Windows Update fungerar inte - 0x80072efe

[stonnew]

Har åtgärdat den gamla versionen av Java och gjort en snabbgenomsökning med MBAM, men den hittade inget.

 

Laddar ner ny version av ComboFix imorgon och lägger upp en logg när det är gjort.

[stonnew]

[log]ComboFix 10-07-22.01

[/log]

[Cecilia]

Bra att ComboFix har slutat klaga på kernel32-filen nu i alla fall.

 

Spara Gmer på Skrivbordet från:

http://www2.gmer.net/download.php

Den har ett slumpmässigt namn så notera vad programmet sparas som.

 

Dra ur internetanslutningen.

Stäng alla program, även antivirusprogram och brandvägg.

Starta det nedladdade programmet.

En första snabbskanning startar.

Om det kommer upp en WARNING som nämner ROOTKIT och frågar om "fully scan" så välj Nej/No. Spara loggen och klistra in i ditt svar. Gör inte mer.

 

Om frågan inte kommer så välj fliken Rootkit/Malware, kontrollera att allt är förbockat till höger utom Show All och andra partitioner än C:\. Tryck på Scan. Låt datorn stå ifred medan Gmer håller på och det kan ta några timmar.

Tryck på Save och spara resultatet på Skrivbordet.

Sätt igång antivirusprogram och brandvägg innan du ansluter till internet.

Klistra in resultatet i ditt svar.

[stonnew]

Snabbgenomsökningen:

 

[log]GMER 1.0.15.15281

[/log]

 

Hela genomsökningen:

 

[log]GMER 1.0.15.15281

[/log]

[Cecilia]

På sidan http://www.virustotal.com trycker du på Bläddra-knappen och klistrar in följande filnamn i rutan, tryck på Öppna och sedan Skicka Fil. Vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in en länk till resultatet här.

C:\WindowsSystem32\Drivers\a11ky2zh.SYS

 

Spara DeFogger by jpshortstuff http://www.jpshortstuff.247fixes.com/Defogger.exe på Skrivbordet.

 

Starta DeFogger.

När programmets fönster kommer upp trycker du på knappen Disable för att inaktivera drivrutinerna som hör ihop med ditt installerade CD-emuleringsprogram.

Tryck på Yes/Ja för att fortsätta.

När programmet är klart kommer det upp ett meddelande 'Finished!'.

Tryck på OK.

Programmet ber om omstart av datorn, tryck på OK.

 

VIKTIGT! Om du får ett felmeddelande medan DeFogger kör, så klistra in loggen defogger_disable som då skapas på Skrivbordet.

 

Aktivera inte dessa drivrutiner innan rensningen är helt klar.

 

Går det att stänga av SQLServer? För den orsakar en del rader i loggarna från Gmer och RootRepeal så att de blir svårare att förstå.

 

Efter ovanstående starta om datorn och kör Gmer och RootRepeal igen, på samma sätt som tidigare och med en omstart av datorn emellan.

[stonnew]

Jag kan tyvärr inte hitta filen C:\WindowsSystem32\Drivers\a11ky2zh.SYS och även om det kanske var ett "snedstreck" som fattades så fanns filen a11ky2zh.SYS inte på datorn. Sökte efter den och gick igenom alla System32 mappar (sökte på system32 och letade igenom).

 

Tror jag stängde av alla SQL-server tjänster.

 

Gmer snabbgenomsökning:

 

[log]GMER 1.0.15.15281

[/log]

 

Gmer hela genomsökning:

 

[log]GMER 1.0.15.15281

[/log]

 

Rootrepeal

 

[log]ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2010/07/26 14:41

Program Version: Version 1.3.5.0

Windows Version: Windows XP SP3

==================================================

 

Drivers

-------------------

Name: dump_iaStor.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_iaStor.sys

Address: 0xED3BD000 Size: 876544 File Visible: No Signed: -

Status: -

 

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xEC772000 Size: 49152 File Visible: No Signed: -

Status: -

 

Hidden/Locked Files

-------------------

Path: c:\windows\temp\sqlite_rtlbtues6ndes3u

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_6pcfotbjocufqva

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_97hndm5d0k2hlg9

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_bad8oe8s2eb3yha

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_bo5fpcq8obltv5n

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_gmzsqhrqsei1d3y

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_kimsp4dcncgsswg

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_l2cx6faaezgseli

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_lavj7l1gsalcqau

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_lr8qujat2kqc3ea

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_o5we2fphndvr2sd

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_or7xepwruccfnta

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_0wyp47iqaerbaja

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_2gukykux1ers52e

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_2r7emjm6rzj2fph

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_459oelbyply7c3a

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_6eakwieamiwwem8

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_szjrw9cdxhznrq8

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_tarosrxjlbx7stb

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_tmbgi7dcfax8fxb

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_tulmrajs8puymr7

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_vdb8znrip0geted

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_vniez7cdmyrop8o

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_w5k14hav8iwrv13

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_wevr5cokicuznyg

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_wnfbqzhrghlq3oh

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_xqnhdvaa4shoess

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_xqwen1dipi78lrv

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_y5dxkoducbhbedj

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\windows\temp\sqlite_zmpofrmwyienopc

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

Path: c:\program\microsoft sql server\mssql.1\mssql\log\log_380.trc

Status: Allocation size mismatch (API: 4096, Raw: 0)

 

==EOF==

[/log]

[Cecilia]

Den där sys-filen du letade efter måste ha varit något tillfälligt för den finns inte med i dessa loggar. Kör ComboFix igen nu när fler program är avstängda.

[stonnew]

[log]ComboFix 10-07-22.01

[/log]

[Cecilia]

1.

Spara ATF-Cleaner på Skrivbordet:

http://www.atribune.org/ccount/click.php?id=1

 

Stäng av alla andra program, särskilt webbläsare.

Dubbelklicka på ATF-Cleaner.exe för att starta programmet.

Bocka i Select All. Tryck på Empty Selected.

 

Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

 

Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

 

Tryck på Exit i Main-menyn för att stänga programmet.

 

Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.

 

2.

Spara MBRCheck.exe av a_d_13 på Skrivbordet.

Kör programmet.

Vänta tills programmet är klart eller till texten "Enter 'Y' and hit ENTER for more options, or 'N' to exit:" visas. I det senare fallet tryck på N följt av Enter.

När det är klart skapas en loggfil på Skrivbordet som heter MBRCheckxxxxxx.txt där xxxxxx är klockslaget för körningen. Öppna loggen i Anteckningar genom att dubbelklicka på loggen och klistra in innehållet i ditt svar.

 

3.

Spara Bootkit Remover på Skrivbordet. Extrahera innehållet till en ny mapp BRemover på Skrivbordet.

 

Start - Program - Tillbehör - Kommandotolken

skriv in (kopiera-klistra in) följande:

"%userprofile%\Skrivbord\Bremover\remover.exe" >"%userprofile%\Skrivbord\logit.txt"

följt av Enter-tangenten, eventuellt två gånger.

 

På Skrivbordet ska det nu finnas en loggfil som heter logit.txt. Öpnna den och klistra in dess innehåll.

[stonnew]

[log]MBRCheck, version 1.1.1

 

© 2010, AD

 

 

 

\\.\C: --> \\.\PhysicalDrive0

 

 

 

Size Device Name MBR Status

 

--------------------------------------------

 

37 GB \\.\PhysicalDrive0 MBR Code Faked!

 

 

 

 

 

Found non-standard or infected MBR.

 

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

 

 

 

Done! Press ENTER to exit...

[/log]

 

 

[log]Bootkit Remover

© 2009 eSage Lab

www.esagelab.com

Program version: 1.1.0.0

OS Version: Microsoft Windows XP Home Edition Service Pack 3 (build 2600)

System volume is \\.\C:

\\.\C: -> \\.\PhysicalDrive0 at offset 0x00000000`00007e00

 

Size Device Name MBR Status

--------------------------------------------

37 GB \\.\PhysicalDrive0 Controlled by rootkit!

 

Boot code on some of your physical disks is hidden by a rootkit.

To disinfect the master boot sector, use the following command:

remover.exe fix <device_name>

To inspect the boot code manually, dump the master boot sector:

remover.exe dump <device_name> [output_file]

 

Done;

 

 

 

Press any key to quit...

[/log]

[Cecilia]

Kör MBRCheck.

Vänta tills texten "Enter 'Y' and hit ENTER for more options, or 'N' to exit:" visas. Tryck Y följt av Enter.

Texten "Enter your choice:" visas. Tryck 2 följt av Enter.

Tryck 0 och Enter för att skriva en ny MBR till den första hårddisken.

Tryck 1 och Enter för att skriva dit MBR för Windows XP.

Skriv YES följt av Enter för att bekräfta.

 

När det är klart tryck på Enter. En loggfil skapas på Skrivbordet som heter MBRCheckxxxxxx.txt där xxxxxx är klockslaget för körningen. Klistra in dess innehåll i ditt svar.

[stonnew]

[log]MBRCheck, version 1.1.1

 

© 2010, AD

 

 

 

\\.\C: --> \\.\PhysicalDrive0

 

 

 

Size Device Name MBR Status

 

--------------------------------------------

 

37 GB \\.\PhysicalDrive0 MBR Code Faked!

 

 

 

 

 

Found non-standard or infected MBR.

 

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

 

Options:

 

[1] Dump the MBR of a physical disk to file.

 

[2] Restore the MBR of a physical disk with a standard boot code.

 

[3] Exit.

 

 

 

Enter your choice: Enter the physical disk number to fix (0-99, -1 to cancel): Available MBR codes:

 

[ 0] Default (Windows XP)

 

[ 1] Windows XP

 

[ 2] Windows Server 2003

 

[ 3] Windows Vista

 

[ 4] Windows 2008

 

[ 5] Windows 7

 

[-1] Cancel

 

 

 

Please select the MBR code to write to this drive:

 

Do you want to fix the MBR code? Type 'YES' and hit ENTER to continue: Successfully wrote new MBR code!

 

Please reboot your computer to complete the fix.

 

 

 

 

 

Done! Press ENTER to exit...

[/log]

[Cecilia]

Det ser ju bra ut. Om du inte har startat om datorn sedan du körde MBRCheck så gör det. Klistra in en ny ComboFix-logg.

 

Uppdatera Malwarebytes AntiMalware (MBAM) och gör en snabbskanning. Om något hittas så klistra in loggen.

[stonnew]

Ingenting hittades när jag sökte igenom med MBAM.

 

[log]ComboFix 10-07-22.01

[/log]

[Cecilia]

Nu såg det mycket bättre ut

 

Du hade väl avinstallerat RegServo och RegCure för i så fall kan du ju ta bort deras mappar:

c:\documents and settings\All Users\Application Data\RegSERVO

c:\documents and settings\All Users\Application Data\Innovative Solutions

c:\documents and settings\All Users\Application Data\RegCure

 

Klistra in en ny DDS-logg för en sista kontroll.

 

Skanna datorn online på

http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html

Om något hittas så spara loggen och klistra in i ditt svar.

[stonnew]

Mapparna är nu borttagna.

 

Nu fungerar det också att uppdatera virusdefinitionerna i Microsoft Security Essentials och det går även att ansluta till windows update.

 

Men enligt Kasperskys genomsökning verkar datorn fortfarande vara infekterad.

 

[log]--------------------------------------------------------------------------------

KASPERSKY ONLINE SCANNER 7.0:

[/log]

 

Här är även DDS-loggen:

[log]DDS (Ver_10-03-17.01)

[/log]

[Cecilia]

housecall6.6\Quarantine

C:\Qoobox\Quarantine

Det är karantänerna för Housecall (Trend Micros online-skanning) resp. ComboFix så det är filer som redan var omhändertagna.

 

C:\System Volume Information\_restore är stället där systemåterställningsfunktionen lagrar olika systemåterställningspunkter. Det betyder att medan din dator var infekterad så skapade Windows en systemåterställningspunkt. Så länge som de skadliga filerna ligger i den mappen så är de ofarliga. Däremot så om du återställer till en tidpunkt då datorn var infekterad så blir även de skadliga filerna återställda. Du kommer strax att få ta bort alla återställningspunkterna.

 

Således verkar det vara bra med datorn.

 

RP526: 2010-07-28 01:31:18 - Installed Sophos Windows Shortcut Exploit Protection Tool.

 

Nu återstår bara en sista städomgång:

 

1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade.

Börja med att skapa en ny systemåterställningspunkt:

XP:

Start - Program- Tillbehör - Systemverktyg - Systemåterställning

Välj att skapa en ny återställningspunkt och tryck på Nästa.

Vista och Windows 7:

Högerklick på Datorn - Egenskaper - Systemskydd

Tryck på Skapa.

 

Ta sedan bort alla gamla systemåterställningspunkter genom att köra diskrensningsprogrammet.

Högerklicka på C: i Den här datorn/Utforskaren och välj Egenskaper.

På fliken Allmänt finns det en knapp som heter Diskrensning. Välj den.

Efter några minuter kommer programmet upp och då väljer du en flik som heter Fler alternativ eller något likande. Tryck på den Rensa-knapp som tar bort alla systemåterställningspunkter utom den senaste.

 

2. Ladda ner avinstallationsprogrammet OTC till Skrivbordet.

http://oldtimer.geekstogo.com/OTC.exe

Dubbelklicka på filen för att starta programmet.

Tryck på knappen CleanUp! och ComboFix mm kommer att avinstalleras, inkl. detta program, efter en omstart av datorn. Om något av programmen jag bett dig ladda ner är kvar efter det så fråga hur du ska ta bort det.

 

3. Ta bort alla tillfälliga filer genom att ladda ner ATF-Cleaner på Skrivbordet:

http://www.atribune.org/ccount/click.php?id=1

Stäng av alla andra program, särskilt webbläsare.

Dubbelklicka på ATF-Cleaner.exe för att starta programmet.

Bocka i Select All. Tryck på Empty Selected.

 

Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

 

Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

Tryck på Exit i Main-menyn för att stänga programmet.

 

Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.

 

4. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.

http://mnin.blogspot.com/2009/02/why-i-enjoyed-tiggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.

 

5. Förbättra skyddet i datorn, se mina Råd för en säkrare dator. http://sites.google.com/site/ceblstockholm/home

 

6. Lite skräprester i registret efter tidigare avinstallationer.

Start - Program - Tillbehör - Kommandotolken

skriv:

sc delete cpuz132

sc delete Nbdrv

sc delete AVG Anti-Spyware Guard

 

Om du får något felmeddelande på sista raden kan du pröva med följande i stället:

sc delete "AVG Anti-Spyware Guard"

 

7. Du har en gammal version av VLC med säkerhetshål. Uppdatera.

[stonnew]

Nu har jag fixat alla ovanstående punkter och får tacka igen så mycket för all hjälp

 

Program som RootRepeal, ATF-Cleaner, Gmer, MBRCheck och Bootkit Remover, är det bara att ta bort dessa genom att högerklicka och ta bort?

[Cecilia]

Program som RootRepeal, ATF-Cleaner, Gmer, MBRCheck och Bootkit Remover, är det bara att ta bort dessa genom att högerklicka och ta bort?

Det stämmer bra det