Hur får jag bort virus?

[Martassen]

Här är DDS. Se bifogade filer.

 

Ska nu starta om och köra igenon med norton.

 

 

[Martassen]

Började köra fullständig systemsökning i norton. Eller räcker det med att köra en snabbsökning?

[Cecilia]

Det är bäst med en fullständig genomsökning med Norton så att vi verkligen vet om där är något kvar enligt Norton.

 

Vänta med att göra nedanstående tills Norton är klar med skanningen och gör det därefter endast om Norton inte hittade något.

 

Avinstallera DAEMON Tools Toolbar eftersom det anses vara en olämplig toolbar.

 

Du har en del gamla programversioner med säkerhetshål. Säkerhetshålen innebär att datorn kan bli infekterad bara genom att besöka en skadlig/hackad webbsida. Hämta nya versioner av:

Adobe Reader

Java

Det är det jag ser men det kan finnas fler så låt Secunias Software Inspector kolla upp datorn.

 

För bästa säkerhet använd senaste versionen av Ad-aware.

[Martassen]

Så här ser det ut i norton.

 

Se bifogad bild och export

 

 

[Martassen]

När jag gick vidare i norton ser det ut så här. Se bifogad bild.

 

Gjorde en export till i detta steg.

 

Se bifogad nortonlog2

 

 

[Martassen]

Ska jag klicka på "Använd åtgärder"?

[Cecilia]

Backdoor.Tidserv!inf

Virus-ID: 38565

Typ: Anomali

Risk: Hög (Hög Smyg, Hög Borttagning, Hög Prestanda, Hög Sekretess)

Kategorier: Virus

Tillstånd: Granska

-----------

2 filer

c:\qoobox\quarantine\c\windows\system32\drivers\rasacd.sys.vir - Misslyckades

C:\Qoobox\Quarantine\C\Windows\system32\Drivers\rasacd.sys.vir_ - Ingen åtgärd vidtogs

1 Cache-minne för webbläsare

 

 

 

Backdoor.Tidserv!inf

Virus-ID: 38565

Typ: Anomali

Risk: Hög (Hög Smyg, Hög Borttagning, Hög Prestanda, Hög Sekretess)

Kategorier: Virus

Tillstånd: Granska

-----------

2 filer

c:\windows\winsxs\x86_microsoft-windows-rasautodial_31bf3856ad364e35_6.0.6001.18000_none_0fd9feb665531f63\rasacd.sys - Misslyckades

c:\windows\system32\drivers\rasacd.sys - Ingen åtgärd vidtogs

1 tjänst

RasAcd - Ingen åtgärd vidtogs

1 Cache-minne för webbläsare

 

Det såg ju inte så bra ut. Det ser ju ut som att fixen som ComboFix inte hjälpte. Jag får fundera under ett tag på lämplig åtgärd.

 

Eftersom det står Granska så antar jag att Norton inte gör något även om du klickar på Använd åtgärder.

[Martassen]

Ok.

 

Malware bytes hittade ju inget ju när jag körde det!?

[Cecilia]

Gör följande saker i tur och ordning. Läs noga. Det kommer nu att dröja några timmar tills jag är vid datorn igen.

1.

Spara SystemLook på Skrivbordet från en av dessa länkar:

http://jpshortstuff.247fixes.com/SystemLook.exe

http://images.malwareremoval.com/jpshortstuff/SystemLook.exe

 

Högerklicka på filen och välj Kör som administratör för att köra den.

 

Kopiera alla rader i rutan

:filefind 
rasacd.*

och klistra in i det stora textfältet i SýstemLook.

Tryck på knappen Look för att starta sökningen.

När det är klart så kommer Anteckningar upp med en logg, och den klistrar du in här. Om loggen inte kommer upp så finns den som SystemLook.txt på Skrivbordet.

 

2.

Spara TDSSKiller på Skrivbordet:

http://support.kaspersky.com/downloads/utils/tdsskiller.zip

 

Högerklicka och välj Extrahera alla. Se till att uppackningen sker till Skrivbordet. Alternativt så kan du använda ditt eget program för att packa upp zip-filer, se bara till att filen tdsskiller.exe hamnar på Skrivbordet.

 

Stäng av så många program som möjligt.

 

Start - Kör

Kopiera raden som är i rutan

"%userprofile%\skrivbord\TDSSKiller.exe" -l rapport.txt -v

Öppna filen "rapport" som skapades i C:\ eller på Skrivbordet och klistra in innehållet i ditt svar.

Starta om datorn.

 

3.

Spara Gmer på Skrivbordet från:

http://www2.gmer.net/download.php

Den har ett slumpmässigt namn så notera vad programmet sparas som.

 

Dra ur internetanslutningen.

Stäng alla program, även antivirusprogram och brandvägg. Som när du körde ComboFix men denna gång kan du stänga av så mycket som möjligt i Norton inklusive brandväggen eftersom du har dragit ur internetanslutningen.

 

Starta det nedladdade programmet.

En första snabbskanning startar.

Om det kommer upp en WARNING som nämner ROOTKIT och frågar om "fully scan" så välj Nej/No. Spara loggen och klistra in i ditt svar. Gör inte mer.

 

Om frågan inte kommer så välj fliken Rootkit/Malware, kontrollera att allt är förbockat till höger utom Show All och andra partitioner än C:\. Tryck på Scan. Låt datorn stå ifred medan Gmer håller på och det kan ta några timmar.

Tryck på Save och spara resultatet på Skrivbordet.

Sätt igång antivirusprogram och brandvägg innan du ansluter till internet.

Klistra in resultatet i ditt svar.

Starta om datorn.

 

4.

Kör ComboFix på samma sätt som sist och klistra in dess logg.

[Martassen]

Här är loggen för systemlook. Se bifogad fil.

 

[Martassen]

När jag kopierar följande rad:

 

"%userprofile%\skrivbord\TDSSKiller.exe" -l rapport.txt -v

 

och sedan väljer start/Kör och klistrar in därefter ok så säger den att den inte kan hitta!? Vad gör jag för fel? Jag har ju tdsskiller.exe på skrivbordet ju. Är det för att jag har internet öppet samtidigt (Försöker läsa instruktionerna)

[Cecilia]

Det blir kanske bättre med engelska:

"%userprofile%\desktop\TDSSKiller.exe" -l rapport.txt -v

 

Vilken tur du har att jag kom förbi en liten stund just nu

[Martassen]

ja vilken tur :-). Tur jag har dig som kan hjälpa mig.

 

Här är rapporten på skrivbordet. Se bifogad fil.

 

[Martassen]

.

[Martassen]

.

[Martassen]

Här är den längre scanloggen:

 

GMER 1.0.15.15281 - http://www.gmer.net

Rootkit scan 2010-07-16 17:26:50

Windows 6.0.6002 Service Pack 2

Running: yhix6kje.exe; Driver: C:\Users\LSKLIN~1\AppData\Local\Temp\pgdirpoc.sys

 

 

---- System - GMER 1.0.15 ----

 

SSDT 87080300 ZwAlpcConnectPort

 

INT 0x51 ? 84486BF8

INT 0x62 ? 869CBF00

INT 0x82 ? 84485BF8

INT 0x92 ? 84485BF8

INT 0xA2 ? 84486BF8

 

---- Kernel code sections - GMER 1.0.15 ----

 

.text ntkrnlpa.exe!KeSetEvent + 13D 822AD8A0 4 Bytes [00, 03, 08, 87]

? System32\Drivers\spcc.sys Det går inte att hitta sökvägen. !

.text C:\Windows\system32\DRIVERS\atikmdag.sys section is writeable [0x8C004000, 0x267978, 0xE8000020]

.text USBPORT.SYS!DllUnload 8C57B41B 5 Bytes JMP 869CB4E0

 

---- Kernel IAT/EAT - GMER 1.0.15 ----

 

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortUchar] [806036D6] \SystemRoot\System32\Drivers\spcc.sys

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUchar] [80603042] \SystemRoot\System32\Drivers\spcc.sys

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortWritePortBufferUshort] [80603800] \SystemRoot\System32\Drivers\spcc.sys

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortUshort] [806030C0] \SystemRoot\System32\Drivers\spcc.sys

IAT \SystemRoot\system32\drivers\atapi.sys[ataport.SYS!AtaPortReadPortBufferUshort] [8060313E] \SystemRoot\System32\Drivers\spcc.sys

IAT \SystemRoot\system32\DRIVERS\i8042prt.sys[HAL.dll!READ_PORT_UCHAR] [80612E9C] \SystemRoot\System32\Drivers\spcc.sys

 

---- Devices - GMER 1.0.15 ----

 

Device \FileSystem\Ntfs \Ntfs 84E231F8

Device \Driver\volmgr \Device\VolMgrControl 844881F8

Device \Driver\usbohci \Device\USBPDO-0 869AC1F8

Device \Driver\usbehci \Device\USBPDO-1 869B81F8

Device \Driver\netbt \Device\NetBT_Tcpip_{A20A888B-BA48-49CD-B3F6-63D459018037} 870C8500

Device \Driver\netbt \Device\NetBT_Tcpip_{06B68424-1266-4E45-8B9D-DD81771CDD78} 870C8500

 

AttachedDevice \Driver\tdx \Device\Tcp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

 

Device \Driver\nvstor32 \Device\00000070 84E221F8

Device \Driver\volmgr \Device\HarddiskVolume1 844881F8

Device \Driver\nvstor32 \Device\00000071 84E221F8

Device \Driver\volmgr \Device\HarddiskVolume2 844881F8

Device \Driver\cdrom \Device\CdRom0 86A071F8

Device \Driver\nvstor32 \Device\00000072 84E221F8

Device \Driver\volmgr \Device\HarddiskVolume3 844881F8

Device \Driver\cdrom \Device\CdRom1 86A071F8

Device \Driver\nvstor32 \Device\00000073 84E221F8

Device \Driver\atapi \Device\Ide\IdePort0 84E211F8

Device \Driver\atapi \Device\Ide\IdePort1 84E211F8

Device \Driver\volmgr \Device\HarddiskVolume4 844881F8

Device \Driver\volmgr \Device\HarddiskVolume5 844881F8

Device \Driver\volmgr \Device\HarddiskVolume6 844881F8

Device \Driver\USBSTOR \Device\00000082 8CE331F8

Device \Driver\volmgr \Device\HarddiskVolume7 844881F8

Device \Driver\USBSTOR \Device\00000083 8CE331F8

Device \Driver\netbt \Device\NetBt_Wins_Export 870C8500

Device \Driver\USBSTOR \Device\00000084 8CE331F8

Device \Driver\Smb \Device\NetbiosSmb 873B01F8

Device \Driver\USBSTOR \Device\00000085 8CE331F8

Device \Driver\USBSTOR \Device\00000086 8CE331F8

Device \Driver\nvstor32 \Device\RaidPort0 84E221F8

 

AttachedDevice \Driver\tdx \Device\Udp SYMTDI.SYS (Network Dispatch Driver/Symantec Corporation)

 

Device \Driver\nvstor32 \Device\RaidPort1 84E221F8

Device \Driver\iScsiPrt \Device\RaidPort2 869B21F8

Device \Driver\usbohci \Device\USBFDO-0 869AC1F8

Device \Driver\usbehci \Device\USBFDO-1 869B81F8

Device \FileSystem\cdfs \Cdfs 8468E500

 

---- Registry - GMER 1.0.15 ----

 

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s1 771343423

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@s2 285507792

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg@h0 1

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x1B 0xBC 0x3B 0x31 ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x23 0x95 0x47 0xCC ...

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0

Reg HKLM\SYSTEM\CurrentControlSet\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x57 0xBF 0x65 0x3A ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@h0 0

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC@hdf12 0x1B 0xBC 0x3B 0x31 ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001@hdf12 0x23 0x95 0x47 0xCC ...

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0 (not active ControlSet)

Reg HKLM\SYSTEM\ControlSet003\Services\sptd\Cfg\14919EA49A8F3B4AA3CF1058D9A64CEC\00000001\gdq0@hdf12 0x57 0xBF 0x65 0x3A ...

 

---- EOF - GMER 1.0.15 ----

[Martassen]

När jag körde combofix så fråga den mig om jag ville ha en nya version så jag svara "ja" (Kanske fel av mig). Se bifogad rapport.

 

[Cecilia]

Då ska vi se vad som har hänt under eftermiddagen.

 

Jag tror att det blev något fel när du kopierade de två raderna och klistrade in i Systemlook-programmet. Det ser ut som att du missade kolonet ( på första raden. Det ska även se ut som två rader i Systemlooks ruta. Försök en gång till.

[Cecilia]

ComboFix-loggen:

 

ComboFix 10-07-15.03 - Älsklingsparet 2010-07-16 18:01:52.4.2 - x86

Körs från: c:\users\Älsklingsparet\Desktop\ComboFix.exe

AV: Norton Internet Security *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}

FW: Norton Internet Security *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

SP: Lavasoft Ad-Watch Live! *disabled* (Updated) {67844DAE-4F77-4D69-9457-98E8CFFDAA22}

SP: Norton Internet Security *enabled* (Updated) {CBB7EE13-8244-4DAB-8B55-D5C7AA91E59A}

SP: Windows Defender *disabled* (Outdated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

.

 

(((((((((((((((((((((((( Filer Skapade från 2010-06-16 till 2010-07-16 ))))))))))))))))))))))))))))))

.

 

2010-07-16 16:09 . 2010-07-16 16:09 -------- d-----w- c:\users\Public\AppData\Local\temp

2010-07-16 16:09 . 2010-07-16 16:09 -------- d-----w- c:\users\Default\AppData\Local\temp

2010-07-15 20:24 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-07-15 20:24 . 2010-07-15 20:24 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2010-07-15 20:24 . 2010-07-15 20:24 -------- d-----w- c:\programdata\Malwarebytes

2010-07-15 20:24 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-07-14 07:18 . 2010-07-14 07:18 -------- d-----w- c:\windows\Sun

2010-07-13 20:12 . 2010-07-13 20:12 -------- d-----w- c:\programdata\ALM

2010-07-13 18:17 . 2010-07-13 21:27 -------- d-----w- c:\programdata\regid.1986-12.com.adobe

2010-07-13 17:49 . 2010-07-13 17:49 -------- d-----w- c:\program files\My Company Name

2010-07-13 17:46 . 2010-07-13 17:46 38784 ----a-w- c:\users\Default\AppData\Roaming\Macromedia\Flash Player\www.macromedia.com\bin\airappinstaller\airappinstaller.exe

2010-07-13 17:46 . 2010-07-13 17:46 -------- d-----w- c:\program files\Common Files\Adobe AIR

2010-06-24 11:38 . 2009-11-08 08:55 99176 ----a-w- c:\windows\system32\PresentationHostProxy.dll

2010-06-24 11:38 . 2009-11-08 08:55 49472 ----a-w- c:\windows\system32\netfxperf.dll

2010-06-24 11:38 . 2009-11-08 08:55 297808 ----a-w- c:\windows\system32\mscoree.dll

2010-06-24 11:38 . 2009-11-08 08:55 295264 ----a-w- c:\windows\system32\PresentationHost.exe

2010-06-24 11:38 . 2009-11-08 08:55 1130824 ----a-w- c:\windows\system32\dfshim.dll

2010-06-23 06:32 . 2010-06-23 06:32 501936 ----a-w- c:\programdata\Google\Google Toolbar\Update\gtbF6CE.tmp.exe

2010-06-23 06:09 . 2010-04-16 16:43 28672 ----a-w- c:\windows\system32\Apphlpdm.dll

2010-06-23 06:09 . 2010-04-16 14:39 4240384 ----a-w- c:\windows\system32\GameUXLegacyGDFs.dll

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-07-16 09:46 . 2007-02-13 04:20 600418 ----a-w- c:\windows\system32\perfh01D.dat

2010-07-16 09:46 . 2007-02-13 04:20 118330 ----a-w- c:\windows\system32\perfc01D.dat

2010-07-16 01:07 . 2006-11-02 11:18 -------- d-----w- c:\program files\Windows Mail

2010-07-16 01:05 . 2007-06-26 15:22 -------- d-----w- c:\programdata\Microsoft Help

2010-07-15 21:09 . 2007-06-03 22:22 -------- d-----w- c:\program files\CCleaner

2010-07-15 07:41 . 2007-06-03 22:47 -------- d-----w- c:\program files\RegVac Registry Cleaner

2010-07-13 21:02 . 2009-10-02 14:00 -------- d-----w- c:\program files\DAEMON Tools Toolbar

2010-07-13 20:10 . 2007-02-12 19:46 -------- d-----w- c:\program files\Common Files\Adobe

2010-07-13 19:47 . 2009-10-09 09:13 -------- d-----w- c:\program files\Common Files\PX Storage Engine

2010-06-04 15:37 . 2009-09-19 10:45 -------- d-----w- c:\program files\Microsoft Silverlight

2010-05-28 21:10 . 2009-09-19 10:40 -------- d-----w- c:\program files\Microsoft

2010-05-26 17:06 . 2010-06-09 11:21 34304 ----a-w- c:\windows\system32\atmlib.dll

2010-05-26 14:47 . 2010-06-09 11:21 289792 ----a-w- c:\windows\system32\atmfd.dll

2010-05-21 12:14 . 2010-03-20 20:06 221568 ------w- c:\windows\system32\MpSigStub.exe

2010-05-04 05:59 . 2010-06-09 11:21 916480 ----a-w- c:\windows\system32\wininet.dll

2010-05-04 05:55 . 2010-06-09 11:21 109056 ----a-w- c:\windows\system32\iesysprep.dll

2010-05-04 05:55 . 2010-06-09 11:21 71680 ----a-w- c:\windows\system32\iesetup.dll

2010-05-04 04:31 . 2010-06-09 11:21 133632 ----a-w- c:\windows\system32\ieUnatt.exe

2010-05-01 14:13 . 2010-06-09 11:21 2037248 ----a-w- c:\windows\system32\win32k.sys

2010-04-23 14:13 . 2010-05-25 17:24 2048 ----a-w- c:\windows\system32\tzres.dll

.

 

((((((((((((((((((((((((((((( SnapShot@2010-07-15_21.56.36 )))))))))))))))))))))))))))))))))))))))))

.

+ 2007-02-12 19:41 . 2010-07-16 15:58 66894 c:\windows\System32\WDI\ShutdownPerformanceDiagnostics_SystemData.bin

- 2007-06-04 17:55 . 2010-07-15 14:05 10112 c:\windows\System32\WDI\ERCQueuedResolutions.dat

+ 2007-06-04 17:55 . 2010-07-16 14:20 10112 c:\windows\System32\WDI\ERCQueuedResolutions.dat

+ 2007-06-03 14:56 . 2010-07-16 15:58 25990 c:\windows\System32\WDI\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-1306333409-3969136475-1278254906-1000_UserData.bin

- 2007-06-03 14:52 . 2010-07-15 21:57 32768 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

+ 2007-06-03 14:52 . 2010-07-16 15:50 32768 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

+ 2007-06-03 14:52 . 2010-07-16 15:50 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

- 2007-06-03 14:52 . 2010-07-15 21:57 32768 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2009-09-26 21:25 . 2010-07-16 11:12 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

- 2009-09-26 21:25 . 2010-07-15 11:17 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

+ 2009-09-26 21:25 . 2010-07-16 11:12 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

- 2009-09-26 21:25 . 2010-07-15 11:17 32768 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

- 2009-09-26 21:25 . 2010-07-15 11:17 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2009-09-26 21:25 . 2010-07-16 11:12 16384 c:\windows\ServiceProfiles\NetworkService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2008-09-23 16:40 . 2010-07-16 07:56 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

- 2008-09-23 16:40 . 2010-07-15 10:51 16384 c:\windows\ServiceProfiles\LocalService\AppData\Roaming\Microsoft\Windows\Cookies\index.dat

+ 2008-09-23 16:40 . 2010-07-16 07:56 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

- 2008-09-23 16:40 . 2010-07-15 10:51 32768 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

+ 2008-09-23 16:40 . 2010-07-16 07:56 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

- 2008-09-23 16:40 . 2010-07-15 10:51 16384 c:\windows\ServiceProfiles\LocalService\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat

+ 2007-06-26 15:30 . 2010-07-16 01:05 35088 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\oisicon.exe

- 2007-06-26 15:30 . 2010-06-10 06:10 35088 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\oisicon.exe

- 2007-06-26 15:30 . 2010-06-10 06:10 18704 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\mspicons.exe

+ 2007-06-26 15:30 . 2010-07-16 01:05 18704 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\mspicons.exe

+ 2007-06-26 15:30 . 2010-07-16 01:05 20240 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\cagicon.exe

- 2007-06-26 15:30 . 2010-06-10 06:10 20240 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\cagicon.exe

- 2010-07-15 21:39 . 2010-07-15 21:39 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

+ 2010-07-16 15:56 . 2010-07-16 15:56 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat

+ 2010-07-16 15:56 . 2010-07-16 15:56 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

- 2010-07-15 21:39 . 2010-07-15 21:39 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat

+ 2007-06-03 18:54 . 2010-07-16 14:01 821042 c:\windows\System32\WDI\SuspendPerformanceDiagnostics_SystemData_FastS4.bin

+ 2006-11-02 13:05 . 2010-07-16 15:58 136118 c:\windows\System32\WDI\BootPerformanceDiagnostics_SystemData.bin

- 2006-11-02 10:33 . 2010-07-14 08:45 589884 c:\windows\System32\perfh009.dat

+ 2006-11-02 10:33 . 2010-07-16 09:46 589884 c:\windows\System32\perfh009.dat

- 2006-11-02 10:33 . 2010-07-14 08:45 101896 c:\windows\System32\perfc009.dat

+ 2006-11-02 10:33 . 2010-07-16 09:46 101896 c:\windows\System32\perfc009.dat

- 2009-06-01 13:23 . 2010-07-15 17:49 245760 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat

+ 2009-06-01 13:23 . 2010-07-16 01:01 245760 c:\windows\System32\config\systemprofile\AppData\Roaming\Microsoft\Windows\IETldCache\index.dat

+ 2007-06-03 14:52 . 2010-07-16 15:50 180224 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

- 2007-06-03 14:52 . 2010-07-15 21:57 180224 c:\windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat

- 2007-06-26 15:30 . 2010-06-10 06:10 888080 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\wordicon.exe

+ 2007-06-26 15:30 . 2010-07-16 01:05 888080 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\wordicon.exe

- 2007-06-26 15:30 . 2010-06-10 06:10 272648 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pubs.exe

+ 2007-06-26 15:30 . 2010-07-16 01:05 272648 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pubs.exe

- 2007-06-26 15:30 . 2010-06-10 06:10 922384 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pptico.exe

+ 2007-06-26 15:30 . 2010-07-16 01:05 922384 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\pptico.exe

+ 2007-06-26 15:30 . 2010-07-16 01:05 845584 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\outicon.exe

- 2007-06-26 15:30 . 2010-06-10 06:10 845584 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\outicon.exe

- 2007-06-26 15:30 . 2010-06-10 06:10 217864 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\misc.exe

+ 2007-06-26 15:30 . 2010-07-16 01:05 217864 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\misc.exe

- 2007-06-26 15:30 . 2010-06-10 06:10 184080 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\joticon.exe

+ 2007-06-26 15:30 . 2010-07-16 01:05 184080 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\joticon.exe

+ 2007-06-26 15:30 . 2010-07-16 01:05 159504 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\inficon.exe

- 2007-06-26 15:30 . 2010-06-10 06:10 159504 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\inficon.exe

+ 2009-03-06 00:37 . 2009-03-06 00:37 501640 c:\windows\Installer\$PatchCache$\Managed\00002109030000000000000000F01FEC\12.0.6425\SOA.DLL

+ 2008-10-26 04:26 . 2008-10-26 04:26 162680 c:\windows\Installer\$PatchCache$\Managed\00002109030000000000000000F01FEC\12.0.6425\ACCWIZ.DLL

+ 2010-07-15 17:58 . 2010-06-15 11:45 2409784 c:\windows\winsxs\x86_microsoft-windows-oespamfilter-dat_31bf3856ad364e35_6.0.6002.22425_none_f4e795d581c9ed94\OESpamFilter.dat

+ 2010-07-15 17:58 . 2010-06-15 11:45 2409784 c:\windows\winsxs\x86_microsoft-windows-oespamfilter-dat_31bf3856ad364e35_6.0.6002.18272_none_f424e6aa68d79053\OESpamFilter.dat

+ 2010-07-15 17:58 . 2010-06-15 11:46 2409784 c:\windows\winsxs\x86_microsoft-windows-oespamfilter-dat_31bf3856ad364e35_6.0.6001.22713_none_f309f345849d49d1\OESpamFilter.dat

+ 2010-07-15 17:58 . 2010-06-15 11:44 2409784 c:\windows\winsxs\x86_microsoft-windows-oespamfilter-dat_31bf3856ad364e35_6.0.6001.18493_none_f229d34e6bc08f41\OESpamFilter.dat

+ 2006-11-02 10:22 . 2010-07-16 01:38 6553600 c:\windows\System32\SMI\Store\Machine\schema.dat

- 2006-11-02 10:22 . 2010-07-15 20:38 6553600 c:\windows\System32\SMI\Store\Machine\schema.dat

+ 2010-05-20 17:57 . 2010-05-20 17:57 4989952 c:\windows\Installer\43971.msp

+ 2010-05-20 17:57 . 2010-05-20 17:57 5907456 c:\windows\Installer\43970.msp

+ 2010-06-11 09:03 . 2010-06-11 09:03 5021184 c:\windows\Installer\4394f.msp

- 2007-06-26 15:30 . 2010-06-10 06:10 1172240 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\xlicons.exe

+ 2007-06-26 15:30 . 2010-07-16 01:05 1172240 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\xlicons.exe

- 2007-06-26 15:30 . 2010-06-10 06:10 1165584 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\accicons.exe

+ 2007-06-26 15:30 . 2010-07-16 01:05 1165584 c:\windows\Installer\{90120000-0030-0000-0000-0000000FF1CE}\accicons.exe

+ 2006-10-26 12:05 . 2006-10-26 12:05 1165584 c:\windows\Installer\$PatchCache$\Managed\00002109030000000000000000F01FEC\12.0.4518\ACCICONS.EXE

+ 2006-11-02 10:24 . 2010-07-02 19:39 34045896 c:\windows\System32\mrt.exe

+ 2010-05-20 17:58 . 2010-05-20 17:58 12114432 c:\windows\Installer\43937.msp

+ 2009-03-06 00:37 . 2009-03-06 00:37 10222432 c:\windows\Installer\$PatchCache$\Managed\00002109030000000000000000F01FEC\12.0.6425\MSACCESS.EXE

.

-- Snapshot återställt till dagens datum --

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2009-04-11 1233920]

"ISUSPM Startup"="c:\progra~1\COMMON~1\INSTAL~1\UPDATE~1\ISUSPM.exe" [2005-02-16 221184]

"ehTray.exe"="c:\windows\ehome\ehTray.exe" [2008-01-19 125952]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2009-01-06 39408]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Windows Defender"="c:\program files\Windows Defender\MSASCui.exe" [2008-01-19 1008184]

"hpsysdrv"="c:\hp\support\hpsysdrv.exe" [2006-09-28 65536]

"OsdMaestro"="c:\program files\Hewlett-Packard\On-Screen OSD Indicator\OSD.exe" [2006-11-20 155648]

"RtHDVCpl"="RtHDVCpl.exe" [2006-11-09 3784704]

"HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]

"GrooveMonitor"="c:\program files\Microsoft Office\Office12\GrooveMonitor.exe" [2008-10-25 31072]

"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2008-10-17 51048]

"KBD"="c:\hp\KBD\KbdStub.EXE" [2006-12-08 65536]

"Ad-Watch"="c:\program files\Lavasoft\Ad-Aware\AAWTray.exe" [2010-04-04 524632]

"StartCCC"="c:\program files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2009-07-21 61440]

"AdobeAAMUpdater-1.0"="c:\program files\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [2010-07-13 500208]

"SwitchBoard"="c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe" [2009-12-14 515560]

"AdobeCS5ServiceManager"="c:\program files\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" [2010-01-08 392424]

 

c:\users\Žlsklingsparet\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

Sk„rmurklipp och start f”r OneNote 2007.lnk - c:\program files\Microsoft Office\Office12\ONENOTEM.EXE [2009-2-26 97680]

 

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

BankID s„kerhetsprogram.lnk - c:\program files\Personal\bin\Personal.exe [2009-9-13 939920]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"EnableUIADesktopToggle"= 0 (0x0)

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Lavasoft Ad-Aware Service]

@="Service"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\sr.sys]

@="FSFilter System Recovery"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Svc]

"VistaSp2"=hex(:2c,db,4a,b9,d8,3a,ca,01

 

R2 gupdate;Tjänsten Google Update (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 135664]

R3 3xHybrid;ASUSTek SAA713x PCI Card;c:\windows\system32\DRIVERS\3xHybrid.sys [2006-09-19 2807936]

R3 COH_Mon;COH_Mon;c:\windows\system32\Drivers\COH_Mon.sys [2008-07-30 23888]

R3 Lavasoft Ad-Aware Service;Lavasoft Ad-Aware Service;c:\program files\Lavasoft\Ad-Aware\AAWService.exe [2010-04-04 1029456]

R3 SwitchBoard;SwitchBoard;c:\program files\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [2009-12-14 515560]

R4 sptd;sptd;c:\windows\system32\Drivers\sptd.sys [2009-10-02 721904]

S0 Lbd;Lbd;c:\windows\system32\DRIVERS\Lbd.sys [2010-04-04 64160]

S1 IDSvix86;Symantec Intrusion Prevention Driver;c:\progra~2\Symantec\DEFINI~1\SymcData\ipsdefs\20100713.001\IDSvix86.sys [2010-06-23 281648]

S2 LiveUpdate Notice;LiveUpdate Notice;c:\program files\Common Files\Symantec Shared\ccSvcHst.exe [2008-10-17 149352]

S3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program files\Common Files\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2010-05-26 102448]

S3 Ph3xIB32;Philips 713x Inbox PCI TV Card;c:\windows\system32\DRIVERS\Ph3xIB32.sys [2006-11-06 1119616]

S3 SYMNDISV;SYMNDISV;c:\windows\System32\Drivers\SYMNDISV.SYS [2009-02-19 41008]

 

 

--- Övriga tjänster/drivrutiner i minnet ---

 

*NewlyCreated* - COMHOST

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

LocalServiceAndNoImpersonation REG_MULTI_SZ FontCache

.

Innehållet i mappen 'Schemalagda aktiviteter':

 

2010-04-29 c:\windows\Tasks\Ad-Aware Update (Weekly).job

- c:\program files\Lavasoft\Ad-Aware\Ad-AwareAdmin.exe [2009-01-18 00:08]

 

2010-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 13:16]

 

2010-07-16 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-02-06 13:16]

 

2010-06-28 c:\windows\Tasks\Norton Internet Security - Kör fullständig systemsökning - Älsklingsparet.job

- c:\program files\Norton Internet Security\Norton AntiVirus\Navw32.exe [2007-08-26 17:19]

 

2010-07-16 c:\windows\Tasks\User_Feed_Synchronization-{86B8DCB8-D63D-425F-A290-A033BDDA47E6}.job

- c:\windows\system32\msfeedssync.exe [2010-06-09 04:30]

.

.

------- Extra genomsökning -------

.

uStart Page = about:blank

mStart Page = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=SV_SE&c=71&bd=Pavilion&pf=desktop

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR

IE: Append Link Target to Existing PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: E&xportera till Microsoft Excel - c:\progra~1\MICROS~3\Office12\EXCEL.EXE/3000

IE: Google Sidewiki... - c:\program files\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-07-16 18:09

Windows 6.0.6002 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10e_ActiveX.exe,-101"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10e_ActiveX.exe"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Sluttid: 2010-07-16 18:11:40

ComboFix-quarantined-files.txt 2010-07-16 16:11

ComboFix2.txt 2010-07-16 00:57

ComboFix3.txt 2010-07-16 00:03

ComboFix4.txt 2010-07-15 21:59

 

Före genomsökningen: 222 684 803 072 byte ledigt

Efter genomsökningen: 222 657 818 624 byte ledigt

 

- - End Of File - - 4FD13CB7AED88EFC3F2D8C2568E71578

[Martassen]

Ok här kommer nog den riktiga:

 

Se bifogad fil

 

[Cecilia]

SystemLook v1.0 by jpshortstuff (11.01.10)

Log created at 18:24 on 16/07/2010 by Älsklingsparet (Administrator - Elevation successful)

 

========== filefind ==========

 

Searching for "rasacd.*"

C:\Qoobox\Quarantine\C\Windows\system32\Drivers\rasacd.sys.vir --a--- 11776 bytes [14:25 30/07/2008] [05:56 19/01/2008] F6798E3F70C14C897647D0E5FD983AA4

C:\Qoobox\Quarantine\C\Windows\system32\Drivers\rasacd.sys.vir_ --a--- 11776 bytes [14:25 30/07/2008] [00:35 16/07/2010] F6798E3F70C14C897647D0E5FD983AA4

C:\Windows\System32\drivers\rasacd.sys --a--- 11776 bytes [14:25 30/07/2008] [05:56 19/01/2008] 147D7F9C556D259924351FEB0DE606C3

C:\Windows\winsxs\x86_microsoft-windows-rasautodial_31bf3856ad364e35_6.0.6000.16386_none_0da33cba68680e8f\rasacd.sys --a--- 11776 bytes [08:58 02/11/2006] [08:58 02/11/2006] BD7B30F55B3649506DD8B3D38F571D2A

C:\Windows\winsxs\x86_microsoft-windows-rasautodial_31bf3856ad364e35_6.0.6001.18000_none_0fd9feb665531f63\rasacd.sys --a--- 11776 bytes [14:25 30/07/2008] [05:56 19/01/2008] F6798E3F70C14C897647D0E5FD983AA4

 

-=End Of File=-

[Cecilia]

Kopiera alla rader i rutan:

skipfix::
Killall::
FCopy::
"C:\Windows\winsxs\x86_microsoft-windows-rasautodial_31bf3856ad364e35_6.0.6000.16386_none_0da33cba68680e8f\rasacd.sys"|"C:\Windows\System32\drivers\rasacd.sys"

och klistra in i Anteckningar.

Spara filen på Skrivbordet med namnet CFScript.

 

Förbered datorn på samma sätt som tidigare för ComboFix.

Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.

Klistra in loggen som kommer ut.

 

Starta Norton och gör en fullständig genomsökning så att jag kan se att den infekterade filen har blivit utbytt.

[Martassen]

Nu har jag kört combofix på det speciella sättet som du sa. Den frågade om uppdatering av ny version och jag svarade denna gången "Nej". Här är logfilen. Se bifogad fil:

 

Ska jag starta om innan jag kör norton?

 

[Martassen]

Norton håller på att köra. Ser att den hittat 2 filer. Hoppas verkligen det inte är dom där igen!?

[Martassen]

Norton är klart.

 

E ju samma som tidigare. Se bifogad bild och logg