Just nu i M3-nätverket
Jump to content

Installerat om Windows 7 - ändå virus/spyware


bengt11

Recommended Posts

Har Windows 7 Ultimate som funkat jättebra, ända tills... Ibland i Facebook kom det upp att datorn var infekterad (så sant...). Förmodligen var det "Security Tool" som kom in och spökade. Fick bort detta, men virus och spyware har fortsatt. Försökte med Malwarebytes och en del andra program enligt instruktioner på en annan sida. Tror det var Combofix som inte fungerade på W7 så jag lyckades inte genomföra hela reningsprocessen. Så eländet fortsatte och det startades en massa processer, w.exe, 58xqhfe.exe eller vad de nu hetat.

 

Till saken hör att det i Hotmail hänt att meddelanden har skickats ut "från mig" till adressater ur min adressbok! Kan Hotmail innehålla skräp som måste rensas???

 

Installerade nu om Windows 7 Ultimate idag och allt var bra, la in Comviq Surf Connect (bytte en del inställningsfiler jag sparat på dvd) men det var enda programmet jag installerat och nu har eländet kommit tillbaka!!! Kan det ha lagt sig skräp på dvd'n?

 

Har surfat på Hotmail och Facebook idag - kan det komma in virus/spyware den vägen?

 

Har kört Malwarebytes, som bl a hittade:

Trojan.FakeAlert.H

Trojan.Agent

Backdoor.Bot

Worm.Nyxem

Trojan.Koblu

Trojan.Downloader

Spyware.OnlineGames

Malware.Trace

Hijack.System.Hidden

 

Bifogar DDS-genomgång:

 

DDS (Ver_10-03-17.01) - NTFSx86

Run by bengt at 12:11:04,07 on 2010-05-06

Internet Explorer: 8.0.7600.16385

Microsoft Windows 7 Ultimate 6.1.7600.0.1252.46.1033.18.1023.387 [GMT 2:00]

 

 

============== Running Processes ===============

 

C:\Windows\system32\wininit.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe -k DcomLaunch

C:\Windows\system32\svchost.exe -k RPCSS

C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted

C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted

C:\Windows\system32\svchost.exe -k netsvcs

C:\Windows\system32\svchost.exe -k LocalService

C:\Windows\system32\svchost.exe -k NetworkService

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork

C:\Windows\system32\taskhost.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\SOUNDMAN.EXE

C:\Windows\system32\WUDFHost.exe

C:\Windows\system32\SearchIndexer.exe

C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation

C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe

C:\Windows\System32\svchost.exe -k secsvcs

C:\Program Files\Comviq Surf Connect\Comviq Surf Connect.exe

c:\windows\system32\wuaucldt.exe

C:\Windows\system32\svchost.exe

C:\Windows\system32\Rundll32.exe

C:\Windows\svchust.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Windows\system32\scvhost.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Windows\system32\Rundll32.exe

C:\Program Files\Malwarebytes' Anti-Malware\mbam.exe

C:\Windows\system32\wbem\wmiprvse.exe

C:\Windows\system32\SearchProtocolHost.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Windows\system32\DllHost.exe

C:\Windows\system32\DllHost.exe

C:\Users\bengt\Desktop\dds.scr

C:\Windows\system32\conhost.exe

 

============== Pseudo HJT Report ===============

 

uStart Page = hxxp://www.google.se/

mRun: [soundMan] SOUNDMAN.EXE

mRun: [syncman] c:\windows\system32\wuaucldt.exe

mRun: [xdrdtg] RUNDLL32.EXE c:\windows\system32\mswacsbm.dll,w

mRun: [cftmon] c:\windows\system32\cftmon.exe

mRun: [dgwxnv] RUNDLL32.EXE c:\windows\system32\msqcxdhc.dll,w

mRunOnce: [Malwarebytes' Anti-Malware] c:\program files\malwarebytes' anti-malware\mbamgui.exe /install /silent

dRun: [syncman] c:\windows\system32\config\systemprofile\wuaucldt.exe

mExplorerRun: [q3jc] c:\windows\temp\m58x.exe

mExplorerRun: [exec] c:\windows\fonts\services.exe

mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)

mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)

mPolicies-system: EnableUIADesktopToggle = 0 (0x0)

TCP: {716AF3F8-45BC-46EC-96C4-0B4ACCDA0CD5} = 80.251.201.177 80.251.201.178

 

============= SERVICES / DRIVERS ===============

 

R2 Net_Login;Net_Login;c:\windows\svchust.exe [2010-5-6 242176]

R2 WMOptimizer;Windows Media Optimizer;c:\windows\system32\scvhost.exe service --> c:\windows\system32\scvhost.exe service [?]

R3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2010-5-6 38224]

R3 yukonw7;NDIS6.2 Miniport Driver for Marvell Yukon Ethernet Controller;c:\windows\system32\drivers\yk62x86.sys [2009-7-14 311296]

S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-14 229888]

S3 diskchk;diskchk;c:\windows\system32\diskchk.sys [2009-7-14 2432]

S3 hwusbfake;Huawei DataCard USB Fake;c:\windows\system32\drivers\ewusbfake.sys [2010-5-6 103040]

 

=============== Created Last 30 ================

 

2010-05-06 16:57:18 0 d-----w- c:\windows\Panther

2010-05-06 10:04:52 0 d-----w- c:\users\bengt\appdata\roaming\Malwarebytes

2010-05-06 10:04:43 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-05-06 10:04:40 20824 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-05-06 10:04:40 0 d-----w- c:\programdata\Malwarebytes

2010-05-06 10:04:40 0 d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-05-06 08:51:33 36865 ----a-w- c:\windows\system32\msqcxdhc.dll

2010-05-06 08:49:01 58 --sh--w- c:\windows\system32\User.ini

2010-05-06 08:48:01 94208 --sh--r- c:\windows\system32\cftmon.exe

2010-05-06 08:47:59 94208 --sh--r- c:\windows\system32\scvhost.exe

2010-05-06 08:47:55 94208 ----a-w- c:\windows\sv3.exe

2010-05-06 08:46:49 242176 ----a-w- c:\windows\svchust.exe

2010-05-06 08:45:32 62496 ----a-w- c:\windows\system32\MSWINSCK.OCX

2010-05-06 08:44:40 36865 ----a-w- c:\windows\system32\mswacsbm.dll

2010-05-06 08:44:27 29440 ----a-w- c:\windows\system32\wuaucldt.exe

2010-05-06 08:44:23 96256 ----a-w- c:\windows\system32\w.exe

2010-05-06 08:44:23 36864 ----a-w- c:\windows\system32\d.bin

2010-05-06 08:44:23 33792 ----a-w- c:\windows\system32\so.bin

2010-05-06 08:44:23 0 ----a-w- c:\windows\system32\ms.bin

2010-05-06 08:44:11 0 d-sh--w- c:\windows\system32\%APPDATA%

2010-05-06 08:34:25 181632 ------w- c:\windows\system32\MpSigStub.exe

2010-05-06 08:19:11 621056 ----a-w- c:\windows\system32\drivers\mod7700.sys

2010-05-06 08:19:11 23424 ----a-w- c:\windows\system32\drivers\ewdcsc.sys

2010-05-06 08:19:11 112128 ----a-w- c:\windows\system32\drivers\ewusbnet.sys

2010-05-06 08:19:11 103040 ----a-w- c:\windows\system32\drivers\ewusbfake.sys

2010-05-06 08:19:11 102784 ----a-w- c:\windows\system32\drivers\ewusbmdm.sys

2010-05-06 08:18:59 0 d-----w- c:\program files\Comviq Surf Connect

2010-05-06 08:13:53 69952 ----a-r- c:\windows\system32\drivers\Jula.sys

2010-05-06 08:13:53 65760 ----a-r- c:\windows\system32\drivers\JulaWdm.sys

2010-05-06 08:13:53 421888 ----a-r- c:\windows\system32\JulaPan.exe

2010-05-06 08:13:53 278593 ----a-r- c:\windows\system32\JulaAsio.dll

2010-05-06 07:54:30 0 d-----w- c:\program files\Realtek Sound Manager

2010-05-06 07:54:26 0 d-----w- c:\program files\AvRack

2010-05-06 07:50:30 54784 ----a-w- c:\windows\system32\drivers\iusb2hub.sys

2010-05-06 07:50:30 32128 ----a-w- c:\windows\system32\drivers\iusbehci.sys

2010-05-06 07:50:29 0 d-----w- c:\windows\Drivers

2010-05-06 07:50:17 3373 ----a-w- c:\windows\Ascd_tmp.ini

2010-05-06 07:44:36 713888 ----a-w- c:\windows\system32\PerfStringBackup.INI

2010-05-06 07:43:24 0 d-----w- c:\windows\system32\wbem\Performance

2010-05-06 07:41:36 0 d-sh--w- C:\Recovery

2010-05-06 07:02:15 0 ---ha-w- c:\windows\system32\drivers\Msft_User_WpdFs_01_09_00.Wdf

2010-05-06 07:00:53 0 ----a-w- c:\windows\system32\atiicdxx.dat

2010-05-06 07:00:53 0 ----a-w- c:\windows\ativpsrm.bin

 

==================== Find3M ====================

 

2009-07-14 04:56:42 31548 ----a-w- c:\windows\inf\perflib\0409\perfd.dat

2009-07-14 04:56:42 31548 ----a-w- c:\windows\inf\perflib\0409\perfc.dat

2009-07-14 04:56:42 291294 ----a-w- c:\windows\inf\perflib\0409\perfi.dat

2009-07-14 04:56:42 291294 ----a-w- c:\windows\inf\perflib\0409\perfh.dat

2009-07-14 04:41:57 174 --sha-w- c:\program files\desktop.ini

2009-07-14 00:34:40 291294 ----a-w- c:\windows\inf\perflib\0000\perfi.dat

2009-07-14 00:34:40 291294 ----a-w- c:\windows\inf\perflib\0000\perfh.dat

2009-07-14 00:34:38 31548 ----a-w- c:\windows\inf\perflib\0000\perfd.dat

2009-07-14 00:34:38 31548 ----a-w- c:\windows\inf\perflib\0000\perfc.dat

2003-03-21 11:37:58 16056 ----a-w- c:\program files\owcstp16.dll

2009-06-10 21:26:35 9633792 --sha-r- c:\windows\fonts\StaticCache.dat

2009-07-14 01:14:45 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe

 

============= FINISH: 12:11:41,06 ===============

Attach.txt

Link to comment
Share on other sites

Det sprids mycket skadligt på Facebook och i mejl kan det också finnas skadliga filer. Eftersom det verkar skickas skräp från dig till dina kontakter så behöver du byta lösenord till Hotmail och det måste göras från en ren dator.

 

Här är klockslaget när du installerar modemet (kan skilja mot verkligheten en eller två timmar):

2010-05-06 08:18:59 0 d-----w- c:\program files\Comviq Surf Connect

ca 25 minuter senare dyker den första skadliga filen upp:

2010-05-06 08:44:23 33792 ----a-w- c:\windows\system32\so.bin

Vet du vad du gjorde just då?

 

Eftersom du just har installerat om datorn så är det enklast och säkrast att installera en gång till. Innan du installerar om så ser du till att spara ned ett antivirusprogram på CD/DVD eller USB-minne. Det installerar du sedan innan du ansluter datorn till internet. Det första du gör efter att ha anslutit datorn till internet är att köra Windows Update (Kontrollpanelen) med omstarter tills det inte finns något mer på Windows Update. En dator med säkerhetshål, vilket det finns innan Windows Update är klar, är ett lätt mål att infektera för den som vill det.

 

Kan det ha lagt sig skräp på dvd'n?
Det beror ju på hur den är skapad.
Link to comment
Share on other sites

Tusen tack - ska göra detta och håller tummarna... ;) Men hur hindrar man saker att spridas från Facebook - för där laddar man ju inte hem något direkt?

Link to comment
Share on other sites

Hej,

lite beroenda av vilken webbläsare du använder, men t.ex NOScript är en bra funktion i Firefox, som blockerar scripts som tar dig till oönskade sidor, hindrar att java och flash körs utan att du själv tillåter det. WOT är ett annat praktikt hjälpmedel.

En bra brandvägg och Antiviruslösning är noga.

Samt det viktigaste, att du själv är kritisk.

 

Några länkar:

https://addons.mozilla.org/sv-SE/firefox/addon/722 (NoScript)

http://www.mywot.com/sv (Web Of Trust)

home (ceblstockholm) (Cecilias säkerhetstips)

 

Mvh

Mats H

Link to comment
Share on other sites

Tusen tack - ska göra detta och håller tummarna... ;) Men hur hindrar man saker att spridas från Facebook - för där laddar man ju inte hem något direkt?

 

Att inte använda Facebook kanske;), nä kanske är lättare att läsa Mats H tips.

Link to comment
Share on other sites

Tack Mats!! Kalasbra information! :)

Ha det gott!

 

Jo, önskar jag kunde låta bli Facebook, men... ;)

Link to comment
Share on other sites

  • 2 months later...

Problemet beror på ditt Huaweimodem. Har samma problem och skall kolla upp detta senare.

Inte blir datorn infekterad bara för att man har en 3G-anslutning och särskilt inte just på Facebook.

Link to comment
Share on other sites

Inte blir datorn infekterad bara för att man har en 3G-anslutning och särskilt inte just på Facebook.

Nej, blåskärmen kommer av ett problem med Huaweis modem, inte av att surfa på Facebook. Orsaken ligger i ewusbnet.sys men jag har ännu inte hunnit ta reda på om det finns en lösning. Kör W7 själv.

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...