 2010.02.17 -

Övrig information

File size: 53248 bytes

MD5...: dbfee3861395569f578cb9862491dfb9

SHA1..: 3eb285cd81b167c4f6f5b73016ecde9064f866af

SHA256: 8d08b8de4035eaafbfc633aa2b584191d61d63d72bb95521a68bdaed00d1c0d3

ssdeep: 768:kdba5bckcVv+ZJ0CczhKp+zUMI8u5rWt/QsldH9q8shc1nN4xFbGadzhyVoP

nREQ:kUCD29hW+hc1NI+k

PEiD..: -

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x0

timedatestamp.....: 0x3b97cf6e (Thu Sep 06 19:33:02 2001)

machinetype.......: 0x14c (I386)

( 2 sections )

name viradd virsiz rawdsiz ntrpy md5

.rdata 0x1000 0x94 0x200 1.49 18ce06a826151dc4ef8eef029a215dcc

.rsrc 0x2000 0xd000 0xcc00 4.89 99f75d100af12e7d9b89d1e1551f6cfe

( 0 imports )

( 0 exports )

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: Win32 Executable Generic (68.0%)

Generic Win/DOS Executable (15.9%)

DOS Executable Generic (15.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

sigcheck:

publisher....: Microsoft Corporation

product......: Microsoft_ Windows Media Services

description..: Feldefinitioner for Windows Media Services

original name: NsError.Dll

internal name: NsError.Dll

file version.: 8.00.00.4477

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned[/log]

17 februari, 2010

[log]Antivirus Version Senaste Uppdatering Resultat

a-squared 4.5.0.50 2010.02.17 -

AhnLab-V3 5.0.0.2 2010.02.17 -

AntiVir 8.2.1.170 2010.02.17 -

Antiy-AVL 2.0.3.7 2010.02.17 -

Authentium 5.2.0.5 2010.02.17 -

Avast 4.8.1351.0 2010.02.17 -

AVG 9.0.0.730 2010.02.17 -

BitDefender 7.2 2010.02.17 -

CAT-QuickHeal 10.00 2010.02.17 -

ClamAV 0.96.0.0-git 2010.02.17 -

Comodo 3969 2010.02.17 -

DrWeb 5.0.1.12222 2010.02.17 -

eSafe 7.0.17.0 2010.02.16 -

eTrust-Vet 35.2.7308 2010.02.17 -

F-Prot 4.5.1.85 2010.02.16 -

F-Secure 9.0.15370.0 2010.02.17 -

Fortinet 4.0.14.0 2010.02.15 -

GData 19 2010.02.17 -

Ikarus T3.1.1.80.0 2010.02.17 -

Jiangmin 13.0.900 2010.02.17 -

K7AntiVirus 7.10.974 2010.02.15 -

Kaspersky 7.0.0.125 2010.02.17 -

McAfee 5894 2010.02.16 -

McAfee+Artemis 5894 2010.02.16 -

McAfee-GW-Edition 6.8.5 2010.02.17 -

Microsoft 1.5406 2010.02.17 -

NOD32 4874 2010.02.17 -

Norman 6.04.08 2010.02.17 -

nProtect 2009.1.8.0 2010.02.17 -

Panda 10.0.2.2 2010.02.16 -

PCTools 7.0.3.5 2010.02.17 -

Prevx 3.0 2010.02.17 -

Rising 22.34.01.03 2010.02.11 -

Sophos 4.50.0 2010.02.17 -

Sunbelt 5682 2010.02.17 -

Symantec 20091.2.0.41 2010.02.17 -

TheHacker 6.5.1.4.197 2010.02.17 -

TrendMicro 9.120.0.1004 2010.02.17 -

VBA32 3.12.12.2 2010.02.16 -

ViRobot 2010.2.17.2190 2010.02.17 -

VirusBuster 5.0.21.0 2010.02.17 -

Övrig information

File size: 53248 bytes

MD5...: dbfee3861395569f578cb9862491dfb9

SHA1..: 3eb285cd81b167c4f6f5b73016ecde9064f866af

SHA256: 8d08b8de4035eaafbfc633aa2b584191d61d63d72bb95521a68bdaed00d1c0d3

ssdeep: 768:kdba5bckcVv+ZJ0CczhKp+zUMI8u5rWt/QsldH9q8shc1nN4xFbGadzhyVoP

nREQ:kUCD29hW+hc1NI+k

PEiD..: -

PEInfo: PE Structure information

( base data )

entrypointaddress.: 0x0

timedatestamp.....: 0x3b97cf6e (Thu Sep 06 19:33:02 2001)

machinetype.......: 0x14c (I386)

( 2 sections )

name viradd virsiz rawdsiz ntrpy md5

.rdata 0x1000 0x94 0x200 1.49 18ce06a826151dc4ef8eef029a215dcc

.rsrc 0x2000 0xd000 0xcc00 4.89 99f75d100af12e7d9b89d1e1551f6cfe

( 0 imports )

( 0 exports )

RDS...: NSRL Reference Data Set

-

pdfid.: -

trid..: Win32 Executable Generic (68.0%)

Generic Win/DOS Executable (15.9%)

DOS Executable Generic (15.9%)

Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)

sigcheck:

publisher....: Microsoft Corporation

copyright....: Copyright © Microsoft Corp. 1992-2001

product......: Microsoft_ Windows Media Services

description..: Feldefinitioner for Windows Media Services

original name: NsError.Dll

internal name: NsError.Dll

file version.: 8.00.00.4477

comments.....: n/a

signers......: -

signing date.: -

verified.....: Unsigned[/log]

hittade inte filen med en 7 a i slutet så jag scannade den jag hittade utan 7 a

17 februari, 2010

Ladda ner CFScript.txt till Skrivbordet

http://www.sendspace.com/file/z69dcl

Sen dra den med musen i Combofix ikonen och kör den.

Skicka loggen som kommer ut

17 februari, 2010

Ladda ner CFScript.txt till Skrivbordet

http://www.sendspace.com/file/z69dcl

Sen dra den med musen i Combofix ikonen och kör den.

Skicka loggen som kommer ut

[log]ComboFix 10-02-16.03 - Vaio VGN-S4XP 2010-02-17 18:29:04.3.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.46.1053.18.1022.714 [GMT 1:00]

Körs från: c:\documents and settings\Vaio VGN-S4XP\Skrivbord\rensa.exe

Använda kommandoväxlar :: c:\documents and settings\Vaio VGN-S4XP\Skrivbord\CFScript.txt

AV: AntiVir Desktop *On-access scanning enabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

.

(((((((((((((((((((((((( Filer Skapade från 2010-01-17 till 2010-02-17 ))))))))))))))))))))))))))))))

.

2010-02-17 16:13 . 2009-11-21 16:03 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll

2010-02-17 16:12 . 2009-06-21 21:48 153088 -c----w- c:\windows\system32\dllcache\triedit.dll

2010-02-17 16:11 . 2009-07-10 13:31 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll