En massa virus på en gång

31 juli, 2010

För ett par veckor sedan kom en massa virus. Började med falskt antivirusprogram. Följde tips på denna sidan och hämtade hem rkill och körde sedan Malwarbytes och AVG som båda hittade en massa trojaner o annat. Fortfarande påträffas virus nästan dagligen. Dessutom måste jag numera öppna externa hårddisken via utforskaren, men detta kanske inte är virusrelaterat.

DDS (Ver_10-03-17.01) - NTFSx86

Run by Fam. at 9:59:44,43 on 2010-07-31

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Home Edition 5.1.2600.2.1252.46.1053.18.2047.1224 [GMT 2:00]

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup

C:\Program\AVG\AVG9\avgchsvx.exe

C:\Program\AVG\AVG9\avgrsx.exe

C:\Program\AVG\AVG9\avgcsrvx.exe

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

svchost.exe

C:\Program\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\AVG\AVG9\avgwdsvc.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\Program\Glocalnet\Bredbandscenter\BredbandscenterUpdater.exe

C:\Program\Delade filer\EPSON\EBAPI\SAgent2.exe

C:\Program\Glocalnet Bredband\Bredbandsklienten\GlocalnetBredbandService.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\AVG\AVG9\avgnsx.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\Synaptics\SynTP\SynTPLpr.exe

C:\Program\Synaptics\SynTP\SynTPEnh.exe

C:\Program\CyberLink\PowerDVD\PDVDServ.exe

C:\WINDOWS\sm56hlpr.exe

C:\Program\DAEMON Tools\daemon.exe

C:\Program\Adobe\Photoshop Elements 4.0\apdproxy.exe

C:\Program\Creative\Creative Live! Cam\VideoFX\StartFX.exe

C:\WINDOWS\system32\WDBtnMgr.exe

C:\Program\iTunes\iTunesHelper.exe

C:\Program\AVG\AVG9\avgtray.exe

C:\Program\Voddler\service\VNetManager.exe

C:\Program\Java\jre6\bin\jusched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Spybot - Search & Destroy\TeaTimer.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\My Book\WD Backup\uBBMonitor.exe

C:\Program\Last.fm\LastFMHelper.exe

C:\Program\Delade filer\Nikon\Monitor\NkMonitor.exe

C:\Program\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe -k HTTPFilter

C:\Program\iPod\bin\iPodService.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Documents and Settings\Fam.\Mina dokument\dds.scr

============== Pseudo HJT Report ===============

uStart Page = hxxp://www.google.se/

uInternet Settings,ProxyOverride = <local>

uInternet Settings,ProxyServer = http=127.0.0.1:5643

uURLSearchHooks: AVG Security Toolbar BHO: {a3bc75a2-1f87-4686-aa43-5347d756017c} - c:\program\avg\avg9\toolbar\IEToolbar.dll

uURLSearchHooks: H - No File

mURLSearchHooks: AVG Security Toolbar BHO: {a3bc75a2-1f87-4686-aa43-5347d756017c} - c:\program\avg\avg9\toolbar\IEToolbar.dll

mWinlogon: Taskman=c:\documents and settings\fam.\application data\ogix.exe

uWinlogon: Shell=4578706c6f7265722e657865

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program\delade filer\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: AVG Safe Search: {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program\avg\avg9\avgssie.dll

BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\program\spybot~1\SDHelper.dll

BHO: Yahoo! IE Services Button: {5bab4b5b-68bc-4b02-94d6-2fc0de4a7897} - c:\program\yahoo!\common\yiesrvc.dll

BHO: {7E853D72-626A-48EC-A868-BA8D5E23E045} - No File

BHO: Windows Live Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program\delade filer\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: AVG Security Toolbar BHO: {a3bc75a2-1f87-4686-aa43-5347d756017c} - c:\program\avg\avg9\toolbar\IEToolbar.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: AVG Security Toolbar: {ccc7a320-b3ca-4199-b1a6-9f516dd69829} - c:\program\avg\avg9\toolbar\IEToolbar.dll

TB: {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No File

uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe

uRun: [Creative WebCam Tray] "c:\program\creative\shared files\CamTray.exe"

uRun: [spybotSD TeaTimer] c:\program\spybot - search & destroy\TeaTimer.exe

uRun: [Polar Sync]

mRun: [Genväg till egenskapssida för High Definition Audio] HDAShCut.exe

mRun: [soundMan] SOUNDMAN.EXE

mRun: [AlcWzrd] ALCWZRD.EXE

mRun: [Alcmtr] ALCMTR.EXE

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [nwiz] nwiz.exe /install

mRun: [synTPLpr] c:\program\synaptics\syntp\SynTPLpr.exe

mRun: [synTPEnh] c:\program\synaptics\syntp\SynTPEnh.exe

mRun: [RemoteControl] c:\program\cyberlink\powerdvd\PDVDServ.exe

mRun: [sMSERIAL] sm56hlpr.exe

mRun: [instantOn] "c:\program files\cyberlink\powercinema linux\ion_install.exe" /c

mRun: [DAEMON Tools] "c:\program\daemon tools\daemon.exe" -lang 1033

mRun: [Adobe Photo Downloader] "c:\program\adobe\photoshop elements 4.0\apdproxy.exe"

mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe

mRun: [AVFX Engine] c:\program\creative\creative live! cam\videofx\StartFX.exe

mRun: [WD Button Manager] WDBtnMgr.exe

mRun: [bredbandscenter] "c:\program\glocalnet\bredbandscenter\Launcher.exe" /winstart

mRun: [iTunesHelper] "c:\program\itunes\iTunesHelper.exe"

mRun: [AVG9_TRAY] c:\program\avg\avg9\avgtray.exe

mRun: [QuickTime Task] "c:\program\quicktime\qttask.exe" -atboottime

mRun: [VoddlerNet Manager] c:\program\voddler\service\VNetManager.exe

mRun: [Adobe Reader Speed Launcher] "c:\program\adobe\reader 9.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\program\delade filer\adobe\arm\1.0\AdobeARM.exe"

mRun: [sunJavaUpdateSched] "c:\program\java\jre6\bin\jusched.exe"

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\docume~1\famzin~1.ter\start-~1\program\autost~1\lastfm~1.lnk - c:\program\last.fm\LastFMHelper.exe

StartupFolder: c:\docume~1\famzin~1.ter\start-~1\program\autost~1\nikonm~1.lnk - c:\program\delade filer\nikon\monitor\NkMonitor.exe

StartupFolder: c:\docume~1\famzin~1.ter\start-~1\program\autost~1\pictur~1.lnk - c:\program\sony\sony picture utility\pmbcore\SPUVolumeWatcher.exe

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\bankid~1.lnk - c:\program\personal\bin\Personal.exe

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\wdback~1.lnk - c:\program\my book\wd backup\uBBMonitor.exe

IE: &Yahoo! Search - file:///c:\program\yahoo!\Common/ycsrch.htm

IE: E&xportera till Microsoft Excel - c:\program\micros~4\office11\EXCEL.EXE/3000

IE: Yahoo! &Dictionary - file:///c:\program\yahoo!\Common/ycdict.htm

IE: Yahoo! &Maps - file:///c:\program\yahoo!\Common/ycmap.htm

IE: Yahoo! &SMS - file:///c:\program\yahoo!\Common/ycsms.htm

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program\messenger\msmsgs.exe

IE: {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - c:\program\yahoo!\common\yiesrvc.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\program\micros~4\office11\REFIEBAR.DLL

IE: {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - {552781AF-37E4-4FEE-920A-CED9E648EADD} - c:\program\delade filer\microsoft shared\encarta search bar\ENCSBAR.DLL

IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\program\spybot~1\SDHelper.dll

DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab

DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://download.ewido.net/ewidoOnlineScan.cab

DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - c:\program\yahoo!\common\yinsthelper.dll

DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} - hxxps://hembanken.danskebank.se/html/activex/OEB/Menu.cab

DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} - hxxp://office.microsoft.com/officeupdate/content/opuc3.cab

DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} - hxxp://www.extrafilm.se/ImageUploader5.cab

DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1147373208703

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} - hxxp://www.extrafilm.se/ImageUploader4.cab

DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7}

DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} - hxxps://hembanken.danskebank.se/html/activex/e-Safekey/OEB/e-Safekey.cab

Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - c:\program\avg\avg9\avgpp.dll

Notify: avgrsstarter - avgrsstx.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

mASetup: {F1F29DB4-68B5-ADC6-485C-2A1808DEFD0E} - c:\windows\system32\winlpr.exe

Hosts: 127.0.0.1 www.spywareinfo.com

============= SERVICES / DRIVERS ===============

R0 ckuksfpw;ckuksfpw;c:\windows\system32\drivers\ckuksfpw.sys [2006-4-19 23424]

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-6-22 216400]

R1 AvgMfx86;AVG Free On-access Scanner Minifilter Driver x86;c:\windows\system32\drivers\avgmfx86.sys [2009-6-22 29584]

R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-6-22 243024]

R1 NGS;Norman General Security Driver;c:\norman\nvc\bin\ngs.sys [2009-2-28 22712]

R2 avg9wd;AVG Free WatchDog;c:\program\avg\avg9\avgwdsvc.exe [2010-7-17 308136]

R2 BredbandscenterDownloader;BredbandscenterDownloader;c:\program\glocalnet\bredbandscenter\BredbandscenterUpdater.exe [2008-1-17 1055912]

R2 DbgMsg;Debug Message;c:\windows\system32\drivers\DbgMsg.sys [2010-2-25 18240]

R2 GlocalnetBredbandClientService;Glocalnet Bredband;c:\program\glocalnet bredband\bredbandsklienten\GlocalnetBredbandService.exe [2007-7-25 1034240]

R2 VoddlerNet;VoddlerNet;c:\program\voddler\service\voddler.exe [2010-4-9 867536]

S2 gupdate;Tjänsten Google Update (gupdate);c:\program\google\update\GoogleUpdate.exe [2010-3-14 135664]

S2 gztlxuyx;IP Traffic Filter Support;c:\windows\system32\svchost.exe -k netsvcs [2006-4-19 14336]

S3 MosIrUsb;MosIrUsb.sys;c:\windows\system32\drivers\MosIrUsb.sys [2010-4-6 20736]

S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);c:\windows\system32\drivers\sea1bus.sys [2007-8-4 61536]

S3 sea1mdfl;Sony Ericsson Device 0A1 USB WMC Modem Filter;c:\windows\system32\drivers\sea1mdfl.sys [2007-8-4 9360]

S3 sea1mdm;Sony Ericsson Device 0A1 USB WMC Modem Driver;c:\windows\system32\drivers\sea1mdm.sys [2007-8-4 97088]

S3 sea1mgmt;Sony Ericsson Device 0A1 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\sea1mgmt.sys [2007-8-4 88624]

S3 sea1nd5;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (NDIS);c:\windows\system32\drivers\sea1nd5.sys [2007-8-4 18704]

S3 sea1obex;Sony Ericsson Device 0A1 USB WMC OBEX Interface;c:\windows\system32\drivers\sea1obex.sys [2007-8-4 86432]

S3 sea1unic;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (WDM);c:\windows\system32\drivers\sea1unic.sys [2007-8-4 90800]

S3 V0250Dev;Live! Cam Notebook Pro;c:\windows\system32\drivers\V0250Dev.sys [2007-1-25 163840]

=============== Created Last 30 ================

2010-07-20 13:02:46 54016 ----a-w- c:\windows\system32\drivers\cqaanwgy.sys

2010-07-20 12:17:01 244 ---ha-w- C:\sqmnoopt06.sqm

2010-07-20 12:17:01 232 ---ha-w- C:\sqmdata06.sqm

2010-07-20 11:38:33 0 d-----w- c:\docume~1\famzin~1.ter\applic~1\Malwarebytes

2010-07-20 11:38:17 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-07-20 11:38:16 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-07-20 11:38:16 0 d-----w- c:\program\Malwarebytes' Anti-Malware

2010-07-20 11:38:16 0 d-----w- c:\docume~1\alluse~1\applic~1\Malwarebytes

2010-07-20 11:01:36 766976 ----a-w- c:\windows\system32\drivers\iujth.sys

2010-07-20 10:59:59 150 ----a-w- C:\zrpt.xml

2010-07-20 10:58:47 0 d-----w- c:\docume~1\famzin~1.ter\applic~1\ECBA931296363342F00047F686F43CA9

2010-07-17 07:07:50 12536 ----a-w- c:\windows\system32\avgrsstx.dll

2010-07-05 20:11:27 0 d-----w- c:\windows\system32\wbem\Repository

==================== Find3M ====================

2010-07-17 07:07:52 243024 ----a-w- c:\windows\system32\drivers\avgtdix.sys

2010-07-17 07:07:10 216400 ----a-w- c:\windows\system32\drivers\avgldx86.sys

2010-06-25 18:03:26 465410 ----a-w- c:\windows\system32\perfh01D.dat

2010-06-25 18:03:26 101610 ----a-w- c:\windows\system32\perfc01D.dat

2010-06-19 12:15:21 7516 ----a-w- c:\docume~1\famzin~1.ter\applic~1\wklnhst.dat

2010-05-06 10:36:51 916480 ----a-w- c:\windows\system32\wininet.dll

2010-05-02 08:27:51 1850880 ----a-w- c:\windows\system32\win32k.sys

2008-09-17 05:30:42 32768 --sha-w- c:\windows\system32\config\systemprofile\lokala inställningar\tidigare\history.ie5\mshist012008091720080918\index.dat

============= FINISH: 10:02:13,78 ===============

Tack på förhand. Finns virus kvar ändå?Attach.txt

31 juli, 2010

Den loggen ser inte bra ut.

Nedanstående ställer in standardinställningar, dvs ingen proxyserver, utifall att du skulle få problem att ansluta till internet efteråt se till att du skriver ner de nuvarande inställningarna så att du kan ändra tillbaks. De nuvarande ser dock ut att höra ihop med infektionen och ger problem med surfning.

Kontrollpanelen - Internetalternativ - Anslutningar - LAN-inställningar

Klicka på Avancerat

Ta bort innehållet där så att alla rutor under rubriken Servrar är tomma.

Klicka OK

Ta bort eventuellt innehåll i rutan Adress

Avbocka "Använd en proxyserver...."

Spara ComboFix på Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

När den är färdig så ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

31 juli, 2010

Jag ser i DDS-loggen att du har flera gamla java-versioner med många säkerhetshål

i datorn,avinstallera dem i Kontrollpanelen Lägg till eller ta bort program.

Hämta sedan uppdaterad Java http://www.java.com/sv/ när datorn är ren.

31 juli, 2010

Ok, tack Brynäsarn. Håller nu på med Combofix och det tar enormt lång tid. Tror inte den har hängt sig. Det rör sig om timmar. Kan det vara så? Emellanåt flashar dioden som indikerar att hårddisken är igång.

31 juli, 2010

Det är inte normalt att ComboFix tar flera timmar.

Öppna Aktivitetshanteraren, fliken Processer. Leta efter processer som heter findstr, find, sed eller swreg, markera sådana processer och tryck på Avsluta process. Hjälper det för att få ComboFix att komma vidare?

Hur långt har ComboFix kommit, är det återställningskonsolen den håller på med eller har den kommit många steg framåt?

31 juli, 2010

Den har klarat av återställningskonsolen men sen har inte mycket hänt. Står bara att den söker efter infekterade filer.... Kunde inte hitta något av dina förslag av avaktivera i aktivitetshanteraren.

31 juli, 2010

Avbryt ComboFix och starta sedan om datorn. Om du har RKill kvar kan du köra det några gånger innan du försöker med ComboFix igen. Om det inte hjälper så starta datorn i felsäkert läge och pröva med ComboFix där.

Om inte heller det fungerar så tar vi något annat program.

31 juli, 2010

Ok, till sist gick det med felsäkert läge. Här är loggen:ComboFix 10-07-30.04 - Fam. 2010-07-31 17:25:24.1.1 - x86 NETWORK

Microsoft Windows XP Home Edition 5.1.2600.2.1252.46.1053.18.2047.1762 [GMT 2:00]

Körs från: c:\documents and settings\Fam.\Skrivbord\combofix\ComboFix.exe

AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

.

ADS - WINDOWS: deleted 4930 bytes in 1 streams.

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\drivers\ckuksfpw.sys

c:\windows\system32\drivers\rspkwwbh.sys

D:\Autorun.inf

J:\Autorun.inf

.

((((((((((((((((((((((((((((((((((((((( Drivrutiner/Tjänster )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_ckuksfpw

-------\Service_ckuksfpw

(((((((((((((((((((((((( Filer Skapade från 2010-06-28 till 2010-07-31 ))))))))))))))))))))))))))))))

.

2010-07-31 08:36 . 2010-07-31 08:37 -------- d-----w- c:\documents and settings\All Users\Application Data\WinZip

2010-07-20 13:02 . 2010-07-20 13:02 54016 ----a-w- c:\windows\system32\drivers\cqaanwgy.sys

2010-07-20 11:38 . 2010-07-20 11:38 -------- d-----w- c:\documents and settings\Fam.\Application Data\Malwarebytes

2010-07-20 11:38 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-07-20 11:38 . 2010-07-20 11:38 -------- d-----w- c:\program\Malwarebytes' Anti-Malware

2010-07-20 11:38 . 2010-07-20 11:38 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-07-20 11:38 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-07-20 11:05 . 2010-07-20 11:05 -------- d-sh--w- c:\documents and settings\LocalService\PrivacIE

2010-07-20 11:03 . 2010-07-20 11:03 -------- d-----r- c:\documents and settings\LocalService\Favoriter

2010-07-20 11:03 . 2010-07-20 11:03 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache

2010-07-20 11:01 . 2010-07-31 15:46 766976 ----a-w- c:\windows\system32\drivers\iujth.sys

2010-07-20 10:58 . 2010-07-20 12:59 -------- d-----w- c:\documents and settings\Fam.\Application Data\ECBA931296363342F00047F686F43CA9

2010-07-17 07:07 . 2010-07-17 07:07 12536 ----a-w- c:\windows\system32\avgrsstx.dll

2010-07-05 20:11 . 2010-07-05 20:11 -------- d-----w- c:\windows\system32\wbem\Repository

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-07-31 14:59 . 2006-09-15 08:08 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2010-07-31 09:41 . 2006-09-15 08:08 -------- d-----w- c:\program\Spybot - Search & Destroy

2010-07-31 06:40 . 2009-06-22 08:35 -------- d-----w- c:\documents and settings\All Users\Application Data\AVG Security Toolbar

2010-07-30 18:19 . 2007-12-03 17:32 10134 ----a-r- c:\documents and settings\Fam.\Application Data\Microsoft\Installer\{FD6C6B7F-5696-48C5-A601-2EE9E50C3D46}\ARPPRODUCTICON.exe

2010-07-30 17:57 . 2006-05-14 22:15 -------- d-----w- c:\documents and settings\Fam.\Application Data\uTorrent

2010-07-21 11:11 . 2009-11-29 15:02 -------- d-----w- c:\documents and settings\Fam.\Application Data\Spotify

2010-07-21 06:59 . 2010-07-21 06:59 4368224 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgcorex.dll

2010-07-21 06:59 . 2010-07-21 06:59 1615200 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgssie.dll

2010-07-21 06:59 . 2010-07-21 06:59 1107296 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgxpl.dll

2010-07-21 04:19 . 2006-09-28 19:23 1324 ----a-w- c:\windows\system32\d3d9caps.dat

2010-07-20 15:51 . 2009-11-03 09:07 -------- d-----w- c:\documents and settings\All Users\Application Data\avg9

2010-07-17 07:08 . 2010-07-17 07:08 242896 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgtdix.sys

2010-07-17 07:08 . 2010-07-17 07:08 216200 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgldx86.sys

2010-07-17 07:07 . 2009-06-22 08:36 243024 ----a-w- c:\windows\system32\drivers\avgtdix.sys

2010-07-17 07:07 . 2009-06-22 08:36 216400 ----a-w- c:\windows\system32\drivers\avgldx86.sys

2010-07-17 07:06 . 2010-07-17 07:06 813336 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avginet.dll

2010-07-17 07:06 . 2010-07-17 07:06 624920 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgiproxy.exe

2010-07-17 07:06 . 2010-07-17 07:06 1690464 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgupd.dll

2010-07-17 07:06 . 2010-07-17 07:06 1038688 ----a-w- c:\documents and settings\All Users\Application Data\avg9\update\backup\avgupd.exe

2010-06-27 17:58 . 2010-06-27 17:58 -------- d-----w- c:\documents and settings\Fam.\Application Data\Sonic Solutions

2010-06-25 18:03 . 2006-04-19 17:02 465410 ----a-w- c:\windows\system32\perfh01D.dat

2010-06-25 18:03 . 2006-04-19 17:02 101610 ----a-w- c:\windows\system32\perfc01D.dat

2010-06-19 12:15 . 2006-05-15 11:34 7516 ----a-w- c:\documents and settings\Fam.\Application Data\wklnhst.dat

2010-06-14 14:30 . 2006-04-19 15:25 743936 ----a-w- c:\windows\pchealth\helpctr\binaries\helpsvc.exe

2010-06-11 20:03 . 2010-06-11 20:03 -------- d-----w- c:\program\FLV Player

2010-06-06 14:50 . 2007-11-17 21:53 -------- d-----w- c:\program\Pettson3

2010-06-02 14:07 . 2009-06-22 08:36 29584 ----a-w- c:\windows\system32\drivers\avgmfx86.sys

2010-05-25 11:12 . 2010-05-25 11:12 503808 ----a-w- c:\documents and settings\Fam.\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-7bf9c098-n\msvcp71.dll

2010-05-25 11:12 . 2010-05-25 11:12 499712 ----a-w- c:\documents and settings\Fam.\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-7bf9c098-n\jmc.dll

2010-05-25 11:12 . 2010-05-25 11:12 348160 ----a-w- c:\documents and settings\Fam.\Application Data\Sun\Java\Deployment\cache\6.0\46\f84c6ae-7bf9c098-n\msvcr71.dll

2010-05-07 11:02 . 2010-05-07 11:02 655360 ----a-w- c:\documents and settings\Fam.\Application Data\Spotify\Gracenote\gnsdk_sdkmanager.dll

2010-05-07 11:02 . 2010-05-07 11:02 282624 ----a-w- c:\documents and settings\Fam.\Application Data\Spotify\Gracenote\gnsdk_musicid_file.dll

2010-05-07 11:02 . 2010-05-07 11:02 208896 ----a-w- c:\documents and settings\Fam.\Application Data\Spotify\Gracenote\gnsdk_dsp.dll

2010-05-06 10:36 . 2006-04-19 17:02 916480 ----a-w- c:\windows\system32\wininet.dll

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{A3BC75A2-1F87-4686-AA43-5347D756017C}"= "c:\program\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{a3bc75a2-1f87-4686-aa43-5347d756017c}]

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]

2009-11-25 12:01 1230080 ----a-w- c:\program\AVG\AVG9\Toolbar\IEToolbar.dll

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program\AVG\AVG9\Toolbar\IEToolbar.dll" [2009-11-25 1230080]

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Creative WebCam Tray"="c:\program\Creative\Shared Files\CamTray.exe" [2005-10-27 299008]

"SpybotSD TeaTimer"="c:\program\Spybot - Search & Destroy\TeaTimer.exe" [2008-09-16 1833296]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Genväg till egenskapssida för High Definition Audio"="HDAShCut.exe" [2005-01-07 61952]

"SoundMan"="SOUNDMAN.EXE" [2005-03-10 90112]

"AlcWzrd"="ALCWZRD.EXE" [2005-03-10 2803712]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-19 7405568]

"nwiz"="nwiz.exe" [2008-05-19 1519616]

"SynTPLpr"="c:\program\Synaptics\SynTP\SynTPLpr.exe" [2005-03-18 98393]

"SynTPEnh"="c:\program\Synaptics\SynTP\SynTPEnh.exe" [2005-03-18 688217]

"RemoteControl"="c:\program\CyberLink\PowerDVD\PDVDServ.exe" [2005-04-15 45056]

"SMSERIAL"="sm56hlpr.exe" [2005-08-01 544768]

"InstantOn"="c:\program files\CyberLink\PowerCinema Linux\ion_install.exe" [2005-05-11 93640]

"DAEMON Tools"="c:\program\DAEMON Tools\daemon.exe" [2005-12-10 133016]

"Adobe Photo Downloader"="c:\program\Adobe\Photoshop Elements 4.0\apdproxy.exe" [2005-09-15 57344]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"AVFX Engine"="c:\program\Creative\Creative Live! Cam\VideoFX\StartFX.exe" [2006-10-19 20480]

"WD Button Manager"="WDBtnMgr.exe" [2007-12-03 364544]

"Bredbandscenter"="c:\program\Glocalnet\Bredbandscenter\Launcher.exe" [2008-01-29 808104]

"iTunesHelper"="c:\program\iTunes\iTunesHelper.exe" [2008-11-20 290088]

"AVG9_TRAY"="c:\program\AVG\AVG9\avgtray.exe" [2010-07-17 2065760]

"QuickTime Task"="c:\program\QuickTime\qttask.exe" [2009-11-10 417792]

"VoddlerNet Manager"="c:\program\Voddler\service\VNetManager.exe" [2010-04-09 579784]

"Adobe Reader Speed Launcher"="c:\program\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-06-20 35760]

"Adobe ARM"="c:\program\Delade filer\Adobe\ARM\1.0\AdobeARM.exe" [2010-06-09 976832]

"SunJavaUpdateSched"="c:\program\Java\jre6\bin\jusched.exe" [2009-10-11 149280]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

c:\documents and settings\Fam.\Start-meny\Program\Autostart\

Last.fm Helper.lnk - c:\program\Last.fm\LastFMHelper.exe [2008-1-5 106496]

Nikon Monitor.lnk - c:\program\Delade filer\Nikon\Monitor\NkMonitor.exe [2007-6-14 479232]

Picture Motion Browser verktyg f”r mediekontroll.lnk - c:\program\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2008-11-5 385024]

c:\documents and settings\All Users\Start-meny\Program\Autostart\

BankID s„kerhetsprogram.lnk - c:\program\Personal\bin\Personal.exe [2009-9-4 939920]

WD Backup Monitor.lnk - c:\program\My Book\WD Backup\uBBMonitor.exe [2007-12-3 98304]

WinZip Quick Pick.lnk - c:\program\WinZip\WZQKPICK.EXE [2010-4-5 494920]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2010-07-17 07:07 12536 ----a-w- c:\windows\system32\avgrsstx.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Program\\uTorrent\\utorrent.exe"=

"c:\\Program\\VideoLAN\\VLC\\vlc.exe"=

"c:\\Program\\TeamViewer\\Version4\\TeamViewer.exe"=

"c:\\Program\\iTunes\\iTunes.exe"=

"c:\\Program\\AVG\\AVG9\\avgupd.exe"=

"c:\\Program\\AVG\\AVG9\\avgnsx.exe"=

"c:\\Documents and Settings\\Fam.\\Skrivbord\\Spotify Installer.exe"=

"c:\\Program\\Voddler\\service\\voddler.exe"=

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-06-22 216400]

R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-06-22 243024]

R1 NGS;Norman General Security Driver;c:\norman\NVC\Bin\ngs.sys [2009-02-28 22712]

R2 avg9wd;AVG Free WatchDog;c:\program\AVG\AVG9\avgwdsvc.exe [2010-07-17 308136]

R2 BredbandscenterDownloader;BredbandscenterDownloader;c:\program\Glocalnet\Bredbandscenter\BredbandscenterUpdater.exe [2008-01-17 1055912]

R2 DbgMsg;Debug Message;c:\windows\system32\drivers\DbgMsg.sys [2010-02-25 18240]

R2 GlocalnetBredbandClientService;Glocalnet Bredband;c:\program\Glocalnet Bredband\Bredbandsklienten\GlocalnetBredbandService.exe [2007-07-25 1034240]

R2 VoddlerNet;VoddlerNet;c:\program\Voddler\service\voddler.exe [2010-04-09 867536]

S2 gupdate;Tjänsten Google Update (gupdate);c:\program\Google\Update\GoogleUpdate.exe [2010-03-14 135664]

S2 gztlxuyx;IP Traffic Filter Support;c:\windows\System32\svchost.exe -k netsvcs [2006-04-19 14336]

S3 MosIrUsb;MosIrUsb.sys;c:\windows\system32\drivers\MosIrUsb.sys [2010-04-06 20736]

S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);c:\windows\system32\drivers\sea1bus.sys [2007-08-04 61536]

S3 sea1mdfl;Sony Ericsson Device 0A1 USB WMC Modem Filter;c:\windows\system32\drivers\sea1mdfl.sys [2007-08-04 9360]

S3 sea1mdm;Sony Ericsson Device 0A1 USB WMC Modem Driver;c:\windows\system32\drivers\sea1mdm.sys [2007-08-04 97088]

S3 sea1mgmt;Sony Ericsson Device 0A1 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\sea1mgmt.sys [2007-08-04 88624]

S3 sea1nd5;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (NDIS);c:\windows\system32\drivers\sea1nd5.sys [2007-08-04 18704]

S3 sea1obex;Sony Ericsson Device 0A1 USB WMC OBEX Interface;c:\windows\system32\drivers\sea1obex.sys [2007-08-04 86432]

S3 sea1unic;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (WDM);c:\windows\system32\drivers\sea1unic.sys [2007-08-04 90800]

S3 V0250Dev;Live! Cam Notebook Pro;c:\windows\system32\drivers\V0250Dev.sys [2007-01-25 163840]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2006-09-06 643072]

--- Övriga tjänster/drivrutiner i minnet ---

*Deregistered* - iujth

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

gztlxuyx

.

Innehållet i mappen 'Schemalagda aktiviteter':

2010-07-12 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2010-07-31 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program\Google\Update\GoogleUpdate.exe [2010-03-14 06:07]

2010-07-31 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program\Google\Update\GoogleUpdate.exe [2010-03-14 06:07]

.

------- Extra genomsökning -------

.

uStart Page = hxxp://www.google.se/

uInternet Settings,ProxyOverride = <local>

uInternet Settings,ProxyServer = http=127.0.0.1:5643

IE: &Yahoo! Search - file:///c:\program\Yahoo!\Common/ycsrch.htm

IE: E&xportera till Microsoft Excel - c:\program\MICROS~4\OFFICE11\EXCEL.EXE/3000

IE: Yahoo! &Dictionary - file:///c:\program\Yahoo!\Common/ycdict.htm

IE: Yahoo! &Maps - file:///c:\program\Yahoo!\Common/ycmap.htm

IE: Yahoo! &SMS - file:///c:\program\Yahoo!\Common/ycsms.htm

DPF: {193C772A-87BE-4B19-A7BB-445B226FE9A1} - hxxp://download.ewido.net/ewidoOnlineScan.cab

DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} - hxxps://hembanken.danskebank.se/html/activex/OEB/Menu.cab

.

- - - - FÖRÄLDRALÖSA POSTER SOM TAGITS BORT - - - -

URLSearchHooks-*CFBFAE00-17A6-11D0-99CB-00C04FD64497} - (no file)

URLSearchHooks-*EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

HKCU-Run-Polar Sync - (no file)

SafeBoot-AVG Anti-Spyware Driver

SafeBoot-AVG Anti-Spyware Guard

ActiveSetup-{F1F29DB4-68B5-ADC6-485C-2A1808DEFD0E} - c:\windows\system32\winlpr.exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net'>http://www.gmer.net

Rootkit scan 2010-07-31 17:44

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Polar Sync = ?:\program files\polar\polar sync\?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x8993EB4C]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xba10cfc3

\Driver\ACPI -> ACPI.sys @ 0xb9f7fcb8

\Driver\atapi -> atapi.sys @ 0xb9e757b4

\Driver\iaStor -> iaStor.sys @ 0xb9dabb58

IoDeviceObjectType -> DeleteProcedure -> ntkrnlpa.exe @ 0x80578cb6

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntkrnlpa.exe @ 0x80578cb6

NDIS: Intel® PRO/Wireless 2200BG Network Connection -> SendCompleteHandler -> NDIS.sys @ 0xb9c56ba0

PacketIndicateHandler -> NDIS.sys @ 0xb9c63b21

SendHandler -> NDIS.sys @ 0xb9c4187b

user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\iujth]

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

[HKEY_USERS\S-1-5-21-667845635-2202822803-230670660-1006\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:11,da,6a,1f,18,4e,79,a5,b3,e0,fa,c5,00,be,95,3a,95,1f,e6,2a,43,16,b0,

0b,b7,15,6e,ad,1d,0a,f6,46,98,3e,9e,e1,e6,45,98,21,40,77,c2,47,8e,ff,b9,bd,\

"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10h_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]

"D140211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

- - - - - - - > 'winlogon.exe'(928)

c:\windows\system32\CLBCATQ.DLL

- - - - - - - > 'explorer.exe'(2604)

c:\windows\system32\msi.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Andra processer som körs ------------------------

.

c:\program\AVG\AVG9\avgchsvx.exe

c:\program\AVG\AVG9\avgrsx.exe

c:\program\AVG\AVG9\avgcsrvx.exe

c:\program\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

c:\program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program\Bonjour\mDNSResponder.exe

c:\program\AVG\AVG9\avgnsx.exe

c:\program\Delade filer\EPSON\EBAPI\SAgent2.exe

c:\program\Java\jre6\bin\jqs.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\wbem\unsecapp.exe

c:\windows\SOUNDMAN.EXE

c:\windows\sm56hlpr.exe

c:\windows\system32\WDBtnMgr.exe

c:\program\iPod\bin\iPodService.exe

.

**************************************************************************

.

Sluttid: 2010-07-31 17:56:01 - datorn startades om.

ComboFix-quarantined-files.txt 2010-07-31 15:55

Före genomsökningen: 10 438 811 648 byte ledigt

Efter genomsökningen: 10 411 991 040 byte ledigt

- - End Of File - - 840A644570984CC8B8FF1A0A71AA31F0

Hur ser det ut?

31 juli, 2010

Bra! Där försvann några skadliga filer. Se om du nu kan köra ComboFix i normalt läge.

31 juli, 2010

Ja, när jag försöker köra Combofix i vanligt läge händer inget, som tidigare. Till min glädje kan jag i alla fall se att jag kan öppna hårddiskarna på vanligt vis. Jag har nog haft virus ganska länge. Vad gör jag nu?

31 juli, 2010

TeaTimer-funktionen i Spybot S&D är väldigt bra, men just nu så kan den störa de nödvändiga förändringarna i registret så du behöver stänga av den. Kom ihåg att sätta på den när datorn är ren men inte förrän dess. Om det då kommer upp frågor om ändringar ska tillåtas så välj att tillåta dem.

Högerklicka på TeaTimer-ikonen, ett Windows-fönster med hänglås, vid klockan och välj "Reset lists".

Starta Spybot S&D

Välj Advanced i Mode-menyn

Till vänster välj Tools - Resident

Ta bort bocken för TeaTimer

Avsluta programmet.

På sidan http://www.virustotal.com trycker du på Bläddra-knappen och klistrar in ett av följande filnamn i rutan, tryck på Öppna och sedan Skicka Fil. Vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in en länk till resultatet här. Upprepa med nästa filnamn.

c:\windows\system32\drivers\cqaanwgy.sys

c:\windows\system32\drivers\iujth.sys

c:\windows\system32\drivers\DbgMsg.sys

Spara MBRCheck.exe av a_d_13 på Skrivbordet.

Kör programmet.

Vänta tills programmet är klart eller till texten "Enter 'Y' and hit ENTER for more options, or 'N' to exit:" visas. I det senare fallet tryck på N följt av Enter.

När det är klart skapas en loggfil på Skrivbordet som heter MBRCheckxxxxxx.txt där xxxxxx är klockslaget för körningen. Öppna loggen i Anteckningar genom att dubbelklicka på loggen och klistra in innehållet i ditt svar.

31 juli, 2010

http://www.virustotal.com/sv/analisis/13894b7334aa819b0c628b2a8f71ebb61160ae28cea8e0ec8c7e82af178b12e9-1251849793

http://www.virustotal.com/sv/analisis/3da4f51682e7d42c5569f1fb1adc6295182962e36f748219e1d0c8f2389ba516-1280610629

0 bytes size received / Se ha recibido un archivo vacio

31 juli, 2010

MBRCheck, version 1.1.1

\\.\C: --> \\.\PhysicalDrive0

\\.\D: --> \\.\PhysicalDrive1

\\.\J: --> \\.\PhysicalDrive2

Size Device Name MBR Status

--------------------------------------------

55 GB \\.\PhysicalDrive0 Unknown MBR code

55 GB \\.\PhysicalDrive1 Windows XP MBR code detected

465 GB \\.\PhysicalDrive2 Error reading raw MBR!

Found non-standard or infected MBR.

Enter 'Y' and hit ENTER for more options, or 'N' to exit:

Done! Press ENTER to exit...

Ja, jag tror jag har gjort som jag skulle. Verkar som den ena windowsfilen var tom.

31 juli, 2010

Jag behöver kolla upp MBR för att se om den är infekterad.

Kör MBRCheck.

Vänta tills texten "Enter 'Y' and hit ENTER for more options, or 'N' to exit:" visas. Tryck Y följt av Enter.

Texten "Enter your choice:" visas. Tryck 1 följt av Enter.

Tryck 0 och Enter för att få en dump (kopia) av MBR på den första hårddisken.

Därefter kommer en fråga om i vilken mapp dumpfilen ska skapas och vad den ska heta. Du kan t ex skriva in C:\mbrziner.dmp följt av Enter.

När det är klart tryck på Enter. En loggfil skapas på Skrivbordet som heter MBRCheckxxxxxx.txt där xxxxxx är klockslaget för körningen. Klistra in dess innehåll i ditt svar.

Ladda upp dumpfilen på t ex http://www.sendspace.com/ och klistra in länken du får tillbaka i ditt svar.

1 augusti, 2010

http://www.sendspace.com/file/kr2xoz

<a href='http://www.sendspace.com/file/kr2xoz'>http://www.sendspace.com/fihttp://www.sendspace.com/file/kr2xozle/kr2xoz</a>

Jag skickar flera länkar. Svårt att veta vilken du ville ha.

1 augusti, 2010

Skickar den andra grejen också. Ojoj. Svettigt det här.MBRCheck_08.01.10_09.08.35.txt

1 augusti, 2010

Kör ComboFix igen i felsäkert läge så får vi se om den på egen hand kan hitta lite till. Klistra in den nya loggen.

1 augusti, 2010

Ok. Har nu kört Combofix i felsäkert läge. Även denna gång påträffades rootkitaktivitet. Den tog bort den fil som tycktes vara tom tidigare (en av de 3 du ville kolla upp). Tidigare idag larmade AVG för något viruselände. Minns inte vad det var för text exakt. Hur ser det ut nu då?

ComboFix 10-07-31.04 - Fam. 2010-08-01 15:10:53.2.1 - x86

Microsoft Windows XP Home Edition 5.1.2600.2.1252.46.1053.18.2047.1578 [GMT 2:00]

Körs från: c:\documents and settings\Fam.\Skrivbord\combofix\ComboFix.exe

AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

.

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\system32\driVERs\iujth.sys

.

((((((((((((((((((((((((((((((((((((((( Drivrutiner/Tjänster )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_iujth

-------\Service_iujth

(((((((((((((((((((((((( Filer Skapade från 2010-07-01 till 2010-08-01 ))))))))))))))))))))))))))))))