Xmlmap97

11 mars, 2010

Att datorn klagar på att skadliga filer är borta är bara bra!

Men där är en skadlig mapp kvar som ska bort.

Kopiera alla rader i rutan:
Folder::
c:\documents and settings\DavidAnna\Lokala inställningar\Application Data\comodbc3D
och klistra in i Anteckningar. Se till att radbrytningen finns där.

Spara filen på Skrivbordet med namnet CFScript.

Förbered datorn på samma sätt som tidigare för ComboFix.

Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.

Klistra in loggen som kommer ut.

Här kommer loggen:

ComboFix 10-03-10.04 - DavidAnna 2010-03-11 7:53.6.1 - x86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.46.1053.18.991.557 [GMT 1:00]

Körs från: c:\documents and settings\DavidAnna\Skrivbord\ComboFix.exe

Använda kommandoväxlar :: c:\documents and settings\DavidAnna\Skrivbord\CFScript.txt

AV: avast! antivirus 4.8.1368 [VPS 100310-1] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}

.

(((((((((((((((((((((((( Filer Skapade från 2010-02-11 till 2010-03-11 ))))))))))))))))))))))))))))))

.

2010-03-10 07:58 . 2010-03-10 07:24 15880 ----a-w- c:\windows\system32\lsdelete.exe

2010-03-10 07:24 . 2010-02-04 15:53 64288 ----a-w- c:\windows\system32\drivers\Lbd.sys

2010-03-10 07:24 . 2010-03-10 07:24 95024 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\Drivers\SBREDrv.sys

2010-03-10 07:24 . 2010-03-10 07:24 598368 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\EmailScanner.dll

2010-03-10 07:24 . 2010-03-10 07:24 884176 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\threatwork.exe

2010-03-10 07:24 . 2010-03-10 07:24 566608 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\sbap.dll

2010-03-10 07:24 . 2010-03-10 07:24 15880 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\lsdelete.exe

2010-03-10 07:24 . 2010-03-10 07:24 393896 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\lavalicense.dll

2010-03-10 07:24 . 2010-03-10 07:24 211064 ----a-w- c:\documents and settings\All Users\Application Data\Lavasoft\Ad-Aware\Update\lavamessage.dll

2010-03-10 07:17 . 2010-02-04 15:53 2954656 -c--a-w- c:\documents and settings\All Users\Application Data\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}\Ad-AwareInstaller.exe

2010-03-10 07:17 . 2010-03-10 07:17 -------- d-----w- c:\program\Lavasoft

2010-03-10 07:01 . 2010-03-10 07:17 -------- dc-h--w- c:\documents and settings\All Users\Application Data\{74D08EB8-01D1-4BAE-91E3-F30C1B031AC6}

2010-03-10 06:22 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-03-10 06:22 . 2010-03-10 10:53 -------- d-----w- c:\program\Malwarebytes' Anti-Malware

2010-03-10 06:22 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-03-10 06:19 . 2010-03-10 06:19 -------- d-----w- c:\documents and settings\DavidAnna\Application Data\Malwarebytes

2010-03-10 06:19 . 2010-03-10 06:19 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-03-10 05:42 . 2009-10-23 15:28 3558912 -c----w- c:\windows\system32\dllcache\moviemk.exe

2010-03-05 06:22 . 2010-03-05 14:02 -------- d-----w- c:\documents and settings\DavidAnna\Application Data\griffith

2010-03-05 06:21 . 2010-03-05 06:21 -------- d-----w- c:\program\Griffith

2010-03-04 18:11 . 2010-03-04 18:11 -------- d-----w- c:\program\Personal

2010-02-19 23:47 . 2010-02-19 23:47 3604480 ----a-w- c:\windows\system32\GPhotos.scr

2010-02-12 18:36 . 2010-02-12 18:46 -------- d-----w- C:\DVDVOLUME

2010-02-12 17:45 . 2008-04-13 19:45 60032 -c--a-w- c:\windows\system32\dllcache\usbaudio.sys

2010-02-12 17:45 . 2008-04-13 19:45 60032 ----a-w- c:\windows\system32\drivers\USBAUDIO.sys

2010-02-10 08:28 . 2010-02-10 08:28 8958040 ----a-w- c:\documents and settings\DavidAnna\RMSetup.exe

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-03-11 06:46 . 2009-06-09 16:15 -------- d-----w- c:\documents and settings\DavidAnna\Application Data\Spotify

2010-03-10 20:32 . 2009-05-03 11:52 -------- d-----w- c:\documents and settings\DavidAnna\Application Data\uTorrent

2010-03-10 07:24 . 2009-10-30 10:13 95024 ----a-w- c:\windows\system32\drivers\SBREDrv.sys

2010-03-10 07:17 . 2009-09-02 09:34 -------- d-----w- c:\documents and settings\All Users\Application Data\Lavasoft

2010-03-10 06:37 . 2010-01-19 07:07 -------- d-----w- c:\program\DivX

2010-03-08 18:42 . 2010-02-06 18:13 -------- d-----w- c:\documents and settings\DavidAnna\Application Data\Skype

2010-03-08 18:22 . 2010-02-06 18:16 -------- d-----w- c:\documents and settings\DavidAnna\Application Data\skypePM

2010-03-05 13:09 . 2009-05-08 14:33 -------- d-----w- c:\documents and settings\DavidAnna\Application Data\dvdcss

2010-03-02 19:19 . 2009-05-02 12:18 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD Shrink

2010-02-06 18:16 . 2010-02-06 18:16 56 ---ha-w- c:\windows\system32\ezsidmv.dat

2010-02-06 18:12 . 2010-02-06 18:12 -------- d-----r- c:\program\Skype

2010-02-06 18:12 . 2010-02-06 18:12 -------- d-----w- c:\program\Delade filer\Skype

2010-02-06 18:12 . 2010-02-06 18:12 -------- d-----w- c:\documents and settings\All Users\Application Data\Skype

2010-02-05 13:52 . 2010-02-05 13:52 -------- d-----w- c:\program\YouTube Downloader

2010-01-21 06:00 . 2009-12-30 20:50 -------- d-----w- c:\program\Microsoft Silverlight

2010-01-15 15:03 . 2009-04-19 21:37 -------- d-----w- c:\program\Delade filer\Adobe

2010-01-11 07:39 . 2010-01-11 07:39 -------- d-----w- c:\documents and settings\DavidAnna\Application Data\Apple Computer

2010-01-10 23:09 . 2010-01-10 23:09 -------- d-----w- c:\program\QuickTime

2010-01-10 23:09 . 2010-01-10 23:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer

2010-01-10 23:08 . 2010-01-10 23:08 -------- d-----w- c:\program\Delade filer\Apple

2010-01-10 23:08 . 2010-01-10 23:08 -------- d-----w- c:\program\Apple Software Update

2010-01-10 23:08 . 2010-01-10 23:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple

2009-12-31 16:50 . 2004-08-04 12:00 353792 ----a-w- c:\windows\system32\drivers\srv.sys

2009-12-22 18:39 . 2009-12-22 18:39 922112 ------w- c:\windows\system32\imapi2fs.dll

2009-12-22 18:39 . 2009-12-22 18:39 426496 ------w- c:\windows\system32\imapi2.dll

2009-12-21 19:09 . 2004-08-04 12:00 916480 ------w- c:\windows\system32\wininet.dll

2009-12-17 07:42 . 2009-04-19 17:01 343552 ----a-w- c:\windows\system32\mspaint.exe

2009-12-14 07:10 . 2004-08-04 12:00 33280 ----a-w- c:\windows\system32\csrsrv.dll

.

((((((((((((((((((((((((((((( SnapShot@2010-03-10_16.09.44 )))))))))))))))))))))))))))))))))))))))))

.

+ 2010-03-11 06:19 . 2010-03-11 06:19 16384 c:\windows\Temp\Perflib_Perfdata_7a8.dat

+ 2010-03-11 06:19 . 2010-03-11 06:19 16384 c:\windows\Temp\Perflib_Perfdata_644.dat

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"comodbc3D"="c:\documents and settings\DavidAnna\Lokala inställningar\Application Data\comodbc3D\comodbc3D.dll" [2010-03-09 77824]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"High Definition Audio Property Page Shortcut"="HDAShCut.exe" [2004-10-27 61952]

"RTHDCPL"="RTHDCPL.EXE" [2006-02-27 16005120]

"ATICCC"="c:\program\ATI Technologies\ATI.ACE\cli.exe" [2005-08-12 45056]

"EPSON Stylus DX4800 Series"="c:\windows\System32\spool\DRIVERS\W32X86\3\E_FATIADE.EXE" [2005-02-02 98304]

"avast!"="c:\program\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

"QuickTime Task"="c:\program\QuickTime\qttask.exe" [2009-11-10 417792]

"Adobe Reader Speed Launcher"="c:\program\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-12-22 35760]

"Adobe ARM"="c:\program\Delade filer\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\All Users\Start-meny\Program\Autostart\

BankID s„kerhetsprogram.lnk - c:\program\Personal\bin\Personal.exe [2010-3-4 939920]

Microsoft Office.lnk - c:\program\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]

"NoSMMyPictures"= 0 (0x0)

"NoStartMenuMyMusic"= 0 (0x0)

"NoRecentDocsNetHood"= 0 (0x0)

"NoSimpleStartMenu"= 0 (0x0)

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\policies\explorer]

"NoSMMyPictures"= 0 (0x0)

"NoStartMenuMyMusic"= 0 (0x0)

"NoRecentDocsNetHood"= 0 (0x0)

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2009-12-22 00:57 35760 ----a-w- c:\program\Adobe\Reader 9.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

2008-04-14 16:05 15360 ------w- c:\windows\system32\ctfmon.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

2009-07-25 03:23 149280 ----a-w- c:\program\Java\jre6\bin\jusched.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program\\uTorrent\\uTorrent.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program\\Spotify\\spotify.exe"=

"c:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program\\Java\\jre6\\bin\\java.exe"=

"c:\\Program\\Skype\\Plugin Manager\\skypePM.exe"=

"c:\\Program\\Skype\\Phone\\Skype.exe"=

R0 Lbd;Lbd;c:\windows\system32\drivers\Lbd.sys [2010-03-10 64288]

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-09-29 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-09-29 20560]

R2 cpuz132;cpuz132;c:\windows\system32\drivers\cpuz132_x32.sys [2009-10-21 12672]

S2 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program\Lavasoft\Ad-Aware\AAWService.exe [2010-02-04 1229232]

S3 Camdrv30;Philips ToUcam XS;c:\windows\system32\drivers\camdrv30.sys [2009-07-31 171264]

.

Innehållet i mappen 'Schemalagda aktiviteter':

2010-03-11 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2010-02-04 07:23]

2010-03-05 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

.

------- Extra genomsökning -------

.

uStart Page = hxxp://www.google.se/

uDefault_Search_URL = hxxp://www.google.com/ie

uSearchAssistant = hxxp://www.google.com/ie

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200

IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\Office10\EXCEL.EXE/3000

DPF: {3D3B42C2-11BF-4732-A304-A01384B70D68} - hxxp://picasaweb.google.com/s/v/58.14/uploader2.cab

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-03-11 07:57

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

- - - - - - - > 'winlogon.exe'(568)

c:\windows\system32\Ati2evxx.dll

- - - - - - - > 'explorer.exe'(864)

c:\documents and settings\DavidAnna\Lokala inställningar\Application Data\comodbc3D\comodbc3D.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Sluttid: 2010-03-11 07:58:32

ComboFix-quarantined-files.txt 2010-03-11 06:58

ComboFix2.txt 2010-03-11 06:23

ComboFix3.txt 2010-03-10 19:10

ComboFix4.txt 2010-03-10 18:29

ComboFix5.txt 2010-03-11 06:51

Före genomsökningen: 76 944 801 792 byte ledigt

Efter genomsökningen: 76 933 005 312 byte ledigt

- - End Of File - - 0588393EA0295466732AD4586657720A

11 mars, 2010

Kopiera in följande i Anteckningar:

Folders to delete:
c:\documents and settings\DavidAnna\Lokala inställningar\Application Data\comodbc3D

Kontrollera att radbrytningen finns där så att det är två rader.

Starta Avenger.

I den stora rutan så klistrar du in texten som finns i Anteckningar.

Bocka i rutan Scan for rootkits om den inte redan är ibockad.

Tryck på Execute för att starta det.

Datorn startar nu om (kanske två gånger).

Efter en liten stund så kommer loggen (C:\avenger.txt) upp, klistra in den här.

Klistra in en ny ComboFix-logg också.

11 mars, 2010

Kopiera in följande i Anteckningar:
Folders to delete:
c:\documents and settings\DavidAnna\Lokala inställningar\Application Data\comodbc3D
Kontrollera att radbrytningen finns där så att det är två rader.

Starta Avenger.

I den stora rutan så klistrar du in texten som finns i Anteckningar.

Bocka i rutan Scan for rootkits om den inte redan är ibockad.

Tryck på Execute för att starta det.

Datorn startar nu om (kanske två gånger).

Efter en liten stund så kommer loggen (C:\avenger.txt) upp, klistra in den här.

Klistra in en ny ComboFix-logg också.

Här är Avenger.txt:

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

Error: folder "c:\documents and settings\DavidAnna\Lokala inställningar\Application" not found!

Deletion of folder "c:\documents and settings\DavidAnna\Lokala inställningar\Application" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: could not open folder "Data\comodbc3D"

Deletion of folder "Data\comodbc3D" failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

--> bad path / the parent directory does not exist

Completed script processing.

*******************

Finished! Terminate.

Här är ComboFix:

**********

11 mars, 2010

Nu har du fått in en extra radbrytning mellan "Application" och "Data". Försök en gång till.

PS. Jag tar bort ComboFix-loggen eftersom den inte ger något när Avenger inte gjorde något.

11 mars, 2010

Nu har du fått in en extra radbrytning mellan "Application" och "Data". Försök en gång till.

PS. Jag tar bort ComboFix-loggen eftersom den inte ger något när Avenger inte gjorde något.

Hoppas detta är bättre.

Är borta ett par timmar fr.o.m nu...men åter efter lunch. Tack på förhand.

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

Error: folder "c:\documents and settings\DavidAnna\Lokala inställningar\Applica" not found!

Deletion of folder "c:\documents and settings\DavidAnna\Lokala inställningar\Applica" failed!

Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)

--> the object does not exist

Error: could not open folder "tion Data\comodbc3D"

Deletion of folder "tion Data\comodbc3D" failed!

Status: 0xc000003a (STATUS_OBJECT_PATH_NOT_FOUND)

--> bad path / the parent directory does not exist

Completed script processing.

*******************

Finished! Terminate.

11 mars, 2010

Nej, nästa samma sak igen. Radbrytning mitt i ordet "Application" denna gång.

11 mars, 2010

Nej, nästa samma sak igen. Radbrytning mitt i ordet "Application" denna gång.

Nytt försök:

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.

Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

No rootkits found!

Folder "c:\documents and settings\DavidAnna\Lokala inställningar\Application Data\comodbc3D" deleted successfully.

Completed script processing.

*******************

Finished! Terminate.

Jag bifogar även två bilder, en så som det ser ut när jag klistrar in i Avenger och en (RUNDLL) som ploppade upp när datorn startades om.

11 mars, 2010

Jättebra att det gick till slut!

Då är det dags för ComboFix och en ny logg.

11 mars, 2010

Jättebra att det gick till slut!

Då är det dags för ComboFix och en ny logg.

Då har vi den nya loggen här:

ComboFix 10-03-10.07 - DavidAnna 2010-03-11 13:57:22.8.1 - x86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.46.1053.18.991.562 [GMT 1:00]