Virus eller Intrång eller VAD????????????????????

[Amazonite]

Har precis formaterat min dator(gått 2 dagar). Har McAfee 2008, XoftSpy och Ad-Aware 2008 så jag tycker att jag har tillräckligt med säkerhet. Uppkopplad via kabel till internet med Brandvägg o allt. Har sökt igenom datorn efter trojaner, virus o liknanade.

Ändå så dyker det upp sidor av sig själv när jag surfar t.o.m. på google. Som reklam nästan...
Sidorna som dyker upp är:
www.c5.zedo.com
www.wixawin.com
www.w3.org
www.media2.mediafileshost.com
www.hopelessromantic.com
OCH
www.se.celldorado.com

Det e störande när de bara ploppar fram och jag känner mig som om jag har för dålig säkerhet...

[927]

dessa program har inte nån speciellt bra detektion och är ditt problem vundo så är det extra svårt för säkerhetsprogrammen då det skapas massor av nya filer av detta problem varje vecka. scanna datorn två grr med ett problem som heter malwarebytes antimalware så får vi se

[mariusgrimstad]

Är du en helårs-prenumerant på pc för alla??  Isåfall kan du ju ladda hem mycket bättre säkerhet än dom du skrev  här:    http://www.pfatjanster.idg.se/erbjudande.asp

 

Annars kan du ju ladda hem en gratis test-version på tre månader och sedan tex. använda koderna som man brukar få med tidningarna pc för alla  här:  http://www.f-secure.se

 

 

MVH Marius

[mariusgrimstad]

Men ja, det är troligast en adware eller virus eller likn...

 

MVH Marius

[Amazonite]

Mer än 50% var Vundo Trojaner...
Tog bort alla och ska söka igenom datorn igen eftersom 927 sa det och för att problemet kvarstår.

[Amazonite]

Sökte igenom datorn en andra gång och fick upp 3 vundo trojaner till. Problemet kvarstår då www.wixawin.com dyker upp dessutom börjar andra sidor som jag inte sett tidigare att dyka upp!!!

[927]

uppdatera programmet och gör en snabb scan en tredje gång, posta den loggen och efter det en hijackthis logg.
spara HJTInstall.exe på skrivbordet >klicka på filen >välj install och klicka på: "do a system scan and save logfile".
posta den loggen från txt filen som visas då.

[Amazonite]

Kan du förklara en gång till så att jag förstår???
Posta loggen VART???
Vart ska jag hitta HJTInstall.exe för att sedan spara den på skrivbordet????

[927]

tex här http://download.bleepingcomputer.com/hijackthis/HJTInstall.exe

här i forumet postar du loggarna

[Amazonite]

Sidorna fortsätter att ploppa upp som om jag inte tagit bort några Trojaner!!!


Efter den 3:e sökningen:
Malwarebytes' Anti-Malware 1.19
Databasversion: 918
Windows 5.1.2600 Service Pack 3

00:11:50 2008-07-04
mbam-log-7-4-2008 (00-11-46).txt

Skanningstyp: Fullständig skanning (C:\|)
Antal skannade objekt: 90118
Förfluten tid: 40 minute(s), 45 second(s)

Infekterade minnesprocesser: 0
Infekterade minnesmoduler: 0
Infekterade registernycklar: 1
Infekterade registervärden: 0
Infekterade registerdataposter: 0
Infekterade mappar: 0
Infekterade filer: 0

Infekterade minnesprocesser:
(Inga illasinnade poster hittades)

Infekterade minnesmoduler:
(Inga illasinnade poster hittades)

Infekterade registernycklar:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> No action taken.

Infekterade registervärden:
(Inga illasinnade poster hittades)

Infekterade registerdataposter:
(Inga illasinnade poster hittades)

Infekterade mappar:
(Inga illasinnade poster hittades)

Infekterade filer:
(Inga illasinnade poster hittades)

Hijackthis:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:13:23, on 2008-07-04
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program\McAfee.com\Agent\mcagent.exe
C:\Program\SiteAdvisor\6261\SiteAdv.exe
C:\Program\Nero\Nero8\InCD\NBHGui.exe
C:\Program\Nero\Nero8\InCD\InCD.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program\Executive Software\Diskeeper\DkService.exe
C:\Program\Nero\Nero8\InCD\InCDsrv.exe
C:\Program\McAfee\MSC\mcmscsvc.exe
c:\program\DELADE~1\mcafee\mna\mcnasvc.exe
c:\program\DELADE~1\mcafee\mcproxy\mcproxy.exe
C:\Program\McAfee\VIRUSS~1\mcshield.exe
C:\Program\McAfee\MPF\MPFSrv.exe
C:\Program\McAfee\MSK\MskSrver.exe
C:\Program\Nero\Nero8\InCD\NBHRegInCDSrv.exe
C:\WINDOWS\system32\NMSSvc.exe
C:\Program\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program\McAfee\VIRUSS~1\mcsysmon.exe
C:\Documents and Settings\Fam. Roumi\Skrivbord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.se
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.se
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.se
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program\BitComet\tools\BitCometBHO_1.2.2.28.dll
O2 - BHO: {737063af-0aa6-4e8a-6d04-83b25705e4c6} - {6c4e5075-2b38-40d6-a8e4-6aa0fa360737} - C:\WINDOWS\system32\ywrkoi.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] C:\Program\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [mcagent_exe] C:\Program\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [siteAdvisor] "C:\Program\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [McENUI] C:\Program\McAfee\MHN\McENUI.exe /hide
O4 - HKLM\..\Run: [securDisc] C:\Program\Nero\Nero8\InCD\NBHGui.exe
O4 - HKLM\..\Run: [inCD] C:\Program\Nero\Nero8\InCD\InCD.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1215007888156
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program\Executive Software\Diskeeper\DkService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\Program\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program\DELADE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\Program\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\program\DELADE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Program\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\Program\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program\McAfee\MSK\MskSrver.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - C:\Program\Nero\Nero8\InCD\NBHRegInCDSrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program\Delade filer\Nero\Lib\NMIndexingService.exe
O23 - Service: Intel® NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe
O23 - Service: SiteAdvisor Service - Unknown owner - C:\Program\SiteAdvisor\6261\SAService.exe

--
End of file - 7113 bytes

[Amazonite]

Efter att det har har fixat sig om det någon gång gör det så HUR KAN JAG UNDVIKA TROJANEN VUNDO???
Jag hade knappt använt datorn 2 dagar efter formateringen när det blev så...

[927]

kan du gå hit
http://uploads.malwarebytes.org/
och skicka upp den här filen
C:\WINDOWS\system32\ywrkoi.dll
antingen kopierar du in hela sökvägen eller klickar på bläddra och manuellt söker upp filen.
sen klickar du på upload.

starta om i felsäkert läge och ta bort
C:\WINDOWS\system32\ywrkoi.dll

gör en ny scan med HJT och då ser du antagligen den här raden
O2 - BHO: {737063af-0aa6-4e8a-6d04-83b25705e4c6} - {6c4e5075-2b38-40d6-a8e4-6aa0fa360737} - C:\WINDOWS\system32\ywrkoi.dll (file missing)

då sätter du en bock i rutan och klickar på knappen fix checked

det är nåt du hämtat från nätet som innehöll detta problem, vad vet jag inte

[Amazonite]

Hur visste du att det var den filen???

[Amazonite]

Tog bort filen men kunde inte hitta den med HJT...
Sidorna fortsätter att ploppa upp...
Vet inte om jag startade datorn i felsäkert läge; jag gjorde genom "msconfig".

Kan inte hitta filen så att jag kan "FIX", du kan leta...

Här är loggfilen:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 11:57:57, on 2008-07-04
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program\McAfee.com\Agent\mcagent.exe
C:\Program\SiteAdvisor\6261\SiteAdv.exe
C:\Program\Nero\Nero8\InCD\NBHGui.exe
C:\Program\Nero\Nero8\InCD\InCD.exe
C:\Program\Java\jre1.6.0_06\bin\jusched.exe
C:\Program\CyberLink\PowerDVD8\PDVD8Serv.exe
C:\WINDOWS\system32\PROMon.exe
C:\Program\Delade filer\Logitech\QCDriver\LVCOMS.EXE
C:\Program\Logitech\ImageStudio\LogiTray.exe
C:\Program\Cyberlink\Shared Files\brs.exe
C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program\ATI Technologies\ATI.ACE\cli.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program\Delade filer\Nero\Lib\NMIndexStoreSvr.exe
C:\Program\DAEMON Tools Lite\daemon.exe
C:\Program\Executive Software\Diskeeper\DkService.exe
C:\Program\Nero\Nero8\InCD\InCDsrv.exe
C:\Program\McAfee\MSC\mcmscsvc.exe
C:\Program\Sony Corporation\Picture Package\Picture Package Menu\SonyTray.exe
C:\Program\Sony Corporation\Picture Package\Picture Package Applications\Residence.exe
c:\program\DELADE~1\mcafee\mna\mcnasvc.exe
c:\program\DELADE~1\mcafee\mcproxy\mcproxy.exe
C:\Program\McAfee\VIRUSS~1\mcshield.exe
C:\Program\McAfee\MPF\MPFSrv.exe
C:\Program\McAfee\MSK\MskSrver.exe
C:\Program\Nero\Nero8\InCD\NBHRegInCDSrv.exe
C:\WINDOWS\system32\NMSSvc.exe
C:\Program\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\Program\Delade filer\Nero\Lib\NMIndexingService.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program\ATI Technologies\ATI.ACE\cli.exe
C:\Program\ATI Technologies\ATI.ACE\cli.exe
C:\Program\McAfee\VIRUSS~1\mcsysmon.exe
C:\Documents and Settings\Fam. Roumi\Skrivbord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.se
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.se
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.se
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.se
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {558b0849-abcc-c278-24b4-a12581eab3eb} - {be3bae18-521a-4b42-872c-ccba9480b855} - C:\WINDOWS\system32\cwcpfj.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] C:\Program\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [mcagent_exe] C:\Program\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [siteAdvisor] "C:\Program\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [McENUI] C:\Program\McAfee\MHN\McENUI.exe /hide
O4 - HKLM\..\Run: [securDisc] C:\Program\Nero\Nero8\InCD\NBHGui.exe
O4 - HKLM\..\Run: [inCD] C:\Program\Nero\Nero8\InCD\InCD.exe
O4 - HKLM\..\Run: [Windows Logon Applicationedc] C:\Documents and Settings\Fam. Roumi\winlogon.exe
O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre1.6.0_06\bin\jusched.exe"
O4 - HKLM\..\Run: [RemoteControl8] C:\Program\CyberLink\PowerDVD8\PDVD8Serv.exe
O4 - HKLM\..\Run: [RealTray] C:\Program\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [PROMon.exe] PROMon.exe
O4 - HKLM\..\Run: [PDVD8LanguageShortcut] C:\Program\CyberLink\PowerDVD8\Language\Language.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program\Delade filer\Nero\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program\Delade filer\Logitech\QCDriver\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [Jet Detection] C:\Program\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [DiskeeperSystray] "C:\Program\Executive Software\Diskeeper\DkIcon.exe"
O4 - HKLM\..\Run: [bDRegion] C:\Program\Cyberlink\Shared Files\brs.exe
O4 - HKLM\..\Run: [b800a5ce] rundll32.exe "C:\WINDOWS\system32\ruyeguqo.dll",b
O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [ATICCC] "C:\Program\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [LaunchList] C:\Program\Pinnacle\Studio 11\LaunchList2.exe
O4 - HKCU\..\Run: [JustVoip] "C:\Program\JustVoip.com\JustVoip\JustVoip.exe" -nosplash -minimized
O4 - HKCU\..\Run: [indxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program\Delade filer\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program\DAEMON Tools Lite\daemon.exe" -autorun
O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] WinSpooler.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - Global Startup: Picture Package Menu.lnk = ?
O4 - Global Startup: Picture Package VCD Maker.lnk = ?
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1215007888156
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program\Executive Software\Diskeeper\DkService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\Program\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program\DELADE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\Program\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\program\DELADE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Program\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\Program\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program\McAfee\MSK\MskSrver.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - C:\Program\Nero\Nero8\InCD\NBHRegInCDSrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program\Delade filer\Nero\Lib\NMIndexingService.exe
O23 - Service: Intel® NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe
O23 - Service: SiteAdvisor Service - Unknown owner - C:\Program\SiteAdvisor\6261\SAService.exe

--
End of file - 9347 bytes

[927]

nu ser det värre ut, det är två trojaner som startar med windows som inte fanns i förra hjt loggen. vad är det som händer??

scanna igen med mbam, starta om, posta mbaw loggen och en ny hjt logg

[Amazonite]

Jag kom på att jag raderade HJT och det tror jag är anledningen till att när jag sökte med HJT igen så hittade jag inte ywrkoi.ddl i scanningen för att "fix"!!!

När du säger starta om ska jag starta om i felsäkert läge???

[927]

nej, omstart till felsäkert läge görs bara du man manuelt ska ta bort filer som används av windows/program (vilket dom förhoppningsvis inte gör i felsäkert läge)

du kan välja snabb scann varje gång med mbaw

du förstår nog inte vad jag menar, när det tillkommer mera skräp i en hjt så tyder ju på att någon användare skapat nya problem sedan förra loggen. antagligen via filer som hämtats via bitcomet

[Amazonite]

1. Just nu är jag inte hemma men vi får se sen på måndag-tisdag.
2. Jag har precis formaterat datorn så jag kan lova dig att jag bara har installerat Bitcomet.
3. Filen ywrkoi.ddl som jag tog bort, hur ska jag få tillbaka den?? Läs tidigare inlägg av mig
4. Hur ser du vad som är trojaner/farliga filer i HJT-Loggen???

[927]

1. när du kommer hem så uppdaterar du mbam och gör en scan, se till att du väljer remove selected. starta om, posta den loggen (som finns under logs när du öppnar mbam) och en gör en ny hjt logg som du oxå kopierar in här


2. det är ju massor av program som är installerade, du har inte använt symantec ghost eller nåt liknade program när du installera windows igen? då flyttas ju även ev problem som fanns innan du formatera

3. det är en malware fil så den ska vara borta (fast nu är den ersatt av andra/nya malware filer)

4. vad ska jag svara på det, kunskap

[Amazonite]

Jag har tagit bort skadliga filer varje gång jag har sökt med MBAM men det HJÄLPER INTE!!!
På de andra loggarna stod det No Action Taken för att jag sparade loggen innan jag tog bort de skadliga filerna. Nu har jag gjort så att DU SER att jag verkligen har tagit bort.

Malwarebytes' Anti-Malware 1.19
Databasversion: 930
Windows 5.1.2600 Service Pack 3

00:18:43 2008-07-08
mbam-log-7-8-2008 (00-18-43).txt

Skanningstyp: Fullständig skanning (C:\|)
Antal skannade objekt: 71947
Förfluten tid: 33 minute(s), 51 second(s)

Infekterade minnesprocesser: 0
Infekterade minnesmoduler: 0
Infekterade registernycklar: 1
Infekterade registervärden: 0
Infekterade registerdataposter: 0
Infekterade mappar: 0
Infekterade filer: 0

Infekterade minnesprocesser:
(Inga illasinnade poster hittades)

Infekterade minnesmoduler:
(Inga illasinnade poster hittades)

Infekterade registernycklar:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\MS Juan (Malware.Trace) -> Quarantined and deleted successfully.

Infekterade registervärden:
(Inga illasinnade poster hittades)

Infekterade registerdataposter:
(Inga illasinnade poster hittades)

Infekterade mappar:
(Inga illasinnade poster hittades)

Infekterade filer:
(Inga illasinnade poster hittades)



Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:20:40, on 2008-07-08
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program\McAfee.com\Agent\mcagent.exe
C:\Program\SiteAdvisor\6261\SiteAdv.exe
C:\Program\Nero\Nero8\InCD\NBHGui.exe
C:\Program\Nero\Nero8\InCD\InCD.exe
C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program\Executive Software\Diskeeper\DkService.exe
C:\Program\Nero\Nero8\InCD\InCDsrv.exe
C:\Program\McAfee\MSC\mcmscsvc.exe
c:\program\DELADE~1\mcafee\mna\mcnasvc.exe
c:\program\DELADE~1\mcafee\mcproxy\mcproxy.exe
C:\Program\McAfee\VIRUSS~1\mcshield.exe
C:\Program\McAfee\MPF\MPFSrv.exe
C:\Program\McAfee\MSK\MskSrver.exe
C:\Program\Nero\Nero8\InCD\NBHRegInCDSrv.exe
C:\WINDOWS\system32\NMSSvc.exe
C:\Program\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program\McAfee\VIRUSS~1\mcsysmon.exe
C:\Documents and Settings\Fam. Roumi\Skrivbord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.se
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.se
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.se
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {558b0849-abcc-c278-24b4-a12581eab3eb} - {be3bae18-521a-4b42-872c-ccba9480b855} - C:\WINDOWS\system32\cwcpfj.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] C:\Program\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [mcagent_exe] C:\Program\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [siteAdvisor] "C:\Program\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [McENUI] C:\Program\McAfee\MHN\McENUI.exe /hide
O4 - HKLM\..\Run: [securDisc] C:\Program\Nero\Nero8\InCD\NBHGui.exe
O4 - HKLM\..\Run: [inCD] C:\Program\Nero\Nero8\InCD\InCD.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] WinSpooler.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1215007888156
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program\Executive Software\Diskeeper\DkService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\Program\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program\DELADE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\Program\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\program\DELADE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Program\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\Program\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program\McAfee\MSK\MskSrver.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - C:\Program\Nero\Nero8\InCD\NBHRegInCDSrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program\Delade filer\Nero\Lib\NMIndexingService.exe
O23 - Service: Intel® NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe
O23 - Service: SiteAdvisor Service - Unknown owner - C:\Program\SiteAdvisor\6261\SAService.exe

--
End of file - 6807 bytes

[927]

problemet är att mbam hissar en(?) fil varje gång eller att det tar bort allt men att något återskapar problemet igen. om det är det senare så går man kolla djupare med ett annat program

starta om i felsäkert läge och ta bort dessa filer via utforskaren
c:\windows\system32\winspooler.exe*
C:\Documents and Settings\Fam. Roumi\winlogon.exe*
C:\WINDOWS\system32\cwcpfj.dll
(* = inte säkert att dessa filer finns)

starta om normalt och posta en ny hjt logg

[Levnadskonstnär]

Hej Amazonite och alla som hjälper oss med datorproblem.
Jag har själv varit i samma situation som du Amazonite och jag blev inte av med problemet fast jag skickade loggar till höger och vänster och till detta forum.

Jag hade lyckligtvis gjort en "image fil" av hela datorn med "Acronis" så det fixade sig på några minuter.

Nu har jag en enkel fråga till PC för allas support om det inte skulle vara möjligt att ni lärde oss amatörere hur man skapar och tyder en sån där logg och att vi på så vis kan hjälpa oss själva. Det vore väl något för PC för alla att erbjuda sina läsare.

Jag tänker på mannen som bad en fiskare om några fiskar då han inte hade ätit på några dagar men fick till svar att jag ger dig ett metspö så kan du fiska dina egna fiskar i ställer för att tigga.Ni förstår säkert liknelsen.

Hoppas det ordnar sig för dig och du får väl göra så som Cecilia skrev till mig när jag hade samma virus :" Du får titta lite nogrannare i kikhålet när du surfar"

Lycka till

[Amazonite]

Ursäkta att jag dröjt såg inte att den här tråden hade kommit så långt som sida 2. Precis som du beskriver så plockar MBAM bara upp en o samma fil varje gång jag söker.

c:\windows\system32\winspooler.exe* HITTADE JAG OCH RADERADE(NÅGOT JAG LADDAT NER, KÄNDE IGEN DEN AV IKONEN)
C:\Documents and Settings\Fam. Roumi\winlogon.exe* HITTADE DEN INTE...
C:\WINDOWS\system32\c wcpfj.dll HITTADE DEN MEN GÅR INTE ATT TA BORT, FÖRSÖKTE STARTA OM IGEN O FÖRSÖKA MEN DET GICK INTE!!! "KONTROLLERA ATT DISKEN INTE E FULL", DU VET DET MEDDELANDET.

Här får du en logg men jag vill oxå ta bort c wcpfj.dll:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:01:16, on 2008-07-11
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\CTHELPER.EXE
C:\Program\McAfee.com\Agent\mcagent.exe
C:\Program\SiteAdvisor\6261\SiteAdv.exe
C:\Program\Nero\Nero8\InCD\NBHGui.exe
C:\Program\Nero\Nero8\InCD\InCD.exe
C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program\Executive Software\Diskeeper\DkService.exe
C:\Program\Nero\Nero8\InCD\InCDsrv.exe
C:\Program\McAfee\MSC\mcmscsvc.exe
c:\program\DELADE~1\mcafee\mna\mcnasvc.exe
c:\program\DELADE~1\mcafee\mcproxy\mcproxy.exe
C:\Program\McAfee\VIRUSS~1\mcshield.exe
C:\Program\McAfee\MPF\MPFSrv.exe
C:\Program\McAfee\MSK\MskSrver.exe
C:\Program\Nero\Nero8\InCD\NBHRegInCDSrv.exe
C:\Program\SiteAdvisor\6261\SAService.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\wbem\wmiapsrv.exe
C:\Program\Internet Explorer\IEXPLORE.EXE
C:\Program\Delade filer\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program\McAfee\VIRUSS~1\mcsysmon.exe
C:\Documents and Settings\Fam. Roumi\Skrivbord\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.se
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = www.google.se
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = www.google.se
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: (no name) - {089FD14D-132B-48FC-8861-0048AE113215} - C:\Program\SiteAdvisor\6261\SiteAdv.dll
O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program\Real\RealPlayer\rpbrowserrecordplugin.dll
O2 - BHO: BitComet ClickCapture - {39F7E362-828A-4B5A-BCAF-5B79BFDFEA60} - C:\Program\BitComet\tools\BitCometBHO_1.2.2.28.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_06\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: {558b0849-abcc-c278-24b4-a12581eab3eb} - {be3bae18-521a-4b42-872c-ccba9480b855} - C:\WINDOWS\system32\cwcpfj.dll
O3 - Toolbar: McAfee SiteAdvisor - {0BF43445-2F28-4351-9252-17FE6E806AA0} - C:\Program\SiteAdvisor\6261\SiteAdv.dll
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [CTStartup] C:\Program\Creative\Splash Screen\CTEaxSpl.EXE /run
O4 - HKLM\..\Run: [mcagent_exe] C:\Program\McAfee.com\Agent\mcagent.exe /runkey
O4 - HKLM\..\Run: [siteAdvisor] "C:\Program\SiteAdvisor\6261\SiteAdv.exe"
O4 - HKLM\..\Run: [McENUI] C:\Program\McAfee\MHN\McENUI.exe /hide
O4 - HKLM\..\Run: [securDisc] C:\Program\Nero\Nero8\InCD\NBHGui.exe
O4 - HKLM\..\Run: [inCD] C:\Program\Nero\Nero8\InCD\InCD.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] WinSpooler.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O8 - Extra context menu item: &D&ownload &with BitComet - res://C:\Program\BitComet\BitComet.exe/AddLink.htm
O8 - Extra context menu item: &D&ownload all video with BitComet - res://C:\Program\BitComet\BitComet.exe/AddVideo.htm
O8 - Extra context menu item: &D&ownload all with BitComet - res://C:\Program\BitComet\BitComet.exe/AddAllLink.htm
O8 - Extra context menu item: Add to Vbuzzer RSS list - C:\Documents and Settings\Fam. Roumi\Skrivbord\vbuzzer\addurl.htm
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_06\bin\ssv.dll
O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: (no name) - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - (no file)
O9 - Extra button: BitComet - {D18A0B52-D63C-4ed0-AFC6-C1E3DC1AF43A} - res://C:\Program\BitComet\tools\BitCometBHO_1.2.2.28.dll/206 (file missing)
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1215007888156
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Diskeeper - Executive Software International, Inc. - C:\Program\Executive Software\Diskeeper\DkService.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program\Nero\Nero8\InCD\InCDsrv.exe
O23 - Service: McAfee Services (mcmscsvc) - McAfee, Inc. - C:\Program\McAfee\MSC\mcmscsvc.exe
O23 - Service: McAfee Network Agent (McNASvc) - McAfee, Inc. - c:\program\DELADE~1\mcafee\mna\mcnasvc.exe
O23 - Service: McAfee Scanner (McODS) - McAfee, Inc. - C:\Program\McAfee\VIRUSS~1\mcods.exe
O23 - Service: McAfee Proxy Service (McProxy) - McAfee, Inc. - c:\program\DELADE~1\mcafee\mcproxy\mcproxy.exe
O23 - Service: McAfee Real-time Scanner (McShield) - McAfee, Inc. - C:\Program\McAfee\VIRUSS~1\mcshield.exe
O23 - Service: McAfee SystemGuards (McSysmon) - McAfee, Inc. - C:\Program\McAfee\VIRUSS~1\mcsysmon.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee, Inc. - C:\Program\McAfee\MPF\MPFSrv.exe
O23 - Service: McAfee Anti-Spam Service (MSK80Service) - McAfee, Inc. - C:\Program\McAfee\MSK\MskSrver.exe
O23 - Service: Nero Registry InCD Service (NeroRegInCDSrv) - Nero AG - C:\Program\Nero\Nero8\InCD\NBHRegInCDSrv.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program\Delade filer\Nero\Lib\NMIndexingService.exe
O23 - Service: Intel® NMS (NMSSvc) - Intel Corporation - C:\WINDOWS\system32\NMSSvc.exe
O23 - Service: SiteAdvisor Service - Unknown owner - C:\Program\SiteAdvisor\6261\SAService.exe

--
End of file - 7434 bytes

[Cecilia]

Nu har jag en enkel fråga till PC för allas support om det inte skulle vara möjligt att ni lärde oss amatörere hur man skapar och tyder en sån där logg och att vi på så vis kan hjälpa oss själva. Det vore väl något för PC för alla att erbjuda sina läsare.

Tyvärr så tar det nog något hundratal timmar och lika många loggar innan man har lärt sig och sedan blir ens kunskap fort inaktuell eftersom det kommer ut nya skadliga program i mängder.

[927]

gör en scan med HJT, bocka för den raden
O4 - HKCU\..\Policies\Explorer\Run: [Windows Printing Driver] WinSpooler.exe
klicka på knappen fix checked

skicka upp den här filen
C:\WINDOWS\system32\cwcpfj.dll

hit, det är bara klistra in sökvgen och klicka på upload
http://uploads.malwarebytes.org/

sen kan du antingen vänta nån eller ett par dagar och scanna eller så öppna malwarebytes, fliken more tools, run tool, leta upp och öppna C:\Windows\system32\cwcpfj.dll (möjligt att du får ett val hur filen ska tas bort och välj då delete on reboot). posta en ny HJT logg