Windows Update fungerar inte - 0x80072efe

[stonnew]

Hejsan

 

Jag fick ett virus här för någon dag sedan, i huvudsak var det Antimalware Doctor. Om det var fler än detta har jag inte koll på namnen.

 

Men i alla fall, jag sökte igenom datorn med Microsoft Security Essentials, Malwarebyte Anti-Malware, Spybot och inaktiverade virusets startnycklar och tog bort dessa. Det verkar som i nuläget att jag fått bort allt virus, men det går inte att ansluta till Windows Update och inte heller få nya uppdateringar från Security Essentials. Jag får bara felkoden 0x80072efe.

 

Har sökt runt lite på google och testat olika saker, men inte fått det att fungera ändå.

 

Några tips eller hjälp med vad man kan göra för att få bort det här problemet?

[Cecilia]

Det låter väl mest som att det finns skadliga filer och/eller inställningar kvar.

 

Vi kan se vad DDS visar till att börja med. Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

 

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Medan du bifogar Attach.txt som en fil.

[Mats H]

Hej,

till att börja med kan du köra DDS så kan vi se om du har lyckats, kan ju finnas ngt som dessa program inte hittar.

 

För att du ska få så bra hjälp som möjligt så är det bra om nedanstående information finns i ditt inlägg.

 

Beskriv noga vad du har för problem med datorn, varför du tror eller vet att det finns skadliga program i datorn.

 

Om något antivirus- eller antispionprogram har hittat något skadligt så klistra in en logg där det framgår vad som har hittats och vilka filer och mappar som är inblandade.

 

Klistra in loggen/resultatet från programmet DDS. Spara DDS på Skrivbordet.

http://download.blee...om/sUBs/dds.scr

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Medan du bifogar Attach.txt som en fil.

 

DDS är ett program som listar processer som kör, program och tjänster som startas automatiskt samt filer i sådana mappar som är vanliga att skadliga program och som är nya eller ändrade under senaste 1-3 månader. DDS är ett mycket vanligt program bland oss som hjälper till att rensa datorer. Resultatet ger oss en grundläggande kunskap om vad som händer och har hänt nyligen i datorn, och från det kan vi dra slutsatser om vad som är nästa lämpliga steg i rensningen av datorn.

 

Obs! När du klistrar in en logg eller ett resultat i ditt inlägg använd inga knappar eller taggar utan kopiera det i programmet (oftast Anteckningar) och klistra in det direkt i rutan du skriver i.

Mvh

Mats H

[stonnew]

[log]DDS (Ver_10-03-17.01) - NTFSx86

[/log]

[Cecilia]

AVG Anti-Spyware är en produkt som inte har fått några uppdateringar på ett par år nu. Den ger inget väsentligt skydd längre.

 

Registerstädningsprogram ska man vara väldigt försiktig med, det är inte helt ovanligt att de orsakar problem. Just de två som jag ser i loggen är ju extra olämpliga:

http://www.mywot.com/sv/scorecard/regcure.com

http://www.mywot.com/sv/scorecard/wisecleaner.com

Om du inte är säker på vad programmen har tagit bort bör du återställa de ändringar som programmen har gjort och sedan avinstallera dem.

 

Vad finns i mappen c:\Documents and Settings\Kristoffer Stenlund\application data\79672D70D365B69250C50D323D816CE7 ?

Går det bra att ta bort filen

2010-07-19 21:01:46 150 ----a-w- C:\zrpt.xml ?

 

Spara ComboFix på Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

[stonnew]

Jag avinstallerade AVG Anti Spyware.

 

Återställde registerändringarna i regcure och wisecleaner och avinstallerade dessa efteråt.

 

Vad det fanns i mappen du frågade efter så finns det med i ComboFix-loggen. Den tog också bort mappen och den enda filen som låg där.

 

Här är ComboFix-Loggen(Jag var tvungen att ta bort en del från loggen eftersom det inte inlägget blev för långt och gick inte att posta, det jag tog bort var bara en del under "låsta registreringsnycklar". Det jag lämnade kvar under den rubriken var bara exempel på det jag tog bort, det var i princip samma):

 

[log]ComboFix 10-07-21.01

[/log]

[Cecilia]

[HKEY_USERS\S-1-5-21-1177238915-1897051121-839522115-1004\Software\G*e*n*i*e*"!\FM Genie Scout 10]

Mängder med låsta registernycklar som har med Genie Scout har jag sett förut.

 

Har du säkerhetskopior på alla viktiga filer? För jag har dålig erfarenhet av dessa rootkit senaste två månaderna, inte helt ovanligt att de orsakar att Windows inte kan starta när man börjar plocka bort dem.

 

När du har säkerhetskopior starta om datorn och kör ComboFix igen.

[stonnew]

[log]ComboFix 10-07-21.01 -

[/log]

[Cecilia]

Kopiera alla rader i rutan:

Killall::
Rootkit::
c:\windows\system32\drivers\uizovas.sys

och klistra in i Anteckningar.

Spara filen på Skrivbordet med namnet CFScript.

 

Förbered datorn på samma sätt som tidigare för ComboFix.

Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.

Klistra in loggen som kommer ut.

[stonnew]

[log]ComboFix 10-07-21.01

[/log]

[Cecilia]

Där försvann den filen i alla fall.

Starta om datorn.

 

Kör ComboFix utan något CFScript men med avstängda program som vanligt.

Starta om datorn.

 

Spara denna fil på Skrivbordet:

http://rootrepeal.googlepages.com/RootRepeal.zip

Packa upp zip-filen (extrahera) så att du får en programfil.

 

Dra ut internetanslutningen. Stäng av alla program du ser inklusive brandvägg, antivirusprogram och antispionprogram.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

 

Starta RootRepeal (i Vista och Windows 7 som vanligt genom att högerklicka på ikonen och välja Kör som administratör).

Välj Report-fliken och tryck på Scan.

Bocka för alla sju valen och tryck sedan på Yes/Ja.

Välj C: och tryck Ok.

Det tar ett tag för RootRepeal att söka igenom C:.

När sökningen är klar så tryck på Save Report och spara den med namnet rootrepeal.log. Klistra in innehållet i rootrepeal.log i ditt svar.

[stonnew]

[log]ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2010/07/22 15:35

Program Version: Version 1.3.5.0

Windows Version: Windows XP SP3

==================================================

 

Drivers

-------------------

Name: dump_iaStor.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_iaStor.sys

Address: 0xEB8D0000 Size: 876544 File Visible: No Signed: -

Status: -

 

Name: PCI_PNP1674

Image Path: \Driver\PCI_PNP1674

Address: 0x00000000 Size: 0 File Visible: No Signed: -

Status: -

 

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xF76D7000 Size: 49152 File Visible: No Signed: -

Status: -

 

Name: spbb.sys

Image Path: spbb.sys

Address: 0xF7393000 Size: 995328 File Visible: No Signed: -

Status: -

 

Name: sptd

Image Path: \Driver\sptd

Address: 0x00000000 Size: 0 File Visible: No Signed: -

Status: -

 

Hidden/Locked Files

-------------------

Path: c:\windows\temp\sqlite_gletllkrpsdhmtb

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_xpeohzrcjy8xaht

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\program\microsoft sql server\mssql.1\mssql\log\log_368.trc

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

SSDT

-------------------

#: 041 Function Name: NtCreateKey

Status: Hooked by "spbb.sys" at address 0xf73940e0

 

#: 071 Function Name: NtEnumerateKey

Status: Hooked by "spbb.sys" at address 0xf73acda4

 

#: 073 Function Name: NtEnumerateValueKey

Status: Hooked by "spbb.sys" at address 0xf73ad132

 

#: 119 Function Name: NtOpenKey

Status: Hooked by "spbb.sys" at address 0xf73940c0

 

#: 160 Function Name: NtQueryKey

Status: Hooked by "spbb.sys" at address 0xf73ad20a

 

#: 177 Function Name: NtQueryValueKey

Status: Hooked by "spbb.sys" at address 0xf73ad08a

 

#: 247 Function Name: NtSetValueKey

Status: Hooked by "spbb.sys" at address 0xf73ad29c

 

Stealth Objects

-------------------

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CREATE]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLOSE]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_READ]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_WRITE]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_INFORMATION]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_INFORMATION]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_EA]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_EA]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FLUSH_BUFFERS]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_VOLUME_INFORMATION]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_VOLUME_INFORMATION]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DIRECTORY_CONTROL]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FILE_SYSTEM_CONTROL]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DEVICE_CONTROL]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SHUTDOWN]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_LOCK_CONTROL]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLEANUP]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_SECURITY]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_SECURITY]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_QUOTA]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_QUOTA]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_PNP]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: a8ja7pk8ȅఉ浗灩, IRP_MJ_CREATE]

Process: System Address: 0x8597a1f8 Size: 121

 

Object: Hidden Code [Driver: a8ja7pk8ȅఉ浗灩, IRP_MJ_CLOSE]

Process: System Address: 0x8597a1f8 Size: 121

 

Object: Hidden Code [Driver: a8ja7pk8ȅఉ浗灩, IRP_MJ_DEVICE_CONTROL]

Process: System Address: 0x8597a1f8 Size: 121

 

Object: Hidden Code [Driver: a8ja7pk8ȅఉ浗灩, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System Address: 0x8597a1f8 Size: 121

 

Object: Hidden Code [Driver: a8ja7pk8ȅఉ浗灩, IRP_MJ_POWER]

Process: System Address: 0x8597a1f8 Size: 121

 

Object: Hidden Code [Driver: a8ja7pk8ȅఉ浗灩, IRP_MJ_SYSTEM_CONTROL]

Process: System Address: 0x8597a1f8 Size: 121

 

Object: Hidden Code [Driver: a8ja7pk8ȅఉ浗灩, IRP_MJ_PNP]

Process: System Address: 0x8597a1f8 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE]

Process: System Address: 0x8562a500 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLOSE]

Process: System Address: 0x8562a500 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_READ]

Process: System Address: 0x8562a500 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_WRITE]

Process: System Address: 0x8562a500 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FLUSH_BUFFERS]

Process: System Address: 0x8562a500 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CONTROL]

Process: System Address: 0x8562a500 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System Address: 0x8562a500 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SHUTDOWN]

Process: System Address: 0x8562a500 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_POWER]

Process: System Address: 0x8562a500 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SYSTEM_CONTROL]

Process: System Address: 0x8562a500 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_PNP]

Process: System Address: 0x8562a500 Size: 121

 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CREATE]

Process: System Address: 0x85a861f8 Size: 121

 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CLOSE]

Process: System Address: 0x85a861f8 Size: 121

 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_DEVICE_CONTROL]

Process: System Address: 0x85a861f8 Size: 121

 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System Address: 0x85a861f8 Size: 121

 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_POWER]

Process: System Address: 0x85a861f8 Size: 121

 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_SYSTEM_CONTROL]

Process: System Address: 0x85a861f8 Size: 121

 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_PNP]

Process: System Address: 0x85a861f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CREATE]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_READ]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_WRITE]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_FLUSH_BUFFERS]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_DEVICE_CONTROL]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SHUTDOWN]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CLEANUP]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_POWER]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SYSTEM_CONTROL]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_PNP]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: NetBT, IRP_MJ_CREATE]

Process: System Address: 0x8583b500 Size: 121

 

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLOSE]

Process: System Address: 0x8583b500 Size: 121

 

Object: Hidden Code [Driver: NetBT, IRP_MJ_DEVICE_CONTROL]

Process: System Address: 0x8583b500 Size: 121

 

Object: Hidden Code [Driver: NetBT, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System Address: 0x8583b500 Size: 121

 

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLEANUP]

Process: System Address: 0x8583b500 Size: 121

 

Object: Hidden Code [Driver: NetBT, IRP_MJ_PNP]

Process: System Address: 0x8583b500 Size: 121

 

Object: Hidden Code [Driver: usbehci, IRP_MJ_CREATE]

Process: System Address: 0x85a6f1f8 Size: 121

 

Object: Hidden Code [Driver: usbehci, IRP_MJ_CLOSE]

Process: System Address: 0x85a6f1f8 Size: 121

 

Object: Hidden Code [Driver: usbehci, IRP_MJ_DEVICE_CONTROL]

Process: System Address: 0x85a6f1f8 Size: 121

 

Object: Hidden Code [Driver: usbehci, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System Address: 0x85a6f1f8 Size: 121

 

Object: Hidden Code [Driver: usbehci, IRP_MJ_POWER]

Process: System Address: 0x85a6f1f8 Size: 121

 

Object: Hidden Code [Driver: usbehci, IRP_MJ_SYSTEM_CONTROL]

Process: System Address: 0x85a6f1f8 Size: 121

 

Object: Hidden Code [Driver: usbehci, IRP_MJ_PNP]

Process: System Address: 0x85a6f1f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_NAMED_PIPE]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLOSE]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_READ]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_WRITE]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_INFORMATION]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_INFORMATION]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_EA]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_EA]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FLUSH_BUFFERS]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_VOLUME_INFORMATION]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_VOLUME_INFORMATION]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DIRECTORY_CONTROL]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FILE_SYSTEM_CONTROL]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CONTROL]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SHUTDOWN]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_LOCK_CONTROL]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLEANUP]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_MAILSLOT]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_SECURITY]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_SECURITY]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_POWER]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SYSTEM_CONTROL]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CHANGE]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_QUOTA]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_QUOTA]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_PNP]

Process: System Address: 0x858a81f8 Size: 121

 

Object: Hidden Code [Driver: Cdfs؅瑎晦؁ఆ䵃怭仂, IRP_MJ_CREATE]

Process: System Address: 0x858c11f8 Size: 121

 

Object: Hidden Code [Driver: Cdfs؅瑎晦؁ఆ䵃怭仂, IRP_MJ_CLOSE]

Process: System Address: 0x858c11f8 Size: 121

 

Object: Hidden Code [Driver: Cdfs؅瑎晦؁ఆ䵃怭仂, IRP_MJ_READ]

Process: System Address: 0x858c11f8 Size: 121

 

Object: Hidden Code [Driver: Cdfs؅瑎晦؁ఆ䵃怭仂, IRP_MJ_QUERY_INFORMATION]

Process: System Address: 0x858c11f8 Size: 121

 

Object: Hidden Code [Driver: Cdfs؅瑎晦؁ఆ䵃怭仂, IRP_MJ_SET_INFORMATION]

Process: System Address: 0x858c11f8 Size: 121

 

Object: Hidden Code [Driver: Cdfs؅瑎晦؁ఆ䵃怭仂, IRP_MJ_QUERY_VOLUME_INFORMATION]

Process: System Address: 0x858c11f8 Size: 121

 

Object: Hidden Code [Driver: Cdfs؅瑎晦؁ఆ䵃怭仂, IRP_MJ_DIRECTORY_CONTROL]

Process: System Address: 0x858c11f8 Size: 121

 

Object: Hidden Code [Driver: Cdfs؅瑎晦؁ఆ䵃怭仂, IRP_MJ_FILE_SYSTEM_CONTROL]

Process: System Address: 0x858c11f8 Size: 121

 

Object: Hidden Code [Driver: Cdfs؅瑎晦؁ఆ䵃怭仂, IRP_MJ_DEVICE_CONTROL]

Process: System Address: 0x858c11f8 Size: 121

 

Object: Hidden Code [Driver: Cdfs؅瑎晦؁ఆ䵃怭仂, IRP_MJ_SHUTDOWN]

Process: System Address: 0x858c11f8 Size: 121

 

Object: Hidden Code [Driver: Cdfs؅瑎晦؁ఆ䵃怭仂, IRP_MJ_LOCK_CONTROL]

Process: System Address: 0x858c11f8 Size: 121

 

Object: Hidden Code [Driver: Cdfs؅瑎晦؁ఆ䵃怭仂, IRP_MJ_CLEANUP]

Process: System Address: 0x858c11f8 Size: 121

 

Object: Hidden Code [Driver: Cdfs؅瑎晦؁ఆ䵃怭仂, IRP_MJ_PNP]

Process: System Address: 0x858c11f8 Size: 121

 

==EOF==[/log]

[Cecilia]

Förlåt, ComboFix-loggen ville jag ju se också. Du hittar den som C:\ComboFix.txt

[stonnew]

Jag satt och funderade på om jag skulle ta med den eller inte, men det gör inget här är loggen.

 

[log]ComboFix 10-07-21.01

[/log]

[Cecilia]

Och där har ComboFix bytt ut en infekterad fil till en frisk en.

 

Spara ATF-Cleaner på Skrivbordet:

http://www.atribune.org/ccount/click.php?id=1

 

Stäng av alla andra program, särskilt webbläsare.

Dubbelklicka på ATF-Cleaner.exe för att starta programmet.

Bocka i Select All. Tryck på Empty Selected.

 

Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

 

Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

 

Tryck på Exit i Main-menyn för att stänga programmet.

 

Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.

 

Starta om datorn.

Kör ComboFix igen på samma sätt som vanligt och klistra in den nya loggen.

Starta sedan om datorn och kör RootRepeal på samma sätt som förut och klistra in den loggen.

[stonnew]

[log]ComboFix 10-07-21.01

[/log]

 

Och nästa log kommer i ett nytt inlägg.

[stonnew]

[log]ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2010/07/22 17:56

Program Version: Version 1.3.5.0

Windows Version: Windows XP SP3

==================================================

 

Drivers

-------------------

Name: dump_iaStor.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_iaStor.sys

Address: 0xEBF82000 Size: 876544 File Visible: No Signed: -

Status: -

 

Name: PCI_PNP8458

Image Path: \Driver\PCI_PNP8458

Address: 0x00000000 Size: 0 File Visible: No Signed: -

Status: -

 

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xEC668000 Size: 49152 File Visible: No Signed: -

Status: -

 

Name: sptd

Image Path: \Driver\sptd

Address: 0x00000000 Size: 0 File Visible: No Signed: -

Status: -

 

Name: spwt.sys

Image Path: spwt.sys

Address: 0xF7393000 Size: 995328 File Visible: No Signed: -

Status: -

 

Hidden/Locked Files

-------------------

Path: c:\windows\temp\sqlite_nyaz2x42rjaqbd1

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_uenjc9ucsuhy2zj

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\program\microsoft sql server\mssql.1\mssql\log\log_373.trc

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

SSDT

-------------------

#: 041 Function Name: NtCreateKey

Status: Hooked by "spwt.sys" at address 0xf73940e0

 

#: 071 Function Name: NtEnumerateKey

Status: Hooked by "spwt.sys" at address 0xf73acda4

 

#: 073 Function Name: NtEnumerateValueKey

Status: Hooked by "spwt.sys" at address 0xf73ad132

 

#: 119 Function Name: NtOpenKey

Status: Hooked by "spwt.sys" at address 0xf73940c0

 

#: 160 Function Name: NtQueryKey

Status: Hooked by "spwt.sys" at address 0xf73ad20a

 

#: 177 Function Name: NtQueryValueKey

Status: Hooked by "spwt.sys" at address 0xf73ad08a

 

#: 247 Function Name: NtSetValueKey

Status: Hooked by "spwt.sys" at address 0xf73ad29c

 

Stealth Objects

-------------------

Object: Hidden Module [Name: kernel32.dll]

Process: Reader_sl.exe (PID: 2992) Address: 0x7c800000 Size: 1019904

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CREATE]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLOSE]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_READ]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_WRITE]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_INFORMATION]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_INFORMATION]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_EA]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_EA]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FLUSH_BUFFERS]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_VOLUME_INFORMATION]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_VOLUME_INFORMATION]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DIRECTORY_CONTROL]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_FILE_SYSTEM_CONTROL]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_DEVICE_CONTROL]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SHUTDOWN]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_LOCK_CONTROL]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_CLEANUP]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_SECURITY]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_SECURITY]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_QUERY_QUOTA]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_SET_QUOTA]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: Ntfs, IRP_MJ_PNP]

Process: System Address: 0x865661f8 Size: 121

 

Object: Hidden Code [Driver: anlafamuࠅఐ卆浩ઑ, IRP_MJ_CREATE]

Process: System Address: 0x85a05500 Size: 121

 

Object: Hidden Code [Driver: anlafamuࠅఐ卆浩ઑ, IRP_MJ_CLOSE]

Process: System Address: 0x85a05500 Size: 121

 

Object: Hidden Code [Driver: anlafamuࠅఐ卆浩ઑ, IRP_MJ_DEVICE_CONTROL]

Process: System Address: 0x85a05500 Size: 121

 

Object: Hidden Code [Driver: anlafamuࠅఐ卆浩ઑ, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System Address: 0x85a05500 Size: 121

 

Object: Hidden Code [Driver: anlafamuࠅఐ卆浩ઑ, IRP_MJ_POWER]

Process: System Address: 0x85a05500 Size: 121

 

Object: Hidden Code [Driver: anlafamuࠅఐ卆浩ઑ, IRP_MJ_SYSTEM_CONTROL]

Process: System Address: 0x85a05500 Size: 121

 

Object: Hidden Code [Driver: anlafamuࠅఐ卆浩ઑ, IRP_MJ_PNP]

Process: System Address: 0x85a05500 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CREATE]

Process: System Address: 0x85a2f1f8 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_CLOSE]

Process: System Address: 0x85a2f1f8 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_READ]

Process: System Address: 0x85a2f1f8 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_WRITE]

Process: System Address: 0x85a2f1f8 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_FLUSH_BUFFERS]

Process: System Address: 0x85a2f1f8 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_DEVICE_CONTROL]

Process: System Address: 0x85a2f1f8 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System Address: 0x85a2f1f8 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SHUTDOWN]

Process: System Address: 0x85a2f1f8 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_POWER]

Process: System Address: 0x85a2f1f8 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_SYSTEM_CONTROL]

Process: System Address: 0x85a2f1f8 Size: 121

 

Object: Hidden Code [Driver: Cdrom, IRP_MJ_PNP]

Process: System Address: 0x85a2f1f8 Size: 121

 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CREATE]

Process: System Address: 0x85a721f8 Size: 121

 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_CLOSE]

Process: System Address: 0x85a721f8 Size: 121

 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_DEVICE_CONTROL]

Process: System Address: 0x85a721f8 Size: 121

 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System Address: 0x85a721f8 Size: 121

 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_POWER]

Process: System Address: 0x85a721f8 Size: 121

 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_SYSTEM_CONTROL]

Process: System Address: 0x85a721f8 Size: 121

 

Object: Hidden Code [Driver: usbuhci, IRP_MJ_PNP]

Process: System Address: 0x85a721f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CREATE]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_READ]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_WRITE]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_FLUSH_BUFFERS]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_DEVICE_CONTROL]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SHUTDOWN]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_CLEANUP]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_POWER]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_SYSTEM_CONTROL]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: Ftdisk, IRP_MJ_PNP]

Process: System Address: 0x865681f8 Size: 121

 

Object: Hidden Code [Driver: NetBT, IRP_MJ_CREATE]

Process: System Address: 0x85a0e500 Size: 121

 

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLOSE]

Process: System Address: 0x85a0e500 Size: 121

 

Object: Hidden Code [Driver: NetBT, IRP_MJ_DEVICE_CONTROL]

Process: System Address: 0x85a0e500 Size: 121

 

Object: Hidden Code [Driver: NetBT, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System Address: 0x85a0e500 Size: 121

 

Object: Hidden Code [Driver: NetBT, IRP_MJ_CLEANUP]

Process: System Address: 0x85a0e500 Size: 121

 

Object: Hidden Code [Driver: NetBT, IRP_MJ_PNP]

Process: System Address: 0x85a0e500 Size: 121

 

Object: Hidden Code [Driver: usbehci, IRP_MJ_CREATE]

Process: System Address: 0x858f91f8 Size: 121

 

Object: Hidden Code [Driver: usbehci, IRP_MJ_CLOSE]

Process: System Address: 0x858f91f8 Size: 121

 

Object: Hidden Code [Driver: usbehci, IRP_MJ_DEVICE_CONTROL]

Process: System Address: 0x858f91f8 Size: 121

 

Object: Hidden Code [Driver: usbehci, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System Address: 0x858f91f8 Size: 121

 

Object: Hidden Code [Driver: usbehci, IRP_MJ_POWER]

Process: System Address: 0x858f91f8 Size: 121

 

Object: Hidden Code [Driver: usbehci, IRP_MJ_SYSTEM_CONTROL]

Process: System Address: 0x858f91f8 Size: 121

 

Object: Hidden Code [Driver: usbehci, IRP_MJ_PNP]

Process: System Address: 0x858f91f8 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_NAMED_PIPE]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLOSE]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_READ]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_WRITE]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_INFORMATION]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_INFORMATION]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_EA]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_EA]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FLUSH_BUFFERS]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_VOLUME_INFORMATION]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_VOLUME_INFORMATION]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DIRECTORY_CONTROL]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_FILE_SYSTEM_CONTROL]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CONTROL]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_INTERNAL_DEVICE_CONTROL]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SHUTDOWN]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_LOCK_CONTROL]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CLEANUP]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_CREATE_MAILSLOT]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_SECURITY]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_SECURITY]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_POWER]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SYSTEM_CONTROL]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_DEVICE_CHANGE]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_QUERY_QUOTA]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_SET_QUOTA]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: MRxSmb, IRP_MJ_PNP]

Process: System Address: 0x859fe500 Size: 121

 

Object: Hidden Code [Driver: Cdfsࠅః瑎て泐㯨⣎㩀@, IRP_MJ_CREATE]

Process: System Address: 0x85887500 Size: 121

 

Object: Hidden Code [Driver: Cdfsࠅః瑎て泐㯨⣎㩀@, IRP_MJ_CLOSE]

Process: System Address: 0x85887500 Size: 121

 

Object: Hidden Code [Driver: Cdfsࠅః瑎て泐㯨⣎㩀@, IRP_MJ_READ]

Process: System Address: 0x85887500 Size: 121

 

Object: Hidden Code [Driver: Cdfsࠅః瑎て泐㯨⣎㩀@, IRP_MJ_QUERY_INFORMATION]

Process: System Address: 0x85887500 Size: 121

 

Object: Hidden Code [Driver: Cdfsࠅః瑎て泐㯨⣎㩀@, IRP_MJ_SET_INFORMATION]

Process: System Address: 0x85887500 Size: 121

 

Object: Hidden Code [Driver: Cdfsࠅః瑎て泐㯨⣎㩀@, IRP_MJ_QUERY_VOLUME_INFORMATION]

Process: System Address: 0x85887500 Size: 121

 

Object: Hidden Code [Driver: Cdfsࠅః瑎て泐㯨⣎㩀@, IRP_MJ_DIRECTORY_CONTROL]

Process: System Address: 0x85887500 Size: 121

 

Object: Hidden Code [Driver: Cdfsࠅః瑎て泐㯨⣎㩀@, IRP_MJ_FILE_SYSTEM_CONTROL]

Process: System Address: 0x85887500 Size: 121

 

Object: Hidden Code [Driver: Cdfsࠅః瑎て泐㯨⣎㩀@, IRP_MJ_DEVICE_CONTROL]

Process: System Address: 0x85887500 Size: 121

 

Object: Hidden Code [Driver: Cdfsࠅః瑎て泐㯨⣎㩀@, IRP_MJ_SHUTDOWN]

Process: System Address: 0x85887500 Size: 121

 

Object: Hidden Code [Driver: Cdfsࠅః瑎て泐㯨⣎㩀@, IRP_MJ_LOCK_CONTROL]

Process: System Address: 0x85887500 Size: 121

 

Object: Hidden Code [Driver: Cdfsࠅః瑎て泐㯨⣎㩀@, IRP_MJ_CLEANUP]

Process: System Address: 0x85887500 Size: 121

 

Object: Hidden Code [Driver: Cdfsࠅః瑎て泐㯨⣎㩀@, IRP_MJ_PNP]

Process: System Address: 0x85887500 Size: 121

 

==EOF==[/log]

[Cecilia]

Filen blev visst infekterad igen. Vi får undersöka lite till.

 

Tutorial http://jpshortstuff.247fixes.com/SystemLook.html

Spara SystemLook på Skrivbordet från en av dessa länkar:

http://jpshortstuff.247fixes.com/SystemLook.exe

http://images.malwareremoval.com/jpshortstuff/SystemLook.exe

 

Högerklicka på filen och välj Kör som administratör för att köra den.

 

Kopiera alla rader i rutan

:filefind 
kernel32.d*

och klistra in i det stora textfältet i SýstemLook.

Tryck på knappen Look för att starta sökningen.

När det är klart så kommer Anteckningar upp med en logg, och den klistrar du in här. Om loggen inte kommer upp så finns den som SystemLook.txt på Skrivbordet.

[stonnew]

[log]SystemLook v1.0 by jpshortstuff (11.01.10)

Log created at 22:08 on 22/07/2010 by Kristoffer Stenlund (Administrator - Elevation successful)

 

========== filefind ==========

 

Searching for "kernel32.d*"

C:\Qoobox\Quarantine\C\WINDOWS\system32\kernel32.dll.vir --a--- 1003520 bytes [12:00 02/03/2006] [14:09 21/03/2009] 7F06ACEFD3A4B040BB59822DED9B5474

C:\WINDOWS\$hf_mig$\KB959426\SP3QFE\kernel32.dll --a--- 1005568 bytes [14:03 21/03/2009] [14:03 21/03/2009] 7140C1C1AA3814D9772E1E744EADFEF7

C:\WINDOWS\$NtServicePackUninstall$\kernel32.dll --a--c 997376 bytes [17:46 06/07/2009] [12:00 02/03/2006] 673505731AA42D4F635968C3754BEBF1

C:\WINDOWS\$NtUninstallKB959426$\kernel32.dll --a--c 1003520 bytes [18:16 06/07/2009] [16:04 14/04/2008] 19563163BDBEA684ED7CACA71A0CC117

C:\WINDOWS\ERDNT\cache\kernel32.dll --a--- 1003520 bytes [20:55 21/07/2010] [14:09 21/03/2009] 7F06ACEFD3A4B040BB59822DED9B5474

C:\WINDOWS\ServicePackFiles\i386\kernel32.dll --a--- 1003520 bytes [16:04 14/04/2008] [16:04 14/04/2008] 19563163BDBEA684ED7CACA71A0CC117

C:\WINDOWS\SMINST\CD_Struct\I386\SYSTEM32\KERNEL32.DLL --a--- 1038336 bytes [17:12 06/07/2009] [14:00 25/03/2005] 10F9019A341A4EFEE249BB0E5324B001

C:\WINDOWS\system32\kernel32.dll --a--- 1003520 bytes [12:00 02/03/2006] [14:09 21/03/2009] 7F06ACEFD3A4B040BB59822DED9B5474

 

-=End Of File=-[/log]

[Cecilia]

På sidan http://www.virustotal.com trycker du på Bläddra-knappen och klistrar in ett av följande filnamn i rutan, tryck på Öppna och sedan Skicka Fil. Vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in en länk till resultatet här. Upprepa med nästa filnamn.

C:\Qoobox\Quarantine\C\WINDOWS\system32\kernel32.dll.vir

C:\WINDOWS\$hf_mig$\KB959426\SP3QFE\kernel32.dll

C:\WINDOWS\$NtServicePackUninstall$\kernel32.dll

C:\WINDOWS\ServicePackFiles\i386\kernel32.dll

C:\WINDOWS\SMINST\CD_Struct\I386\SYSTEM32\KERNEL32.DLL

[stonnew]

Virustotal verkade inte hitta något på någon av filerna, här är i alla fall länkarna till sökningarna.

 

C:\Qoobox\Quarantine\C\WINDOWS\system32\kernel32.dll.vir

 

http://www.virustotal.com/sv/analisis/4aef0c3a65ff52602402c098e5315d654ad91eff877cb6c06603f58d74ce47de-1279835541

 

C:\WINDOWS\$hf_mig$\KB959426\SP3QFE\kernel32.dll

 

http://www.virustotal.com/sv/analisis/4be35cd733674149dae29596b95195ff865db86921a6c833ea86dc78a0920701-1279835913

 

C:\WINDOWS\$NtServicePackUninstall$\kernel32.dll

 

http://www.virustotal.com/sv/analisis/a5ea975ac74df5aa1ec98d30f7d48f313f5ebe36768fa0b6c82bd062ba2e0c93-1279836066

 

C:\WINDOWS\ServicePackFiles\i386\kernel32.dll

 

http://www.virustotal.com/sv/analisis/733534b1044875311676350b6c9369c9ab1a28afd8b54184f821a9ff1481ebb0-1279836433

 

C:\WINDOWS\SMINST\CD_Struct\I386\SYSTEM32\KERNEL32.DLL

 

http://www.virustotal.com/sv/analisis/896e829b03f62c5381d7ad34bbbe45d23b1b3c2f0a45d707d8be227a05dbef75-1279836579

[Cecilia]

Ja, de ser ju bra ut allihop. Jag undrar vad ComboFix har för sig då. Vänta tills i morgon när det troligen har kommit ut en ny version av ComboFix och då tar du bort den du har och laddar ner en ny och kör.

[Brynäsarn]

Jag ser i DDS-loggen att det finns gamla java-versioner med säkerhetshål i

datorn,avinstallera dessa i Kontrollpanelen Lägg till eller ta bort program,

hämta sedan uppdaterad version här http://www.java.com/sv/

[stonnew]

Okej. Tack för hjälpen såhär långt ändå.

 

Antar att den "nya" versionen av ComboFix kommer upp på bleepingcomputers hemsida?

 

Sen vet jag inte om det har någon betydelse att säga det, men jag tror det var efter jag körde ComboFix första gången som datorn blev segare att starta. Inte så segt att man stör sig mycket på det, men längre än tidigare.

 

Speciellt från det att man kommer till inloggningsrutan till windows och när den ska läsa in personliga inställningar tar det längre tid.

 

Sen kanske det är värt att nämna att en hel del tjänster i windows stängs av, automatiska uppdateringar, några tjänster för att Internet ska fungera att ansluta till och ljudkontrollen för att nämna några. Det kanske blir så efter man kört ComboFix? Tänkte bara det kunde vara värt att nämna när du säger att du undrar vad ComboFix har för sig.

[Cecilia]

Ja, det är nedladdningslänken för senaste versionen av ComboFix.

 

ComboFix ska snarare sätta på automatiska uppdateringar än stänga av dem, men så länge som datorn inte är helt ren är det ingen idé att hålla på och leta efter anledningen.

 

Om du vill köra något mer nu i natt så kan ju MBAM vara något bra. Ladda ner Malwarebytes Anti-Malware (MBAM) från en av dessa länkar:

http://www.malwarebytes.org/mbam-download.php

http://majorgeeks.com/downloadget.php?id=5756&file=15&evp=693ee0b20204960edfd909666f809b26

http://dw.com.com/redir?edId=3&siteId=4&oId=3000-8022_4-10804572&ontId=8022_4&spi=b4a0904e0f02b40bf2ae9ce030ef5c99&lop=link&tag=tdw_dltext&ltype=dl_dlnow&pid=11375988&mfgId=6290020&merId=6290020&pguid=XI3P-goPjFwAACI-g4wAAAA4&destUrl=http%3A%2F%2Fdownload.cnet.com%2F3001-8022_4-10804572.html%3Fspi%3Db4a0904e0f02b40bf2ae9ce030ef5c99

http://fileforum.betanews.com/detail/Malwarebytes-AntiMalware/1186760019/1

Dubbelklicka på mbam-setup för att installera programmet.

 

Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj "Utför snabb skanning" och tryck på Skanna.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan "Visa resultat".

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.

Kopiera loggen och klistra in den i ditt svar.