Xmlmap97

[kung_yoda]

När jag startade upp datorn igår möttes jag av följande ruta med texten:

 

"Det gick inte att läsa in C:\Documents and Settings\......\Lokala Inställningar\Application Data\xmlmap97\xmlmap97.dll

Det går inte att hitta den angivna modulen".

 

Även idag ploppar rutan upp när jag startar datorn. Jag klickar ner den å märker därefter inget mystiskt.

 

Är det ngn som vet vad detta betyder?

 

Tacksam för svar.

[Cecilia]

Vanligaste orsaken till ett sådant meddelande är att ett antivirusprogram eller liknande har tagit bort en fil men inte referensen till filen i registrets del över filer som ska startas. Har du märkt att antivirusprogrammet har hittat något skadligt i datorn?

 

Vi kan se vad DDS visar till att börja med. Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

 

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Medan du bifogar Attach.txt som en fil.

[kung_yoda]

Vanligaste orsaken till ett sådant meddelande är att ett antivirusprogram eller liknande har tagit bort en fil men inte referensen till filen i registrets del över filer som ska startas. Har du märkt att antivirusprogrammet har hittat något skadligt i datorn?

 

Vi kan se vad DDS visar till att börja med. Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

 

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Medan du bifogar Attach.txt som en fil.

 

Tack för svaret.

Här kommer loggen:

 

 

DDS (Ver_09-12-01.01) - NTFSx86

Run by DavidAnna at 9:01:23,76 on 2010-03-10

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Home Edition 5.1.2600.3.1252.46.1053.18.991.374 [GMT 1:00]

 

AV: avast! antivirus 4.8.1368 [VPS 100309-1] *On-access scanning enabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

 

============== Running Processes ===============

 

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

svchost.exe

svchost.exe

C:\Program\Alwil Software\Avast4\aswUpdSv.exe

C:\Program\Lavasoft\Ad-Aware\AAWService.exe

C:\Program\Alwil Software\Avast4\ashServ.exe

C:\WINDOWS\system32\spoolsv.exe

svchost.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\Program\Alwil Software\Avast4\ashMaiSv.exe

C:\Program\Alwil Software\Avast4\ashWebSv.exe

C:\WINDOWS\RTHDCPL.EXE

C:\Program\ATI Technologies\ATI.ACE\cli.exe

C:\Program\ALWILS~1\Avast4\ashDisp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Messenger\msmsgs.exe

C:\Documents and Settings\DavidAnna\Application Data\mdply3d\mdply3d.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\ATI Technologies\ATI.ACE\cli.exe

C:\Program\ATI Technologies\ATI.ACE\cli.exe

C:\Program\Lavasoft\Ad-Aware\AAWTray.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Documents and Settings\DavidAnna\Skrivbord\dds.scr

 

============== Pseudo HJT Report ===============

 

uStart Page = hxxp://www.google.se/

uSearch Page = hxxp://www.google.com

uSearch Bar = hxxp://www.google.com/ie

uDefault_Search_URL = hxxp://www.google.com/ie

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program\delade filer\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: Skype add-on (mastermind): {22bf413b-c6d2-4d91-82a9-a0f997ba588c} - c:\program\skype\toolbars\internet explorer\SkypeIEPlugin.dll

BHO: Windows Live inloggningshjälpen: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program\delade filer\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

BHO: EpsonToolBandKicker Class: {e99421fb-68dd-40f0-b4ac-b7027cae2f1a} - c:\program\epson\epson web-to-page\EPSON Web-To-Page.dll

TB: EPSON Web-To-Page: {ee5d279f-081b-4404-994d-c6b60aaeba6d} - c:\program\epson\epson web-to-page\EPSON Web-To-Page.dll

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

uRun: [MSMSGS] "c:\program\messenger\msmsgs.exe" /background

uRun: [xmlmap97] rundll32.exe "c:\documents and settings\davidanna\lokala inställningar\application data\xmlmap97\xmlmap97.dll", DllInit

uRun: [mdply3d] c:\documents and settings\davidanna\application data\mdply3d\mdply3d.exe

uRun: [ljghggdrv] rundll32.exe "ljgeee.dll",s

uRun: [comodbc3D] rundll32.exe "c:\documents and settings\davidanna\lokala inställningar\application data\comodbc3d\comodbc3D.dll", DllInit

mRun: [High Definition Audio Property Page Shortcut] HDAShCut.exe

mRun: [RTHDCPL] RTHDCPL.EXE

mRun: [Alcmtr] ALCMTR.EXE

mRun: [ATICCC] "c:\program\ati technologies\ati.ace\cli.exe" runtime -Delay

mRun: [EPSON Stylus DX4800 Series] c:\windows\system32\spool\drivers\w32x86\3\E_FATIADE.EXE /P26 "EPSON Stylus DX4800 Series" /O6 "USB001" /M "Stylus DX4800"

mRun: [avast!] c:\program\alwils~1\avast4\ashDisp.exe

mRun: [QuickTime Task] "c:\program\quicktime\qttask.exe" -atboottime

mRun: [Adobe Reader Speed Launcher] "c:\program\adobe\reader 9.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\program\delade filer\adobe\arm\1.0\AdobeARM.exe"

mRun: [vtutrsdrv] rundll32.exe "ljgeee.dll",s

mRun: [hgdayxsys] rundll32.exe "ljkjgd.dll",DllRegisterServer

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

dRun: [tuvvwvdrv] rundll32.exe "ljgeee.dll",s

dRun: [cbxwvusys] rundll32.exe "ljkjgd.dll",DllRegisterServer

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\bankid~1.lnk - c:\program\personal\bin\Personal.exe

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\micros~1.lnk - c:\program\microsoft office\office10\OSA.EXE

uPolicies-explorer: NoWindowsUpdate = 0 (0x0)

uPolicies-explorer: NoSMMyPictures = 0 (0x0)

uPolicies-explorer: NoStartMenuMyMusic = 0 (0x0)

uPolicies-explorer: NoRecentDocsNetHood = 0 (0x0)

uPolicies-explorer: NoInstrumentation = 0 (0x0)

mPolicies-explorer: NoSMMyPictures = 0 (0x0)

mPolicies-explorer: NoStartMenuMyMusic = 0 (0x0)

mPolicies-explorer: NoRecentDocsNetHood = 0 (0x0)

mPolicies-explorer: NoInstrumentation = 0 (0x0)

mPolicies-explorer: NoSimpleStartMenu = 0 (0x0)

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xportera till Microsoft Excel - c:\program\micros~2\office10\EXCEL.EXE/3000

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program\messenger\msmsgs.exe

IE: {5067A26B-1337-4436-8AFE-EE169C2DA79F} - {77BF5300-1474-4EC7-9980-D32B190E9B07} - c:\program\skype\toolbars\internet explorer\SkypeIEPlugin.dll

IE: {77BF5300-1474-4EC7-9980-D32B190E9B07} - {77BF5300-1474-4EC7-9980-D32B190E9B07} - c:\program\skype\toolbars\internet explorer\SkypeIEPlugin.dll

DPF: {3D3B42C2-11BF-4732-A304-A01384B70D68} - hxxp://picasaweb.google.com/s/v/58.14/uploader2.cab

DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} - hxxp://www.fujidirekt.se/aurigma/ImageUploader5.cab

DPF: {67DABFBF-D0AB-41FA-9C46-CC0F21721616} - hxxp://download.divx.com/player/DivXBrowserPlugin.cab

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} - hxxp://62.181.87.189/activex/AxisCamControl.cab

DPF: {CAFEEFAC-0015-0000-0000-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\program\delade~1\skype\SKYPE4~1.DLL

Notify: AtiExtEvent - Ati2evxx.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

LSA: Authentication Packages = msv1_0 ljkjgd.dll

 

============= SERVICES / DRIVERS ===============

 

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2010-3-10 64288]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-9-29 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-9-29 20560]

R2 avast! Antivirus;avast! Antivirus;c:\program\alwil software\avast4\ashServ.exe [2009-9-29 138680]

R2 cpuz132;cpuz132;c:\windows\system32\drivers\cpuz132_x32.sys [2009-10-21 12672]

R2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program\lavasoft\ad-aware\AAWService.exe [2010-2-4 1229232]

R3 avast! Mail Scanner;avast! Mail Scanner;c:\program\alwil software\avast4\ashMaiSv.exe [2009-9-29 254040]

R3 avast! Web Scanner;avast! Web Scanner;c:\program\alwil software\avast4\ashWebSv.exe [2009-9-29 352920]

S3 Camdrv30;Philips ToUcam XS;c:\windows\system32\drivers\camdrv30.sys [2009-7-31 171264]

 

=============== Created Last 30 ================

 

2010-03-10 07:58:18 15880 ----a-w- c:\windows\system32\lsdelete.exe

2010-03-10 07:24:12 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys

2010-03-10 07:17:23 0 d-----w- c:\program\Lavasoft

2010-03-10 07:01:32 0 dc-h--w- c:\docume~1\alluse~1\applic~1\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}

2010-03-10 06:22:03 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-03-10 06:22:01 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-03-10 06:22:01 0 d-----w- c:\program\Malwarebytes' Anti-Malware

2010-03-10 06:19:24 0 d-----w- c:\docume~1\davida~1\applic~1\Malwarebytes

2010-03-10 06:19:16 0 d-----w- c:\docume~1\alluse~1\applic~1\Malwarebytes

2010-03-10 05:42:12 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe

2010-03-09 20:41:44 89600 ---ha-w- c:\windows\system32\ljkjgd.dll

2010-03-07 18:04:11 93696 ---ha-w- c:\windows\system32\ljgeee.dll

2010-03-07 17:59:05 76961 ----a-w- c:\documents and settings\davidanna\pod60.exe

2010-03-06 16:24:53 0 d-----w- c:\windows\Applian Director

2010-03-06 16:24:53 0 d-----w- c:\program\Applian Director

2010-03-06 16:24:34 0 d-----w- c:\windows\Replay Music

2010-03-06 16:24:34 0 d-----w- c:\program\Replay Music 3

2010-03-06 16:23:40 2 ----a-w- c:\documents and settings\davidanna\tenmy.ini

2010-03-06 16:23:40 0 d-----w- c:\docume~1\davida~1\applic~1\mdply3d

2010-03-06 16:23:38 373553 ----a-w- c:\documents and settings\davidanna\mdply3d.exe

2010-03-05 15:24:27 218 ----a-w- c:\documents and settings\davidanna\.recently-used.xbel

2010-03-05 06:22:10 0 d-----w- c:\docume~1\davida~1\applic~1\griffith

2010-03-05 06:21:36 0 d-----w- c:\program\Griffith

2010-03-04 18:11:36 0 d-----w- c:\program\Personal

2010-02-19 23:47:50 3604480 ----a-w- c:\windows\system32\GPhotos.scr

2010-02-12 18:36:14 0 d-----w- C:\DVDVOLUME

2010-02-12 17:45:28 60032 -c--a-w- c:\windows\system32\dllcache\usbaudio.sys

2010-02-12 17:45:28 60032 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys

2010-02-12 17:45:20 20992 -c--a-w- c:\windows\system32\dllcache\dshowext.ax

2010-02-12 17:45:20 20992 ----a-w- c:\windows\system32\dshowext.ax

2010-02-10 08:28:48 8958040 ----a-w- c:\documents and settings\davidanna\RMSetup.exe

 

==================== Find3M ====================

 

2010-03-10 07:24:03 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys

2009-12-22 18:39:20 922112 ------w- c:\windows\system32\imapi2fs.dll

2009-12-22 18:39:20 426496 ------w- c:\windows\system32\imapi2.dll

2009-12-21 19:09:46 916480 ----a-w- c:\windows\system32\wininet.dll

2009-12-17 07:42:44 343552 ----a-w- c:\windows\system32\mspaint.exe

2009-12-14 07:10:20 33280 ----a-w- c:\windows\system32\csrsrv.dll

2009-05-06 08:44:31 245760 --sha-w- c:\windows\system32\config\systemprofile\ietldcache\index.dat

2009-05-06 08:44:31 32768 --sha-w- c:\windows\system32\config\systemprofile\lokala inställningar\tidigare\history.ie5\mshist012009041320090420\index.dat

2009-05-06 08:44:31 32768 --sha-w- c:\windows\system32\config\systemprofile\lokala inställningar\tidigare\history.ie5\mshist012009050620090507\index.dat

 

============= FINISH: 9:01:45,03 ===============

Attach.txt

[Cecilia]

Jag ser att du har installerat MBAM och Ad-aware. Har de programmen hittat något? I så fall klistra in de loggarna från dem så att jag kan se vad de hittade för något.

[kung_yoda]

Jag ser att du har installerat MBAM och Ad-aware. Har de programmen hittat något? I så fall klistra in de loggarna från dem så att jag kan se vad de hittade för något.

 

Jag installerade MBAM nu på morgonen men får inte igång det. När jag dubbelklickar på ikonen händer inget alls. Kan inte öppna/köra programmet. Har avinstallerat och installerat på nytt men samma resultat. programmet vill inte öppna. Ngn idé vad det kan vara?

 

Jag körde nyss Ad-aware men programmet hittade inget alls av intresse.

 

Tack på förhand

[Cecilia]

Okej, då lär det vara någon av de nyare skadliga programmen som blockerar MBAM mm. Vi får ta reda på lite mer om vad som lurar i datorn.

 

Det ser ut att bland annat vara en skadlig fil som öppnar en bakdörr till datorn så att någon annan kan komma in i datorn från internet. Håll internetanslutningen urdragen så mycket som möjligt.

 

Jag ser att de skadliga filerna ser ut att ha kommit in samtidigt som installation av:

2010-03-06 16:24:53 0 d-----w- c:\program\Applian Director

2010-03-06 16:24:34 0 d-----w- c:\program\Replay Music 3

Kan det vara så? Är det crackade program? Det är nog säkrast att avinstallera de två programmen.

 

På sidan http://www.virustotal.com trycker du på Bläddra-knappen och klistrar in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) eller en länk till resultatet här. Upprepa med nästa filnamn.

2010-03-10 05:42:12 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe

2010-03-09 20:41:44 89600 ---ha-w- c:\windows\system32\ljkjgd.dll

2010-03-07 18:04:11 93696 ---ha-w- c:\windows\system32\ljgeee.dll

2010-03-07 17:59:05 76961 ----a-w- c:\documents and settings\davidanna\pod60.exe

2010-03-06 16:23:38 373553 ----a-w- c:\documents and settings\davidanna\mdply3d.exe

[kung_yoda]

Okej, då lär det vara någon av de nyare skadliga programmen som blockerar MBAM mm. Vi får ta reda på lite mer om vad som lurar i datorn.

 

Det ser ut att bland annat vara en skadlig fil som öppnar en bakdörr till datorn så att någon annan kan komma in i datorn från internet. Håll internetanslutningen urdragen så mycket som möjligt.

 

Jag ser att de skadliga filerna ser ut att ha kommit in samtidigt som installation av:

2010-03-06 16:24:53 0 d-----w- c:\program\Applian Director

2010-03-06 16:24:34 0 d-----w- c:\program\Replay Music 3

Kan det vara så? Är det crackade program? Det är nog säkrast att avinstallera de två programmen.

 

På sidan http://www.virustotal.com trycker du på Bläddra-knappen och klistrar in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) eller en länk till resultatet här. Upprepa med nästa filnamn.

2010-03-10 05:42:12 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe

2010-03-09 20:41:44 89600 ---ha-w- c:\windows\system32\ljkjgd.dll

2010-03-07 18:04:11 93696 ---ha-w- c:\windows\system32\ljgeee.dll

2010-03-07 17:59:05 76961 ----a-w- c:\documents and settings\davidanna\pod60.exe

2010-03-06 16:23:38 373553 ----a-w- c:\documents and settings\davidanna\mdply3d.exe

 

 

Jag vet inte om de nämnda programmen är crackade men jag har avinstallerat dem nu.

 

Bifogar här resultaten på dina nämnda filer.

 

Fil ljgeee.dll mottagen 2010.03.10 09:20:35 (UTC)

Antivirus Version Senaste Uppdatering Resultat

a-squared 4.5.0.50 2010.03.10 -

AhnLab-V3 5.0.0.2 2010.03.09 -

AntiVir 8.2.1.180 2010.03.10 -

Antiy-AVL 2.0.3.7 2010.03.10 -

Authentium 5.2.0.5 2010.03.10 -

Avast 4.8.1351.0 2010.03.09 -

Avast5 5.0.332.0 2010.03.09 -

AVG 9.0.0.787 2010.03.09 -

BitDefender 7.2 2010.03.10 -

CAT-QuickHeal 10.00 2010.03.10 -

ClamAV 0.96.0.0-git 2010.03.10 -

Comodo 4091 2010.02.28 -

DrWeb 5.0.1.12222 2010.03.10 -

eSafe 7.0.17.0 2010.03.09 -

eTrust-Vet 35.2.7351 2010.03.10 -

F-Prot 4.5.1.85 2010.03.09 -

F-Secure 9.0.15370.0 2010.03.10 -

Fortinet 4.0.14.0 2010.03.09 -

GData 19 2010.03.10 -

Ikarus T3.1.1.80.0 2010.03.10 -

Jiangmin 13.0.900 2010.03.10 -

K7AntiVirus 7.10.993 2010.03.09 -

Kaspersky 7.0.0.125 2010.03.10 -

McAfee 5915 2010.03.09 -

McAfee+Artemis 5915 2010.03.09 -

McAfee-GW-Edition 6.8.5 2010.03.10 -

Microsoft 1.5502 2010.03.10 VirTool:Win32/Obfuscator.ID

NOD32 4930 2010.03.09 -

Norman 6.04.08 2010.03.10 -

nProtect 2009.1.8.0 2010.03.10 -

Panda 10.0.2.2 2010.03.09 -

PCTools 7.0.3.5 2010.03.10 -

Prevx 3.0 2010.03.10 High Risk Fraudulent Security Program

Rising 22.38.02.03 2010.03.10 -

Sophos 4.51.0 2010.03.10 -

Sunbelt 5811 2010.03.10 -

Symantec 20091.2.0.41 2010.03.10 -

TheHacker 6.5.2.0.228 2010.03.10 -

TrendMicro 9.120.0.1004 2010.03.10 -

VBA32 3.12.12.2 2010.03.09 -

ViRobot 2010.3.10.2219 2010.03.10 -

VirusBuster 5.0.27.0 2010.03.09 -

 

 

c:\windows\system32\ljkjgd.dll

Antivirus Version Senaste Uppdatering Resultat

a-squared 4.5.0.50 2010.03.10 -

AhnLab-V3 5.0.0.2 2010.03.09 -

AntiVir 8.2.1.180 2010.03.10 -

Antiy-AVL 2.0.3.7 2010.03.10 -

Authentium 5.2.0.5 2010.03.10 -

Avast 4.8.1351.0 2010.03.09 -

Avast5 5.0.332.0 2010.03.09 -

AVG 9.0.0.787 2010.03.09 -

BitDefender 7.2 2010.03.10 -

CAT-QuickHeal 10.00 2010.03.10 -

ClamAV 0.96.0.0-git 2010.03.10 -

Comodo 4091 2010.02.28 -

DrWeb 5.0.1.12222 2010.03.10 -

eSafe 7.0.17.0 2010.03.09 -

eTrust-Vet 35.2.7351 2010.03.10 -

F-Prot 4.5.1.85 2010.03.09 -

F-Secure 9.0.15370.0 2010.03.10 -

Fortinet 4.0.14.0 2010.03.09 -

GData 19 2010.03.10 -

Ikarus T3.1.1.80.0 2010.03.10 -

Jiangmin 13.0.900 2010.03.10 -

K7AntiVirus 7.10.993 2010.03.09 -

Kaspersky 7.0.0.125 2010.03.10 -

McAfee 5915 2010.03.09 -

McAfee+Artemis 5915 2010.03.09 -

McAfee-GW-Edition 6.8.5 2010.03.10 -

Microsoft 1.5502 2010.03.10 -

NOD32 4930 2010.03.09 -

Norman 6.04.08 2010.03.10 -

nProtect 2009.1.8.0 2010.03.10 -

Panda 10.0.2.2 2010.03.09 -

PCTools 7.0.3.5 2010.03.10 -

Prevx 3.0 2010.03.10 -

Rising 22.38.02.03 2010.03.10 -

Sophos 4.51.0 2010.03.10 -

Sunbelt 5811 2010.03.10 -

Symantec 20091.2.0.41 2010.03.10 Suspicious.Insight

TheHacker 6.5.2.0.228 2010.03.10 -

TrendMicro 9.120.0.1004 2010.03.10 -

VBA32 3.12.12.2 2010.03.09 -

ViRobot 2010.3.10.2219 2010.03.10 -

VirusBuster 5.0.27.0 2010.03.09 -

 

 

c:\documents and settings\davidanna\pod60.exe

 

Antivirus Version Senaste Uppdatering Resultat

a-squared 4.5.0.50 2010.03.10 -

AhnLab-V3 5.0.0.2 2010.03.09 -

AntiVir 8.2.1.180 2010.03.10 -

Antiy-AVL 2.0.3.7 2010.03.10 -

Authentium 5.2.0.5 2010.03.10 -

Avast 4.8.1351.0 2010.03.09 -

Avast5 5.0.332.0 2010.03.09 -

AVG 9.0.0.787 2010.03.09 -

BitDefender 7.2 2010.03.10 -

CAT-QuickHeal 10.00 2010.03.10 -

ClamAV 0.96.0.0-git 2010.03.10 -

Comodo 4091 2010.02.28 -

DrWeb 5.0.1.12222 2010.03.10 -

eSafe 7.0.17.0 2010.03.09 -

eTrust-Vet 35.2.7351 2010.03.10 -

F-Prot 4.5.1.85 2010.03.09 -

F-Secure 9.0.15370.0 2010.03.10 -

Fortinet 4.0.14.0 2010.03.09 -

GData 19 2010.03.10 -

Ikarus T3.1.1.80.0 2010.03.10 Trojan.Win32.Obfuscated

Jiangmin 13.0.900 2010.03.10 -

K7AntiVirus 7.10.993 2010.03.09 -

Kaspersky 7.0.0.125 2010.03.10 -

McAfee 5915 2010.03.09 -

McAfee+Artemis 5915 2010.03.09 -

McAfee-GW-Edition 6.8.5 2010.03.10 Heuristic.BehavesLike.Win32.Downloader.B

Microsoft 1.5502 2010.03.10 -

NOD32 4930 2010.03.09 -

Norman 6.04.08 2010.03.10 W32/Smalldrp.AXSO

nProtect 2009.1.8.0 2010.03.10 -

Panda 10.0.2.2 2010.03.09 -

PCTools 7.0.3.5 2010.03.10 -

Prevx 3.0 2010.03.10 High Risk Cloaked Malware

Rising 22.38.02.03 2010.03.10 -

Sophos 4.51.0 2010.03.10 Mal/Behav-365

Sunbelt 5811 2010.03.10 Trojan.Win32.Agent

Symantec 20091.2.0.41 2010.03.10 Suspicious.Insight

TheHacker 6.5.2.0.228 2010.03.10 -

TrendMicro 9.120.0.1004 2010.03.10 -

VBA32 3.12.12.2 2010.03.09 -

ViRobot 2010.3.10.2219 2010.03.10 -

VirusBuster 5.0.27.0 2010.03.09 -

 

c:\documents and settings\davidanna\mdply3d.exe

 

Antivirus Version Senaste Uppdatering Resultat

a-squared 4.5.0.50 2010.03.10 -

AhnLab-V3 5.0.0.2 2010.03.09 -

AntiVir 8.2.1.180 2010.03.10 -

Antiy-AVL 2.0.3.7 2010.03.10 -

Authentium 5.2.0.5 2010.03.10 -

Avast 4.8.1351.0 2010.03.09 -

Avast5 5.0.332.0 2010.03.09 -

AVG 9.0.0.787 2010.03.09 Generic2_c.SHN

BitDefender 7.2 2010.03.10 -

CAT-QuickHeal 10.00 2010.03.10 -

ClamAV 0.96.0.0-git 2010.03.10 -

Comodo 4091 2010.02.28 -

DrWeb 5.0.1.12222 2010.03.10 -

eSafe 7.0.17.0 2010.03.09 -

eTrust-Vet 35.2.7351 2010.03.10 -

F-Prot 4.5.1.85 2010.03.09 -

F-Secure 9.0.15370.0 2010.03.10 -

Fortinet 4.0.14.0 2010.03.09 -

GData 19 2010.03.10 -

Ikarus T3.1.1.80.0 2010.03.10 -

Jiangmin 13.0.900 2010.03.10 -

K7AntiVirus 7.10.993 2010.03.09 -

Kaspersky 7.0.0.125 2010.03.10 -

McAfee 5915 2010.03.09 -

McAfee+Artemis 5915 2010.03.09 Artemis!8F0F2234511B

McAfee-GW-Edition 6.8.5 2010.03.10 -

Microsoft 1.5502 2010.03.10 -

NOD32 4930 2010.03.09 -

Norman 6.04.08 2010.03.10 -

nProtect 2009.1.8.0 2010.03.10 -

Panda 10.0.2.2 2010.03.09 Suspicious file

PCTools 7.0.3.5 2010.03.10 -

Prevx 3.0 2010.03.10 High Risk System Back Door

Rising 22.38.02.03 2010.03.10 -

Sophos 4.51.0 2010.03.10 -

Sunbelt 5811 2010.03.10 Trojan.Win32.Generic!SB.0

Symantec 20091.2.0.41 2010.03.10 Suspicious.Insight

TheHacker 6.5.2.0.228 2010.03.10 -

TrendMicro 9.120.0.1004 2010.03.10 -

VBA32 3.12.12.2 2010.03.09 -

ViRobot 2010.3.10.2219 2010.03.10 -

VirusBuster 5.0.27.0 2010.03.09 -

 

c:\windows\system32\dllcache\moviemk.exe

Denna filen hittar jag inte under ovan nämnda sökväg...hittar inte \dllcache\

Antar att den har med programmet moviemaker att göra.

 

 

Blir du ngt klokare?

 

Tack på förhand.

[Cecilia]

Spara RKill av Grinler på Skrivbordet. Ladda ner det från den första av dessa länkar:

http://download.bleepingcomputer.com/grinler/rkill.com

http://download.bleepingcomputer.com/grinler/rkill.pif

http://download.bleepingcomputer.com/grinler/rkill.scr

http://download.bleepingcomputer.com/grinler/rkill.exe

 

Starta Rkill (i Vista och Windows 7 genom att högerklicka på filen och välj Kör som administratör om det valet finns).

Det blir ett svart fönster/ruta en stund om programmet lyckades köra.

Om det inte blev något svart fönster/ruta så ta bort den RKill-varianten och upprepa med nästa RKill.

 

Om du får ett meddelande om att RKill är skadligt så bry dig inte om det. Det är det skadliga programmen som inte vill bli stoppat. Lämna kvar varningen på skärmen och kör RKill en gång till.

 

Kör RKill 5 gånger efter varandra.

 

Om inte någon av program-varianterna kan köra så berätta det.

 

Se om MBAM kan köra nu.

[kung_yoda]

Spara RKill av Grinler på Skrivbordet. Ladda ner det från den första av dessa länkar:

http://download.bleepingcomputer.com/grinler/rkill.com

http://download.bleepingcomputer.com/grinler/rkill.pif

http://download.bleepingcomputer.com/grinler/rkill.scr

http://download.bleepingcomputer.com/grinler/rkill.exe

 

Starta Rkill (i Vista och Windows 7 genom att högerklicka på filen och välj Kör som administratör om det valet finns).

Det blir ett svart fönster/ruta en stund om programmet lyckades köra.

Om det inte blev något svart fönster/ruta så ta bort den RKill-varianten och upprepa med nästa RKill.

 

Om du får ett meddelande om att RKill är skadligt så bry dig inte om det. Det är det skadliga programmen som inte vill bli stoppat. Lämna kvar varningen på skärmen och kör RKill en gång till.

 

Kör RKill 5 gånger efter varandra.

 

Om inte någon av program-varianterna kan köra så berätta det.

 

Se om MBAM kan köra nu.

 

 

Jag körde igång första länken, laddade ner och körde.

Alla ikoner på skrivbordet försvann, startaknappen försvann mm mm.

Det enda jag har upp nu är detta explorerfönster. Kan inte klicka på ngt annat.

Bara att starta om datorn nu eller?

[Cecilia]

Se om det går att avsluta RKill genom att göra fönstret aktivt och trycka Ctrl+C eller klicka på krysset i övre högre hörnet.

 

Om det inte hjälper så pröva:

Ctrl + Shift + Esc (eller Ctrl + Alt + Del) bör ta upp Aktivitetshanteraren.

Arkiv - Ny aktivitet

explorer.exe

OK

Se om det fungerar och gör att Skrivbordet kommer upp igen.

Om du får upp Aktivitetshanteraren men inte Skrivbordet så kan du stänga av datorn från ett annat menyval i Aktivitetshanteraren.

[kung_yoda]

Se om det går att avsluta RKill genom att göra fönstret aktivt och trycka Ctrl+C eller klicka på krysset i övre högre hörnet.

 

Om det inte hjälper så pröva:

Ctrl + Shift + Esc (eller Ctrl + Alt + Del) bör ta upp Aktivitetshanteraren.

Arkiv - Ny aktivitet

explorer.exe

OK

Se om det fungerar och gör att Skrivbordet kommer upp igen.

Om du får upp Aktivitetshanteraren men inte Skrivbordet så kan du stänga av datorn från ett annat menyval i Aktivitetshanteraren.

 

 

Nu fick jag tillbaka skrivbordet...med hjälp av:

Ctrl + Shift + Esc (eller Ctrl + Alt + Del) bör ta upp Aktivitetshanteraren.

Arkiv - Ny aktivitet

explorer.exe

OK

 

Ska jag gå vidare med ngn av de andra länkarna du gav mig gällande RKill ?

 

Tack så jättemkt för all din hjälp hittills...hoppas du orkar lite till. *L*

 

Kan även tillägga att det kom fram en minimerad ruta längst, när jag körde RKill, nere som såg ut som ett DOS-fönster eller liknande...sen försvann allt.

[Cecilia]

Se om MBAM funkar och annars så pröva med de andra RKill.

Om ingen av dem hjälper för att få igång MBAM så kan du också pröva med att byta namn på RKill.com till iexplore.com.

 

Kan även tillägga att det kom fram en minimerad ruta längst, när jag körde RKill, nere som såg ut som ett DOS-fönster eller liknande...sen försvann allt.

Det är RKills fönster, men det ska inte komma upp minimerat utan större. Det var det jag tänkte på att du kunde pröva att stänga med krysset.

[kung_yoda]

Se om MBAM funkar och annars så pröva med de andra RKill.

Om ingen av dem hjälper för att få igång MBAM så kan du också pröva med att byta namn på RKill.com till iexplore.com.

 

Det är RKills fönster, men det ska inte komma upp minimerat utan större. Det var det jag tänkte på att du kunde pröva att stänga med krysset.

 

 

MBAM fungerar fortfarande inte.

 

Jag körde den andra RKill och då kom det upp ett svart fönster en stund....sen kom följande text:

 

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Ran as DavidAnna on 2010-03-10 at 11:27:36.

 

 

Processes terminated by Rkill or while it was running:

 

 

C:\WINDOWS\system32\rundll32.exe

C:\Program\Skype\Toolbars\Shared\SkypeNames.exe

C:\Documents and Settings\DavidAnna\Skrivbord\rkill.pif

 

 

Rkill completed on 2010-03-10 at 11:27:40.

 

 

Vad göra härnäst?

[Cecilia]

Den RKill verkar fungera. Kör den fem gånger efter varandra och se om MBAM startar efter det.

[kung_yoda]

Den RKill verkar fungera. Kör den fem gånger efter varandra och se om MBAM startar efter det.

 

 

Har nu kört RKill 5 gånger efter varandra men Malwarebytes.... fungerar fortfarande inte.?!

[Cecilia]

Om du startar om datorn så kör RKill igen några gånger.

 

Gå till mappen c:\program\Malwarebytes' Anti-Malware och byt namn på mbam.exe till iexplore.exe och se sedan om MBAM kan starta genom att du dubbelklickar på den iexplore.exe.

[kung_yoda]

Om du startar om datorn så kör RKill igen några gånger.

 

Gå till mappen c:\program\Malwarebytes' Anti-Malware och byt namn på mbam.exe till iexplore.exe och se sedan om MBAM kan starta genom att du dubbelklickar på den iexplore.exe.

 

 

Jag gjorde som du beskrev ovan och nu har MBAM startat upp.

Ska jag nu utföra en snabb elller fullständig skanning?...eller ngt annat kanske?

 

Tack

[Cecilia]

Gör en fullständig skanning, men om du har flera hårddiskar (partitioner) så kan du ta bort bockarna för alla utom C:.

[kung_yoda]

Gör en fullständig skanning, men om du har flera hårddiskar (partitioner) så kan du ta bort bockarna för alla utom C:.

 

Okej, påbörjar det nu...tar väl en stund.

Ska jag kopiera in ngn logg här när det är klart?

[Cecilia]

Japp, troligen så kommer loggen upp i Anteckningar, men annars så hittar du den på fliken Loggar i MBAM.

[kung_yoda]

Japp, troligen så kommer loggen upp i Anteckningar, men annars så hittar du den på fliken Loggar i MBAM.

 

Så var skanningen klar.

 

Resultatet blev följande:

 

Malwarebytes' Anti-Malware 1.44

Databasversion: 3510

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

2010-03-10 12:49:13

mbam-log-2010-03-10 (12-49-05).txt

 

Skanningstyp: Fullständig skanning (C:\|)

Antal skannade objekt: 171219

Förfluten tid: 42 minute(s), 59 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 7

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 2

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ljghggdrv (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\vtutrsdrv (Trojan.Vundo) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tuvvwvdrv (Trojan.Vundo) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tuvvwvdrv (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hgdayxsys (Trojan.Vundo) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cbxwvusys (Trojan.Vundo) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cbxwvusys (Trojan.Vundo) -> No action taken.

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\Documents and Settings\DavidAnna\pod60.exe (Adware.Agent) -> No action taken.

C:\System Volume Information\_restore{FE2935D0-B78D-4265-A689-E7D3905C94AF}\RP373\A0023231.exe (Adware.Agent) -> No action taken.

[Cecilia]

Det står No action taken på allt som MBAM hittade. Du ska låta MBAM åtgärda allt den hittar. Starta sedan om datorn och kör MBAM igen, men denna gång räcker det med en snabbskanning. Om något hittas så klistra in den loggen.

 

Klistra in en ny DDS-logg.

[kung_yoda]

Det står No action taken på allt som MBAM hittade. Du ska låta MBAM åtgärda allt den hittar. Starta sedan om datorn och kör MBAM igen, men denna gång räcker det med en snabbskanning. Om något hittas så klistra in den loggen.

 

Klistra in en ny DDS-logg.

 

 

När du säger att MBAM ska åtgärda allt den hittar....menar du då att jag manuellt ska klicka på "Ta bort markerade". Jag har kvar MBAM på den bilden där alla suspekta filer är markerade.

[Cecilia]

Just det, allt ska vara förbockat och du klickar på "Ta bort markerade".

[kung_yoda]

Just det, allt ska vara förbockat och du klickar på "Ta bort markerade".

 

Då har jag tagit bort de markerade....startat om datorn....kört en snabbskanning och hittade då följande:

 

Malwarebytes' Anti-Malware 1.44

Databasversion: 3510

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

2010-03-10 13:57:03

mbam-log-2010-03-10 (13-56-52).txt

 

Skanningstyp: Snabb skanning

Antal skannade objekt: 106500

Förfluten tid: 5 minute(s), 6 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 7

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\khghigdrv (Trojan.Agent) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ljkkigdrv (Trojan.Vundo) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yaxuvvdrv (Trojan.Vundo) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yaxuvvdrv (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cbbawxsys (Trojan.Vundo) -> No action taken.

HKEY_USERS\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wvwtuusys (Trojan.Vundo) -> No action taken.

HKEY_USERS\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\wvwtuusys (Trojan.Vundo) -> No action taken.

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

 

 

Efter att jag kopierade ovanstående text tog jag även bort filerna. Så "No action taken" stämmer inte.

 

Ska jag köra igen tills inga infekterade hittas...eller har du ngn annan bra idé?

 

Tacksam