En massa virus på en gång

[Ziner]

Jag har inte kunnat ta tag i det där med skivan. Imorgon hoppas jag.

[Cecilia]

Har du inte kunnat bränna en skiva heller?

[Ziner]

Ok, nu har jag bränt skivan. (Har varit borta några dagar.)

Vad händer nu. Antar att jag ska pröva boota med den.

[Cecilia]

Japp, det stämmer. Det kommer att visas något som liknar Kommandotolken och där ska du skriva:

 

fixmbr

 

Det kan komma upp en fråga om du verkligen vill skriva en ny MBR till hårddisken och i så fall ska du förstås svara ja.

 

Skriv:

exit

för att avsluta och starta om datorn.

 

Starta upp datorn från hårddisken och kör TDSSKiller. Klistra in loggen från det programmet.

[Ziner]

När jag skulle boota med den brända cdn kom inte den kommandotolken upp. Istället hade jag tre val. Ett var trycka R och köra Recovery.... När jag gjorde det stod att hårddisken inte var ikopplad. Kom inte vidare.

Har hittat XP-skivan dock. Ska jag göra på samma sätt med den?

[Cecilia]

Ja, pröva med XP-skivan då. Där ska man välja R för reparation vid första frågan.

[Cecilia]

Hej Ziner!

Har du gett upp?

[Ziner]

Hallå Cecilia igen!

Du, jag gav inte upp, men jag fick en massa annat att göra och jag accepterade att datorn var lite skum. Jag pallade inte mer datagrejande då. Nu har det blivit lite för mycket av det goda igen. Jag tycker den söker mer aggressivt av sig själv på nätet. Det har kommit upp en "mvb9,gvb internet gateway" bland mina nätverksanslutningar som jag inte tycker jag känner igen sen tidigare. Datorn är mer trögstartad och ibland går den inte igång. Jag får ibland meddelande om nånting med "generic host..bla bla"

Jag kanske måste avlusa datorn lite innan vi kan fortsätta där vi var tidigare. Om du orkar vill säga. Har kört dds.

 

 

 

DDS (Ver_10-10-21.02) - NTFSx86

Run by Fam.Zingmark.Terning at 21:38:29,62 on 2010-10-28

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Home Edition 5.1.2600.2.1252.46.1053.18.2047.1384 [GMT 2:00]

 

AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

 

============== Running Processes ===============

 

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup

C:\Program\AVG\AVG9\avgchsvx.exe

C:\Program\AVG\AVG9\avgrsx.exe

svchost.exe

svchost.exe

C:\Program\AVG\AVG9\avgcsrvx.exe

C:\WINDOWS\system32\spoolsv.exe

svchost.exe

C:\Program\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\AVG\AVG9\avgwdsvc.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\Program\Glocalnet\Bredbandscenter\BredbandscenterUpdater.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Delade filer\EPSON\EBAPI\SAgent2.exe

C:\Program\Glocalnet Bredband\Bredbandsklienten\GlocalnetBredbandService.exe

C:\Program\AVG\AVG9\avgnsx.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\SOUNDMAN.EXE

C:\WINDOWS\sm56hlpr.exe

C:\Program\iTunes\iTunesHelper.exe

C:\Program\Voddler\service\VNetManager.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\My Book\WD Backup\uBBMonitor.exe

C:\Program\Last.fm\LastFMHelper.exe

C:\Program\Delade filer\Nikon\Monitor\NkMonitor.exe

C:\Program\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe

C:\Program\iPod\bin\iPodService.exe

C:\WINDOWS\System32\svchost.exe -k HTTPFilter

C:\WINDOWS\system32\wuauclt.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Fam.\Skrivbord\dds.scr

 

============== Pseudo HJT Report ===============

 

uStart Page = hxxp://www.google.se/

uInternet Settings,ProxyOverride = <local>

mURLSearchHooks: AVG Security Toolbar BHO: {a3bc75a2-1f87-4686-aa43-5347d756017c} - c:\program\avg\avg9\toolbar\IEToolbar.dll

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program\delade filer\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: AVG Safe Search: {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - c:\program\avg\avg9\avgssie.dll

BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - c:\program\spybot~1\SDHelper.dll

BHO: Yahoo! IE Services Button: {5bab4b5b-68bc-4b02-94d6-2fc0de4a7897} - c:\program\yahoo!\common\yiesrvc.dll

BHO: Windows Live Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program\delade filer\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: AVG Security Toolbar BHO: {a3bc75a2-1f87-4686-aa43-5347d756017c} - c:\program\avg\avg9\toolbar\IEToolbar.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: AVG Security Toolbar: {ccc7a320-b3ca-4199-b1a6-9f516dd69829} - c:\program\avg\avg9\toolbar\IEToolbar.dll

TB: {C55BBCD6-41AD-48AD-9953-3609C48EACC7} - No File

uRun: [Polar Sync]

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

mRun: [Genväg till egenskapssida för High Definition Audio] HDAShCut.exe

mRun: [soundMan] SOUNDMAN.EXE

mRun: [AlcWzrd] ALCWZRD.EXE

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [nwiz] nwiz.exe /install

mRun: [sMSERIAL] sm56hlpr.exe

mRun: [Adobe Photo Downloader] "c:\program\adobe\photoshop elements 4.0\apdproxy.exe"

mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe

mRun: [WD Button Manager] WDBtnMgr.exe

mRun: [bredbandscenter] "c:\program\glocalnet\bredbandscenter\Launcher.exe" /winstart

mRun: [iTunesHelper] "c:\program\itunes\iTunesHelper.exe"

mRun: [QuickTime Task] "c:\program\quicktime\qttask .exe" -atboottime

mRun: [Adobe Reader Speed Launcher] "c:\program\adobe\reader 9.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\program\delade filer\adobe\arm\1.0\AdobeARM.exe"

mRun: [VoddlerNet Manager] c:\program\voddler\service\VNetManager.exe

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\docume~1\famzin~1.ter\start-~1\program\autost~1\lastfm~1.lnk - c:\program\last.fm\LastFMHelper.exe

StartupFolder: c:\docume~1\famzin~1.ter\start-~1\program\autost~1\nikonm~1.lnk - c:\program\delade filer\nikon\monitor\NkMonitor.exe

StartupFolder: c:\docume~1\famzin~1.ter\start-~1\program\autost~1\pictur~1.lnk - c:\program\sony\sony picture utility\pmbcore\SPUVolumeWatcher.exe

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\bankid~1.lnk - c:\program\personal\bin\Personal.exe

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\wdback~1.lnk - c:\program\my book\wd backup\uBBMonitor.exe

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program\messenger\msmsgs.exe

IE: {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - c:\program\yahoo!\common\yiesrvc.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\program\micros~4\office11\REFIEBAR.DLL

IE: {B205A35E-1FC4-4CE3-818B-899DBBB3388C} - {552781AF-37E4-4FEE-920A-CED9E648EADD} - c:\program\delade filer\microsoft shared\encarta search bar\ENCSBAR.DLL

IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - c:\program\spybot~1\SDHelper.dll

DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://download.microsoft.com/download/C/0/C/C0CBBA88-A6F2-48D9-9B0E-1719D1177202/LegitCheckControl.cab

DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} - c:\program\yahoo!\common\yinsthelper.dll

DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} - hxxps://hembanken.danskebank.se/html/activex/OEB/Menu.cab

DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} - hxxp://office.microsoft.com/officeupdate/content/opuc3.cab

DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} - hxxp://www.extrafilm.se/ImageUploader5.cab

DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1147373208703

DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {A73BAEFA-EE65-494D-BEDB-DD3E5A34FA98} - hxxp://www.extrafilm.se/ImageUploader4.cab

DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab

DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} - hxxps://hembanken.danskebank.se/html/activex/e-Safekey/OEB/e-Safekey.cab

Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - c:\program\avg\avg9\toolbar\IEToolbar.dll

Handler: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - c:\program\avg\avg9\avgpp.dll

Notify: avgrsstarter - avgrsstx.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

 

============= SERVICES / DRIVERS ===============

 

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-6-22 216400]

R1 AvgMfx86;AVG Free On-access Scanner Minifilter Driver x86;c:\windows\system32\drivers\avgmfx86.sys [2009-6-22 29584]

R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-6-22 243024]

R2 avg9wd;AVG Free WatchDog;c:\program\avg\avg9\avgwdsvc.exe [2010-7-17 308136]

R2 BredbandscenterDownloader;BredbandscenterDownloader;c:\program\glocalnet\bredbandscenter\BredbandscenterUpdater.exe [2008-1-17 1055912]

R2 GlocalnetBredbandClientService;Glocalnet Bredband;c:\program\glocalnet bredband\bredbandsklienten\GlocalnetBredbandService.exe [2007-7-25 1034240]

R2 VoddlerNet;VoddlerNet;c:\program\voddler\service\voddler.exe [2010-9-29 907984]

S0 orqxb;orqxb;c:\windows\system32\drivers\asxdaybi.sys [2010-10-28 44800]

S2 gupdate;Tjänsten Google Update (gupdate);c:\program\google\update\GoogleUpdate.exe [2010-3-14 135664]

S3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\program\avg\avg9\toolbar\ToolbarBroker.exe [2010-10-28 517448]

S3 MosIrUsb;MosIrUsb.sys;c:\windows\system32\drivers\MosIrUsb.sys [2010-4-6 20736]

S3 rkhdrv40;Rootkit Unhooker Driver; [x]

S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);c:\windows\system32\drivers\sea1bus.sys [2007-8-4 61536]

S3 sea1mdfl;Sony Ericsson Device 0A1 USB WMC Modem Filter;c:\windows\system32\drivers\sea1mdfl.sys [2007-8-4 9360]

S3 sea1mdm;Sony Ericsson Device 0A1 USB WMC Modem Driver;c:\windows\system32\drivers\sea1mdm.sys [2007-8-4 97088]

S3 sea1mgmt;Sony Ericsson Device 0A1 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\sea1mgmt.sys [2007-8-4 88624]

S3 sea1nd5;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (NDIS);c:\windows\system32\drivers\sea1nd5.sys [2007-8-4 18704]

S3 sea1obex;Sony Ericsson Device 0A1 USB WMC OBEX Interface;c:\windows\system32\drivers\sea1obex.sys [2007-8-4 86432]

S3 sea1unic;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (WDM);c:\windows\system32\drivers\sea1unic.sys [2007-8-4 90800]

S3 V0250Dev;Live! Cam Notebook Pro;c:\windows\system32\drivers\V0250Dev.sys [2007-1-25 163840]

 

=============== Created Last 30 ================

 

2010-10-28 11:12:48 44800 ----a-w- c:\windows\system32\drivers\asxdaybi.sys

2010-10-28 11:12:48 172064 ----a-w- c:\windows\system32\drivers\str.sys

2010-10-26 18:07:31 738661 ----a-w- c:\documents and settings\fam.\VnetAuto.exe

2010-10-08 20:21:23 -------- d-----w- c:\docume~1\alluse~1\applic~1\Voddler

2010-10-08 19:38:43 -------- d-----w- c:\documents and settings\fam.\voddler

2010-10-02 15:07:19 -------- d-----w- c:\program\Combined Community Codec Pack

2010-10-01 18:51:33 -------- d-----w- c:\windows\system32\wbem\repository\FS

2010-10-01 18:51:33 -------- d-----w- c:\windows\system32\wbem\Repository

 

==================== Find3M ====================

 

2010-09-02 19:16:47 61485 ----a-w- c:\docume~1\famzin~1.ter\applic~1\Fam.3SQLite3.dll

2010-08-21 14:22:52 72706 ----a-w- c:\docume~1\alluse~1\applic~1\L5UiEKFY.exe_

 

============= FINISH: 21:40:45,14 ===============

Attach.txt

[Cecilia]

Hej!

Det var länge sedan, jag kommer inte ihåg längre vad du hade för problem. Du ser ut att ha fått in lite skadliga filer idag. En infekterad datorn som dessutom har program med kända säkerhetshål ska ju inte användas, man vet ju inte vad infektionen gör, spionerar på att du visar på skärmen och loggar allt du skriver in på tangentbordet, skickar spam osv.

 

Uppdatera MBAM och gör en snabbskanning med det programmet. Klistra in loggen om något hittas.

 

Ta bort den ComboFix du har. Spara ComboFix på Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

[Ziner]

Ja, jag hade en massa virusstrul. Framför allt var det "rootkit aktivitet" som vi aldrig blev av med. Du guidade mig tålmodigt genom en djungel av en massa olika program och åtgärder. Jag kunde aldrig heller köra Combofix i ordinärt läge utan var tvungen att använda felsäkert.

MBAM hittade lite. Bifogar log. Första loggen är en månad gamla. Nr 2 och 3 från igår och idag. Ska köra Combofix igen.

Tack för att du finns!

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Databasversion: 4728

 

Windows 5.1.2600 Service Pack 2

Internet Explorer 8.0.6001.18702

 

2010-10-01 18:53:52

mbam-log-2010-10-01 (18-53-52).txt

 

Skanningstyp: Snabbskanning

Antal skannade objekt: 141153

Förfluten tid: 11 minut(er), 10 sekund(er)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 1

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hklm (Backdoor.Bot) -> Quarantined and deleted successfully.

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Databasversion: 4972

 

Windows 5.1.2600 Service Pack 2

Internet Explorer 8.0.6001.18702

 

2010-10-28 12:47:09

mbam-log-2010-10-28 (12-47-09).txt

 

Skanningstyp: Snabbskanning

Antal skannade objekt: 142095

Förfluten tid: 10 minut(er), 8 sekund(er)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 1

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 1

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\hklm (Backdoor.SpyNet) -> Quarantined and deleted successfully.

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\zrpt.xml (Malware.Trace) -> Quarantined and deleted successfully.

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Databasversion: 4972

 

Windows 5.1.2600 Service Pack 2

Internet Explorer 8.0.6001.18702

 

2010-10-29 04:05:24

mbam-log-2010-10-29 (04-05-24).txt

 

Skanningstyp: Fullständig skanning (C:\|D:\|J:\|)

Antal skannade objekt: 266641

Förfluten tid: 1 timme(ar), 41 minut(er), 4 sekund(er)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 1

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\WINDOWS\system32\drivers\str.sys (Rootkit.Agent) -> Quarantined and deleted successfully.

[Ziner]

För första gången gick Combofix att köra i vanligt läge. Innan körningen såg jag att AVG hade hittat en hel del trojaner och annat elände senaste månaden. Jag tog bort dessa. Kanske satt de redan i karantän och var omhändertagna, vet ej.

 

ComboFix 10-10-28.03 - Fam.2010-10-29 9:25.15.1 - x86

Microsoft Windows XP Home Edition 5.1.2600.2.1252.46.1053.18.2047.1577 [GMT 2:00]

Körs från: c:\documents and settings\Fam.\Skrivbord\ComboFix.exe

AV: AVG Anti-Virus Free *On-access scanning disabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}

.

 

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\All Users\Application Data\L5UiEKFY.exe_

c:\windows\system32\drivers\asxdaybi.sys

 

c:\windows\system32\drivers\asxdaybi.sys . . . är infekterad!! . . . Failed to find a valid replacement.

.

((((((((((((((((((((((((((((((((((((((( Drivrutiner/Tjänster )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_USNJSVC

-------\Service_orqxb

-------\Service_usnjsvc

 

 

(((((((((((((((((((((((( Filer Skapade från 2010-09-28 till 2010-10-29 ))))))))))))))))))))))))))))))

.

 

2010-10-28 11:12 . 2010-10-28 11:12 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache

2010-10-26 18:07 . 2010-10-26 18:07 738661 ----a-w- c:\documents and settings\Fam.\VnetAuto.exe

2010-10-08 20:21 . 2010-10-08 20:21 -------- d-----w- c:\documents and settings\All Users\Application Data\Voddler

2010-10-08 19:38 . 2010-10-08 19:38 -------- d-----w- c:\documents and settings\Fam.\voddler

2010-10-02 15:18 . 2010-10-02 15:19 -------- d-----w- c:\documents and settings\Fam.\Application Data\vlc

2010-10-02 15:07 . 2010-10-09 20:17 -------- d-----w- c:\program\Combined Community Codec Pack

2010-10-01 18:51 . 2010-10-01 18:51 -------- d-----w- c:\windows\system32\wbem\Repository

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-02 19:16 . 2010-09-02 19:16 61485 ----a-w- c:\documents and settings\Fam.\Application Data\Fam.3SQLite3.dll

2010-09-01 17:53 . 2010-09-01 17:53 61390 ----a-w- c:\documents and settings\NetworkService\Application Data\SYSTEM3SQLite3.dll

2010-08-06 13:46 . 2010-08-06 13:46 388096 ----a-r- c:\documents and settings\Fam.\Application Data\Microsoft\Installer\{45A66726-69BC-466B-A7A4-12FCBA4883D7}\HiJackThis.exe

.

<pre>
c:\program\Adobe\Photoshop Elements 4.0\apdproxy .exe
c:\program\Adobe\Reader 9.0\Reader\Reader_sl .exe
c:\program\AVG\AVG9\avgtray .exe
c:\program\Creative\Creative Live! Cam\VideoFX\StartFX .exe
c:\program\Creative\Shared Files\CamTray .exe
c:\program\CyberLink\PowerDVD\PDVDServ .exe
c:\program\Delade filer\Adobe\ARM\1.0\AdobeARM .exe
c:\program\Glocalnet\Bredbandscenter\Launcher .exe
c:\program\iTunes\iTunesHelper .exe
c:\program\Java\jre6\bin\jusched .exe
c:\program\QuickTime\qttask    .exe
c:\program\Synaptics\SynTP\SynTPEnh .exe
c:\program\Synaptics\SynTP\SynTPLpr .exe
c:\windows\system32\HDAShCut .exe
c:\windows\system32\WDBtnMgr .exe
</pre>

 

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{A3BC75A2-1F87-4686-AA43-5347D756017C}]

2010-10-06 09:31 2475336 ----a-w- c:\program\AVG\AVG9\Toolbar\IEToolbar.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-10-06 2475336]

 

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{CCC7A320-B3CA-4199-B1A6-9F516DD69829}"= "c:\program\AVG\AVG9\Toolbar\IEToolbar.dll" [2010-10-06 2475336]

 

[HKEY_CLASSES_ROOT\clsid\{ccc7a320-b3ca-4199-b1a6-9f516dd69829}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Polar Sync"="" [N/A]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"QuickTime Task"="c:\program\QuickTime\qttask .exe -atboottime" [X]

"Genväg till egenskapssida för High Definition Audio"="HDAShCut.exe" [N/A]

"SoundMan"="SOUNDMAN.EXE" [2005-03-10 90112]

"AlcWzrd"="ALCWZRD.EXE" [2005-03-10 2803712]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-05-19 7405568]

"nwiz"="nwiz.exe" [2008-05-19 1519616]

"SMSERIAL"="sm56hlpr.exe" [2005-08-01 544768]

"Adobe Photo Downloader"="c:\program\Adobe\Photoshop Elements 4.0\apdproxy.exe" [N/A]

"NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648]

"WD Button Manager"="WDBtnMgr.exe" [N/A]

"Bredbandscenter"="c:\program\Glocalnet\Bredbandscenter\Launcher.exe" [2008-01-29 808104]

"iTunesHelper"="c:\program\iTunes\iTunesHelper.exe" [2008-11-20 290088]

"Adobe Reader Speed Launcher"="c:\program\Adobe\Reader 9.0\Reader\Reader_sl.exe" [N/A]

"Adobe ARM"="c:\program\Delade filer\Adobe\ARM\1.0\AdobeARM.exe" [N/A]

"VoddlerNet Manager"="c:\program\Voddler\service\VNetManager.exe" [N/A]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2004-08-04 15360]

 

c:\documents and settings\Fam.\Start-meny\Program\Autostart\

Last.fm Helper.lnk - c:\program\Last.fm\LastFMHelper.exe [2008-1-5 106496]

Nikon Monitor.lnk - c:\program\Delade filer\Nikon\Monitor\NkMonitor.exe [2007-6-14 479232]

Picture Motion Browser verktyg f”r mediekontroll.lnk - c:\program\Sony\Sony Picture Utility\PMBCore\SPUVolumeWatcher.exe [2008-11-5 385024]

 

c:\documents and settings\All Users\Start-meny\Program\Autostart\

BankID s„kerhetsprogram.lnk - c:\program\Personal\bin\Personal.exe [2010-8-25 939920]

WD Backup Monitor.lnk - c:\program\My Book\WD Backup\uBBMonitor.exe [2007-12-3 98304]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]

2010-07-17 07:07 12536 ----a-w- c:\windows\system32\avgrsstx.dll

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\Program\\uTorrent\\utorrent.exe"=

"c:\\Program\\VideoLAN\\VLC\\vlc.exe"=

"c:\\Program\\TeamViewer\\Version4\\TeamViewer.exe"=

"c:\\Program\\AVG\\AVG9\\avgupd.exe"=

"c:\\Program\\AVG\\AVG9\\avgnsx.exe"=

"c:\\Documents and Settings\\Fam.\\Skrivbord\\Spotify Installer.exe"=

"c:\\Program\\iTunes\\iTunes.exe"=

"c:\\Program\\Voddler\\service\\voddler.exe"=

 

R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-06-22 216400]

R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-06-22 243024]

R2 avg9wd;AVG Free WatchDog;c:\program\AVG\AVG9\avgwdsvc.exe [2010-07-17 308136]

R2 BredbandscenterDownloader;BredbandscenterDownloader;c:\program\Glocalnet\Bredbandscenter\BredbandscenterUpdater.exe [2008-01-17 1055912]

R2 GlocalnetBredbandClientService;Glocalnet Bredband;c:\program\Glocalnet Bredband\Bredbandsklienten\GlocalnetBredbandService.exe [2007-07-25 1034240]

R2 VoddlerNet;VoddlerNet;c:\program\Voddler\service\voddler.exe [2010-09-29 907984]

S2 gupdate;Tjänsten Google Update (gupdate);c:\program\Google\Update\GoogleUpdate.exe [2010-03-14 135664]

S3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\program\AVG\AVG9\Toolbar\ToolbarBroker.exe [2010-10-28 517448]

S3 MosIrUsb;MosIrUsb.sys;c:\windows\system32\drivers\MosIrUsb.sys [2010-04-06 20736]

S3 rkhdrv40;Rootkit Unhooker Driver; [x]

S3 sea1bus;Sony Ericsson Device 0A1 driver (WDM);c:\windows\system32\drivers\sea1bus.sys [2007-08-04 61536]

S3 sea1mdfl;Sony Ericsson Device 0A1 USB WMC Modem Filter;c:\windows\system32\drivers\sea1mdfl.sys [2007-08-04 9360]

S3 sea1mdm;Sony Ericsson Device 0A1 USB WMC Modem Driver;c:\windows\system32\drivers\sea1mdm.sys [2007-08-04 97088]

S3 sea1mgmt;Sony Ericsson Device 0A1 USB WMC Device Management Drivers (WDM);c:\windows\system32\drivers\sea1mgmt.sys [2007-08-04 88624]

S3 sea1nd5;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (NDIS);c:\windows\system32\drivers\sea1nd5.sys [2007-08-04 18704]

S3 sea1obex;Sony Ericsson Device 0A1 USB WMC OBEX Interface;c:\windows\system32\drivers\sea1obex.sys [2007-08-04 86432]

S3 sea1unic;Sony Ericsson Device 0A1 USB Ethernet Emulation SEMCA1 (WDM);c:\windows\system32\drivers\sea1unic.sys [2007-08-04 90800]

S3 V0250Dev;Live! Cam Notebook Pro;c:\windows\system32\drivers\V0250Dev.sys [2007-01-25 163840]

S4 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2006-09-06 643072]

.

Innehållet i mappen 'Schemalagda aktiviteter':

 

2010-09-20 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

 

2010-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program\Google\Update\GoogleUpdate.exe [2010-03-14 06:07]

 

2010-10-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program\Google\Update\GoogleUpdate.exe [2010-03-14 06:07]

.

.

------- Extra genomsökning -------

.

uStart Page = hxxp://www.google.se/

uInternet Settings,ProxyOverride = <local>

Handler: avgsecuritytoolbar - {F2DDE6B2-9684-4A55-86D4-E255E237B77C} - c:\program\AVG\AVG9\Toolbar\IEToolbar.dll

DPF: {3D2CB570-D425-11D5-ABD0-00008369C46F} - hxxps://hembanken.danskebank.se/html/activex/OEB/Menu.cab

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net'>http://www.gmer.net

Rootkit scan 2010-10-29 09:41

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

Polar Sync = ?:\program files\polar\polar sync\?????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

 

device: opened successfully

user: MBR read successfully

called modules: ntkrnlpa.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x89C2AB4C]<<

kernel: MBR read successfully

user & kernel MBR OK

 

**************************************************************************

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

 

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (LocalSystem)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,85,49,4a,b4,8a,17,a2,4c,89,76,fc,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,85,49,4a,b4,8a,17,a2,4c,89,76,fc,\

 

[HKEY_USERS\S-1-5-21-667845635-2202822803-230670660-1006\Software\SecuROM\!CAUTION! NEVER A OR CHANGE ANY KEY*]

"??"=hex:11,da,6a,1f,18,4e,79,a5,b3,e0,fa,c5,00,be,95,3a,95,1f,e6,2a,43,16,b0,

0b,b7,15,6e,ad,1d,0a,f6,46,98,3e,9e,e1,e6,45,98,21,40,77,c2,47,8e,ff,b9,bd,\

"??"=hex:35,fc,c6,3d,c9,02,ad,db,37,1f,61,de,0f,33,8f,50

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]

"D140211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

 

- - - - - - - > 'explorer.exe'(2792)

c:\windows\system32\msi.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

c:\program\Bonjour\mdnsNSP.dll

.

------------------------ Andra processer som körs ------------------------

.

c:\program\AVG\AVG9\avgchsvx.exe

c:\program\AVG\AVG9\avgrsx.exe

c:\program\AVG\AVG9\avgcsrvx.exe

c:\program\Adobe\Photoshop Elements 4.0\PhotoshopElementsFileAgent.exe

c:\program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

c:\program\Bonjour\mDNSResponder.exe

c:\program\Delade filer\EPSON\EBAPI\SAgent2.exe

c:\program\AVG\AVG9\avgnsx.exe

c:\program\Java\jre6\bin\jqs.exe

c:\windows\system32\nvsvc32.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\wbem\unsecapp.exe

c:\windows\SOUNDMAN.EXE

c:\windows\sm56hlpr.exe

c:\program\iPod\bin\iPodService.exe

.

**************************************************************************

.

Sluttid: 2010-10-29 09:51:37 - datorn startades om.

ComboFix-quarantined-files.txt 2010-10-29 07:51

ComboFix2.txt 2010-08-09 08:55

ComboFix3.txt 2010-08-06 19:12

ComboFix4.txt 2010-08-06 15:08

ComboFix5.txt 2010-08-09 15:43

 

Före genomsökningen: 2 465 587 200 byte ledigt

Efter genomsökningen: 2 712 322 048 byte ledigt

 

- - End Of File - - E420A55E9729CFA7D52B4BE8E3957118

[Cecilia]

Starta om datorn och kör ComboFix igen.

[Ziner]

När jag skulle köra Combofix frågade programmet om jag ville ladda ner nyare version och jag tryckte Ja. Sen har jag inte kunnat köra programmet vare sig i vanligt eller felsäkert läge. Jag har tagit bort det och laddat hem det igen utan att få det att funka. Så här har det aldrig varit tidigare. Kan den senaste versionen vara fel?

Jag får felmeddelande när programmet ska starta att "some files can not be created.." eller liknande. Jag ombeds att starta om och fortsätta installationen men det funkar inte.

Hmmmm....????

[Cecilia]

Jag kan inte rekommendera något annat än en installation av Windows i det här läget. Det är en svår infektion och det är nu mycket länge sedan datorn blev infekterad vilket gör att vi i loggarna (som mest listar vad som hänt senaste månaden) inte kan se om alla skadliga filer är borta.

 

Har du en Windows-skiva eller en återställningspartition?

[Ziner]

Ja, jag har en windowsskiva.

[Cecilia]

Se till att spara alla viktiga filer du har på datorn, favoriter/bokmärken, mejl, bilder mm.

 

Är det en standard Windows-skiva från Microsoft eller från en datortillverkare (recovery)?

 

Om det är en standard-skiva måste du först starta från skivan, svara R på första frågan för att komma till reparationskonsolen och där skriva:

 

fixmbr

exit

 

För att få en MBR som inte är infekterad. Därefter startar du från skivan igen men denna gång väljer du att inte reparera utan installera. Där din befintliga Windows-partition C: visas väljer du att ta bort den följt av att du skapar en ny partition som du installerar Windows på.

[Ziner]

Jag har en recovery. Ska jag göra på annat vis då? Det finns lite info på fodralet som skivan kom i.

[Cecilia]

Det varierar ju lite hur datortillverkarnas recovery-skivor fungerar. Vad står det på fodralet?

 

Vem har tillverkat datorn och vad är det för datormodell? Med den informationen går det att leta upp en manual och se vad det står i den.

[Ziner]

Det är en Fujitsu-Siemens. Modell Amilo D. Kanske fyra år gammal.

[Cecilia]

Det finns många olika datormodeller som börjar med Amilo D, se http://se.fujitsu.com/support/manuals.html På den sidan finns också, till höger, länkar för att ta fram serienumret.

[Ziner]

Ok, kanon. Tack.