Just nu i M3-nätverket
Jump to content

Popup-virus "Antimalware Doctor"


Karl-Oskar

Recommended Posts

Ikväll har något skräp tagit över min burk. Microsoft Essentials reagerade men utan att jag gjorde något så började meddelande som liknar Windows egna poppa up. De handlade om antivirusgenomsökningar och virusprogram. Så fort jag försöker starta aktivitetshanteraren, Microsoft Essentials eller något annat så får jag popups om virusprogrammet. Enligt Kontrollpanelen installerades Antimalware Doctor idag.

Hur fasen går jag vidare när jag inte kan göra något?

Hjälp!!

 

DDS levererade följande:

 

DDS (Ver_10-03-17.01) - NTFSx86

Run by Bj”rn at 19:00:07,19 on 2010-06-30

Internet Explorer: 8.0.7600.16385

Microsoft Windows 7 Ultimate 6.1.7600.0.1252.46.1053.18.3327.2402 [GMT 2:00]

 

 

============== Running Processes ===============

 

C:\Windows\system32\wininit.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe -k DcomLaunch

C:\Windows\system32\nvvsvc.exe

C:\Windows\system32\svchost.exe -k RPCSS

C:\Program Files\Microsoft Security Essentials\MsMpEng.exe

C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted

C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted

C:\Windows\system32\svchost.exe -k netsvcs

C:\Windows\system32\svchost.exe -k LocalService

C:\Windows\system32\nvvsvc.exe

C:\Windows\system32\svchost.exe -k NetworkService

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork

C:\Windows\system32\Dwm.exe

C:\Program Files\Application Updater\ApplicationUpdater.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskhost.exe

C:\Program Files\Creative\Shared Files\CTAudSvc.exe

C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation

c:\Program Files\Common Files\LightScribe\LSSrvc.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Common Files\Microsoft Shared\VS7DEBUG\mdm.exe

C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

C:\Users\BJRN~1\AppData\Local\Temp\Drr.exe

C:\Windows\System32\Ctxfihlp.exe

C:\Windows\CTHELPER.EXE

C:\hp\support\hpsysdrv.exe

C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

C:\Windows\system32\svchost.exe -k imgsvc

C:\Windows\SYSTEM32\CTXFISPI.EXE

C:\Program Files\Creative\Shared Files\CTSched.exe

C:\Windows\system32\wbem\wmiprvse.exe

C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted

C:\Windows\system32\WUDFHost.exe

C:\Windows\System32\rundll32.exe

C:\Windows\system32\SearchIndexer.exe

C:\Program Files\Windows Media Player\wmpnetwk.exe

C:\Windows\System32\svchost.exe -k LocalServicePeerNet

C:\Program Files\Microsoft Security Essentials\MpCmdRun.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\svchost.exe -k SDRSVC

C:\Windows\system32\SearchProtocolHost.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Windows\system32\wbem\wmiprvse.exe

C:\Windows\system32\DllHost.exe

C:\Windows\system32\DllHost.exe

C:\Users\Björn\Desktop\dds.scr

C:\Windows\system32\conhost.exe

 

============== Pseudo HJT Report ===============

 

uStart Page = hxxp://www.google.se/

mDefault_Page_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=SV_SE&c=71&bd=Pavilion&pf=desktop

mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=SV_SE&c=71&bd=Pavilion&pf=desktop

uInternet Settings,ProxyServer = http=127.0.0.1:5577

uInternet Settings,ProxyOverride = <local>

uURLSearchHooks: {e312764e-7706-43f1-8dab-fcdd2b1e416d} - c:\program files\pdfforge toolbar\SearchSettings.dll

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - No File

BHO: Adobe PDF Conversion Toolbar Helper: {ae7cd045-e861-484f-8273-0445ee161910} - c:\program files\common files\adobe\acrobat\activex\AcroIEFavClient.dll

BHO: pdfforge Toolbar: {b922d405-6d13-4a2b-ae89-08a030da4402} - c:\program files\pdfforge toolbar\ie\1.1.2\pdfforgeToolbarIE.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll

BHO: {e312764e-7706-43f1-8dab-fcdd2b1e416d} - c:\program files\pdfforge toolbar\SearchSettings.dll

BHO: SmartSelect Class: {f4971ee7-daa0-4053-9964-665d8ee6a077} - c:\program files\common files\adobe\acrobat\activex\AcroIEFavClient.dll

TB: Adobe PDF: {47833539-d0c5-4125-9fa8-0819e2eaac93} - c:\program files\common files\adobe\acrobat\activex\AcroIEFavClient.dll

TB: pdfforge Toolbar: {b922d405-6d13-4a2b-ae89-08a030da4402} - c:\program files\pdfforge toolbar\ie\1.1.2\pdfforgeToolbarIE.dll

uRun: [Google Update] "c:\users\björn\appdata\local\google\update\GoogleUpdate.exe" /c

uRun: [CreativeTaskScheduler] "c:\program files\creative\shared files\CTSched.exe" /logon

uRun: [AdobeBridge]

uRun: [Halo2] rundll32.exe c:\users\bjrn~1\appdata\local\temp\sshnas21.dll,GetMainWnd

uRun: [QNB2EB90WX] c:\users\bjrn~1\appdata\local\temp\Drr.exe

uRun: [aljfqnnf] c:\users\björn\appdata\local\vewmougno\xjkntnytssd.exe

mRun: [CTxfiHlp] CTXFIHLP.EXE

mRun: [CTHelper] CTHELPER.EXE

mRun: [CTXFIREG] CTxfiReg.exe

mRun: [hpsysdrv] c:\hp\support\hpsysdrv.exe

mRun: [MSSE] "c:\program files\microsoft security essentials\msseces.exe" -hide -runkey

mRun: [updReg] c:\windows\UpdReg.EXE

mRun: [VolPanel] "c:\program files\creative\usb headsets\volume panel\VolPanlu.exe" /r

mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"

mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)

mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)

mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)

mPolicies-system: EnableUIADesktopToggle = 0 (0x0)

IE: Append Link Target to Existing PDF - c:\program files\common files\adobe\acrobat\activex\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: Append to Existing PDF - c:\program files\common files\adobe\acrobat\activex\AcroIEFavClient.dll/AcroIEAppend.html

IE: Convert Link Target to Adobe PDF - c:\program files\common files\adobe\acrobat\activex\AcroIEFavClient.dll/AcroIECaptureSelLinks.html

IE: Convert to Adobe PDF - c:\program files\common files\adobe\acrobat\activex\AcroIEFavClient.dll/AcroIECapture.html

IE: E&xportera till Microsoft Excel - c:\progra~1\micros~2\office12\EXCEL.EXE/3000

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL

mASetup: {10880D85-AAD9-4558-ABDC-2AB1552D831F} - "c:\program files\common files\lightscribe\LSRunOnce.exe"

 

============= SERVICES / DRIVERS ===============

 

R1 MpFilter;Microsoft Malware Protection Driver;c:\windows\system32\drivers\MpFilter.sys [2009-6-18 151216]

R1 vwififlt;Virtual WiFi Filter Driver;c:\windows\system32\drivers\vwififlt.sys [2009-7-14 48128]

R2 Application Updater;Application Updater;c:\program files\application updater\ApplicationUpdater.exe [2010-1-8 380928]

R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\nvidia corporation\3d vision\nvSCPAPISvr.exe [2010-4-3 240232]

R3 CT20XUT.SYS;CT20XUT.SYS;c:\windows\system32\drivers\CT20XUT.sys [2009-6-4 171032]

R3 CTEXFIFX.SYS;CTEXFIFX.SYS;c:\windows\system32\drivers\CTEXFIFX.sys [2009-6-4 1324056]

R3 CTHWIUT.SYS;CTHWIUT.SYS;c:\windows\system32\drivers\CTHWIUT.sys [2009-6-4 72728]

R3 MpNWMon;Microsoft Malware Protection Network Driver;c:\windows\system32\drivers\MpNWMon.sys [2009-6-18 42368]

R3 Ph3xIB32;Philips 713x Inbox PCI TV Card;c:\windows\system32\drivers\Ph3xIB32.sys [2009-6-10 1311232]

S2 gupdate;Google Update Service (gupdate);c:\program files\google\update\GoogleUpdate.exe [2009-10-18 133104]

S3 b57nd60x;Broadcom NetXtreme Gigabit Ethernet - NDIS 6.0;c:\windows\system32\drivers\b57nd60x.sys [2009-7-14 229888]

S3 Creative ALchemy AL6 Licensing Service;Creative ALchemy AL6 Licensing Service;c:\program files\common files\creative labs shared\service\AL6Licensing.exe [2009-10-11 79360]

S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\common files\creative labs shared\service\CTAELicensing.exe [2009-10-11 79360]

S3 Creative HOAL Licensing Service;Creative HOAL Licensing Service;c:\program files\common files\creative labs shared\service\CTHOALLicensing.exe [2009-10-11 79360]

S3 CT20XUT;CT20XUT;c:\windows\system32\drivers\CT20XUT.sys [2009-6-4 171032]

S3 CTEXFIFX;CTEXFIFX;c:\windows\system32\drivers\CTEXFIFX.sys [2009-6-4 1324056]

S3 CTHWIUT;CTHWIUT;c:\windows\system32\drivers\CTHWIUT.sys [2009-6-4 72728]

S3 skfiltv;skfiltv;c:\windows\system32\drivers\skfiltv.sys [2009-10-11 20480]

S3 WatAdminSvc;Aktiveringsteknologier för Windows-tjänst;c:\windows\system32\wat\WatAdminSvc.exe [2010-6-22 1343400]

 

=============== Created Last 30 ================

 

2010-06-30 16:25:28 0 d-----w- c:\users\bjrn~1\appdata\roaming\AAC17259E6E09A8E5DE4F2AE6D1FCF36

2010-06-30 10:39:25 8445 ----a-w- c:\users\björn\IP-adress och DNS BBB.xlsx

2010-06-28 09:54:39 0 d-----w- c:\program files\MetaGeek

2010-06-26 11:28:32 31 ----a-w- c:\program files\plugins-04041e-1f8.dat

2010-06-25 11:19:19 0 d-----w- c:\program files\Activision

2010-06-24 08:18:06 99176 ----a-w- c:\windows\system32\PresentationHostProxy.dll

2010-06-24 08:18:06 49472 ----a-w- c:\windows\system32\netfxperf.dll

2010-06-24 08:18:06 297808 ----a-w- c:\windows\system32\mscoree.dll

2010-06-24 08:18:06 295264 ----a-w- c:\windows\system32\PresentationHost.exe

2010-06-24 08:18:06 1130824 ----a-w- c:\windows\system32\dfshim.dll

2010-06-24 08:14:15 1286456 ----a-w- c:\windows\system32\ntdll.dll

2010-06-24 08:14:14 641536 ----a-w- c:\windows\system32\CPFilters.dll

2010-06-24 08:14:13 417792 ----a-w- c:\windows\system32\msdri.dll

2010-06-24 08:14:13 204288 ----a-w- c:\windows\system32\MSNP.ax

2010-06-24 08:14:13 199680 ----a-w- c:\windows\system32\mpg2splt.ax

2010-06-22 19:40:03 0 d-----w- c:\windows\system32\Wat

2010-06-13 11:39:11 0 d-----w- c:\users\björn\klassenshemsida 07_10

2010-06-10 15:01:30 2326528 ----a-w- c:\windows\system32\win32k.sys

2010-06-10 15:01:28 67584 ----a-w- c:\windows\system32\asycfilt.dll

2010-06-10 15:01:24 977920 ----a-w- c:\windows\system32\wininet.dll

2010-06-10 15:01:18 34304 ----a-w- c:\windows\system32\atmlib.dll

2010-06-10 15:01:18 293888 ----a-w- c:\windows\system32\atmfd.dll

2010-06-08 15:14:39 0 d-----w- c:\users\björn\Björn

2010-06-06 14:45:38 0 d-----w- c:\program files\WMR14

2010-06-05 21:15:22 0 d-----w- c:\windows\pss

 

==================== Find3M ====================

 

2010-06-30 16:59:56 620052 ----a-w- c:\windows\system32\perfh01D.dat

2010-06-30 16:59:56 121716 ----a-w- c:\windows\system32\perfc01D.dat

2010-06-30 16:59:49 3932160 --sha-w- c:\users\björn\NTUSER.DAT

2010-06-01 17:37:48 221568 ------w- c:\windows\system32\MpSigStub.exe

2010-04-23 07:13:36 2048 ----a-w- c:\windows\system32\tzres.dll

2010-04-20 14:39:56 937 ----a-w- c:\program files\common files\Konvertor.lnk

2010-04-03 16:27:00 985704 ----a-w- c:\windows\system32\nvsvc.dll

2010-04-03 16:27:00 13683816 ----a-w- c:\windows\system32\nvcpl.dll

2010-04-03 16:27:00 129640 ----a-w- c:\windows\system32\nvvsvc.exe

2010-04-03 16:27:00 110696 ----a-w- c:\windows\system32\nvmctray.dll

2010-04-02 14:54:38 600680 ----a-w- c:\windows\system32\nvuninst.exe

2009-07-14 08:15:15 37052 ----a-w- c:\windows\inf\perflib\041d\perfd.dat

2009-07-14 08:15:15 37052 ----a-w- c:\windows\inf\perflib\041d\perfc.dat

2009-07-14 08:15:15 294764 ----a-w- c:\windows\inf\perflib\041d\perfi.dat

2009-07-14 08:15:15 294764 ----a-w- c:\windows\inf\perflib\041d\perfh.dat

2009-07-14 04:41:57 174 --sha-w- c:\program files\desktop.ini

2009-07-14 00:34:40 291294 ----a-w- c:\windows\inf\perflib\0000\perfi.dat

2009-07-14 00:34:40 291294 ----a-w- c:\windows\inf\perflib\0000\perfh.dat

2009-07-14 00:34:38 31548 ----a-w- c:\windows\inf\perflib\0000\perfd.dat

2009-07-14 00:34:38 31548 ----a-w- c:\windows\inf\perflib\0000\perfc.dat

2009-06-10 21:26:35 9633792 --sha-r- c:\windows\fonts\StaticCache.dat

2010-01-24 13:20:13 245760 --sha-w- c:\windows\serviceprofiles\networkservice\appdata\roaming\microsoft\windows\ietldcache\index.dat

2009-07-14 01:14:45 396800 --sha-w- c:\windows\winsxs\x86_microsoft-windows-mail-app_31bf3856ad364e35_6.1.7600.16385_none_f12e83abb108c86c\WinMail.exe

 

============= FINISH: 19:00:29,61 ===============

Link to comment
Share on other sites

Missade denna innan jag gjorde inlägget. Sorry...

//eforum.idg.se/topic/219488-oonskat-besok-av-antimalware-doctor/

Försöker med samma tips.

Link to comment
Share on other sites

Klistra in loggen från MBAM och en ny DDS-logg efter körningen av MBAM så får vi se vad som är kvar då.

Link to comment
Share on other sites

v06mager:

Det blir väldigt rörigt med loggar från två olika datorer blandade i tråden, så jag kommer att flytta ditt inlägg till en egen tråd.

 

Cecilia

Moderator

Link to comment
Share on other sites

v06mager:

Din tråd finns nu här:

//eforum.idg.se/topic/221373-antimalware-doctor-aven-har/

Link to comment
Share on other sites

Ja, nu verkar det rent i alla fall. (Bifogade loggar)

Dock har ett annat konstigt fenomen smugit sig in;

Vid uppstart (och omstart) kommer ett felmeddelande upp (bifogad bild). Datorn har kontakt med nätet. Ping med andra enheter funkar. Spotify funkar. Min First Class-klient funkar. Filezilla funkar. Dock fungerar inga webbsidor i någon webbläsare. Förutom Gmail, funkar utmärkt i både Chrome5 och IE8!?! Https?

Mystiskt för mig, säkert självklart för er därute. Tacksam för hjälp!

 

@brynäsarn: Ny Java på gång när nätet är återställt.

DDS.txt

mbam-log-2010-06-30 (21-59-00).txt

post-45897-1277941388,74_thumb.gif

Link to comment
Share on other sites

Karl-Oskar

Jag är för snabb med mina inlägg! Cecilia, läste ditt tips till "v06mager" om LAN, server, proxy osv. och det funkade! Dock finns skärmdumpsproblemet i inlägget ovan kvar. Allt verkar funka OK om jag klickar bort det, men...

Link to comment
Share on other sites

Tack för poäng! :)

 

Avinstallera pdfforge Toolbar

 

På sidan http://www.virustotal.com trycker du på Bläddra-knappen och klistrar in ett av följande filnamn i rutan, tryck på Öppna och sedan Skicka Fil. Vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in en länk till resultatet här. Upprepa med nästa filnamn.

C:\Program Files\Application Updater\ApplicationUpdater.exe

 

Ladda ner från en av länkarna:

http://test.trendsecure.com/portal/en-US/_download/HJTInstall.exe (bästa alternativet)

http://www.download.com/Trend-Micro-HijackThis/3000-8022_4-10227353.html

http://test.trendsecure.com/portal/en-US/_download/HiJackThis.exe

Installera, starta och välj "Do a system scan and save a logfile", kopiera loggen som kommer upp (inget annat) och klistra in i ditt svar.

 

PS. Kom ihåg att uppdatera MBAM varje gång du startar programmet.

Link to comment
Share on other sites

Med tanke på vad ComboFix hittade i v06magers dator så är det nog bäst att du kör det programmet fast det inte syns samma saker i din DDS-logg.

 

Spara ComboFix på Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...