Elak virus atackerar system!

[Denan Muratovic]

Snälla någon hjälp mig!!!!!

När jag väljer egenskaper på skärmen får jag följnde text'Åtgärden har avbrutits på grund av begränsningar i datorn. Kontakta systemadministratören.'

 

Här är logen:

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 11:22:31, on 2007-12-01

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.exe

C:\Program\MessengerPlus! 3\MsgPlus.exe

C:\Program\Symantec AntiVirus\DefWatch.exe

C:\WINDOWS\system32\slserv.exe

C:\Program\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\Program\Symantec AntiVirus\Rtvscan.exe

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\Program\SYMANT~1\VPTray.exe

C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Documents and Settings\Denan\Application Data\62429.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\proper.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {D27987B8-7244-4DE0-AE10-39B826B492F1} - C:\WINDOWS\system32\bronto.dll (file missing)

O4 - HKLM\..\Run: [MessengerPlus3] 'C:\Program\MessengerPlus! 3\MsgPlus.exe'

O4 - HKLM\..\Run: [NVMixerTray] 'C:\Program\NVIDIA Corporation\NvMixer\NVMixerTray.exe'

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] 'C:\Program\Delade filer\Symantec Shared\ccApp.exe'

O4 - HKLM\..\Run: [vptray] C:\Program\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [undefined] C:\WINDOWS\system32\winter.exe

O4 - HKCU\..\Run: [updateMgr] C:\Program\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [undefined] C:\WINDOWS\system32\winter.exe

O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] 'C:\Program\MSN Messenger\MsnMsgr.Exe' /background (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y '%SystemRoot%\System32\syssetub.dll' '%SystemRoot%\System32\syssetup.dll' (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [MsnMsgr] 'C:\Program\MSN Messenger\MsnMsgr.Exe' /background (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y '%SystemRoot%\System32\syssetub.dll' '%SystemRoot%\System32\syssetup.dll' (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [MsnMsgr] 'C:\Program\MSN Messenger\MsnMsgr.Exe' /background (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y '%SystemRoot%\System32\syssetub.dll' '%SystemRoot%\System32\syssetup.dll' (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [MsnMsgr] 'C:\Program\MSN Messenger\MsnMsgr.Exe' /background (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y '%SystemRoot%\System32\syssetub.dll' '%SystemRoot%\System32\syssetup.dll' (User 'Default user')

O4 - Startup: infos.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: autos.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {1ED48504-8834-11D5-AC75-0008C73FD642} (ProductView Express) - file://G:\ProEng\i486_nt\obj\pvx_install.exe

O20 - AppInit_DLLs: C:\WINDOWS\system32\append.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Program\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program\Symantec AntiVirus\DefWatch.exe

O23 - Service: Groove Installer Service (GrooveInstallerService) - Groove Networks, Inc. - C:\Program\Groove Networks\Groove\Bin\GrooveInstallerService.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program\Symantec AntiVirus\SavRoam.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program\Symantec AntiVirus\Rtvscan.exe

 

--

End of file - 5593 bytes

 

 

 

[Cecilia]

Vad har SUPERAntiSpyware hittat för något?

 

Ladda ner ComboFix till Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Kör den och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på Combofix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, klistra in den här, samt en ny HijackThis-logg.

 

[Denan Muratovic]

Jag har laddat när combofix

och kört det i 20 min. men ingeting händer- på combofixfönstret står det bara please wait, Är det nåt som är fel?

 

[Cecilia]

Ladda ner SDFix till Skrivbordet:

http://downloads.andymanchesta.com/RemovalTools/SDFix.exe

Dubbelklicka på SDFix.exe och en ny mapp skapas, C:\SDFix.

 

Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Öppna den nya mappen C:\SDFix och dubbelklicka på RunThis.bat för att starta programmet.

Tryck Y för att fortsätta.

Det arbetar ett tag och när det är klart så kommer det upp en fråga om du vill starta om datorn.

Tryck på godtycklig tangent för att omstarten ska påbörjas.

Datorn kommer att ta lång tid på sig under uppstarten eftersom programmet kommer att gå igång och fixa till en massa.

När det är klart visas Finished.

Tryck på valfri tangent för att avsluta programmet.

 

Öppna mappen SDFix och öppna filen Report.txt i Anteckningar.

Klistra in innehållet i filen i ditt svar här.

Försök med ComboFix igen.

 

Om det fortfarande inte fungerar med ComboFix så starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn) och försök där.

 

Hur var det med SUPERAntiSpyware?

 

[Denan Muratovic]

Jag har försäkt igen med combofix i felsäkert läge och efter 30 min. ingeting hände.

 

Superantispyware har hittat några adware och spyware.

 

 

SDFix: Version 1.112

 

Run by Azra on 2007-12-01 at 14:31

 

Microsoft Windows XP [Version 5.1.2600]

 

Running From: C:\SDFix

 

Safe Mode:

Checking Services:

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

No Trojan Files Found

 

 

 

 

Removing Temp Files...

 

ADS Check:

 

C:\WINDOWS

No streams found.

 

C:\WINDOWS\system32

No streams found.

 

C:\WINDOWS\system32\svchost.exe

No streams found.

 

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

 

 

 

Final Check:

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

'%windir%\\system32\\sessmgr.exe'='%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019'

'G:\\ProEng\\i486_nt\\obj\\pro_comm_msg.exe'='G:\\ProEng\\i486_nt\\obj\\pro_comm_msg.exe:*:Enabled:pro_comm_msg'

'G:\\ProEng\\i486_nt\\obj\\xtop.exe'='G:\\ProEng\\i486_nt\\obj\\xtop.exe:*:Enabled:xtop'

'G:\\ProEng\\i486_nt\\nms\\nmsd.exe'='G:\\ProEng\\i486_nt\\nms\\nmsd.exe:*:Enabled:nmsd'

'%windir%\\system32\\winav.exe'='%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019'

'C:\\WINDOWS\\noskrnl.exe'='C:\\WINDOWS\\noskrnl.exe:*:Enabled:enable'

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

'%windir%\\system32\\sessmgr.exe'='%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019'

'%windir%\\system32\\winav.exe'='%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019'

 

Remaining Files:

---------------

catchme 0.3.1160 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-12-01 14:43:52

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

 

 

Files with Hidden Attributes:

 

Sat 8 Sep 2007 541,093 ..SH. --- 'C:\WINDOWS\twvxxx.tmp'

Wed 17 Aug 2005 1,694,208 ..SH. --- 'C:\Program\Messenger\msmsgs.exe'

Wed 17 Aug 2005 18,463 A.SH. --- 'C:\Program\Windows Media Player\mplayer2.exe'

Wed 17 Aug 2005 73,728 A.SH. --- 'C:\Program\Windows Media Player\wmplayer.exe'

 

Finished!

 

 

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 15:37:11, on 2007-12-01

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Symantec AntiVirus\DefWatch.exe

C:\WINDOWS\system32\slserv.exe

C:\Program\Symantec AntiVirus\Rtvscan.exe

C:\WINDOWS\Explorer.exe

C:\Program\MessengerPlus! 3\MsgPlus.exe

C:\Program\NVIDIA Corporation\NvMixer\NVMixerTray.exe

C:\WINDOWS\system32\proper.exe

C:\Program\Delade filer\Symantec Shared\ccApp.exe

C:\Program\SYMANT~1\VPTray.exe

C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Documents and Settings\Denan\Application Data\61424.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

F2 - REG:system.ini: Shell=Explorer.exe C:\WINDOWS\system32\proper.exe

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {D27987B8-7244-4DE0-AE10-39B826B492F1} - C:\WINDOWS\system32\bronto.dll (file missing)

O4 - HKLM\..\Run: [MessengerPlus3] 'C:\Program\MessengerPlus! 3\MsgPlus.exe'

O4 - HKLM\..\Run: [NVMixerTray] 'C:\Program\NVIDIA Corporation\NvMixer\NVMixerTray.exe'

O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe

O4 - HKLM\..\Run: [ccApp] 'C:\Program\Delade filer\Symantec Shared\ccApp.exe'

O4 - HKLM\..\Run: [vptray] C:\Program\SYMANT~1\VPTray.exe

O4 - HKLM\..\Run: [undefined] C:\WINDOWS\system32\winter.exe

O4 - HKLM\..\Run: [combofix] &amp

O4 - HKCU\..\Run: [updateMgr] C:\Program\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe AcRdB7_0_9

O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe

O4 - HKCU\..\Run: [undefined] C:\WINDOWS\system32\winter.exe

O4 - HKUS\S-1-5-19\..\Run: [MsnMsgr] 'C:\Program\MSN Messenger\MsnMsgr.Exe' /background (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\RunOnce: [nlsf] cmd.exe /C move /Y '%SystemRoot%\System32\syssetub.dll' '%SystemRoot%\System32\syssetup.dll' (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [MsnMsgr] 'C:\Program\MSN Messenger\MsnMsgr.Exe' /background (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-20\..\RunOnce: [nlsf] cmd.exe /C move /Y '%SystemRoot%\System32\syssetub.dll' '%SystemRoot%\System32\syssetup.dll' (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [MsnMsgr] 'C:\Program\MSN Messenger\MsnMsgr.Exe' /background (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\RunOnce: [nlsf] cmd.exe /C move /Y '%SystemRoot%\System32\syssetub.dll' '%SystemRoot%\System32\syssetup.dll' (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [MsnMsgr] 'C:\Program\MSN Messenger\MsnMsgr.Exe' /background (User 'Default user')

O4 - HKUS\.DEFAULT\..\RunOnce: [nlsf] cmd.exe /C move /Y '%SystemRoot%\System32\syssetub.dll' '%SystemRoot%\System32\syssetup.dll' (User 'Default user')

O4 - Startup: infos.exe

O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program\Adobe\Acrobat 7.0\Reader\reader_sl.exe

O4 - Global Startup: autos.exe

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O7 - HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System, DisableRegedit=1

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {1ED48504-8834-11D5-AC75-0008C73FD642} (ProductView Express) - file://G:\ProEng\i486_nt\obj\pvx_install.exe

O20 - AppInit_DLLs: C:\WINDOWS\system32\append.dll

O20 - Winlogon Notify: !SASWinLogon - C:\Program\SUPERAntiSpyware\SASWINLO.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation (ccPwdSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccPwdSvc.exe

O23 - Service: Symantec Settings Manager (ccSetMgr) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe

O23 - Service: Symantec AntiVirus Definition Watcher (DefWatch) - Symantec Corporation - C:\Program\Symantec AntiVirus\DefWatch.exe

O23 - Service: Groove Installer Service (GrooveInstallerService) - Groove Networks, Inc. - C:\Program\Groove Networks\Groove\Bin\GrooveInstallerService.exe

O23 - Service: SAVRoam (SavRoam) - symantec - C:\Program\Symantec AntiVirus\SavRoam.exe

O23 - Service: SmartLinkService (SLService) - Smart Link - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe

O23 - Service: Symantec SPBBCSvc (SPBBCSvc) - Symantec Corporation - C:\Program\Delade filer\Symantec Shared\SPBBC\SPBBCSvc.exe

O23 - Service: Symantec AntiVirus - Symantec Corporation - C:\Program\Symantec AntiVirus\Rtvscan.exe

 

--

End of file - 5657 bytes

 

 

[Cecilia]

Gå till http://www.virustotal.com/ klistra in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen samt File size här. Upprepa med nästa filnamn.

%windir%\\system32\\winav.exe

C:\WINDOWS\twvxxx.tmp

C:\WINDOWS\system32\proper.exe

C:\WINDOWS\system32\winter.exe

 

Ladda ner Deckard's System Scanner till Skrivbordet.

http://www.techsupportforum.com/sectools/Deckard/dss.exe

 

Avsluta alla program.

Kör programmet och följ anvisningarna som visas.

När det är klart så skapas två loggfiler, main.txt och extra.txt i samma mapp som skannern ligger i. Klistra in dem här.

 

Programmet kommer bland annat att tömma Papperskorgarna och mappar för tillfälliga filer i datorn.

 

[927]

 

SDFix: Version 1.112 = gammal version

 

 

[Cecilia]

Jaha, ta bort den SDFix du har Denan, och ladda ner som jag skrev.

 

[Denan Muratovic]

 

Här är nya logen:

 

SDFix: Version 1.116

 

Run by Azra on 2007-12-01 at 20:29

 

Microsoft Windows XP [Version 5.1.2600]

 

Running From: C:\SDFix

 

Safe Mode:

Checking Services:

 

 

Restoring Windows Registry Values

Restoring Windows Default Hosts File

 

Rebooting...

 

 

Normal Mode:

Checking Files:

 

Trojan Files Found:

 

C:\WINDOWS\mrofinu27.exe - Deleted

C:\WINDOWS\system32\syslodr.exe - Deleted

 

 

 

 

Removing Temp Files...

 

ADS Check:

 

C:\WINDOWS

No streams found.

 

C:\WINDOWS\system32

No streams found.

 

C:\WINDOWS\system32\svchost.exe

No streams found.

 

C:\WINDOWS\system32\ntoskrnl.exe

No streams found.

 

 

 

Final Check:

 

catchme 0.3.1262.1 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2007-12-01 20:34:11

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden services &amp system hive ...

 

scanning hidden registry entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden processes: 0

hidden services: 0

hidden files: 0

 

 

Remaining Services:

------------------

 

 

 

Authorized Application Key Export:

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\standardprofile\authorizedapplications\list]

'%windir%\\system32\\sessmgr.exe'='%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019'

'G:\\ProEng\\i486_nt\\obj\\pro_comm_msg.exe'='G:\\ProEng\\i486_nt\\obj\\pro_comm_msg.exe:*:Enabled:pro_comm_msg'

'G:\\ProEng\\i486_nt\\obj\\xtop.exe'='G:\\ProEng\\i486_nt\\obj\\xtop.exe:*:Enabled:xtop'

'G:\\ProEng\\i486_nt\\nms\\nmsd.exe'='G:\\ProEng\\i486_nt\\nms\\nmsd.exe:*:Enabled:nmsd'

'%windir%\\system32\\winav.exe'='%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019'

'C:\\WINDOWS\\noskrnl.exe'='C:\\WINDOWS\\noskrnl.exe:*:Enabled:enable'

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\services\sharedaccess\parameters\firewallpolicy\domainprofile\authorizedapplications\list]

'%windir%\\system32\\sessmgr.exe'='%windir%\\system32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019'

'%windir%\\system32\\winav.exe'='%windir%\\system32\\winav.exe:*:Enabled:@xpsp2res.dll,-22019'

 

Remaining Files:

---------------

 

File Backups: - C:\SDFix\backups\backups.zip

 

Files with Hidden Attributes:

 

Sat 8 Sep 2007 541,093 ..SH. --- 'C:\WINDOWS\twvxxx.tmp'

Wed 17 Aug 2005 1,694,208 ..SH. --- 'C:\Program\Messenger\msmsgs.exe'

Wed 17 Aug 2005 18,463 A.SH. --- 'C:\Program\Windows Media Player\mplayer2.exe'

Wed 17 Aug 2005 73,728 A.SH. --- 'C:\Program\Windows Media Player\wmplayer.exe'

 

Finished!

 

 

[Cecilia]

Ja, det verkar vara mycket otrevliga saker du att i datorn. En stänger av Windows-brandväggen ser det ut som och försöker stänga av olika Symantec/Norton-program. Detta gör att den kan öppna upp datorn mot internet så att andra kan komma åt datorn och använda den t ex för at skicka spam. Den har också rootkit-egenskaper som innebär att den kan gömma sig för olika program vilket gör den svår att få bort.

Med tanke på vad Symantec resp TrendMicro skriver på http://www.symantec.com/security_response/writeup.jsp?docid=2007-103120-0804-99&amptabid=2

http://www.trendmicro.com/vinfo/virusencyclo/default5.asp?VName=WORM%5FNUWAR%2EARI

så tror jag att det bästa vore om du kunde installera om datorn.

 

[Denan Muratovic]

Cecilia, tack så mycket för hjälpen. Nu vet jag i alla fall vad måste göras.

 

Mvh: Denan