Just nu i M3-nätverket
Jump to content

Trojan.Lodeight


Megaman9

Recommended Posts

Jag har fått detta viruset: Trojan.Lodeight.

 

Det har raderat filer från AntiVir (antivirus program) mappen och Sygate (brandvägg) mappen. Så de fungerar inte. Det går heller inte att installera AntiVir då står det nåt med: Some files could not be created.

 

Det går heller inte att starta i felsäkert läge då bara startar datorn om.

 

Här ligger viruset:

C:\Documents and Settings\User name\Application Data\m\flec006.exe

 

Jag startade upp en spyware scan SAS och när jag kom tillbaka så hade datorn startats om så stod det att datorn hade återställts efter ett allvarligt fel eller nåt. Så det verkar som att när datorn letar efter någon fil så startas den om för att filen inte finns eller har något fel.

 

Vad ska jag göra?

 

 

Här är loggen:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:34:09, on 2007-09-08

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\ATKKBService.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\Program\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Mozilla Firefox\firefox.exe

D:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Program\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Program\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Program\Free Download Manager\iefdmcks.dll

O2 - BHO: Torrent-Search toolbar - {e0c7b854-d5ce-4db6-9804-be1438603d89} - C:\Program\Torrent-Search\tbTor1.dll

O3 - Toolbar: Torrent-Search toolbar - {e0c7b854-d5ce-4db6-9804-be1438603d89} - C:\Program\Torrent-Search\tbTor1.dll

O4 - HKLM\..\Run: [avgnt] "C:\Program\AntiVir PersonalEdition Classic\avgnt.exe" /min

O4 - HKLM\..\Run: [smcService] C:\Program\Sygate\SPF\smc.exe -startgui

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Download all with Free Download Manager - file://D:\Program\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selected with Free Download Manager - file://D:\Program\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download with Free Download Manager - file://D:\Program\Free Download Manager\dllink.htm

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://D:\Program\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Ladda ner allt med Free Download Manager - file://D:\Program\Free Download Manager\dlall.htm

O8 - Extra context menu item: Ladda ner markerat med Free Download Mananger - file://D:\Program\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Ladda ner med Free Download Manager - file://D:\Program\Free Download Manager\dllink.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra button: Skicka till OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Program\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Ski&cka till OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Program\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Program\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Program\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://62.181.87.189/activex/AxisCamControl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DB0016F9-8DDB-444F-A36E-FDB3AA11ACD9}: NameServer = 217.75.96.11,217.75.96.12

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Program\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program\DELADE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - D:\Program\SUPERAntiSpyware\SASWINLO.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Unknown owner - C:\Program\AntiVir PersonalEdition Classic\sched.exe (file missing)

O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Unknown owner - C:\Program\AntiVir PersonalEdition Classic\avguard.exe (file missing)

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program\Delade filer\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NBService - Nero AG - D:\Program\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program\WinPcap\rpcapd.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

 

--

End of file - 6835 bytes

 

 

 

[inlägget ändrat 2007-09-08 01:14:47 av Megaman9]

Link to comment
Share on other sites

 

då antar jag att du inte kan ta bort fil/mapp i normal läge.

 

öppna HJT >klicka på open misc tools >delete a file on reboot >sök efter skriv in sökvägen till filen flec006.exe >klicka på open >starta om

 

gå hit och scanna

http://www.ewido.net/en/onlinescan/

 

hämta och kör detta verktyg

http://dl.antivir.de/down/windows/tool_en.com

 

testa nu att installera antivir

 

om du kan ta bort sygate så gör det, starta om och installera den igen

 

Link to comment
Share on other sites

Innan jag la mig så startade jag en online virus scan med Trend Micro HouseCall.

 

Detta hittade den:

 

Malware:

TROJ_GENERIC - 2 infections

WORM_KAPUCEN.AF - 1 infections

CRCK_REAL.E - 1 infections

CRCK_WMR.A - 1 infections

CRCK_XPPROKEY.C - 1 infections

 

Vulnerabilities:

Vulnerabilities in HyperTerminal Could Allow Code Execution (873339)

MS04-044

MS05-0001

ASP.NET Path Validation Vulnerability (887219)

MS05-007

MS05-008

MS05-009

MS05-011

MS05-012

MS05-013

MS05-015

MS05-016

MS05-018

MS05-019

MS05-026

MS05-027

MS05-032

MS05-033

MS05-033

MS05-036

MS05-039

m.m.

 

 

Ska jag välja clean now - Removes all infections found on your machine, according to the options selected?

 

Eller ska jag bara avbryta det?

 

 

Igår när jag gick in på en sida på internet så stod det att sidan inte kan visas och sen precis efter det så kom AntiVir upp och hittade ett virus. Jag valde move to guarintee eller vad det heter. Om jag hade valt delete där så kanske det hade försvunnit. I fall det nu är samma virus.

 

Jag tror att det ligger värden av viruset i registret också men bara man fått installerat antivir så kasnke det tar bort det?

 

 

[inlägget ändrat 2007-09-08 11:44:38 av Megaman9]

Link to comment
Share on other sites

 

dessa är malware men det är inte säkert att bortagningen av dessa gör nån skillnad vad gäller ditt problem just nu. filerna kanske låg i krantän eller i systemåterställningen

TROJ_GENERIC - 2 infections

WORM_KAPUCEN.AF - 1 infections

 

det här är tre crack filer, om dom är ok eller orsaken till ditt problem vet inte jag

CRCK_REAL.E - 1 infections

CRCK_WMR.A - 1 infections

CRCK_XPPROKEY.C - 1 infections

 

Link to comment
Share on other sites

Det stämmer att det gör ingen skillnad.

 

Jag har scannat med ewido och tagit bort vad den hittade bl.a. Trojan.Agent.abd och Worm.Kapucen.e

 

Jag hittade inget med "tool en" verktyget.

 

Jag flyttade mappen "m" till papperskorgen sen när jag försökte tömma den så kom det något fel. Allt utom sjävla mappen m verkar ha försvunnit. Sen har jag återställt den mappen, det går inte att se att det finns några filer i den men nu om jag försöker ta bort den så står det att katalogen inte går att ta bort för den inte är tom. Jag har ändrat så man ska se dolda filer och systemfiler men man kan inte se att det finns något i mappen.

 

Jag har testat att ta bort den med Killbox genom en omstart men det verkar som att det skapas en ny mapp hela tiden.

 

Anti Vir går fortfarande inte att installera.

 

Vad ska jag göra?

 

Det stod att Trojan.Agent.abd låg i en fil i alcohol 120 mappen "star_syn_client.dll.

 

Worm.Kapucen.e låg i Recyler mappen.

 

Jag har testat att avinstallera AntiVir, Sygate och Alcohol 120. Men det hjälpte inte.

 

 

[inlägget ändrat 2007-09-08 16:32:06 av Megaman9]

Link to comment
Share on other sites

verktyget från avira är för att ta ta bort rester av antivir, det kan nämligen va så att blir problem om det redan finns en installation.

vad får du för felmmeddalande när du installerar Alcohol 120 och sygate?

 

skapas det olika mappnamn eller är det samma?

kolla det finns når skrivskydd på mappen

 

posta en ny HJT logg

 

[inlägget ändrat 2007-09-08 20:27:51 av 927]

Link to comment
Share on other sites

Alcohol 120 gick bra att installera. Det avinstallerade jag bara för att jag tog ju bort denna filen: star_syn_client.dll för den innehöll en trojan.

 

Så det är AntiVir och Sygate som inte går att installera. De två viktigaste programmen.

 

När jag försöker installera Sygate så står det: Error 1304. Error writing to file. C:\Program\Sygate\SPF\Smc.exe. Verify that you have access to that directory.

 

Det blir samma felmeddelande oavsett var jag väljer att installera det. Har t.ex. testat D:\Program\Sygate

 

Med AntiVir så står det: Some files could not be created. Please close all applications, reboot Windows and restart the installation

 

Jag kan ju inte kolla om det är något skrivskydd på Sygate och AntiVir mapparna eftersom allt är avinstallerat och det går inte att installera. Jaha du menar väl mappen "m". Där är skrivskydd. Jag har testat att ta bort det, men nästa gång jag kollar så är det där igen.

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:34:40, on 2007-09-08

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v7.00 (7.00.5730.0011)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\ctfmon.exe

C:\WINDOWS\ATKKBService.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\MSN Messenger\msnmsgr.exe

C:\Program\MSN Messenger\usnsvc.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

D:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157'>http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896'>http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - D:\Program\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - D:\Program\MICROS~2\Office12\GRA8E1~1.DLL

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: FDMIECookiesBHO Class - {CC59E0F9-7E43-44FA-9FAA-8377850BF205} - D:\Program\Free Download Manager\iefdmcks.dll

O2 - BHO: Torrent-Search toolbar - {e0c7b854-d5ce-4db6-9804-be1438603d89} - C:\Program\Torrent-Search\tbTor1.dll

O3 - Toolbar: Torrent-Search toolbar - {e0c7b854-d5ce-4db6-9804-be1438603d89} - C:\Program\Torrent-Search\tbTor1.dll

O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: Download all with Free Download Manager - file://D:\Program\Free Download Manager\dlall.htm

O8 - Extra context menu item: Download selected with Free Download Manager - file://D:\Program\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Download with Free Download Manager - file://D:\Program\Free Download Manager\dllink.htm

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://D:\Program\MICROS~2\Office12\EXCEL.EXE/3000

O8 - Extra context menu item: Ladda ner allt med Free Download Manager - file://D:\Program\Free Download Manager\dlall.htm

O8 - Extra context menu item: Ladda ner markerat med Free Download Mananger - file://D:\Program\Free Download Manager\dlselected.htm

O8 - Extra context menu item: Ladda ner med Free Download Manager - file://D:\Program\Free Download Manager\dllink.htm

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_07\bin\ssv.dll

O9 - Extra button: Skicka till OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Program\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra 'Tools' menuitem: Ski&cka till OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - D:\Program\MICROS~2\Office12\ONBttnIE.dll

O9 - Extra button: Skype - {77BF5300-1474-4EC7-9980-D32B190E9B07} - D:\Program\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - D:\Program\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - D:\Program\PartyGaming\PartyPoker\RunApp.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {917623D1-D8E5-11D2-BE8B-00104B06BDE3} (CamImage Class) - http://62.181.87.189/activex/AxisCamControl.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{DB0016F9-8DDB-444F-A36E-FDB3AA11ACD9}: NameServer = 217.75.96.11,217.75.96.12

O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - D:\Program\MICROS~2\Office12\GR99D3~1.DLL

O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program\DELADE~1\Skype\SKYPE4~1.DLL

O20 - Winlogon Notify: !SASWinLogon - D:\Program\SUPERAntiSpyware\SASWINLO.DLL

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: ATK Keyboard Service (ATKKeyboardService) - ASUSTeK COMPUTER INC. - C:\WINDOWS\ATKKBService.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: BrSplService (Brother XP spl Service) - brother Industries Ltd - C:\WINDOWS\system32\brsvc01a.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program\Delade filer\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: NBService - Nero AG - D:\Program\Nero 7\Nero BackItUp\NBService.exe

O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program\WinPcap\rpcapd.exe

O23 - Service: StarWind iSCSI Service (StarWindService) - Rocket Division Software - C:\Program\Alcohol Soft\Alcohol 120\StarWind\StarWindService.exe

 

--

End of file - 6502 bytes

 

 

 

 

[inlägget ändrat 2007-09-08 21:42:46 av Megaman9]

Link to comment
Share on other sites

Ja det stämmer att jag har den versionen. När jag föröker installera Windows Installer så kommer detta felmeddelandet:

 

Extraction Failed

Det går inte att hitta filen.

 

 

Link to comment
Share on other sites

du gör väl alla installationer från windows och inte genom att köra filen direkt utan spara den först, hoppas jag

 

jag vet inte vad vi ska hitta på, har du spybot på datorn så gör en scan, det hittar felaktiga register inställningar.

har du inte spybot så kan du köra detta verktyg får vi se (om det går att installera)

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

spara SDFix.exe på skrivbordet >klicka på SDFix.exe >sdfixen packas upp här: C:\SDFix.

starta om i felsäkert läge (F8) >gå hit: C:\SDFix >klicka på runthis.bat >välj y.

när scanningen är klar så tryck på valfri tangent för att starta om.

när det står finished så tryck på valfri tangent. en logg kommer automatiskt att visas (C:\SDFix\report.txt), kopiera in loggen här.

 

start >kör >skriv: services.msc >ok

kolla du ser några avira och sygate tjänster. om det finns några så dubbelklickar du på dessa och väljer manuell startmetod >ok

 

 

[inlägget ändrat 2007-09-09 09:16:50 av 927]

Link to comment
Share on other sites

Ja, jag sparar alltid ner installationsfilen innan jag kör den.

 

Jag har Spybot på datorn men viruset angriper det programmet också. Det har plockat bort filerna som man startar det med .exe. Jag har en extern hårddisk som jag också har programmet på så satte jag i den och gick in i mappen då såg jag hur ca 3st filer bara försvann från spybot mappen.

 

Det med SDFix.exe kan jag ju inte göra eftersom det inte går att komma in i felsäkert läge. Datorn startar ju bara om då. Det är precis efter vax347b.sys har laddat som den startar om. Ska jag prova runthis.bat i normalt läge istället?

 

Jag hittade inga Avira och Sygate tjänster.

 

Är enda utvägen att formatera C: eller har du några fler förslag?

 

Jag sökte igenom datorn med Ad-Aware nu. Det hittade Win32 Backdoor RBot. Så jag tog bort några filer mm.

 

När Ad-Aware höll på att scanna så så kom detta upp:

 

Filer som krävs för att Windows ska fungera korrekt har ersatts av okända versioner. De här filerna måste återställas till de ursprungliga versionerna om systemstabiliteten ska bibehållas.

 

Mata in Windows XP Professional CD-ROM nu.

 

Jag stoppade i XP skivan och det försvann men det hände inget mer.

 

Det går fortfarande inte att installera AntiVir.

 

 

 

[inlägget ändrat 2007-09-09 14:55:37 av Megaman9]

Link to comment
Share on other sites

det syns inget speciellt men töm den här mappen

C:\DOCUME~1\User\LOKALA~1\Temp

 

sysfilen hör ihop med Alcohol 120 så ta bort det programmet och försök med sdfix (jag inte det går att starta i normalläge). fördelen med sdfix är det kollar så du har rätt systemfiler.

 

om inte det funkar så försöker vi med detta program, det kommer att starta om datorn

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Kör den och följ anvisningarna som visas.

VIKTIGT! Klicka inte på Combofix-fönstret med musen när den körs annars kan den hänga upp sig.

När den är färdig så ska en logg komma upp, klistra in den här

 

sen kan man testa detta, du skriver in sfc /scannow i kör

Alla skyddade systemfiler söks igenom omedelbart, och felaktiga versioner ersätts med rätt Microsoft-versioner. Detta kommando kan kräva tillgång till källfilerna för Windows-installationen.

http://support.microsoft.com/kb/310747/sv

 

du har ju även alternativet att installera om windows

 

ta bort den långa loggen du posta nyss, den får iaf min webbläsare att sega ihop

 

Link to comment
Share on other sites

Jag har tagit bort Alcohol 120.

 

Sdfix gick inte att köra i normalläge.

 

Här är loggen från Combofix:

 

ComboFix 07-09-09.5 - "Andreas" 2007-09-09 18:40:51.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.2.1252.1.1053.18.707 [GMT 2:00]

.

 

((((((((((((((((((((((((((((((((((((((( Other Deletions )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\WINDOWS\exefld

C:\WINDOWS\exefld\99081546.exe

C:\WINDOWS\system32\drivers\hidr.exe

C:\WINDOWS\system32\drivers\srosa.sys

 

 

((((((((((((((((((((((((( Files Created from 2007-08-09 to 2007-09-09 )))))))))))))))))))))))))))))))

.

 

2007-09-09 18:40 51,200 --a------ C:\WINDOWS\NirCmd.exe

2007-09-09 15:07 11,776 --a--c--- C:\WINDOWS\system32\dllcache\chkdsk.exe

2007-09-09 15:07 11,776 --a------ C:\WINDOWS\system32\chkdsk.exe

2007-09-09 13:14 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Spybot - Search & Destroy

2007-09-08 01:19 76,560 --a------ C:\WINDOWS\system32\drivers\tmcomm.sys

2007-09-08 01:18 d-------- C:\DOCUME~1\Andreas\.housecall6.6

2007-09-07 23:27 d-------- C:\DOCUME~1\Andreas\APPLIC~1\m

2007-09-07 23:26 962,612 --a------ C:\WINDOWS\system32\mfc42d.dll

2007-09-07 23:26 94,285 --a------ C:\WINDOWS\system32\MSVCIRTD.DLL

2007-09-07 23:26 827,445 --a------ C:\WINDOWS\system32\mfco42d.dll

2007-09-07 23:26 81,920 --a------ C:\WINDOWS\system32\viscomwave.dll

2007-09-07 23:26 516,173 --a------ C:\WINDOWS\system32\msvcp60d.dll

2007-09-07 23:26 434,252 --a------ C:\WINDOWS\system32\msvcrtd.dll

2007-09-07 23:26 d-------- C:\WINDOWS\system32\ixchange

2007-09-07 22:08 d-------- C:\3gptemp

2007-09-07 21:56 d-------- C:\Program\MIKSOFT

2007-09-01 00:49 d-------- C:\Program\Delade filer\MainConcept

2007-08-30 18:47 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Canopus

2007-08-30 18:12 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Adobe Systems

2007-08-30 18:11 d-------- C:\Program\Delade filer\Adobe Systems Shared

2007-08-28 06:21 73,728 --------- C:\WINDOWS\system32\MMAviAx.dll

2007-08-28 06:21 44,544 --a------ C:\WINDOWS\system32\msxml4a.dll

2007-08-28 06:21 41,984 --a------ C:\WINDOWS\system32\cacheX.dll

2007-08-28 06:21 32,768 --------- C:\WINDOWS\system32\MLPagAx.dll

2007-08-28 06:21 233,472 --------- C:\WINDOWS\system32\DiskIO.dll

2007-08-28 06:21 184,320 --------- C:\WINDOWS\system32\RALMain.dll

2007-08-28 06:21 126,976 --------- C:\WINDOWS\system32\AVIPrAx.dll

2007-08-28 06:19 57,856 --a------ C:\WINDOWS\system32\masd32.dll

2007-08-28 06:19 27,648 --a------ C:\WINDOWS\system32\ma32.dll

2007-08-28 06:19 196,096 --a------ C:\WINDOWS\system32\macd32.dll

2007-08-28 06:19 138,752 --a------ C:\WINDOWS\system32\mase32.dll

2007-08-28 06:19 136,192 --a------ C:\WINDOWS\system32\mamc32.dll

2007-08-28 06:18 41,219 --a------ C:\WINDOWS\RSETPATH.exe

2007-08-28 06:17 49,152 --a------ C:\WINDOWS\system32\PCLEGetGuid.dll

2007-08-28 06:10 d-------- C:\DOCUME~1\Andreas\APPLIC~1\InstallShield

2007-08-27 20:45 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Pinnacle Studio

2007-08-27 20:43 d-------- C:\Program\Pinnacle

2007-08-19 21:51 68,888 --a------ C:\WINDOWS\system32\xinput1_3.dll

2007-08-19 21:51 62,744 --a------ C:\WINDOWS\system32\xinput1_2.dll

2007-08-19 21:51 3,426,072 --a------ C:\WINDOWS\system32\d3dx9_32.dll

2007-08-19 21:51 251,672 --a------ C:\WINDOWS\system32\xactengine2_5.dll

2007-08-19 21:51 237,848 --a------ C:\WINDOWS\system32\xactengine2_4.dll

2007-08-19 21:51 236,824 --a------ C:\WINDOWS\system32\xactengine2_3.dll

2007-08-19 21:51 2,414,360 --a------ C:\WINDOWS\system32\d3dx9_31.dll

2007-08-19 21:51 15,128 --a------ C:\WINDOWS\system32\x3daudio1_1.dll

2007-08-19 14:56 d-------- C:\Program\MSBuild

2007-08-19 14:56 d-------- C:\Program\Microsoft Works

2007-08-19 14:55 d-------- C:\Program\Microsoft.NET

2007-08-19 14:53 d-------- C:\Program\Microsoft Visual Studio 8

2007-08-19 14:52 d-------- C:\WINDOWS\SHELLNEW

2007-08-18 17:29 14,568 --a------ C:\WINDOWS\system32\drivers\wg6n.sys

2007-08-18 17:29 14,568 --a------ C:\WINDOWS\system32\drivers\wg5n.sys

2007-08-18 17:29 14,568 --a------ C:\WINDOWS\system32\drivers\wg4n.sys

2007-08-15 20:22 d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\FLEXnet

2007-08-15 20:14 d-------- C:\Program\Bonjour

2007-08-15 20:07 d-------- C:\Program\Delade filer\Macrovision Shared

2007-08-15 19:42 43,602 --a------ C:\WINDOWS\system32\xvid-uninstall.exe

2007-08-15 19:24 d-------- C:\DOCUME~1\Andreas\.divx

2007-08-15 19:14 d-------- C:\DOCUME~1\Andreas\.drdivx2

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2007-09-09 14:05 --------- d-------- C:\DOCUME~1\Andreas\APPLIC~1\uTorrent

2007-09-09 00:03 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Microsoft Help

2007-09-05 21:26 --------- d-------- C:\DOCUME~1\Andreas\APPLIC~1\dvdcss

2007-09-01 23:55 --------- d--h----- C:\Program\InstallShield Installation Information

2007-08-31 18:56 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Ulead Systems

2007-08-31 18:26 --------- d-------- C:\DOCUME~1\Andreas\APPLIC~1\LimeWire

2007-08-19 12:06 --------- d-------- C:\DOCUME~1\Andreas\APPLIC~1\Free Download Manager

2007-08-19 00:17 --------- d-------- C:\DOCUME~1\Andreas\APPLIC~1\Skype

2007-08-18 13:25 --------- d-------- C:\DOCUME~1\Andreas\APPLIC~1\VideoReDoPlus

2007-08-18 13:02 --------- d-a------ C:\DOCUME~1\ALLUSE~1\APPLIC~1\TEMP

2007-08-16 22:55 --------- d-------- C:\Program\Windows Media Connect 2

2007-08-04 23:52 --------- d-------- C:\DOCUME~1\Andreas\APPLIC~1\DaFiTech

2007-08-02 22:41 --------- d-------- C:\Program\Delade filer\iulab

2007-07-28 16:08 --------- d-------- C:\DOCUME~1\Andreas\APPLIC~1\Azureus

2007-07-28 11:30 --------- d-------- C:\DOCUME~1\Andreas\APPLIC~1\.BitTornado

2007-07-22 21:56 --------- d-------- C:\DOCUME~1\Andreas\APPLIC~1\Real

2007-07-22 21:51 --------- d-------- C:\Program\Delade filer\xing shared

2007-07-22 21:51 --------- d-------- C:\Program\Delade filer\Real

2007-07-22 15:34 --------- d-------- C:\Program\WinPcap

2007-07-19 17:10 77824 --a------ C:\WINDOWS\zipexe_r.exe

2007-07-18 17:52 --------- d-------- C:\DOCUME~1\ALLUSE~1\APPLIC~1\Test Drive Unlimited

2007-06-30 13:52 47104 --a------ C:\WINDOWS\system32\KMVIDC32.DLL

2007-06-22 13:58 108144 --a------ C:\WINDOWS\system32\CmdLineExt.dll

2007-06-15 15:46 73728 --a------ C:\WINDOWS\ALCFDRTM.EXE

2007-06-12 17:15 65536 --a------ C:\BiosSign.bin

2005-12-05 00:12 20640 --a------ C:\WINDOWS\inf\pxhelp20.sys

.

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

.

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 01:34]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= D:\Program\SUPERAntiSpyware\SASSEH.DLL [2007-03-31 13:45 77824]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

D:\Program\SUPERAntiSpyware\SASWINLO.DLL 2007-05-13 20:50 294912 D:\Program\SUPERAntiSpyware\SASWINLO.DLL

 

SafeBoot registry key needs repairs. This machine cannot enter Safe Mode.

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\File system]

@="Driver Group"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\vgasave.sys]

@="Driver"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}]

@="DiskDrive"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}]

@="Hdc"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}]

@="Keyboard"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]

@="Mouse"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}]

@="System"

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}]

@="Volume"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Adobe Reader Speed Launch.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\Adobe Reader Speed Launch.lnk

backup=C:\WINDOWS\pss\Adobe Reader Speed Launch.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^InterVideo WinCinema Manager.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\InterVideo WinCinema Manager.lnk

backup=C:\WINDOWS\pss\InterVideo WinCinema Manager.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Microsoft Office.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\Microsoft Office.lnk

backup=C:\WINDOWS\pss\Microsoft Office.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^WinManager.lnk]

path=C:\Documents and Settings\All Users\Start-meny\Program\Autostart\WinManager.lnk

backup=C:\WINDOWS\pss\WinManager.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Andreas^Start-meny^Program^Autostart^Adobe Gamma.lnk]

path=C:\Documents and Settings\Andreas\Start-meny\Program\Autostart\Adobe Gamma.lnk

backup=C:\WINDOWS\pss\Adobe Gamma.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\C:^Documents and Settings^Andreas^Start-meny^Program^Autostart^MagicDisc.lnk]

path=C:\Documents and Settings\Andreas\Start-meny\Program\Autostart\MagicDisc.lnk

backup=C:\WINDOWS\pss\MagicDisc.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

ALCMTR.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\AlcWzrd]

-ALCWZRD.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\avgnt]

-"C:\Program\AntiVir PersonalEdition Classic\avgnt.exe" /min

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\BluetoothAuthenticationAgent]

rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ControlCenter2.0]

C:\Program\Brother\ControlCenter2\brctrcen.exe /autorun

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\CTFMON.EXE]

C:\WINDOWS\system32\ctfmon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DAEMON Tools-1033]

"D:\Program\D-Tools\daemon.exe" -lang 1033

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\dvd43]

C:\Program\dvd43\dvd43_tray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\GrooveMonitor]

"D:\Program\Microsoft Office\Office12\GrooveMonitor.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\High Definition Audio Property Page Shortcut]

-HDAShCut.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IndexSearch]

C:\Program\ScanSoft\PaperPort\IndexSearch.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\KernelFaultCheck]

%systemroot%\system32\dumprep 0 -k

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LaunchList]

D:\Program\Pinnacle\Studio 11\LaunchList2.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

C:\Program\Delade filer\Ahead\Lib\NeroCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NexusServer]

"C:\Program\Delade filer\Canopus Shared\ProCoder 2\Kernel\PNXSERVR.exe" -SelfLaunch

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvCplDaemon]

RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

nwiz.exe /install

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PaperPort PTD]

C:\Program\ScanSoft\PaperPort\pptd40nt.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PinnacleDriverCheck]

C:\WINDOWS\system32\\PSDrvCheck.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PWRISOVM.EXE]

D:\Program\PowerISO\PWRISOVM.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SetDefPrt]

D:\Program\Brother\Brmfl05a\BrStDvPt.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmcService]

-C:\Program\Sygate\SPF\smc.exe -startgui

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SoundMan]

-SOUNDMAN.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SSBkgdUpdate]

"C:\Program\Delade filer\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" -Embedding -boot

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Steam]

 

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SunJavaUpdateSched]

C:\Program\Java\jre1.5.0_07\bin\jusched.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SUPERAntiSpyware]

C:\DOCUME~1\Andreas\LOKALA~1\Temp\SSUPDATE.EXE Software\SUPERAntiSpyware.com\SUPERAntiSpyware

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

"C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WinRemote]

D:\Program\InterVideo\WinDVR\WinRemote.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WINSCHEDULER]

D:\Program\INTERV~1\WinDVR\WINSCH~1.EXE

 

R3 AUD;DTV-DVB 3054 Analog Audio Capture;C:\WINDOWS\system32\DRIVERS\3054AudCap.sys

R3 CX23880;DTV-DVB 3054 Video Capture;C:\WINDOWS\system32\drivers\3054VidCap.sys

R3 CXAVSTS;DTV-DVB 3054 Digital TS Capture;C:\WINDOWS\system32\drivers\3054BDACap.sys

R3 THAVXBar;DTV-DVB 3054 Analog AVStream Crossbar;C:\WINDOWS\system32\drivers\3054AVXBar.sys

R3 THBDATUNE;DTV-DVB 3054 Digital Tuner/Demod;C:\WINDOWS\system32\drivers\3054BDATune.sys

R3 THIR;DTV-DVB 3054 IR Decoder;C:\WINDOWS\system32\drivers\3054IR.sys

R3 THTUNE;DTV-DVB 3054 Analog Tuner;C:\WINDOWS\system32\drivers\3054Tune.sys

S3 ASPI;Advanced SCSI Programming Interface Driver;\??\C:\WINDOWS\System32\DRIVERS\ASPI32.sys

S3 BrScnUsb;Brother USB Still Image driver;C:\WINDOWS\system32\Drivers\BrScnUsb.sys

S3 NPF;NetGroup Packet Filter Driver;C:\WINDOWS\system32\drivers\npf.sys

S3 VPNET;DTVNet Ethernet Controller;C:\WINDOWS\system32\DRIVERS\DTVNet.sys

 

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\E]

AutoRun\command- E:\AUTORUN.EXE

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12267be8-6532-11db-8b75-00112f4a4738}]

AutoRun\command- G:\Launcher.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12267be9-6532-11db-8b75-00112f4a4738}]

AutoRun\command- H:\Launcher.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{12267bea-6532-11db-8b75-00112f4a4738}]

AutoRun\command- I:\setup.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{2ba57364-8545-11db-8bd5-00112f4a4738}]

AutoRun\command- M:\autorun.exe

dinstall\command- M:\Directx\dxsetup.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{95739bdc-5810-11dc-9ee5-00112f4a4738}]

AutoRun\command- G:\Launcher.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{95739bdd-5810-11dc-9ee5-00112f4a4738}]

AutoRun\command- H:\Launcher.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{95739bde-5810-11dc-9ee5-00112f4a4738}]

AutoRun\command- I:\autorun.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{95739bdf-5810-11dc-9ee5-00112f4a4738}]

AutoRun\command- J:\setup.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{95739be0-5810-11dc-9ee5-00112f4a4738}]

AutoRun\command- K:\Startup.exe

directx\command- K:\dx61core.exe

gamespy\command- K:\gamespy\GameSpyInstaller207.exe

indeo\command- K:\iv5play.exe

machines\command- K:\machines\setup.exe

mindspring\command- K:\mindspring\setup.exe

speechapi\command- K:\spchapi.exe

text2speech\command- K:\msttsl.exe

turok2\command- K:\setup.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{95739be1-5810-11dc-9ee5-00112f4a4738}]

AutoRun\command- L:\autorun.exe

dinstall\command- L:\Directx\dxsetup.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{95739be2-5810-11dc-9ee5-00112f4a4738}]

AutoRun\command- M:\Autorun.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a20a41a8-7c78-11db-8bc5-00112f4a4738}]

AutoRun\command- K:\Startup.exe

directx\command- K:\dx61core.exe

gamespy\command- K:\gamespy\GameSpyInstaller207.exe

indeo\command- K:\iv5play.exe

machines\command- K:\machines\setup.exe

mindspring\command- K:\mindspring\setup.exe

speechapi\command- K:\spchapi.exe

text2speech\command- K:\msttsl.exe

turok2\command- K:\setup.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{a20a41a9-7c78-11db-8bc5-00112f4a4738}]

AutoRun\command- L:\Autorun.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{df5906cb-5e40-11dc-9ef8-00112f4a4738}]

AutoRun\command- G:\Launcher.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{df5906cc-5e40-11dc-9ef8-00112f4a4738}]

AutoRun\command- H:\Launcher.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{df5906cd-5e40-11dc-9ef8-00112f4a4738}]

AutoRun\command- I:\autorun.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{df5906ce-5e40-11dc-9ef8-00112f4a4738}]

AutoRun\command- J:\setup.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{df5906cf-5e40-11dc-9ef8-00112f4a4738}]

AutoRun\command- K:\Startup.exe

directx\command- K:\dx61core.exe

gamespy\command- K:\gamespy\GameSpyInstaller207.exe

indeo\command- K:\iv5play.exe

machines\command- K:\machines\setup.exe

mindspring\command- K:\mindspring\setup.exe

speechapi\command- K:\spchapi.exe

text2speech\command- K:\msttsl.exe

turok2\command- K:\setup.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{df5906d0-5e40-11dc-9ef8-00112f4a4738}]

AutoRun\command- L:\autorun.exe

dinstall\command- L:\Directx\dxsetup.exe

 

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{df5906d1-5e40-11dc-9ef8-00112f4a4738}]

AutoRun\command- M:\Autorun.exe

 

*Newly Created Service* - CATCHME

 

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{28681820-917D-11d5-8177-005056FDDA4B}]

rundll32.exe C:\WINDOWS\system32\ShellExt\DafiTech\Cpy2Clip\cpy2clip.dll,CreateUserSettings

.

**************************************************************************

 

catchme 0.3.1061 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-09-09 18:42:08

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"mule_st_key"="C:\\Documents and Settings\\Andreas\\Application Data\\m\\flec006.exe"

 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa]

"ImagePath"="\??\C:\WINDOWS\system32\drivers\srosa.sys"

.

Completion time: 2007-09-09 18:42:43

C:\ComboFix-quarantined-files.txt ... 2007-09-09 18:42

.

--- E O F ---

 

 

 

Link to comment
Share on other sites

Det går fortfarande inte att starta i felsäkert läge. Men nu startar den om efter att SPTD.sys har laddat så den kommer inte till vax347b.sys längre. Det blir en blå skärm med text precis innan den startar om men det går så snabbt att det är omöjligt att se vad det står.

 

fsbl hittade inget.

 

 

Link to comment
Share on other sites

den sys filen hör till deamon tools

 

det är ju tydligen problem med dina windows filer och i registret. nu finns det ju ingen mer rootkit att ta bort så då är det väl inställningarna som är fel. det är synd att det inte går att köra sdfix för det återställer vissa saker i registret.

det kan ju fortfarnade finns filer som ställer till det och vill du scanna datorn gör det hos bitdefender (utan att ställa in nåt så scannas hela datorn och det som hittas tas bort) och även hos kaspersky (där inget tas bort). om du gör detta så spara loggarna.

sen är det ju inte säkert att blackligt hittar allt och då kan det vara ide att scanna med ett program som heter gmer. det går att scanna hur länge som helst...

 

dom här tas bort i regsistret, klara du det. du går ju till run resp srosa, i det första fallet tar du bort mule_st_key och C:\\Documents and Settings\\Andreas\\Application Data\\m\\flec006.exe"

i det andra fallet tar du bort mappen srosa

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"mule_st_key"="C:\\Documents and Settings\\Andreas\\Application Data\\m\\flec006.exe"

 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa]

 

om detta har nån betydelse kan jag tyvärr inte svara på för filera finns ju inte kvar i windows

 

i loggen finns det en del rader som börjar med ett @, tex

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}]

@="Mouse"

tittar jag på den sökvägen så har inte jag nåt @ utan det står bara mouse under kolumnen data, jag tror inte jag sett nåt @ på det stället i en combofix logg tidigare

 

Link to comment
Share on other sites

Jag hittar ingen mapp som heter SafeBoot i registret här HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control

 

 

 

Efter att jag tagit bort dessa:

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"mule_st_key"="C:\\Documents and Settings\\Andreas\\Application Data\\m\\flec006.exe"

 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa]

 

Så har det skapats en mapp i C:\Documents and Settings\Andreas\Application Data\m som heter: shared och i den mappen har dessa zip filerna skapats:

 

1CLICK DVD COPY PRO 3.0.1.6

1st Spanish ExamCram 4

3D Neon Raptors 1.0 Patch

3D Patriotic Elf 1

2006 Olympic Snow Sports Screensaver

Absolute Video Splitter Joiner 1.8.4 (Patch)

Access Denied 3.4

Accordion Panel V3 [KeyGen]

Actual Rar Repair 2.0.1

ADO Query 1.2.0

Adoption Kit demo for Catz II

Advanced Access To RTF Table Converter 1.1

Advanced Flash Synchronizer 1.4

A-Key Calculator 1.0 (KeyGen)

AllDb 1.0

Ambidexter Mouse 1.2 [With Crack]

Antechinus JavaScript Editor Standard 6.0

Antivirus.gratuit.Avast.4.7.892.FR(Le.druide.sage)

Any Place Calculator 1.2

Ap PDF to Image converter 2.1

ASP.NET Documentation Tool 8.3

Aurora MPEG To DVD Burner 4.9.11

AutorunNow! 1.0 (Serial)

Avast.Professional.Edition.4.7.844

Awesome Flowers Screen Saver 1.0

Avg.Antivirus.Professional.v7.1.371a669.Multilanguage.Keygen.Updated-Fixed.08-2006

AxelCD [KeyGen]

Axogon Mutator 1.0.3 [serial]

BarCode .NET Control for .NET 2.0 1.5 KeyGen

Bass Masters Classic Tournament Edition

Battlefield 1942 Battlefield 1918 mod 1.45

Battlefield 1942 Eve of Destruction mod 0.3 alpha

Bells and Whistles for Outlook 3.0.132

Bikers Log Touring 1.0

BinResInfo 1.0

BitDefender.v9.Pro.Plus.FR.Incl-Serial.par.eMule-Paradise.com

BossBackup2 2.1 (Crack)

Break 1.250

Call Accounting Mate 2.6.1.98 (Crack)

Carnaval Theme 1.0

Chain Modulator LE 01a

ChainLink 1.0.0

CleanerWD 1.2f

CLR Script 1.62 (Key+Serial)

CocoaCal 1

ColorSafe 1.5

Competition Test 3.0 [Crack]

Compressor COM-iv 4.0 Cracked

ComputerExpert 2005 3.1

ComTL 2.06

Credit Doctor 1.0.3.2 [serial]

Cryptgine Windows Plugin 1.0

CryptoNote 5.1.0.0 Serial

ctConvF 1.00 Beta 3

CVOne 0.9.5.310

Cyber 1.0

DBArtisan 8.1.2 build 3218 Serial

Dekart Logon for Citrix ICA Client 2.02

DFW Traffic Cameras 1.1

DHTMLSpy 1.0

Doom 3 Death is Coming map

Drobotenko Screen Saver 0.0.3 [Patch]

E20-540 Practice Exam Testing Engine Software 1.0

Easy File Protector 4.2

Easy MP3 Joiner 2.6 (Serial)

Easy Quiz 3.1 (Patch)

Easy View - Crystal Reports Viewer 1 [Key+Serial]

EasyTaskSync 7.3.1

EazyCode 5.5 With Crack

Emailer-ID 1.0

Eset.NOD32.Antivirus.Administrator.Edition.v2.50.16.PROPER-DVT

ESPN Motion 2.3.0.0003

Exodus 0.9.1.0

ExpenseMonitor Excel 1.0.0 [With Crack]

EZ Backup IE and Outlook Express Premium 4.7

Family Cyber Alert 4.02 KeyGen

Faogen 1

FIXED_AVG.Antivirus.Professional.Edition.7.0.225.Multilanguage.by.JAxx

Font2Bmp 1.42

Gear Factory 6

GeniusConnect 4.0.0.1 SP2 (Serial)

Ghostfox 0.1.4.2

GolfWolf Golf Handicap & Administration 1.002.013

Google Page Rank Finder 1.0

Google Safe Browsing 1.1

GrabXP 4.0d

Grandmommys Finger Painter 1.0

Group Organizer Server (Classic) 4.5

GTimer Premier 0.1.2 [Key]

HanWJ Chinese Typing Tutorial 1

HelpBreeze for MS Word 2000 3.0c

IBM DB2 Everyplace Query by Example (Pocket PC) 7.2.1

iBrowse 1.0

iClip 3.7

ICQ Lite build 1324 Dutch

IDAutomation Code 128 Font Advantage 6.10 Crack

idv Kvadur 1.0

Image Anvil 2.0.5.2

Image Blocker for IIS 1.0

Impossible Creatures 1.1 patch

Indirian Maths Suite Lite Edition 1.0

Interactive Web Physics 3.0 RC1

Internet Password Recovery Toolbox 1.3.0.1 (Key)

iOpus File and Web Page Downloader 3.1

ITIC SpamFilter 2.4 Beta (KeyGen)

JPG Collager 1.2 (Cracked)

jsLogix 1

Kaspersky.AntiVirus.Personal.5.0.156.Ita.+.manuale.+.licenza.scad.3.sett.07

Kaspersky.Anti-Virus.v.6.0.0.303.Final.ESP_DnGnMsTr

Kaspersky_Anti-Virus_6.0.0.300_Final_Cracked

Magic Carpet 3D 1

Magic Transfer 2

MailDetective 2.0d

MakeCDROM 4.33

Massive Muscle Gain 1

MJ Calculator + Font Previewer 1.0

Movie Database 2

MP3 Joiner 1.0586

MTBrowser beta 2.5

Music Suite 2007 2.0.0.7 With Crack

My Stuff Deluxe 3.2.1

MyCalculator 1.6.2

NetRix Component 1.1

OpenOffice IFilter 1.2 (With Crack)

Panda.Antivirus.Platinum.v7.04

Paris MIDI Automation 2.00

PassCryptor 1.0

PCLab 2.0

PDF Bookmarks 2.2

Poker PoKiT 1.4

Power2Show Pro 5.2.20 Key+Serial

Power64 4.6

Print File List Pro 1.0.12 [KeyGen]

Private InfoKeeper 2.8

Pro Evolution Soccer 3 Boca Juniors Stadium

Quicksheet 5.0

QuikSearch UK 1.0

r.a.d.input 1.5.2

Racing Turtle FTP 2

RageWork 2.9b

Raster Utility 1.0 With Crack

RasTimer 1.11 [serial]

RawXplorer 1.0.2

Real Estate Solution JUL.2007 [Cracked]

Registry Cleaner 1.0 (Cracked)

Reminders 2000 4.1

RenameEm 1.0

RevilloC MailServer 1.21

Rudeo Control 1.5.12

Saturn7 screensaver 4.1 (Crack)

Scadex Project Tracker 4.1

Server Uptime Monitor 2.3 (Key+Serial)

Skater .NET Obfuscator Freeware Light 1.70

SmartOutline 2007 3.0

Soft Calendar 1.0

SpamBlocker 2.3.3

SpeechExpert 1.05 [Cracked]

SQL Populator 1.0

StartUp 1.1

Stay Alive 1.01

Stereogram Explorer 2.4 build 241 (Cracked)

Strange Adventures in Infinite Space Even Stranger Adventures in Infinite Space mod

Success GCSE Spanish 1

SuperPro DayTripper 5.0 [Key]

SybaseRecovery 1.0.0729

Talking Time Keeper 17.4

Tamer Louis Biorhythm 1.0

TCP Spy .Net Standard 3.0.0.1

TcpSafe 1.0 [Crack]

Text Code Export 1

Text Scanner 2.0

The All Seeing Eye 1.9.8

The Seed Program 3.0

The Sydney Mystery 1.0

The Ultimate Math Practice Program 2.5.1

Thinking Digital Tipping System 2

Tidy Start Menu 3.2

TimeSliceX 2.8.1

Understand for Fortran 1.4 Build 375

Unreal Tournament 2003 - Panzer skin

Waiting For Sunset Wallpaper 1.0

WASP Test 1.0 With Crack

Ways to Make Money with a Digital Camera 1.0

Web Image Collector 2.1 [Key]

Velosecure 7.0

Venta4Net 1.8 [With Crack]

Verta 1.2

Wise Installation Express 7.0.0.760 With Crack

Wise Telnet and Serial Terminal Emulator (32-bit) 3.1.10 (Crack)

Visual Multitool 4.4

Wondershare PPT2Flash Professional 4.2.6 [serial]

Write Source 5.2.6

Xilisoft DVD Copy Express 1.1.22.0810

Z++ Visual and GUI Maker 2.0 [Key]

ZeeMapper 1.1 alpha

Zilch Standard 3.0

Zoom Activex Control 2.1 Cracked

 

 

 

Fast jag är inte säker på att det var precis efter jag tagit bort det i registret som filerna kom det kan ju ha varit tidigare. Men nu var det inga problem att ta bort mappen "m" med alla filerna.

 

 

 

 

 

På denna sidan: http://www.sophos.com/security/analyses/w32moolera.html

 

Så står detta: W32/Mooler-A is a peer to peer worm for the Windows platform.

 

W32/Mooler-A includes functionality to access the internet and communicate with a remote server via HTTP.

 

When first run, W32/Mooler-A copies itself to the following location:

 

\m\flec006.exe

 

The worm may create the following files:

 

\m\list.oct

\m\data.oct

\m\srvlist.oct

 

These files are text files and may be deleted.

 

W32/Mooler-A may also attempt to download and execute additional files.

 

W32/Mooler-A will attempt to copy itself to filesharing servers hosting eMule peer to peer services with a variety of names, including:

 

Registry_Doctor_1.0.czip

Registry_Drill_2.0.07.czip

Registry_Editor_2.5.czip

Registry_Errors_Fix_3.czip

Registry_Explorer_1.4.czip

Registry_Finder_1.czip

Registry_First_Aid_5.0.1_build_1153.czip

Registry_Fix_3.0.2.czip

Remora_USB_Disk_Guard_Pro_1.5.0.2.czip

Remora_USB_File_Guard_1.9.czip

Research_Labs_Face_Recognition_Library_1.0.czip

Research-Desk_Professional_2005.czip

ResearchPro_2.0.czip

ResEdit_1.2.czip

Reservation_ASP_3.2.czip

Reset_Local_Password_Pro_3.0.8.czip

Resident_Evil_3_Nemesis_demo.czip

Resident_Evil_Apocalypse_Trailer.czip

Residential_Real_Estate_Wholesaling_Course_1.2.czip

Residential_Transaction_Manager_1.00.02.czip

ResiGo_5.5.czip

Resistor_Calculator_7.0.czip

Resistor_Colourcode_Decoder_1.6.czip

Return_to_Castle_Wolfenstein_1.0.czip

Return_to_Castle_Wolfenstein_-_GOTY_map_pack.czip

Return_to_Castle_Wolfenstein_1.33_to_1.4_patch.czip

Return_to_Castle_Wolfenstein_1.41_patch.czip

 

W32/Mooler-A creates the following registry entry to run on system startup:

 

HKCU\Software\Microsoft\Windows\CurrentVersion\Run

mule_st_key

\m\flec006.exe

 

 

Så det verkar rätt troligt att jag har W32/Mooler-A.

 

 

Menade du i så fall att jag skulle ladda ner och installera BitDefender 8 Free Edition?

 

 

 

 

Jag har gjort en scan med GMER:

 

GMER 1.0.13.12551 - http://www.gmer.net

Rootkit scan 2007-09-09 22:02:51

Windows 5.1.2600 Service Pack 2

 

 

---- System - GMER 1.0.13 ----

 

SSDT sptd.sys ZwCreateKey

SSDT sptd.sys ZwEnumerateKey

SSDT sptd.sys ZwEnumerateValueKey

SSDT sptd.sys ZwOpenKey

SSDT sptd.sys ZwQueryKey

SSDT sptd.sys ZwQueryValueKey

SSDT sptd.sys ZwSetValueKey

 

INT 0x06 \??\C:\WINDOWS\system32\drivers\Haspnt.sys F693A16D

INT 0x0E \??\C:\WINDOWS\system32\drivers\Haspnt.sys F6939FC2

 

---- Kernel code sections - GMER 1.0.13 ----

 

? C:\WINDOWS\system32\drivers\sptd.sys Det går inte att komma åt filen eftersom den

används av en annan process.

.text USBPORT.SYS!DllUnload F69EA62C 5 Bytes JMP 86C771B8

? System32\Drivers\a3ar5rwe.SYS Det går inte att hitta filen.

 

---- Kernel IAT/EAT - GMER 1.0.13 ----

 

IAT \WINDOWS\System32\Drivers\SPTDDRV1.SYS[ntoskrnl.exe!IoConnectInterrupt] [F7557718] sptd.sys

IAT \WINDOWS\System32\Drivers\SPTDDRV1.SYS[ntoskrnl.exe!IofCompleteRequest] [F756C656] sptd.sys

IAT pci.sys[ntoskrnl.exe!IoDetachDevice] [F75576C4] sptd.sys

IAT pci.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F756D394] sptd.sys

IAT atapi.sys[ntoskrnl.exe!IoConnectInterrupt] [F7557718] sptd.sys

IAT atapi.sys[HAL.dll!READ_PORT_UCHAR] [F7547AB6] sptd.sys

IAT atapi.sys[HAL.dll!READ_PORT_BUFFER_USHORT] [F7547BEE] sptd.sys

IAT atapi.sys[HAL.dll!READ_PORT_USHORT] [F7547B76] sptd.sys

IAT atapi.sys[HAL.dll!WRITE_PORT_BUFFER_USHORT] [F754871C] sptd.sys

IAT atapi.sys[HAL.dll!WRITE_PORT_UCHAR] [F75485F2] sptd.sys

IAT disk.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F756D4E8] sptd.sys

IAT \SystemRoot\System32\DRIVERS\cdrom.sys[ntoskrnl.exe!IoAttachDeviceToDeviceStack] [F756D4E8] sptd.sys

 

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CREATE 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLOSE 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_READ 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_WRITE 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_INFORMATION 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_INFORMATION 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_EA 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_EA 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_FLUSH_BUFFERS 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_VOLUME_INFORMATION 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_VOLUME_INFORMATION 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_DIRECTORY_CONTROL 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_FILE_SYSTEM_CONTROL 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_DEVICE_CONTROL 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_SHUTDOWN 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_LOCK_CONTROL 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_CLEANUP 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_SECURITY 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_SECURITY 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_QUERY_QUOTA 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_SET_QUOTA 86FD01D8

Device \FileSystem\Ntfs \Ntfs IRP_MJ_PNP 86FD01D8

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CREATE 86BC41D8

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CLOSE 86BC41D8

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_READ 86BC41D8

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_WRITE 86BC41D8

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_INFORMATION 86BC41D8

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_INFORMATION 86BC41D8

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_EA 86BC41D8

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_EA 86BC41D8

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_FLUSH_BUFFERS 86BC41D8

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_QUERY_VOLUME_INFORMATION 86BC41D8

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SET_VOLUME_INFORMATION 86BC41D8

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_DIRECTORY_CONTROL 86BC41D8

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_FILE_SYSTEM_CONTROL 86BC41D8

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_DEVICE_CONTROL 86BC41D8

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_SHUTDOWN 86BC41D8

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_LOCK_CONTROL 86BC41D8

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_CLEANUP 86BC41D8

Device \FileSystem\Fastfat \FatCdrom IRP_MJ_PNP 86BC41D8

Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_CREATE 86D361D8

Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_CLOSE 86D361D8

Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_DEVICE_CONTROL 86D361D8

Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_INTERNAL_DEVICE_CONTROL 86D361D8

Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_POWER 86D361D8

Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_SYSTEM_CONTROL 86D361D8

Device \Driver\usbuhci \Device\USBPDO-0 IRP_MJ_PNP 86D361D8

Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_CREATE 86FD21D8

Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_CLOSE 86FD21D8

Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_READ 86FD21D8

Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_WRITE 86FD21D8

Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_FLUSH_BUFFERS 86FD21D8

Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_DEVICE_CONTROL 86FD21D8

Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_INTERNAL_DEVICE_CONTROL 86FD21D8

Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_SHUTDOWN 86FD21D8

Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_POWER 86FD21D8

Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_SYSTEM_CONTROL 86FD21D8

Device \Driver\dmio \Device\DmControl\DmIoDaemon IRP_MJ_PNP 86FD21D8

Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_CREATE 86FD21D8

Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_CLOSE 86FD21D8

Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_READ 86FD21D8

Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_WRITE 86FD21D8

Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_FLUSH_BUFFERS 86FD21D8

Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_DEVICE_CONTROL 86FD21D8

Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_INTERNAL_DEVICE_CONTROL 86FD21D8

Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_SHUTDOWN 86FD21D8

Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_POWER 86FD21D8

Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_SYSTEM_CONTROL 86FD21D8

Device \Driver\dmio \Device\DmControl\DmConfig IRP_MJ_PNP 86FD21D8

Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_CREATE 86FD21D8

Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_CLOSE 86FD21D8

Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_READ 86FD21D8

Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_WRITE 86FD21D8

Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_FLUSH_BUFFERS 86FD21D8

Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_DEVICE_CONTROL 86FD21D8

Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_INTERNAL_DEVICE_CONTROL 86FD21D8

Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_SHUTDOWN 86FD21D8

Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_POWER 86FD21D8

Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_SYSTEM_CONTROL 86FD21D8

Device \Driver\dmio \Device\DmControl\DmPnP IRP_MJ_PNP 86FD21D8

Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_CREATE 86FD21D8

Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_CLOSE 86FD21D8

Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_READ 86FD21D8

Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_WRITE 86FD21D8

Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_FLUSH_BUFFERS 86FD21D8

Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_DEVICE_CONTROL 86FD21D8

Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_INTERNAL_DEVICE_CONTROL 86FD21D8

Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_SHUTDOWN 86FD21D8

Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_POWER 86FD21D8

Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_SYSTEM_CONTROL 86FD21D8

Device \Driver\dmio \Device\DmControl\DmInfo IRP_MJ_PNP 86FD21D8

Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_CREATE 86D361D8

Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_CLOSE 86D361D8

Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_DEVICE_CONTROL 86D361D8

Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_INTERNAL_DEVICE_CONTROL 86D361D8

Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_POWER 86D361D8

Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_SYSTEM_CONTROL 86D361D8

Device \Driver\usbuhci \Device\USBPDO-1 IRP_MJ_PNP 86D361D8

Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_CREATE 86D361D8

Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_CLOSE 86D361D8

Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_DEVICE_CONTROL 86D361D8

Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_INTERNAL_DEVICE_CONTROL 86D361D8

Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_POWER 86D361D8

Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_SYSTEM_CONTROL 86D361D8

Device \Driver\usbuhci \Device\USBPDO-2 IRP_MJ_PNP 86D361D8

Device \Driver\usbuhci \Device\USBPDO-3 IRP_MJ_CREATE 86D361D8

Device \Driver\usbuhci \Device\USBPDO-3 IRP_MJ_CLOSE 86D361D8

Device \Driver\usbuhci \Device\USBPDO-3 IRP_MJ_DEVICE_CONTROL 86D361D8

Device \Driver\usbuhci \Device\USBPDO-3 IRP_MJ_INTERNAL_DEVICE_CONTROL 86D361D8

Device \Driver\usbuhci \Device\USBPDO-3 IRP_MJ_POWER 86D361D8

Device \Driver\usbuhci \Device\USBPDO-3 IRP_MJ_SYSTEM_CONTROL 86D361D8

Device \Driver\usbuhci \Device\USBPDO-3 IRP_MJ_PNP 86D361D8

Device \Driver\usbehci \Device\USBPDO-4 IRP_MJ_CREATE 86D24830

Device \Driver\usbehci \Device\USBPDO-4 IRP_MJ_CLOSE 86D24830

Device \Driver\usbehci \Device\USBPDO-4 IRP_MJ_DEVICE_CONTROL 86D24830

Device \Driver\usbehci \Device\USBPDO-4 IRP_MJ_INTERNAL_DEVICE_CONTROL 86D24830

Device \Driver\usbehci \Device\USBPDO-4 IRP_MJ_POWER 86D24830

Device \Driver\usbehci \Device\USBPDO-4 IRP_MJ_SYSTEM_CONTROL 86D24830

Device \Driver\usbehci \Device\USBPDO-4 IRP_MJ_PNP 86D24830

Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_CREATE 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_READ 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_WRITE 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_FLUSH_BUFFERS 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_DEVICE_CONTROL 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_INTERNAL_DEVICE_CONTROL 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_SHUTDOWN 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_CLEANUP 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_POWER 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_SYSTEM_CONTROL 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume1 IRP_MJ_PNP 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_CREATE 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_READ 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_WRITE 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_FLUSH_BUFFERS 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_DEVICE_CONTROL 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_INTERNAL_DEVICE_CONTROL 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_SHUTDOWN 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_CLEANUP 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_POWER 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_SYSTEM_CONTROL 86F681D8

Device \Driver\Ftdisk \Device\HarddiskVolume2 IRP_MJ_PNP

Link to comment
Share on other sites

 

det är ju märkligt för den mappen fanns ju inte när du körde combofix och denna mapp lär ju vara väldigt stor, eller?

kan du ta bort mappen

jag förstår inte vad som händer i din dator...

 

kolla om dom här har återkommit

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"mule_st_key"="C:\\Documents and Settings\\Andreas\\Application Data\\m\\flec006.exe"

 

[HKEY_LOCAL_MACHINE\system\ControlSet001\Services\srosa]

 

du behöver en brandvägg så försök med detta så kanske du kan installera sygate.

skriv in sfc /scannow i kör

Alla skyddade systemfiler söks igenom omedelbart, och felaktiga versioner ersätts med rätt Microsoft-versioner. Detta kommando kan kräva tillgång till källfilerna för Windows-installationen.

http://support.microsoft.com/kb/310747/sv

 

jag mena att du skulle gå hit

http://www.bitdefender.com/scan8/ie.html

http://www.kaspersky.com/virusscanner

 

Link to comment
Share on other sites

Allt verkar ha ordnat sig nu sen jag fick bort det i registret.

 

Det gick bra att ta bort mappen "m" manuellt nu. Den var ca 128mb tror jag.

 

Jag har installerat både AntiVir och Sygate.

 

Så viruset W32/Mooler-A verkar jag ha fått bort nu.

 

Men det går fortfarande inte att starta i felsäkert läge.

 

Jag kanske ändå får göra en ominstallation av windows.

 

Ska jag ta bort all text i det långa inlägget? Jag märker inte att det segar ner här direkt.

 

 

 

 

 

[inlägget ändrat 2007-09-09 22:36:14 av Megaman9]

Link to comment
Share on other sites

ok, det var nog combofix som är orsaken till att det går att installera nu för den tog tex bort ett rootkit

 

du kan inte redigera inlägg sedan nån svarat på det

 

du kan ju testa ta bort deamon tools för det var en fil från det programmet som stula sist när du testa felsäkert läge. å andra sidan dyker det väl upp nån ny problem fil efter den

 

[inlägget ändrat 2007-09-09 23:04:41 av 927]

Link to comment
Share on other sites

När jag scannar med antvir så hittar den virus i någon undermapp till denna mappen C:\qoobox. Det är nog som combofix eller något program har lagt i Quarantine. Ska jag välja Ignore då eller kan jag ta bort det?

 

Jag har tagit bort Deamon Tools nu men det står fortfarnade:

 

Press escape to cancel loadin SPTD.sys

 

Men jag har för miig att det har stått så förrut med när det fungerade. För det är ju efter det som den startar om så det har nog inget med det att göra. Fast det är ju konstigt att det är kvar fast jag har avinstallerat Deamon Tools. Om den nu tillhör det programmet.

 

Det enda problemet jag har nu verkar ju vara att det inte går att gå in i felsäkert läge.

 

Fast jag har ju ett gammalt problem med. Ibland när jag stänger av datorn så kommer det upp att ctfmon inte har avslutats så kan man välja att stänga av det eller vänta tills det gör det själv.

 

 

[inlägget ändrat 2007-09-09 23:43:58 av Megaman9]

Link to comment
Share on other sites

du kan ta bort den mappen

 

om du har avinstallerat DT borde du ju kunna ta bort sptd.sys men frågan är ju vad som är det egentliga problemet

http://forum.alcohol-soft.com/index.php?showtopic=23864

det är ju även möjligt att det du kan se egenskaper på sptd.sys att det är en DT fil

 

hmm.. googlar man på sptd.sys så får man träffar på DT och A 120 men jag har den filen och jag har aldrig installerat dessa program, inte heller kan jag få fram nåt mer via egenskaper

googla på sptd.sys safe mode så får du upp en hel del träffar som tex dessa

http://forum.alcohol-soft.com/lofiversion/index.php?t23864.html

http://www.duplexsecure.com/faq/

 

[inlägget ändrat 2007-09-10 02:54:46 av 927]

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...