Oönskat besök av AntiMalware Doctor

[vanilj]

Hejsan alla vänliga människor,

 

Jag har problem med min dator eller jag kanske har problem. Det är det jag vill reda ut. Men själv är jag inte så haj på det här.

Fick för några dagar sedan besök av AntiMalware Doctor som installerades på min hårdisk utan min vilja. Förstod direkt att det var nåt skit och körde mitt vanliga virusprogram AVG som hittade ett antal konstiga filer. Vet inte riktigt men tror inte AVG hittade eller rådde på alla filer utan datorn var otroligt seg och jag fick upp en internetsida men inte mer. Sökte på min andra dator efter den här typen av virus på diverse forum och fick fram att Malwarebytes Anti-Malware kunde råda bot på problemet. Scannade igenom disken och det programmet hittade 15 infekterade filer. Efter det blev det mycket bättre, dock fick jag något konstigt fel meddelande ibland när jag öppnade eller uppdaterade vissa internetsidor men det är borta nu.

Då är min fråga nu, vågar jag lite på att allt "skit" är borta från min dator och vågar jag använda mig av bankärenden och dylikt?

 

Klistrar in loggar från Malwarebytes och DDS längre ner.

 

 

Tack så mycket på förhand

 

/Joakim

[log]Logg från

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

 

Databasversion: 3962

 

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18904

 

2010-04-07 14:20:11

mbam-log-2010-04-07 (14-20-11).txt

 

Skanningstyp: Fullständig skanning (C:\|E:\|)

Antal skannade objekt: 280089

Förfluten tid: 3 timme(ar), 0 minut(er), 33 sekund(er)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 1

Infekterade registernycklar: 6

Infekterade registervärden: 5

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 15

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

C:\Users\Joakim\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

 

Infekterade registernycklar:

HKEY_CURRENT_USER\Software\YVIBBBHA8C (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\XML (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Handle (Malware.Trace) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Uninstall\Antimalware Doctor (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\Antimalware Doctor Inc (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\WEK9EMDHI9 (Trojan.Agent) -> Quarantined and deleted successfully.

 

Infekterade registervärden:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\dbf70700.exe (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yvibbbha8c (Trojan.FakeAlert) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\canaveral (Trojan.Downloader) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\reader_s (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\desktop sms (Worm.P2P) -> Quarantined and deleted successfully.

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\Users\Joakim\AppData\Roaming\967C6D939B03997436104580BDE90786\dbf70700.exe (Rogue.AntiMalwareDoctor) -> Quarantined and deleted successfully.

C:\Users\Joakim\AppData\Local\Temp\BN1ACE.tmp (Trojan.Sasfis) -> Quarantined and deleted successfully.

C:\Users\Joakim\AppData\Local\Temp\BN4BAF.tmp (Trojan.Sasfis) -> Quarantined and deleted successfully.

C:\Users\Joakim\AppData\Local\Temp\gmfrxpgv.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Users\Joakim\AppData\Local\Temp\iexplore.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Users\Joakim\AppData\Local\Temp\Irr.exe (Trojan.FakeAlert) -> Delete on reboot.

C:\Users\Joakim\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

C:\Users\Joakim\Desktop\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

C:\Users\Joakim\AppData\Roaming\Microsoft\Windows\Start Menu\Antimalware Doctor.lnk (Rogue.AntimalwareDoctor) -> Quarantined and deleted successfully.

C:\Users\Joakim\AppData\Local\Temp\sshnas21.dll (Trojan.Downloader) -> Delete on reboot.

C:\Windows\Tasks\{66BA574B-1E11-49b8-909C-8CC9E0E8E015}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Users\Joakim\reader_s.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Windows\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Users\Joakim\AppData\Local\Temp\geurge.exe (Worm.Prolaco.M) -> Quarantined and deleted successfully.

C:\Users\Joakim\AppData\Roaming\winsvcn.exe (Trojan.Agent) -> Quarantined and deleted successfully.

 

 

Logg från

 

DDS (Ver_10-03-17.01) - NTFSx86

Run by Joakim at 15:03:36,29 on 2010-04-09

Internet Explorer: 8.0.6001.18904

Microsoft® Windows Vista™ Business 6.0.6002.2.1252.46.1053.18.2037.850 [GMT 2:00]

 

AV: AVG Anti-Virus *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

SP: AVG Anti-Virus *enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

 

============== Running Processes ===============

 

C:\Windows\system32\wininit.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe -k DcomLaunch

C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe

C:\Windows\system32\svchost.exe -k rpcss

C:\Windows\System32\svchost.exe -k secsvcs

C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted

C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted

C:\Windows\system32\svchost.exe -k netsvcs

C:\Windows\system32\svchost.exe -k GPSvcGroup

C:\Windows\system32\SLsvc.exe

C:\Windows\system32\svchost.exe -k LocalService

C:\Windows\system32\svchost.exe -k NetworkService

C:\Program Files\Lavasoft\Ad-Aware\aawservice.exe

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork

C:\Windows\system32\taskeng.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\agrsmsvc.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSvcs.exe

C:\Program Files\CDBurnerXP\NMSAccessU.exe

C:\Windows\system32\IoctlSvc.exe

C:\PROGRA~1\AVG\AVG8\avgam.exe

C:\PROGRA~1\AVG\AVG8\avgrsx.exe

C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted

C:\Windows\system32\svchost.exe -k imgsvc

C:\Program Files\TOSHIBA\TOSHIBA DVD PLAYER\TNaviSrv.exe

C:\Windows\system32\TODDSrv.exe

c:\Program Files\TOSHIBA\Power Saver\TosCoSrv.exe

c:\Program Files\TOSHIBA\SMARTLogService\TosIPCSrv.exe

C:\Windows\System32\svchost.exe -k WerSvcGroup

C:\Windows\system32\SearchIndexer.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\System32\igfxpers.exe

C:\Windows\system32\igfxsrvc.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Synaptics\SynTP\SynTPEnh.exe

C:\Program Files\TOSHIBA\ConfigFree\NDSTray.exe

C:\Program Files\TOSHIBA\Power Saver\TPwrMain.exe

C:\Program Files\TOSHIBA\SmoothView\SmoothView.exe

C:\Program Files\TOSHIBA\FlashCards\TCrdMain.exe

C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe

C:\Program Files\AVG\AVG8\avgtray.exe

C:\Windows\System32\SupportAppXL\AutoDect.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe

C:\Program Files\TOSHIBA\TOSCDSPD\TOSCDSPD.exe

C:\Program Files\Common Files\Ahead\Lib\NMBgMonitor.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Windows Media Player\wmpnetwk.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexingService.exe

C:\Program Files\Common Files\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program Files\TOSHIBA\ConfigFree\CFSwMgr.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\Program Files\Synaptics\SynTP\SynTPHelper.exe

C:\Windows\system32\svchost.exe -k netsvcs

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Windows\system32\Macromed\Flash\FlashUtil10c.exe

C:\PROGRA~1\AVG\AVG8\avgnsx.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Windows\system32\UI0Detect.exe

C:\Program Files\Windows Live\Messenger\msnmsgr.exe

C:\Program Files\Windows Live\Contacts\wlcomm.exe

C:\Windows\system32\conime.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Windows\system32\SearchProtocolHost.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Users\Joakim\Desktop\dds.scr

C:\Windows\system32\wbem\wmiprvse.exe

 

============== Pseudo HJT Report ===============

 

uSearch Page = hxxp://www.google.com

uStart Page = hxxp://www.superstart.se/

uSearch Bar = hxxp://www.google.com/ie

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://www.google.com/keyword/%s

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: AVG Safe Search: {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program files\avg\avg8\avgssie.dll

BHO: Groove GFS Browser Helper: {72853161-30c5-4d22-b7f9-0bbc1d38a37e} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll

BHO: Windows Live inloggningshjälpen: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\program files\google\googletoolbar1.dll

BHO: Java™ Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll

TB: &Google: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program files\google\googletoolbar1.dll

uRun: [TOSCDSPD] TOSCDSPD.EXE

uRun: [MsnMsgr] "c:\program files\windows live\messenger\MsnMsgr.Exe" /background

uRun: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "c:\program files\common files\ahead\lib\NMBgMonitor.exe"

uRun: [WMPNSCFG] c:\program files\windows media player\WMPNSCFG.exe

mRun: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

mRun: [igfxTray] c:\windows\system32\igfxtray.exe

mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe

mRun: [Persistence] c:\windows\system32\igfxpers.exe

mRun: [RtHDVCpl] RtHDVCpl.exe

mRun: [synTPEnh] c:\program files\synaptics\syntp\SynTPEnh.exe

mRun: [NDSTray.exe] NDSTray.exe

mRun: [topi] c:\program files\toshiba\toshiba online product information\topi.exe -startup

mRun: [Google Desktop Search] "c:\program files\google\google desktop search\GoogleDesktop.exe" /startup

mRun: [TPwrMain] %ProgramFiles%\TOSHIBA\Power Saver\TPwrMain.EXE

mRun: [smoothView] %ProgramFiles%\Toshiba\SmoothView\SmoothView.exe

mRun: [00TCrdMain] %ProgramFiles%\TOSHIBA\FlashCards\TCrdMain.exe

mRun: [Toshiba Registration] c:\program files\toshiba\registration\ToshibaRegistration.exe

mRun: [skytel] Skytel.exe

mRun: [NBKeyScan] "c:\program files\nero\nero 7\nero backitup\NBKeyScan.exe"

mRun: [GrooveMonitor] "c:\program files\microsoft office\office12\GrooveMonitor.exe"

mRun: [AVG8_TRAY] c:\progra~1\avg\avg8\avgtray.exe

mRun: [autodetect] c:\windows\system32\supportappxl\AutoDect.exe

mRun: [sunJavaUpdateSched] "c:\program files\java\jre6\bin\jusched.exe"

mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime

mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"

mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"

dRun: [Picasa Media Detector] c:\program files\picasa2\PicasaMediaDetector.exe

StartupFolder: c:\users\joakim\appdata\roaming\micros~1\windows\startm~1\programs\startup\antima~1.lnk - c:\users\joakim\appdata\roaming\967c6d939b03997436104580bde90786\dbf70700.exe

StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\bankid~1.lnk - c:\program files\personal\bin\Personal.exe

mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)

mPolicies-system: EnableUIADesktopToggle = 0 (0x0)

IE: E&xportera till Microsoft Excel - c:\progra~1\micros~1\office12\EXCEL.EXE/3000

IE: {76577871-04EC-495E-A12B-91F7C3600AFA} - http://adfarm.mediap...06-44921-9400-2

IE: {8A918C1D-E123-4E36-B562-5C1519E434CE} - http://www.amazon.co...nk-21&site=home

IE: {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - c:\microgaming\poker\unibetpokermpp\MPPoker.exe

IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - c:\progra~1\micros~1\office12\ONBttnIE.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~1\office12\REFIEBAR.DLL

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

DPF: {CAFEEFAC-0016-0000-0015-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_15-windows-i586.cab

Handler: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - c:\program files\microsoft office\office12\GrooveSystemServices.dll

Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - c:\program files\avg\avg8\avgpp.dll

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL

Notify: igfxcui - igfxdev.dll

AppInit_DLLs: AVGRSSTX.DLL c:\progra~1\google\google~3\GOEC62~1.DLL

SEH: Groove GFS Stub Execution Hook: {b5a7f190-dda6-4420-b3ba-52453494e6cd} - c:\program files\microsoft office\office12\GrooveShellExtensions.dll

 

============= SERVICES / DRIVERS ===============

 

R0 AvgRkx86;avgrkx86.sys;c:\windows\system32\drivers\avgrkx86.sys [2008-10-23 12552]

R1 AvgLdx86;AVG AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2008-10-23 335240]

R1 AvgMfx86;AVG On-access Scanner Minifilter Driver x86;c:\windows\system32\drivers\avgmfx86.sys [2008-10-23 27784]

R1 AvgTdiX;AVG8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2008-10-23 108552]

R1 RtlProt;Realtke RtlProt WLAN Utility Protocol Driver;c:\windows\system32\drivers\RtlProt.sys [2008-9-18 25896]

R3 FwLnk;FwLnk Driver;c:\windows\system32\drivers\FwLnk.sys [2008-2-26 7168]

R3 RTL8187B;Realtek RTL8187B trådlös 802.11b/g 54Mbps USB 2.0 nätverksadapter;c:\windows\system32\drivers\rtl8187B.sys [2008-9-18 290304]

S3 massfilter;ZTE Mass Storage Filter Driver;c:\windows\system32\drivers\massfilter.sys [2009-3-12 7168]

S3 Netaapl;Apple Mobile Device Ethernet Service;c:\windows\system32\drivers\netaapl.sys [2009-6-5 17408]

 

=============== Created Last 30 ================

 

2010-04-07 09:12:52 0 d-----w- c:\users\joakim\appdata\roaming\Malwarebytes

2010-04-07 09:12:31 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-07 09:12:28 20824 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-07 09:12:28 0 d-----w- c:\programdata\Malwarebytes

2010-04-07 09:12:28 0 d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-04-06 20:34:54 0 d-----w- c:\users\joakim\appdata\roaming\967C6D939B03997436104580BDE90786

2010-04-06 15:50:46 23950 ----a-w- c:\users\joakim\CV Joakim Dahlgren.pdf

2010-03-17 02:01:11 293376 ----a-w- c:\windows\system32\browserchoice.exe

2010-03-11 11:02:55 24064 ----a-w- c:\windows\system32\nshhttp.dll

2010-03-11 11:02:53 411648 ----a-w- c:\windows\system32\drivers\http.sys

2010-03-11 11:02:53 30720 ----a-w- c:\windows\system32\httpapi.dll

 

==================== Find3M ====================

 

2010-04-06 09:39:38 597836 ----a-w- c:\windows\system32\perfh01D.dat

2010-04-06 09:39:38 117416 ----a-w- c:\windows\system32\perfc01D.dat

2010-02-24 09:16:06 181632 ------w- c:\windows\system32\MpSigStub.exe

2010-02-23 06:39:13 916480 ----a-w- c:\windows\system32\wininet.dll

2010-02-23 06:33:45 71680 ----a-w- c:\windows\system32\iesetup.dll

2010-02-23 06:33:45 109056 ----a-w- c:\windows\system32\iesysprep.dll

2010-02-23 04:55:36 133632 ----a-w- c:\windows\system32\ieUnatt.exe

2010-01-23 09:26:13 2048 ----a-w- c:\windows\system32\tzres.dll

2010-01-12 17:30:50 56 ---ha-w- c:\programdata\ezsidmv.dat

2009-12-13 19:05:59 86016 ----a-w- c:\windows\inf\infstor.dat

2009-12-13 19:05:59 51200 ----a-w- c:\windows\inf\infpub.dat

2009-12-13 19:05:59 143360 ----a-w- c:\windows\inf\infstrng.dat

2009-10-21 10:31:13 665600 ----a-w- c:\windows\inf\drvindex.dat

2008-09-30 15:37:34 174 --sha-w- c:\program files\desktop.ini

2006-11-21 05:00:25 35978 ----a-w- c:\windows\inf\perflib\041d\perfd.dat

2006-11-21 05:00:25 35978 ----a-w- c:\windows\inf\perflib\041d\perfc.dat

2006-11-21 05:00:25 290490 ----a-w- c:\windows\inf\perflib\041d\perfi.dat

2006-11-21 05:00:25 290490 ----a-w- c:\windows\inf\perflib\041d\perfh.dat

2006-11-02 09:20:21 287440 ----a-w- c:\windows\inf\perflib\0000\perfi.dat

2006-11-02 09:20:21 287440 ----a-w- c:\windows\inf\perflib\0000\perfh.dat

2006-11-02 09:20:19 30674 ----a-w- c:\windows\inf\perflib\0000\perfd.dat

2006-11-02 09:20:19 30674 ----a-w- c:\windows\inf\perflib\0000\perfc.dat

2009-10-17 14:25:35 245760 --sha-w- c:\windows\serviceprofiles\networkservice\appdata\roaming\microsoft\windows\ietldcache\index.dat

2009-11-08 21:51:59 16384 --sha-w- c:\windows\system32\config\systemprofile\appdata\local\microsoft\windows\history\low\history.ie5\index.dat

2009-11-08 21:51:59 32768 --sha-w- c:\windows\system32\config\systemprofile\appdata\local\microsoft\windows\temporary internet files\low\content.ie5\index.dat

2009-11-08 21:51:59 16384 --sha-w- c:\windows\system32\config\systemprofile\appdata\roaming\microsoft\windows\cookies\low\index.dat

 

============= FINISH: 15:07:42,86 =============== [/log]

[Mats H]

Hej!

På följande sida, på engelska, finns det beskrivet en borttagningsprocess, kör den.

Följ instruktionerna noggrant.

http://www.bleepingcomputer.com/virus-removal/remove-antimalware-doctor

 

Om du har några frågor eller problem, återkom här.

 

Klistra in loggar efter körning, samt kör en DDS och klistra in loggen här, samt bifoga attach.txt som fil, för uppföljning.

 

Mvh

Mats H

[vanilj]

Hej,

 

Tack för ditt snabba svar. Saken är den att jag redan gått igenom den borttagningsprocess du rekommenderar. Det jag undrar nu är om programmet har fått bort allt virus eller om det kan vara något kvar på min dator. Det var det jag tänkte ni experter kunde hjälpa mig med genom att kolla genom mina loggar.

Loggarna har jag klistrat in här ovan, men bifogar attach.txt med det här meddelandet.

 

Tack på förhand!

Joakim

Attach.txt

[Laston]

Hej! Har du skannat med Malwarebytes igen och den inte hittar något mer alltså?

Uppdatera din java för den är gammal med säkerhetshål i

http://www.saswsupport.se/?page_id=206

Rekommenderar även att du uppgraderar din AVG till den senaste versionen som har lite bättre skydd:

http://free.avg.com/us-en/download-avg-anti-virus-free

Annars ser det bra ut tycker jag!

 

C:\System Volume Information\_restore är stället där systemåterställningsfunktionen lagrar olika systemåterställningspunkter. Det betyder att medan din dator var infekterad så skapade Windows en systemåterställningspunkt. Så länge som de skadliga filerna ligger i den mappen så är de ofarliga. Däremot så om du återställer till en tidpunkt då datorn var infekterad så blir även de skadliga filerna återställda.

 

Du kan ta bort samtliga systemåterställningspunkter genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt.

Systemåterställningsfunktionen slår man av och på här:

Högerklick på Den här datorn - Egenskaper - Systemåterställning

 

Mvh Laston

[Mats H]

Hej!

Skulle vilja att du genomförde en sista avskanning av din dator, med en online scanner:

http://www.eset.com/online-scanner

 

Detta pga att det fanns mer i din Malwarebytes logg än det som är relaterat till AntiMalware Doctor.

 

Återkom med resultatet här.

 

Hur mår din dator nu?

 

Mvh

Mats H

[vanilj]

Hej,

 

Nu har jag skannat med Malwarebytes igen och den hittar inget. Har även uppdaterat Java och AVG till dom senaste versionerna...tack för länkarna. Ska kolla på det där med systemåterställning också sen när jag får mer tid. Bara ett problem nu som jag inte förstår mig på.

Efter Malwarebytes var klar med sin undersökning så hittar AVG nåt fel. En Trojan horse Crypt som det tydligen kallas som är kopplad till mbam.exe. Fattar inte. Men jag bifogar en bild på hur det såg ut.

 

Tack

Joakim

[vanilj]

Hej igen Mats,

 

Jag tycker datorn mår bra förutom lite små konstigheter som det jag beskrev ovan.

Återkommer med resultatet från online scannern.

Tack för tipset!

[Mats H]

Hej!

Efter att Eset Online är klar:

 

Ladda ned ATF cleaner på ditt skrivbord:

http://majorgeeks.com/ATF_Cleaner_d4949.html

 

Stäng alla program och kör ATF!

Starta om och kör MBAM.

 

Återkom med resultat.

 

Mvh

Mats H

[vanilj]

Hej!

 

Nu har jag kört Eset, ATF och MBAM igen. Resultatet av MBAM kommer nedan, men vad jag kan se hittade den inget. Eset kom jag inte ihåg vad den visa och nu hittar jag inte resultatet på heller. Något tips på vad det kan ha placerats sig? Bör jag köra det igen kanske?

 

mvh

Joakim

[log]Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

 

Databasversion: 3962

 

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18904

 

2010-04-10 15:53:11

mbam-log-2010-04-10 (15-53-11).txt

 

Skanningstyp: Fullständig skanning (C:\|E:\|F:\|)

Antal skannade objekt: 273443

Förfluten tid: 2 timme(ar), 32 minut(er), 7 sekund(er)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades) [/log]

[Mats H]

Hej!

Brukar finnas ngn form av rapportruta,

nu vet jag inte hur Eset är upplagt, men allmänt,

borde du hitta under ngn flik, antivirus, skanningar, ev. karantän om Eset lagt ngt där.

 

Återkom med svar!

 

Mvh

Mats H

[Cecilia]

The ESET Online Scanner saves a log file after running, which can be examined or sent in to ESET for further analysis. The path to the log file is "C:\Program Files\EsetOnlineScanner\log.txt".

http://www.eset.com/online-scanner/faq

I svensk Windows bör sökvägen i stället vara C:\Program\EsetOnlineScanner\log.txt

[vanilj]

Hej,

 

Har kollat i den mappen Cecilia men hittar ingen logg där. Iaf körde jag Eset igen och den hittar inga konstigheter. Kanske är så att datorn är ren nu!?

Isf stort tack för hjälpen!!

 

mvh

Joakim

[Cecilia]

Hittar AVG något vid en total genomsökning av datorn?

[vanilj]

AVG hittade två infekterade filer (se bifogad bild) som jag då tog bort och sen har jag kört igenom det en gång till utan att den hittar ngt.

Har kollat lite på det där med systemåterställning, men förstår mig inte riktigt på det. Bör jag se till att ta bort gamla systemåterställningspunkter?

[Cecilia]

Så vitt vi kan förstå är datorn ren.

 

Det är bra att ta bort gamla systemåterställningspunkter så att du inte råkar återställa till ett datum då datorn var infekterad för då kommer infektionen tillbaka. Här är ett annat sätt att ta bort gamla punkter.

 

Börja med att skapa en ny systemåterställningspunkt:

Högerklick på Datorn - Egenskaper - Systemskydd

Tryck på Skapa.

 

Ta sedan bort alla gamla systemåterställningspunkter genom att köra diskrensningsprogrammet.

Högerklicka på C: i Datorn/Utforskaren och välj Egenskaper.

På fliken Allmänt finns det en knapp som heter Diskrensning. Välj den.

Efter några minuter kommer programmet upp och då väljer du en flik som heter Fler alternativ eller något likande. Tryck på den Rensa-knapp som tar bort alla systemåterställningspunkter utom den senaste.