Infekterad dator som är seg

[ferdi_k]

Har du i Enhetshanteraren (högerklick på Den här datorn - Hantera) några symboler, t ex utropstecken?

 

1.

Spara ATF-Cleaner på Skrivbordet:

 

http://www.atribune.org/ccount/click.php?id=1

 

Stäng av alla andra program, särskilt webbläsare.

Dubbelklicka på ATF-Cleaner.exe för att starta programmet.

Bocka i Select All. Tryck på Empty Selected.

 

Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

 

Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

 

Tryck på Exit i Main-menyn för att stänga programmet.

 

Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.

 

2.

Ladda ner Malwarebytes Anti-Malware (MBAM) från en av dessa länkar:

http://www.malwarebytes.org/mbam-download.php

http://majorgeeks.com/downloadget.php?id=5756&file=15&evp=693ee0b20204960edfd909666f809b26

http://dw.com.com/redir?edId=3&siteId=4&oId=3000-8022_4-10804572&ontId=8022_4&spi=b4a0904e0f02b40bf2ae9ce030ef5c99&lop=link&tag=tdw_dltext&ltype=dl_dlnow&pid=11375988&mfgId=6290020&merId=6290020&pguid=XI3P-goPjFwAACI-g4wAAAA4&destUrl=http%3A%2F%2Fdownload.cnet.com%2F3001-8022_4-10804572.html%3Fspi%3Db4a0904e0f02b40bf2ae9ce030ef5c99

http://fileforum.betanews.com/detail/Malwarebytes-AntiMalware/1186760019/1

Dubbelklicka på mbam-setup för att installera programmet.

 

Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj "Utför snabb skanning" och tryck på Skanna.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan "Visa resultat".

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.

Kopiera loggen och klistra in den i ditt svar.

 

Första sökningen efter omstart:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Databasversion: 4356

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

2010-07-27 11:08:01

mbam-log-2010-07-27 (11-08-01).txt

 

Skanningstyp: Snabbskanning

Antal skannade objekt: 312595

Förfluten tid: 14 minut(er), 16 sekund(er)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 1

Infekterade registervärden: 0

Infekterade registerdataposter: 3

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/x-zix (Trojan.Swizzor) -> Quarantined and deleted successfully.

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

 

Andra söknigen efter omstart 2:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Databasversion: 4356

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

2010-07-27 13:40:15

mbam-log-2010-07-27 (13-40-15).txt

 

Skanningstyp: Fullständig skanning (C:\|)

Antal skannade objekt: 425722

Förfluten tid: 2 timme(ar), 6 minut(er), 31 sekund(er)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 3

Infekterade mappar: 0

Infekterade filer: 8

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\AntiVirusDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\FirewallDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\UpdatesDisableNotify (Disabled.SecurityCenter) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\Qoobox\Quarantine\C\WINDOWS\Temp\_ex-08.exe.vir (Trojan.Dropper) -> Quarantined and deleted successfully.

C:\Documents and Settings\bou\Mina dokument\Övrigt\Adobe Flash Professional CS5 v11.0.0.485 Keygen\adobe_FP_CS5_keygen.exe (Malware.Packer.Gen) -> Quarantined and deleted successfully.

C:\Program\Adobe PhotoShop CS3\Msvcrt.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.

C:\Program\Adobe PhotoShop CS3\Shfolder.dll (Malware.Packer.Gen) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{0C67C80F-3C51-45B1-9A0F-32C58EAD0B7B}\RP192\A0103326.exe (Trojan.FraudPack.Gen) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{0C67C80F-3C51-45B1-9A0F-32C58EAD0B7B}\RP192\A0103329.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{0C67C80F-3C51-45B1-9A0F-32C58EAD0B7B}\RP192\A0103333.exe (Rogue.Installer) -> Quarantined and deleted successfully.

C:\System Volume Information\_restore{0C67C80F-3C51-45B1-9A0F-32C58EAD0B7B}\RP192\A0103335.exe (Rogue.Installer) -> Quarantined and deleted successfully.

[Cecilia]

Keygens och liknande är inte riskfritt att hålla på med.

 

Har du i Enhetshanteraren (högerklick på Den här datorn - Hantera) några symboler, t ex utropstecken?

 

Spara MBRCheck.exe av a_d_13 på Skrivbordet.

Kör programmet.

Vänta tills programmet är klart eller till texten "Enter 'Y' and hit ENTER for more options, or 'N' to exit:" visas. I det senare fallet tryck på N följt av Enter.

När det är klart skapas en loggfil på Skrivbordet som heter MBRCheckxxxxxx.txt där xxxxxx är klockslaget för körningen. Öppna loggen i Anteckningar genom att dubbelklicka på loggen och klistra in innehållet i ditt svar.

 

Skanna datorn online på

http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html

Om något hittas så spara loggen och klistra in i ditt svar.

[ferdi_k]

Keygens och liknande är inte riskfritt att hålla på med.

 

Har du i Enhetshanteraren (högerklick på Den här datorn - Hantera) några symboler, t ex utropstecken?

 

Spara MBRCheck.exe av a_d_13 på Skrivbordet.

Kör programmet.

Vänta tills programmet är klart eller till texten "Enter 'Y' and hit ENTER for more options, or 'N' to exit:" visas. I det senare fallet tryck på N följt av Enter.

När det är klart skapas en loggfil på Skrivbordet som heter MBRCheckxxxxxx.txt där xxxxxx är klockslaget för körningen. Öppna loggen i Anteckningar genom att dubbelklicka på loggen och klistra in innehållet i ditt svar.

 

Skanna datorn online på

http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html

Om något hittas så spara loggen och klistra in i ditt svar.

I enhetshanteraren under filken systemenheter, ser jag ett utropstecken framför Logical Disk Manager. Men när jag väljer att visa dolda filer under visa, så kommer det flera stycken utropstecken;

Under filken Icke-plug and play-drivrutiner

1: adfs

2: Drivrutin för seriell port

3: Intel AGP Bus Filter

4: IntelIde

5: PartMgr

6: vmscsi

 

Jag kan inte inaktivera Norman antiviruset, därför går det inte att scanna den online med kaspersky, däremot går det med Panda Online Scanner.

 

här loggen från MBRcheck:

 

MBRCheck, version 1.1.1

 

© 2010, AD

 

 

 

\\.\C: --> \\.\PhysicalDrive0

 

 

 

Size Device Name MBR Status

 

--------------------------------------------

 

111 GB \\.\PhysicalDrive0 Windows 2008 MBR code detected

 

 

 

Done! Press ENTER to exit...

[Cecilia]

Har du ett dual-boot-system, dvs kan välja mellan två Windows i uppstarten eller har du haft något annat än XP i datorn förut?

 

Går det att högerklicka på Logical Disk Manager och välja att aktivera den?

Hur fungerar datorn då efter en omstart?

 

Norman skulle ju vara inaktiverad när du körde ComboFix för att inte riskera att få problem. Sidan http://www.norman.com/support/support_issue_archive/67739/en gäller visserligen inaktivering av brandväggen men det ger kanske något tips om hur man kan inaktivera antivirusprogrammets realtidsskydd.

[ferdi_k]

Har du ett dual-boot-system, dvs kan välja mellan två Windows i uppstarten eller har du haft något annat än XP i datorn förut?

 

Går det att högerklicka på Logical Disk Manager och välja att aktivera den?

Hur fungerar datorn då efter en omstart?

 

Norman skulle ju vara inaktiverad när du körde ComboFix för att inte riskera att få problem. Sidan http://www.norman.com/support/support_issue_archive/67739/en gäller visserligen inaktivering av brandväggen men det ger kanske något tips om hur man kan inaktivera antivirusprogrammets realtidsskydd.

Nej inte nu, men jag har haft och då fick lite problem med datorn så jag installerade om XP istället, så nu har jag endast XP, dvs inte dual!

Norman går det tyvärr inte att inaktivera, vid högerklick på ikonen, får jag inte upp nån filk som skulle heta disable eller inaktivera (?) de har d kanske så från skolan!

 

btw, jag kan inte aktiver Logical Disk Manager utan endas inaktivera dn ska jag göra det?

 

här är loggen efter sökningen med Panda Onlnine Scanner:

Länken: http://www.pandasecurity.com/activescan/scan/?type=fast

 

;***********************************************************************************************************************************************************************************

ANALYSIS: 2010-07-27 17:35:21

PROTECTIONS: 1

MALWARE: 4

SUSPECTS: 0

;***********************************************************************************************************************************************************************************

PROTECTIONS

Description Version Active Updated

;===================================================================================================================================================================================

Norman Virus Control 5.99 Yes No

;===================================================================================================================================================================================

MALWARE

Id Description Type Active Severity Disinfectable Disinfected Location

;===================================================================================================================================================================================

00003428 adware/memorywatcher Adware No 0 Yes No hkey_classes_root\vbrad.trayicon

00168056 Cookie/YieldManager TrackingCookie No 0 Yes No c:\documents and settings\bou\cookies\bou@ad.yieldmanager[2].txt

00168109 Cookie/Adtech TrackingCookie No 0 Yes No c:\documents and settings\bou\cookies\bou@adtech[1].txt

00205140 Cookie/Research-int TrackingCookie No 0 Yes No c:\documents and settings\bou\cookies\bou@research-int[2].txt

;===================================================================================================================================================================================

SUSPECTS

Sent Location

;===================================================================================================================================================================================

;===================================================================================================================================================================================

VULNERABILITIES

Id Severity Description

;===================================================================================================================================================================================

217831 HIGH MS10-005

206981 HIGH MS09-007

;===================================================================================================================================================================================

[Cecilia]

Det Panda hittade är inte mycket att bry sig om. Cookies är aldrig farliga för datorn och sedan var det någon rest i registret.

 

Nej, du ska inte inaktivera Logical Disk Manager. Dubbelklicka på den enheten. Vad står det i rutan status (eller något liknande)?

Vad är det för datorfabrikat och datormodell?

[ferdi_k]

Det Panda hittade är inte mycket att bry sig om. Cookies är aldrig farliga för datorn och sedan var det någon rest i registret.

 

Nej, du ska inte inaktivera Logical Disk Manager. Dubbelklicka på den enheten. Vad står det i rutan status (eller något liknande)?

Vad är det för datorfabrikat och datormodell?

 

under drivrutiner står förljande:

Leverantör: Microsoft

Datum: 2001-07-01

Version: 5.1.2600.2180

Digitalt signerad av: Microsoft Windows Component Publisher

 

räcker det?

[Cecilia]

Så här ser det ut i min Vista-dator:

[ferdi_k]

Så här ser det ut i min Vista-dator:

så här ser det ut!

[Cecilia]

Vad händer om du klickar på Felsök?

[ferdi_k]

Vad händer om du klickar på Felsök?

Hjälp-supportcenter öppnas och där beskriver man att man ska avinstallera/ominstallation av enheten, fast problemet är att jag har ingen XP skiva som jag kan använda för tillfället

[Cecilia]

Normalt kan man få Windows att ominstallera drivrutiner genom att avinstallera dem i Enhetshanteraren och sedan starta om datorn men eftersom detta är en drivrutin som nog har med hårddisken att göra så vet jag inte hur Windows kommer att reagera.

 

Du kan i alla fall pröva med att välja att uppdatera drivrutinen på fliken Drivrutiner.

[ferdi_k]

Normalt kan man få Windows att ominstallera drivrutiner genom att avinstallera dem i Enhetshanteraren och sedan starta om datorn men eftersom detta är en drivrutin som nog har med hårddisken att göra så vet jag inte hur Windows kommer att reagera.

 

Du kan i alla fall pröva med att välja att uppdatera drivrutinen på fliken Drivrutiner.

 

men vad är den här enheten för ngt, nå viktigt eller?

jag försökte uppdatera drivrutinen, men tydligen krävs det xp cdn

[ferdi_k]

men vad är den här enheten för ngt, nå viktigt eller?

jag försökte uppdatera drivrutinen, men tydligen krävs det xp cdn

 

Körde prcis Run - SFC /SCANNOW

den återställer ju alla windows filer antar jag visst ?

[Cecilia]

men vad är den här enheten för ngt, nå viktigt eller?

jag försökte uppdatera drivrutinen, men tydligen krävs det xp cdn

Den är inblandad när det gäller hårddiskar. En seg dator kan bero på problem relaterade till hårddisken, vilket kanske kan vara att drivrutinen saknas.

 

 

Körde prcis Run - SFC /SCANNOW

den återställer ju alla windows filer antar jag visst ?

Ja, men jag vet inte om det gäller även denna drivrutin men det visar sig ju.

[ferdi_k]

Den är inblandad när det gäller hårddiskar. En seg dator kan bero på problem relaterade till hårddisken, vilket kanske kan vara att drivrutinen saknas.

 

 

Ja, men jag vet inte om det gäller även denna drivrutin men det visar sig ju.

jupp, nu är flera utropstecken borta från enhetshanteraren

men vid start av windows såg jag att Microsoft Recovery Console har installerat sig som windows och nu har plötsligt dual-windows vid start, alltså vid start av windows får jag upp meddelande med vilket OS jag vill använda, hur ska jag få bort dt därifrån så att dn startas vanligt?

[Cecilia]

Klistra in hur boot.ini ser ut nu.

[ferdi_k]

Klistra in hur boot.ini ser ut nu.

 

[boot loader]

timeout=3

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

C:\CMDCONS\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

[Cecilia]

Det där ser väl ut som det ska, dvs det går att välja på återställningskonsolen och XP. Återställningskonsolen är väldigt bra om något händer med Windows-installationen någon gång så att Windows inte kan starta. Om du tycker att det är för länge som den visas, 3 sekunder ser det ut som, kan du ändra timeout=3 till 2 eller 1, fast med 1 blir det svårt att hinna med att trycka på piltangenten.

 

Hur fungerar datorn nu?

Är det dags för slutkontroll och -städning?

 

Tillägg:

Det är viktigt att du genast besöker Windows Update för att få ner de uppdateringar som datorn saknar efter sfc-kommandot.

[ferdi_k]

Det där ser väl ut som det ska, dvs det går att välja på återställningskonsolen och XP. Återställningskonsolen är väldigt bra om något händer med Windows-installationen någon gång så att Windows inte kan starta. Om du tycker att det är för länge som den visas, 3 sekunder ser det ut som, kan du ändra timeout=3 till 2 eller 1, fast med 1 blir det svårt att hinna med att trycka på piltangenten.

 

Hur fungerar datorn nu?

Är det dags för slutkontroll och -städning?

 

Tillägg:

Det är viktigt att du genast besöker Windows Update för att få ner de uppdateringar som datorn saknar efter sfc-kommandot.

 

nej jag vill inte ha det där iaf, och förresten det funkar inte, så fort jag väljer den vid start då får jag ett error o uppmanas att starta om datorn samma sak händer om jag väljder den igen =/ kan jag inte ta bort helt och hållet?

[Cecilia]

Det är bara att ta bort raden med recovery console från boot.ini.

 

Hur fungerar datorn nu?

Är det dags för slutkontroll och -städning?

[ferdi_k]

Det är bara att ta bort raden med recovery console från boot.ini.

 

Hur fungerar datorn nu?

Är det dags för slutkontroll och -städning?

Så här ser det ut nu

[boot loader]

timeout=1

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

C:\CMDCONS\BOOTSECT.DAT=/cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /noexecute=optin /fastdetect

 

datorn funkar bra, men vid windows login tar mykct long tid innan man välkomnsskärmen dyker upp.

[Cecilia]

Ta bort raden:

C:\CMDCONS\BOOTSECT.DAT=/cmdcons

eftersom den inte fungerar.

 

Finns det några utropstecken kvar i Enhetshanteraren?

 

Kör DDS ooch klistra in båda loggarna för en sista kontroll.

[ferdi_k]

Ta bort raden:

C:\CMDCONS\BOOTSECT.DAT=/cmdcons

eftersom den inte fungerar.

 

Finns det några utropstecken kvar i Enhetshanteraren?

 

Kör DDS ooch klistra in båda loggarna för en sista kontroll.

 

Under filken Icke-plug and play-drivrutiner

1: adfs

2: Drivrutin för seriell port

 

bara de två inte annars, btw vad är DDS ?

[Cecilia]

1. Lär vara något som ingår i något Adobe-program, men du har ju så många så det är ju svårt att veta vad som borde installeras om.

 

2. Borde kunna fixas med drivrutin från datortillverkaren. Vad är det för dator, tillverkare och modell?

 

DDS: Se inlägg 2 och 3

 

God natt!