Just nu i M3-nätverket
Jump to content

Ta bort trojan Win32.TDSS.rtk


kenna58

Recommended Posts

Hej:

Jag körde idag Spybot & Destroy och den upptäcke en trojan som heter Win32.TDDS.rtk. Jag använder Avast home edition antivirus, Sunbelt brandvägg och Spybot och alla är uppdaterade. Även webbläsare och windows XP är uppdaterad.

Avast hittar inget, Har även kört Malwarebytes som inte heller hittar något. När jag kör Spybot skannar den inte färdigt utan säger att den hittat "Win32.TDDS.rtk" men jag kan inte göra något. Är det någon som vet hur jag blir av med denna trojan.

Mycket tacksam för hjälp.

Link to comment
Share on other sites

Framgår det i vilken fil eller mapp som Spybot hittar Win32.TDDS.rtk?


Hej Cecilia.

Tyvärr kan jag inte se det. Det skall vara: win32tdss.rtk och inget annat, jag såg att jag skrivit fel.

Link to comment
Share on other sites

Tack för rättningen då gick det att få fram lite mer om vad det är för något. Börja med detta:
Ladda ner Malwarebytes Anti-Malware (MBAM) från en av dessa länkar:
http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html
http://projects.securitywonks.net/projects/details.php?file=158
Dubbelklicka på mbam-setup för att installera programmet.

Se till i slutet av installationen att det är bockar för:
Uppdatera Malwarebytes' Anti-Malware
Starta Malwarebytes' Anti-Malware
Tryck på Slutför
Om det finns någon uppdatering så kommer den att laddas ner och installeras.

När programmet startar så välj "Utför snabb skanning" och tryck på Skanna.
Skanningen tar ett tag.
När den är klar så tryck på OK och sedan "Visa resultat".
Bocka för allt och tryck sedan Ta bort markerade.
När borttagningen är klar så öppnar Anteckningar med en logg.

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.
Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.
Om programmet inte kommer igång efter omstarten så starta det.

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.
Kopiera loggen och klistra in den i ditt svar. Om loggen är mycket lång mer än 100 rader så dela upp den i flera inlägg om ca 50 rader styck, för det här forumet har problem med långa inlägg.

Link to comment
Share on other sites

Hej Cecilia.

Här är svaret och inte verkar det vara något konstigt.

Malwarebytes' Anti-Malware 1.36
Databasversion: 2180
Windows 5.1.2600 Service Pack 3

2009-05-27 15:34:21
mbam-log-2009-05-27 (15-34-21).txt

Skanningstyp: Snabb skanning
Antal skannade objekt: 108804
Förfluten tid: 6 minute(s), 15 second(s)

Infekterade minnesprocesser: 0
Infekterade minnesmoduler: 0
Infekterade registernycklar: 0
Infekterade registervärden: 0
Infekterade registerdataposter: 0
Infekterade mappar: 0
Infekterade filer: 0

Infekterade minnesprocesser:
(Inga illasinnade poster hittades)

Infekterade minnesmoduler:
(Inga illasinnade poster hittades)

Infekterade registernycklar:
(Inga illasinnade poster hittades)

Infekterade registervärden:
(Inga illasinnade poster hittades)

Infekterade registerdataposter:
(Inga illasinnade poster hittades)

Infekterade mappar:
(Inga illasinnade poster hittades)

Infekterade filer:
(Inga illasinnade poster hittades)

Vad göra ?, Är det sypbot som det är fel på ?.

Hälsningar

Kenneth

Link to comment
Share on other sites

Det såg ju bra ut. Står det explicit att Spybot har hittat det eller är det så att det råkar stå längst ner i status-raden (underkanten av fönstret) när Spybot fastnar?

Fast det är en äldre version av MBAM det där, 1.37 kom ut igår.

Link to comment
Share on other sites

Det såg ju bra ut. Står det explicit att Spybot har hittat det eller är det så att det råkar stå längst ner i status-raden (underkanten av fönstret) när Spybot fastnar?

Fast det är en äldre version av MBAM det där, 1.37 kom ut igår.


Hej Cecilia.

Jag har kört MBAM 1.37 med samma resultat som innan. Men när jag körde Norman Malware cleaner i felsäkert läge fick jag att den deletade filen: C:\windows\system32\divers\obtwy.sys och att den var infeckterad med Win32/Renos.CNZ.

När jag sedan startade om datorn och körde Spypot fick jag samma svar som tidigare nere på statusraden i Spybot. Det stämmer att Spybot fastnar och inte går att stänga ned utan att jag måste gå via aktiviteshanteraren.

Tro du att det är en trojan eller är det något bfel på Spybot ?

Jag är mycket tacksam för din hjälp.

Kenneth
Link to comment
Share on other sites

I Spybots statusrad står ju inte vad den har hittat utan vad den just nu söker efter.

Men om Norman hittade den där obtwy.sys så verkar ju datorn onekligen vara infekterad.
Ladda ner ComboFix till Skrivbordet:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.
Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html
Kör ComboFix och följ anvisningarna som visas.
Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

När den är färdig så ska en logg komma upp, klistra in den i ditt svar och kom ihåg att dela upp den i många inlägg. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

Om du får problem med att komma ut på internet:
Kontrollpanelen - Nätverksanslutningar
högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

Link to comment
Share on other sites

Hej Cecilia.

Här är Combofix filen uppdelad.

ComboFix 09-05-26.05 - KL 2009-05-28  7:35.1 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.3.1252.46.1053.18.1022.588 [GMT 2:00]
Körs från: c:\documents and settings\KL.MARIANNE.000\Skrivbord\Nedladdat\ComboFix.exe
AV: avast! antivirus 4.8.1335 [VPS 090527-0] *On-access scanning disabled* (Updated) {7591DB91-41F0-48A3-B128-1A293FD8233D}
FW: Sunbelt Personal Firewall *enabled* {82B1150E-9B37-49FC-83EB-D52197D900D0}
 * Skapade en ny återställningspunkt
.

(((((((((((((((((((((((((((((((((((((((   Andra raderingar   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr0.dat
c:\documents and settings\All Users\Application Data\Microsoft\Network\Downloader\qmgr1.dat

----- BITS: Troligen infekterade webbplatser -----

hxxp://www.systemok.com
.
((((((((((((((((((((((((   Filer Skapade från 2009-04-28 till 2009-05-28  ))))))))))))))))))))))))))))))
.

2009-05-27 19:41 . 2009-05-27 19:41    3371383    ----a-w    c:\documents and settings\All Users\Application Data\Malwarebytes\Malwarebytes' Anti-Malware\mbam-setup.exe
2009-05-27 09:18 . 2008-06-19 15:24    28544    ----a-w    c:\windows\system32\drivers\pavboot.sys
2009-05-26 18:16 . 2009-05-26 18:16    --------    d-----w    c:\program\Panda Security
2009-05-26 16:49 . 2009-05-26 17:51    --------    d-----w    c:\program\SUPERAntiSpyware
2009-05-25 15:20 . 2009-05-26 11:19    19096    ----a-w    c:\windows\system32\drivers\mbam.sys
2009-05-25 15:20 . 2009-05-26 11:20    40160    ----a-w    c:\windows\system32\drivers\mbamswissarmy.sys
2009-05-25 15:20 . 2009-05-27 19:42    --------    d-----w    c:\program\Malwarebytes' Anti-Malware
2009-05-25 12:46 . 2009-05-25 12:46    --------    d-----w    c:\documents and settings\KL.MARIANNE.000\Application Data\Malwarebytes
2009-05-25 12:46 . 2009-05-25 12:46    --------    d-----w    c:\documents and settings\All Users\Application Data\Malwarebytes
2009-05-17 19:10 . 2009-05-17 19:10    --------    d-sh--w    c:\documents and settings\Erra\IETldCache
2009-05-14 16:41 . 2009-05-14 16:41    --------    d-----w    C:\SDB2
2009-05-13 17:39 . 2009-05-13 17:39    270336    ------w    c:\windows\Setup1.exe
2009-05-13 17:39 . 2009-05-13 17:39    73216    ----a-w    c:\windows\ST6UNST.EXE
2009-05-13 15:08 . 2009-05-13 15:08    --------    d-----w    c:\program\WOT
2009-05-13 05:41 . 2009-05-01 10:43    2728728    ----a-w    c:\documents and settings\All Users\Application Data\avg8ls\update\backup\avguires.dll
2009-05-13 05:41 . 2009-05-01 10:43    3427096    ----a-w    c:\documents and settings\All Users\Application Data\avg8ls\update\backup\avgui.exe
2009-05-13 05:41 . 2009-05-01 10:43    1217816    ----a-w    c:\documents and settings\All Users\Application Data\avg8ls\update\backup\avgfrw.exe
2009-05-13 05:41 . 2009-05-01 10:43    1936152    ----a-w    c:\documents and settings\All Users\Application Data\avg8ls\update\backup\avgtray.exe
2009-05-13 05:41 . 2009-05-01 10:43    74008    ----a-w    c:\documents and settings\All Users\Application Data\avg8ls\update\backup\vmAVGConnector.dll
2009-05-13 05:40 . 2009-05-01 10:43    672000    ----a-w    c:\documents and settings\All Users\Application Data\avg8ls\update\backup\aAvgApi.exe
2009-05-13 05:40 . 2009-05-01 10:43    556312    ----a-w    c:\documents and settings\All Users\Application Data\avg8ls\update\backup\avgtbapi.dll
2009-05-13 05:40 . 2009-05-01 10:43    2093824    ----a-w    c:\documents and settings\All Users\Application Data\avg8ls\update\backup\avgtoolbar.dll
2009-05-13 05:40 . 2009-05-01 10:43    2955544    ----a-w    c:\documents and settings\All Users\Application Data\avg8ls\update\backup\setup.exe
2009-05-13 05:40 . 2009-05-01 10:43    1156376    ----a-w    c:\documents and settings\All Users\Application Data\avg8ls\update\backup\avgssie.dll
2009-05-13 05:40 . 2009-05-01 10:43    594712    ----a-w    c:\documents and settings\All Users\Application Data\avg8ls\update\backup\avgnsx.exe
2009-05-13 05:40 . 2009-05-01 10:43    271640    ----a-w    c:\documents and settings\All Users\Application Data\avg8ls\update\backup\avglscan.exe
2009-05-13 05:40 . 2009-05-01 10:43    1240744    ----a-w    c:\documents and settings\All Users\Application Data\avg8ls\update\backup\avgwd.dll
2009-05-13 05:40 . 2009-05-01 10:43    826136    ----a-w    c:\documents and settings\All Users\Application Data\avg8ls\update\backup\avgcfgx.dll
2009-05-13 05:40 . 2009-05-01 10:43    687896    ----a-w    c:\documents and settings\All Users\Application Data\avg8ls\update\backup\avgsrmx.dll
2009-05-13 05:39 . 2009-05-01 10:43    1064216    ----a-w    c:\documents and settings\All Users\Application Data\avg8ls\update\backup\avgupd.exe
2009-05-13 05:39 . 2009-05-01 10:43    1424152    ----a-w    c:\documents and settings\All Users\Application Data\avg8ls\update\backup\avgupd.dll
2009-05-12 16:55 . 2009-05-12 16:55    --------    d-----w    c:\documents and settings\KL.MARIANNE.000\Application Data\Ulead Systems
2009-05-12 16:52 . 2009-05-13 05:20    --------    d-----w    c:\documents and settings\All Users\Application Data\Ulead Systems
2009-05-12 15:26 . 2009-05-12 16:57    --------    d-----w    c:\program\DiMAGE E500
2009-05-12 15:26 . 2004-03-17 20:00    114688    ----a-w    c:\windows\system32\JpegCode.dll
2009-05-12 15:26 . 2004-03-17 20:00    8192    ----a-w    c:\windows\system32\CoachWrp.dll
2009-05-12 15:26 . 2004-03-17 20:00    44256    ----a-w    c:\windows\system32\drivers\CoachVc.sys
2009-05-12 15:26 . 2004-03-17 19:59    46944    ----a-w    c:\windows\system32\drivers\CoachUsb.sys
2009-05-12 15:26 . 2004-03-17 19:59    5632    ----a-w    c:\windows\system32\CoachSti.dll
2009-05-12 15:26 . 2004-03-17 19:59    16896    ----a-w    c:\windows\system32\CoachDlg.dll
2009-05-09 13:52 . 2009-05-09 13:52    --------    d-----w    c:\documents and settings\Marre\Application Data\vlc
2009-05-06 15:04 . 2009-05-06 15:04    --------    d-----w    c:\documents and settings\KL.MARIANNE.000\Application Data\VSRevoGroup
2009-05-06 05:51 . 2009-05-06 05:51    --------    d-----w    c:\program\VS Revo Group
2009-05-01 18:30 . 2009-05-01 18:30    3366912    ----a-w    c:\windows\system32\GPhotos.scr
2009-05-01 10:43 . 2009-05-13 08:54    --------    d-----w    c:\documents and settings\All Users\Application Data\avg8ls
2009-05-01 10:43 . 2009-05-01 10:43    --------    d-----w    c:\program\AVG
2009-04-29 11:41 . 2009-04-29 11:41    --------    d-----w    c:\documents and settings\KL.MARIANNE.000\Application Data\MechCAD
2009-04-29 11:41 . 2009-04-29 19:53    --------    d-----w    c:\program\AceMoney
2009-04-28 08:39 . 2009-04-28 08:39    --------    d-----w    c:\program\Personal

Link to comment
Share on other sites

((((((((((((((((((((((((((((((((((((((((   Find3M Rapport   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-05-28 05:11 . 2006-01-07 22:22    --------    d-----w    c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-05-27 17:49 . 2008-08-16 09:01    --------    d-----w    c:\documents and settings\All Users\Application Data\Google Updater
2009-05-27 05:56 . 2005-12-16 09:08    --------    d-----w    c:\program\Holger6
2009-05-26 17:51 . 2007-11-18 20:15    --------    d-----w    c:\documents and settings\KL.MARIANNE.000\Application Data\SUPERAntiSpyware.com
2009-05-26 17:51 . 2005-12-23 10:51    --------    d-----w    c:\program\Delade filer\Wise Installation Wizard
2009-05-26 16:40 . 2008-04-07 13:16    --------    d-----w    c:\documents and settings\KL.MARIANNE.000\Application Data\Diino
2009-05-26 13:26 . 2006-03-30 13:59    --------    d-----w    c:\documents and settings\KL.MARIANNE.000\Application Data\ZipGenius
2009-05-26 12:09 . 2008-08-17 10:49    --------    d-----w    c:\program\Spybot - Search & Destroy
2009-05-26 11:49 . 2008-10-15 10:44    1    ----a-w    c:\documents and settings\KL.MARIANNE.000\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys
2009-05-26 08:46 . 2008-03-07 11:01    --------    d-----w    c:\documents and settings\KL.MARIANNE.000\Application Data\U3
2009-05-25 19:23 . 2006-04-20 12:10    --------    d-----w    c:\documents and settings\KL.MARIANNE.000\Application Data\Skype
2009-05-25 19:22 . 2008-01-18 20:23    --------    d-----w    c:\documents and settings\KL.MARIANNE.000\Application Data\skypePM
2009-05-25 06:42 . 2008-04-06 10:22    --------    d---a-w    c:\documents and settings\All Users\Application Data\TEMP
2009-05-20 10:36 . 2009-04-23 14:36    --------    d-----w    c:\documents and settings\KL.MARIANNE.000\Application Data\Spotify
2009-05-19 11:44 . 2006-02-12 21:16    --------    d-----w    c:\program\Google
2009-05-18 10:16 . 2004-09-08 10:26    86808    ----a-w    c:\windows\system32\perfc01D.dat
2009-05-18 10:16 . 2004-09-08 10:26    451634    ----a-w    c:\windows\system32\perfh01D.dat
2009-05-18 09:58 . 2008-12-31 13:18    --------    d-----w    c:\program\NETEagle
2009-05-15 13:44 . 2008-11-14 17:51    --------    d-----w    c:\program\Opera
2009-05-13 19:33 . 2009-04-19 09:52    --------    d-----w    c:\documents and settings\Marre\Application Data\ZipGenius
2009-05-13 19:21 . 2009-04-18 21:00    --------    d-----w    c:\program\MinSläkt V3
2009-05-13 05:19 . 2005-12-06 09:13    --------    d--h--w    c:\program\InstallShield Installation Information
2009-05-09 13:52 . 2009-05-09 13:52    --------    d-----w    c:\documents and settings\Marre\Application Data\vlc
2009-05-06 15:04 . 2009-05-06 15:04    --------    d-----w    c:\documents and settings\KL.MARIANNE.000\Application Data\VSRevoGroup
2009-05-05 15:37 . 2008-11-30 10:13    --------    d-----w    c:\documents and settings\All Users\Application Data\RapidSolution
2009-04-28 08:39 . 2008-04-28 11:44    --------    d-----w    c:\program\Nordea NCR1 Installationspaket
2009-04-25 11:22 . 2009-04-25 11:22    --------    d-----w    c:\program\LizardTech
2009-04-23 18:41 . 2008-10-01 14:41    --------    d-----w    c:\documents and settings\LocalService\Application Data\SACore
2009-04-23 14:36 . 2009-04-23 14:36    --------    d-----w    c:\program\Spotify
2009-04-23 09:33 . 2009-04-23 08:34    --------    d-----w    c:\program\Foxit Software
2009-04-23 08:41 . 2005-12-06 18:30    --------    d-----w    c:\program\Delade filer\Adobe
2009-04-23 08:27 . 2009-04-23 08:26    --------    d-----w    c:\documents and settings\KL.MARIANNE.000\Application Data\vlc
2009-04-23 08:25 . 2008-12-22 06:39    --------    d-----w    c:\documents and settings\KL.MARIANNE.000\Application Data\dvdcss
2009-04-22 10:55 . 2008-11-30 10:17    390424    ----a-w    c:\documents and settings\All Users\Application Data\RapidSolution\Radiotracker5\lyrics\LyricsFreak.dll
2009-04-22 10:55 . 2008-11-30 10:17    394520    ----a-w    c:\documents and settings\All Users\Application Data\RapidSolution\Radiotracker5\lyrics\LyricsOnDemand.dll
2009-04-22 10:55 . 2008-11-30 10:17    394520    ----a-w    c:\documents and settings\All Users\Application Data\RapidSolution\Radiotracker5\lyrics\AstraLyrics.dll
2009-04-22 10:55 . 2008-11-30 10:17    394520    ----a-w    c:\documents and settings\All Users\Application Data\RapidSolution\Radiotracker5\lyrics\LyricsDemon.dll
2009-04-22 10:55 . 2009-04-22 10:55    427288    ----a-w    c:\documents and settings\All Users\Application Data\RapidSolution\Radiotracker5\general\yahoomusic.dll
2009-04-22 10:55 . 2009-04-22 10:55    427288    ----a-w    c:\documents and settings\All Users\Application Data\RapidSolution\Radiotracker5\general\aol.dll
2009-04-22 10:55 . 2008-11-30 10:17    419096    ----a-w    c:\documents and settings\All Users\Application Data\RapidSolution\Radiotracker5\general\allmusic.dll
2009-04-22 10:55 . 2008-11-30 10:17    427288    ----a-w    c:\documents and settings\All Users\Application Data\RapidSolution\Radiotracker5\general\musicline.dll
2009-04-22 10:55 . 2008-11-30 10:17    427288    ----a-w    c:\documents and settings\All Users\Application Data\RapidSolution\Radiotracker5\general\sonybmg.dll
2009-04-22 10:55 . 2008-11-30 10:17    480536    ----a-w    c:\documents and settings\All Users\Application Data\RapidSolution\Radiotracker5\general\amazon.dll
2009-04-22 10:54 . 2008-11-30 10:17    197912    ----a-w    c:\documents and settings\All Users\Application Data\RapidSolution\Radiotracker5\CommonDlls\PlgSoundclick.dll
2009-04-22 10:54 . 2008-11-30 10:17    177432    ----a-w    c:\documents and settings\All Users\Application Data\RapidSolution\Radiotracker5\CommonDlls\PlgIJigg.dll
2009-04-22 10:54 . 2008-11-30 10:17    169240    ----a-w    c:\documents and settings\All Users\Application Data\RapidSolution\Radiotracker5\CommonDlls\PlgPandora.dll
2009-04-22 10:54 . 2008-11-30 10:17    136472    ----a-w    c:\documents and settings\All Users\Application Data\RapidSolution\Radiotracker5\CommonDlls\PlgLastfm.dll
2009-04-22 10:54 . 2008-11-30 10:17    1258776    ----a-w    c:\documents and settings\All Users\Application Data\RapidSolution\Radiotracker5\CommonDlls\RadioRip.dll
2009-04-21 05:40 . 2008-06-21 12:29    --------    d-----w    c:\program\Ashampoo
2009-04-19 14:10 . 2006-08-10 14:35    --------    d-----w    c:\program\svebef1900
2009-04-19 09:45 . 2005-12-06 09:13    --------    d-----w    c:\program\Delade filer\Sonic Shared
2009-04-19 09:43 . 2007-06-09 16:41    --------    d-----w    c:\program\IrfanView
2009-04-19 08:58 . 2009-04-19 08:56    --------    d-----w    c:\documents and settings\All Users\Application Data\NOS
2009-04-19 08:56 . 2009-04-19 08:56    --------    d-----w    c:\program\NOS
2009-04-19 08:50 . 2009-04-19 08:50    --------    d-----w    c:\program\filehippo.com
2009-04-17 14:28 . 2009-04-17 14:27    --------    d-----w    c:\program\7-Zip
2009-04-17 13:33 . 2009-04-17 11:29    --------    d-----w    c:\documents and settings\KL.MARIANNE.000\Application Data\cspa
2009-04-17 11:29 . 2005-12-06 09:13    --------    d-----w    c:\program\Java
2009-04-17 11:26 . 2009-04-17 11:26    152576    ----a-w    c:\documents and settings\KL.MARIANNE.000\Application Data\Sun\Java\jre1.6.0_13\lzma.dll
2009-04-16 06:25 . 2009-04-16 06:25    --------    d-----w    c:\program\Delade filer\xing shared
2009-04-16 06:25 . 2005-12-21 20:51    --------    d-----w    c:\program\Delade filer\Real
2009-04-16 06:22 . 2009-04-16 06:22    390664    ----a-w    c:\documents and settings\KL.MARIANNE.000\Application Data\Real\RealPlayer\setup\AU_setup6.exe
2009-04-13 09:27 . 2009-04-13 09:26    --------    d-----w    c:\documents and settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}
2009-04-13 09:27 . 2009-04-13 09:26    --------    d-----w    c:\program\iTunes
2009-04-13 09:27 . 2009-04-13 09:27    --------    d-----w    c:\program\iPod
2009-04-13 09:27 . 2008-01-31 10:01    --------    d-----w    c:\program\Delade filer\Apple
2009-04-13 09:17 . 2009-04-13 09:17    75048    ----a-w    c:\documents and settings\All Users\Application Data\Apple Computer\Installer Cache\iTunes 8.1.1.10\SetupAdmin.exe
2009-04-09 17:40 . 2009-04-09 17:40    --------    d-----w    c:\documents and settings\KL.MARIANNE.000\Application Data\Foxit
2009-03-26 18:54 . 2009-03-26 18:54    57344    ----a-w    c:\documents and settings\Marre\Application Data\Sun\Java\Deployment\cache\6.0\50\5b902232-5d8c9fcb-n\Decora-SSE.dll
2009-03-26 18:54 . 2009-03-26 18:54    24064    ----a-w    c:\documents and settings\Marre\Application Data\Sun\Java\Deployment\cache\6.0\15\4e09eacf-1bfb2711-n\Decora-D3D.dll
2009-03-26 18:54 . 2009-03-26 18:54    499712    ----a-w    c:\documents and settings\Marre\Application Data\Sun\Java\Deployment\cache\6.0\33\258cea61-7411c2d9-n\msvcp71.dll
2009-03-26 18:54 . 2009-03-26 18:54    499712    ----a-w    c:\documents and settings\Marre\Application Data\Sun\Java\Deployment\cache\6.0\33\258cea61-7411c2d9-n\jmc.dll
2009-03-26 18:54 . 2009-03-26 18:54    348160    ----a-w    c:\documents and settings\Marre\Application Data\Sun\Java\Deployment\cache\6.0\33\258cea61-7411c2d9-n\msvcr71.dll
2009-03-20 18:17 . 2009-03-20 18:17    57344    ----a-w    c:\documents and settings\Marre\Application Data\Sun\Java\Deployment\cache\6.0\37\3976f065-12293d45-n\Decora-SSE.dll
2009-03-20 18:17 . 2009-03-20 18:17    24064    ----a-w    c:\documents and settings\Marre\Application Data\Sun\Java\Deployment\cache\6.0\37\2c4a0065-7937a24e-n\Decora-D3D.dll
2009-03-20 18:17 . 2009-03-20 18:17    315392    ----a-w    c:\documents and settings\Marre\Application Data\Sun\Java\Deployment\cache\6.0\62\6baea4fe-2db0cdb3-n\jogl.dll
2009-03-20 18:17 . 2009-03-20 18:17    20480    ----a-w    c:\documents and settings\Marre\Application Data\Sun\Java\Deployment\cache\6.0\62\6baea4fe-2db0cdb3-n\jogl_awt.dll
2009-03-20 18:17 . 2009-03-20 18:17    114688    ----a-w    c:\documents and settings\Marre\Application Data\Sun\Java\Deployment\cache\6.0\62\6baea4fe-2db0cdb3-n\jogl_cg.dll
2009-03-20 18:17 . 2009-03-20 18:17    20480    ----a-w    c:\documents and settings\Marre\Application Data\Sun\Java\Deployment\cache\6.0\45\4f710eed-25aced8f-n\gluegen-rt.dll
2009-03-20 18:17 . 2009-03-20 18:17    348160    ----a-w    c:\documents and settings\Marre\Application Data\Sun\Java\Deployment\cache\6.0\38\39ba6e6-6a40a63a-n\msvcr71.dll
2009-03-20 18:17 . 2009-03-20 18:17    503808    ----a-w    c:\documents and settings\Marre\Application Data\Sun\Java\Deployment\cache\6.0\38\39ba6e6-6a40a63a-n\msvcp71.dll
2009-03-20 18:17 . 2009-03-20 18:17    499712    ----a-w    c:\documents and settings\Marre\Application Data\Sun\Java\Deployment\cache\6.0\38\39ba6e6-6a40a63a-n\jmc.dll
2009-03-19 14:32 . 2009-03-19 14:32    23400    ----a-w    c:\documents and settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}\x86\x86\GEARAspiWDM.sys
2009-03-19 14:32 . 2006-09-19 14:44    23400    ----a-w    c:\windows\system32\drivers\GEARAspiWDM.sys
2009-03-19 06:19 . 2009-03-19 06:19    152576    ----a-w    c:\documents and settings\KL.MARIANNE.000\Application Data\Sun\Java\jre1.6.0_12\lzma.dll
2009-03-09 03:19 . 2008-11-27 06:33    410984    ----a-w    c:\windows\system32\deploytk.dll
2009-03-08 02:34 . 2004-08-04 08:00    914944    ----a-w    c:\windows\system32\wininet.dll
2009-03-08 02:34 . 2004-08-04 08:00    43008    ----a-w    c:\windows\system32\licmgr10.dll
2009-03-08 02:33 . 2004-08-04 08:00    18944    ----a-w    c:\windows\system32\corpol.dll
2009-03-08 02:33 . 2004-08-04 08:00    420352    ----a-w    c:\windows\system32\vbscript.dll
2009-03-08 02:32 . 2004-08-04 08:00    72704    ----a-w    c:\windows\system32\admparse.dll
2009-03-08 02:32 . 2004-08-04 08:00    71680    ----a-w    c:\windows\system32\iesetup.dll
2009-03-08 02:31 . 2004-08-04 08:00    34816    ----a-w    c:\windows\system32\imgutil.dll
2009-03-08 02:31 . 2004-08-04 08:00    48128    ----a-w    c:\windows\system32\mshtmler.dll
2009-03-08 02:31 . 2004-08-04 08:00    45568    ----a-w    c:\windows\system32\mshta.exe
2009-03-08 02:22 . 2004-08-04 08:00    156160    ----a-w    c:\windows\system32\msls31.dll
2009-03-06 14:24 . 2004-08-04 08:00    284160    ----a-w    c:\windows\system32\pdh.dll
2009-03-03 12:53 . 2009-04-19 08:55    17464    ----a-w    c:\documents and settings\KL.MARIANNE.000\Application Data\Mozilla\Firefox\Profiles\8wrswjq9.default\extensions\{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}\chrome\content\getPlus_Adobe_reg.exe
2009-03-03 12:53 . 2009-04-19 08:55    12792    ----a-w    c:\documents and settings\KL.MARIANNE.000\Application Data\Mozilla\Firefox\Profiles\8wrswjq9.default\extensions\{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}\chrome\content\getPlus_Adobe_reg_bootstrap.exe
2009-03-03 12:53 . 2009-04-19 08:55    109420    ----a-w    c:\documents and settings\KL.MARIANNE.000\Application Data\Mozilla\Firefox\Profiles\8wrswjq9.default\extensions\{CF40ACC5-E1BB-4aff-AC72-04C2F616BCA7}\plugins\np_gp.dll
.

Link to comment
Share on other sites

((((((((((((((((((((((((((((((((((   Startpunkter i registret   )))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Not*  Tomma poster & legitima standardposter visas inte.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]
"SmartRAM"="c:\program\IObit\Advanced SystemCare 3\Sup_SmartRAM.exe" [2009-02-19 202064]
"filehippo.com"="c:\program\filehippo.com\UpdateChecker.exe" [2009-03-23 146432]
"Advanced SystemCare 3"="c:\program\IObit\Advanced SystemCare 3\AWC.exe" [2009-04-30 2329936]
"Messenger (Yahoo!)"="c:\program\Yahoo!\Messenger\YahooMessenger.exe" [2009-05-21 4351216]
"Google Update"="c:\documents and settings\KL.MARIANNE.000\Lokala inställningar\Application Data\Google\Update\GoogleUpdate.exe" [2009-05-06 133104]
"SpybotSD TeaTimer"="c:\program\Spybot - Search & Destroy\TeaTimer.exe" [2009-03-05 2260480]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"ATIPTA"="c:\program\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2006-07-25 344064]
"SynTPLpr"="c:\program\Synaptics\SynTP\SynTPLpr.exe" [2005-02-02 102492]
"SynTPEnh"="c:\program\Synaptics\SynTP\SynTPEnh.exe" [2005-02-02 692316]
"HP Software Update"="c:\program\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]
"BOTTray"="c:\program\SystemOK\BackOnTrack\1053\BOTTray.exe" [2005-12-22 266240]
"keepitreminder"="c:\program\SystemOK\KeepIt\keepitreminder.exe" [2006-07-06 221184]
"avast!"="c:\program\Alwil Software\Avast4\ashDisp.exe" [2009-02-05 81000]
"SunJavaUpdateSched"="c:\program\Java\jre6\bin\jusched.exe" [2009-03-09 148888]
"QuickTime Task"="c:\program\QuickTime\qttask.exe" [2009-01-05 413696]
"BOTSplash"="c:\program\SystemOK\BackOnTrack\SplashScreen.exe" [2005-12-22 622592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer]
"NoResolveTrack"= 1 (0x1)
"NoFileAssociate"= 0 (0x0)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\{75DC891D-D4CB-48f7-BDD1-C1E56C64250E}]
2005-12-22 19:44    229376    ----a-w    c:\program\SystemOK\BACKON~1\botwlnp.dll

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]
"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"c:\\Program\\Messenger\\msmsgs.exe"=
"c:\\Program\\Yahoo!\\Messenger\\YahooMessenger.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program\\SopCast\\adv\\SopAdver.exe"=
"c:\\Program\\SopCast\\SopCast.exe"=
"c:\\Program\\Bonjour\\mDNSResponder.exe"=
"c:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program\\iTunes\\iTunes.exe"=
"c:\\Program\\Spotify\\spotify.exe"=
"c:\\Program\\Skype\\Phone\\Skype.exe"=

R0 BCatDriver;BCatDriver;c:\windows\system32\drivers\BCatDriver.sys [2005-12-22 171552]
R0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys [2009-05-27 28544]
R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-01-06 114768]
R1 SbFw;SbFw;c:\windows\system32\drivers\SbFw.sys [2008-08-13 270888]
R1 sbhips;Sunbelt HIPS Driver;c:\windows\system32\drivers\sbhips.sys [2008-06-21 66600]
R2 AdobeActiveFileMonitor;Adobe Active File Monitor;c:\program\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe [2004-10-20 98304]
R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-01-06 20560]
R2 PhotoshopElementsDeviceConnect;Photoshop Elements Device Connect;c:\program\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe [2004-10-20 118784]
R2 SbPF.Launcher;SbPF.Launcher;c:\program\Sunbelt Software\Personal Firewall\SbPFLnch.exe [2008-10-31 95528]
R2 SPF4;Sunbelt Personal Firewall 4;c:\program\Sunbelt Software\Personal Firewall\SbPFSvc.exe [2008-10-31 1365288]
R3 SBFWIMCL;Sunbelt Software Firewall NDIS IM Filter Miniport;c:\windows\system32\drivers\SbFwIm.sys [2008-07-25 65576]
S1 pctgntdi;pctgntdi;\??\c:\windows\system32\drivers\pctgntdi.sys --> c:\windows\system32\drivers\pctgntdi.sys [?]
S2 0139451241174409mcinstcleanup;McAfee Application Installer Cleanup (0139451241174409);c:\docume~1\KLMARI~1.000\LOKALA~1\Temp\0139451241174409mcinst.exe c:\program\DELADE~1\McAfee\Installer\cleanup.ini -cleanup -nolog -service --> c:\docume~1\KLMARI~1.000\LOKALA~1\Temp\0139451241174409mcinst.exe c:\program\DELADE~1\McAfee\Installer\cleanup.ini -cleanup -nolog -service [?]
S2 gupdate1c99a5630dea0b2;Google Update Service (gupdate1c99a5630dea0b2);c:\program\Google\Update\GoogleUpdate.exe [2009-03-01 133104]
S2 PCTAppEvent;PCTAppEvent Driver;\??\c:\windows\system32\drivers\PCTAppEvent.sys --> c:\windows\system32\drivers\PCTAppEvent.sys [?]
S3 DfSdkS;Defragmentation-Service;c:\program\Ashampoo\Ashampoo WinOptimizer 6\DfSdkS.exe [2009-04-21 410976]
S3 getPlus® Helper;getPlus® Helper;c:\program\NOS\bin\getPlus_HelperSvc.exe [2009-04-19 33176]
S3 k600bus;Sony Ericsson 600i driver (WDM);c:\windows\system32\drivers\k600bus.sys [2005-05-11 52384]
S3 k600mgmt;Sony Ericsson 600i USB WMC Device Management Drivers;c:\windows\system32\drivers\k600mgmt.sys [2005-05-11 79248]
S3 k600obex;Sony Ericsson 600i USB WMC OBEX Interface Drivers;c:\windows\system32\drivers\k600obex.sys [2005-05-11 77072]
S3 kwwalpgr;kwwalpgr;\??\c:\docume~1\KLMARI~1.000\LOKALA~1\Temp\kwwalpgr.sys --> c:\docume~1\KLMARI~1.000\LOKALA~1\Temp\kwwalpgr.sys [?]
S3 pctplfw;pctplfw;\??\c:\windows\system32\drivers\pctplfw.sys --> c:\windows\system32\drivers\pctplfw.sys [?]
S3 TdsNordecr;Nordea NCR1 SmartCard Reader;c:\windows\system32\drivers\nordecr.sys [2008-04-28 23040]

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{B2C3BB6B-E005-4246-B8E5-DF0A4D073CDC}]
c:\program\PixiePack Codec Pack\InstallerHelper.exe
.

Link to comment
Share on other sites

Innehållet i mappen 'Schemalagda aktiviteter':

2009-05-25 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\program\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-05-01 c:\windows\Tasks\BackOnTrack - påminnelse om återställningspunkt.job
- c:\program\SystemOK\BackOnTrack\1053\botalert.exe [2005-12-22 19:44]

2009-05-24 c:\windows\Tasks\Diino Backup - KL - Kennas backup.Full.job
- c:\program\Diino\DiinoBackupAgent.exe [2008-07-03 09:58]

2009-05-26 c:\windows\Tasks\Diino Backup - KL - Kennas backup.Incremental.job
- c:\program\Diino\DiinoBackupAgent.exe [2008-07-03 09:58]

2009-05-28 c:\windows\Tasks\Google Software Updater.job
- c:\program\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-05-25 21:23]

2009-05-28 c:\windows\Tasks\GoogleUpdateTaskMachine.job
- c:\program\Google\Update\GoogleUpdate.exe [2009-03-01 10:11]
.
- - - - FÖRÄLDRALÖSA POSTER SOM TAGITS BORT - - - -

SafeBoot-procexp90.Sys


.
------- Extra genomsökning -------
.
uStart Page = hxxp://admin.svenskafans.com//validation/loggin.asp?pageRef=/Default.asp
uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8
uDefault_Search_URL = hxxp://www.google.com/ie
mSearch Bar = hxxp://us.rd.yahoo.com/customize/ie/defaults/sb/wdgt3/*http://www.yahoo.com/ext/search/search.html
uInternet Settings,ProxyOverride = *.local
uSearchURL,(Default) = hxxp://www.google.com/search/?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\OFFICE11\EXCEL.EXE/3000
FF - ProfilePath - c:\documents and settings\KL.MARIANNE.000\Application Data\Mozilla\Firefox\Profiles\8wrswjq9.default\
FF - prefs.js: browser.search.defaulturl - hxxp://search.yahoo.com/search?ei=UTF-8&fr=ytff-tyc&p=
FF - prefs.js: browser.startup.homepage - hxxp://www.google.se/ig
FF - prefs.js: keyword.URL - hxxp://www.crawler.com/search/dispatcher.aspx?tp=aus&tbid=60308&qkw=
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll
FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll
FF - plugin: c:\program\Google\Google Updater\2.4.1536.6592\npCIDetect13.dll
FF - plugin: c:\program\Google\Picasa3\npPicasa2.dll
FF - plugin: c:\program\Google\Picasa3\npPicasa3.dll
FF - plugin: c:\program\Google\Update\1.2.145.5\npGoogleOneClick8.dll
FF - plugin: c:\program\Microsoft\Office Live\npOLW.dll
FF - plugin: c:\program\Mozilla Firefox\plugins\np-mswmp.dll
FF - plugin: c:\program\Mozilla Firefox\plugins\npdjvu.dll
FF - plugin: c:\program\Mozilla Firefox\plugins\npFoxitReaderPlugin.dll
FF - plugin: c:\program\Mozilla Firefox\plugins\npGoogleGadgetPluginFirefoxWin.dll
FF - plugin: c:\program\Mozilla Firefox\plugins\npyaxmpb.dll
FF - plugin: c:\program\Opera\program\plugins\np_gp.dll
FF - plugin: c:\program\Opera\program\plugins\npdjvu.dll
FF - plugin: c:\program\Personal\bin\np_prsnl.dll

---- FIREFOX POLICY ----
FF - user.js: browser.blink_allowed - true
FF - user.js: network.prefetch-next - true
FF - user.js: layout.spellcheckDefault - 1
FF - user.js: browser.urlbar.autoFill - false
FF - user.js: browser.search.openintab - false
FF - user.js: browser.tabs.closeButtons - 1
FF - user.js: browser.tabs.opentabfor.middleclick - true
FF - user.js: browser.tabs.tabMinWidth - 100
FF - user.js: browser.urlbar.hideGoButton - false
c:\program\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-05-28 07:44
Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 


C:\##

scan completed successfully
hidden files: 1

**************************************************************************
.
--------------------- LÅSTA REGISTERNYCKLAR ---------------------

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\h??|ÿÿÿÿ¤??|ù?6~*]
"D140211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"
.
--------------------- DLLer som "laddats" under processer som körs ---------------------

- - - - - - - > 'winlogon.exe'(660)
c:\windows\system32\Ati2evxx.dll
c:\program\SystemOK\BACKON~1\botwlnp.dll
.
Sluttid: 2009-05-28  7:48
ComboFix-quarantined-files.txt  2009-05-28 05:48

Före genomsökningen: 63 622 803 456 byte ledigt
Efter genomsökningen: 64 566 185 984 byte ledigt

WindowsXP-KB310994-SP2-Home-BootDisk-SVE.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

Current=1 Default=1 Failed=0 LastKnownGood=4 Sets=1,2,3,4
334    --- E O F ---    2009-05-27 05:21


Det var allt
Hälsingar
Kenneth

Link to comment
Share on other sites

Vad finns i mappen C:\SDB2?

Surfa till http://www.virustotal.com (fungerar bäst med Internet Explorer) klistra in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här. Upprepa med nästa filnamn.
c:\windows\Setup1.exe
c:\documents and settings\KL.MARIANNE.000\Application Data\Mozilla\Firefox\Profiles\8wrswjq9.default\extensions\{CF40ACC5-E1 BB-4aff-AC72-04C2F616BCA7}\chrome\content\getPlus_Adobe_reg.exe
c:\docume~1\KLMARI~1.000\LOKALA~1\Temp\kwwalpgr.sys

Vad finns i mappen c:\documents and settings\All Users\Application Data\TEMP ?

FF - prefs.js: keyword.URL - hxxp://www.crawler.com/search/dispatcher.aspx?tp=aus&tbid=60308&am p;qkw=
Det där är någon inställning i Firefox och den webbsidan är inte lämplig att ha något att göra med. Läs vad andra skriver om webbplatsen:
http://www.mywot.com/sv/scorecard/crawler.com

Link to comment
Share on other sites

Vad finns i mappen C:\SDB2? = Sveriges Dödsbok 1950-1999, försläktforksning

Surfa till http://www.virustotal.com (fungerar bäst med Internet Explorer) klistra in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här. Upprepa med nästa filnamn.
c:\windows\Setup1.exe =

Antivirus      Version      Senaste Uppdatering      Resultat
a-squared    4.0.0.101    2009.05.28    -
AhnLab-V3    5.0.0.2    2009.05.28    -
AntiVir    7.9.0.180    2009.05.28    -
Antiy-AVL    2.0.3.1    2009.05.27    -
Authentium    5.1.2.4    2009.05.28    -
Avast    4.8.1335.0    2009.05.27    -
AVG    8.5.0.339    2009.05.27    -
BitDefender    7.2    2009.05.28    -
CAT-QuickHeal    10.00    2009.05.28    -
ClamAV    0.94.1    2009.05.28    -
Comodo    1210    2009.05.28    -
DrWeb    5.0.0.12182    2009.05.28    -
eSafe    7.0.17.0    2009.05.27    -
eTrust-Vet    31.6.6526    2009.05.28    -
F-Prot    4.4.4.56    2009.05.28    -
F-Secure    8.0.14470.0    2009.05.28    -
Fortinet    3.117.0.0    2009.05.28    -
GData    19    2009.05.28    -
Ikarus    T3.1.1.57.0    2009.05.28    -
K7AntiVirus    7.10.746    2009.05.27    -
Kaspersky    7.0.0.125    2009.05.28    -
McAfee    5628    2009.05.27    -
McAfee+Artemis    5628    2009.05.27    -
McAfee-GW-Edition    6.7.6    2009.05.28    -
Microsoft    1.4701    2009.05.28    -
NOD32    4111    2009.05.28    -
Norman    6.01.05    2009.05.28    -
nProtect    2009.1.8.0    2009.05.28    -
Panda    10.0.0.14    2009.05.28    -
PCTools    4.4.2.0    2009.05.21    -
Prevx    3.0    2009.05.28    -
Rising    21.31.21.00    2009.05.27    -
Sophos    4.42.0    2009.05.28    -
Sunbelt    3.2.1858.2    2009.05.28    -
Symantec    1.4.4.12    2009.05.28    -
TheHacker    6.3.4.3.333    2009.05.28    -
TrendMicro    8.950.0.1092    2009.05.28    -
VBA32    3.12.10.6    2009.05.27    -
ViRobot    2009.5.28.1758    2009.05.28    -
VirusBuster    4.6.5.0    2009.05.27    -
Övrig information


c:\documents and settings\KL.MARIANNE.000\Application Data\Mozilla\Firefox\Profiles\8wrswjq9.default\extensions\{CF40ACC5-E1 BB-4aff-AC72-04C2F616BCA7}\chrome\content\getPlus_Adobe_reg.exe


Resultat: 2/40 (5.00%)
 Compact Skriv ut resultat  Antivirus Version Senaste Uppdatering Resultat
a-squared 4.0.0.101 2009.05.28 -
AhnLab-V3 5.0.0.2 2009.05.28 -
AntiVir 7.9.0.180 2009.05.28 -
Antiy-AVL 2.0.3.1 2009.05.27 -
Authentium 5.1.2.4 2009.05.28 -
Avast 4.8.1335.0 2009.05.27 -
AVG 8.5.0.339 2009.05.28 -
BitDefender 7.2 2009.05.28 -
CAT-QuickHeal 10.00 2009.05.28 (Suspicious) - DNAScan
ClamAV 0.94.1 2009.05.28 -
Comodo 1210 2009.05.28 -
DrWeb 5.0.0.12182 2009.05.28 -
eSafe 7.0.17.0 2009.05.27 Suspicious File
eTrust-Vet 31.6.6526 2009.05.28 -
F-Prot 4.4.4.56 2009.05.28 -
F-Secure 8.0.14470.0 2009.05.28 -
Fortinet 3.117.0.0 2009.05.28 -
GData 19 2009.05.28 -
Ikarus T3.1.1.57.0 2009.05.28 -
K7AntiVirus 7.10.746 2009.05.27 -
Kaspersky 7.0.0.125 2009.05.28 -
McAfee 5628 2009.05.27 -
McAfee+Artemis 5628 2009.05.27 -
McAfee-GW-Edition 6.7.6 2009.05.28 -
Microsoft 1.4701 2009.05.28 -
NOD32 4111 2009.05.28 -
Norman 6.01.05 2009.05.28 -
nProtect 2009.1.8.0 2009.05.28 -
Panda 10.0.0.14 2009.05.28 -
PCTools 4.4.2.0 2009.05.21 -
Prevx 3.0 2009.05.28 -
Rising 21.31.21.00 2009.05.27 -
Sophos 4.42.0 2009.05.28 -
Sunbelt 3.2.1858.2 2009.05.28 -
Symantec 1.4.4.12 2009.05.28 -
TheHacker 6.3.4.3.333 2009.05.28 -
TrendMicro 8.950.0.1092 2009.05.28 -
VBA32 3.12.10.6 2009.05.27 -
ViRobot 2009.5.28.1758 2009.05.28 -
VirusBuster 4.6.5.0 2009.05.27 -
Övrig information

c:\docume~1\KLMARI~1.000\LOKALA~1\Temp\kwwalpgr.sys = Hittar jag inte.

Vad finns i mappen c:\documents and settings\All Users\Application Data\TEMP ? = Tom

FF - prefs.js: keyword.URL - hxxp://www.crawler.com/search/dispatcher.aspx?tp=aus&tbid=60308&am p;qkw= WOT Web of Trust, ett hjälpmedel för att lista osäkra hemsidor

Det där är någon inställning i Firefox och den webbsidan är inte lämplig att ha något att göra med. Läs vad andra skriver om webbplatsen: = Jag hittar inget konstigt i Firefox inställningar.
http://www.mywot.com/sv/scorecard/crawler.com



Hälsningar
Kenneth
Link to comment
Share on other sites

"c:\docume~1\KLMARI~1.000\LOKALA~1\Temp\kwwalpgr.sys = Hittar jag inte."
Start - Kör
Skriv in:
sc delete
kwwalpgr

så tas referensen till den bort också.

"Vad finns i mappen c:\documents and settings\All Users\Application Data\TEMP ? = Tom"
Ta bort den mappen då.

"FF - prefs.js: keyword.URL - hxxp://www.crawler.com/search/dispatcher.aspx?tp=aus&tbid=60308&am p;am p;qkw= WOT Web of Trust, ett hjälpmedel för att lista osäkra hemsidor"
Vad WOT är det vet jag för den har jag själv, men crawler har inget med WOT att göra. I min keyword.URL så står det en länk till Google. Kolla själv genom att skriva "about:config" i webbläsarfönstret och så leta upp keyword.URL. Det finns möjlighet att ändra där också.

Något annat anmärkningsvärt hittar jag inte i ComboFix-loggen men vi kan kolla med ytterligare ett program eftersom det var en Renos-fil.
Ladda ner programmet SmitfraudFix (by S!Ri) till Skrivbordet:
http://siri.urz.free.fr/Fix/SmitfraudFix.exe
Dubbelklicka på den nedladdade filen Smitfraudfix.exe.
Först kommer en uppmaning att trycka på någon tangent så gör det.
Välj sedan alternativ 1 - Search genom att trycka på 1 och Enter.
Programmet kommer att skanna igenom datorn.
När den är klart visas resultatet och programmet har skapat loggfilen C:\rapport.txt.

Klistra in innehållet i loggfilen i ditt svar här.

Gör inget annat med SmitfraudFix.

Link to comment
Share on other sites

Hej Cecilia.

Här är loggen från SmitfraudFix

SmitFraudFix v2.417

Scan done at 19:35:52,34, 2009-05-28
Run from C:\Documents and Settings\KL.MARIANNE.000\Skrivbord\Nedladdat\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Program\Alwil Software\Avast4\aswUpdSv.exe
C:\Program\Alwil Software\Avast4\ashServ.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program\Google\Update\GoogleUpdate.exe
C:\WINDOWS\Explorer.EXE
C:\Program\Adobe\Photoshop Elements 3.0\PhotoshopElementsFileAgent.exe
C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
C:\Program\Bonjour\mDNSResponder.exe
C:\Program\SystemOK\BackOnTrack\WinXP\bcbs_xp.exe
c:\Program\WIDCOMM\Bluetooth-programvara\bin\btwdins.exe
C:\Program\Java\jre6\bin\jqs.exe
C:\Program\Delade filer\LightScribe\LSSrvc.exe
C:\Program\Adobe\Photoshop Elements 3.0\PhotoshopElementsDeviceConnect.exe
C:\Program\Sunbelt Software\Personal Firewall\SbPFLnch.exe
C:\Program\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program\Sunbelt Software\Personal Firewall\SbPFSvc.exe
C:\Program\Alwil Software\Avast4\ashMaiSv.exe
C:\Program\Alwil Software\Avast4\ashWebSv.exe
C:\WINDOWS\system32\svchost.exe
C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Program\Synaptics\SynTP\SynTPLpr.exe
C:\Program\Synaptics\SynTP\SynTPEnh.exe
C:\Program\Hp\HP Software Update\HPWuSchd2.exe
C:\Program\SystemOK\BackOnTrack\1053\BOTTray.exe
C:\Program\Alwil Software\Avast4\ashDisp.exe
C:\Program\Java\jre6\bin\jusched.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Program\Sunbelt Software\Personal Firewall\SbPFCl.exe
C:\Program\IObit\Advanced SystemCare 3\Sup_SmartRAM.exe
C:\Program\IObit\Advanced SystemCare 3\AWC.exe
C:\WINDOWS\System32\svchost.exe
C:\Documents and Settings\KL.MARIANNE.000\Lokala inställningar\Application Data\Google\Update\GoogleUpdate.exe
C:\Program\Spybot - Search & Destroy\TeaTimer.exe
C:\Program\Spybot - Search & Destroy\SpybotSD.exe
C:\Program\Mozilla Firefox\firefox.exe
C:\Documents and Settings\KL.MARIANNE.000\Skrivbord\Nedladdat\SmitfraudFix\Policies.exe
C:\WINDOWS\system32\cmd.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\KL.MARIANNE.000


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\KLMARI~1.000\LOKALA~1\Temp


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\KL.MARIANNE.000\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\KLMARI~1.000\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="http://www.radeberger.de/www/reb_home.nsf/VID/DROH-5JF9SH/$file/1-1024x768.jpg"
"SubscribedURL"="http://www.radeberger.de/www/reb_home.nsf/VID/DROH-5JF9SH/$file/1-1024x768.jpg"
"FriendlyName"=""
 
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\1]
"Source"="About:Home"
"SubscribedURL"="About:Home"
"FriendlyName"="Min aktuella startsida"

»»»»»»»»»»»»»»»»»»»»»»»» o4Patch
!!!Attention, following keys are not inevitably infected!!!

o4Patch
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» IEDFix
!!!Attention, following keys are not inevitably infected!!!

IEDFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri



»»»»»»»»»»»»»»»»»»»»»»»» Agent.OMZ.Fix
!!!Attention, following keys are not inevitably infected!!!

Agent.OMZ.Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» VACFix
!!!Attention, following keys are not inevitably infected!!!

VACFix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» 404Fix
!!!Attention, following keys are not inevitably infected!!!

404Fix
Credits: Malware Analysis & Diagnostic
Code: S!Ri


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"Userinit"="C:\\WINDOWS\\system32\\userinit.exe,"

»»»»»»»»»»»»»»»»»»»»»»»» RK

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""




»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: Broadcom 802.11b/g WLAN - Miniport för paketschemaläggning
DNS Server Search Order: 192.168.0.1

HKLM\SYSTEM\CCS\Services\Tcpip\..\{35197A83-131D-4DBD-A508-A1AF00F002E2}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\..\{35197A83-131D-4DBD-A508-A1AF00F002E2}: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1
HKLM\SYSTEM\CS1\Services\Tcpip\Parameters: DhcpNameServer=192.168.0.1


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

Tack för ditt tålamod med en gammal man. Osäker

Kenneth

Link to comment
Share on other sites

Det ser bra ut där också så då är det nog bra med datorn.

Då återstår bara lite städning.

1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade. Du gör det genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt.
Systemåterställningsfunktionen slår man av och på här:
XP: Högerklick på Den här datorn - Egenskaper - Systemåterställning
Vista: Högerklick på Datorn - Egenskaper - Avanderade systeminställningar - Systemskydd
Avbocka resp. sätt tillbaks bockar för alla hårddiskar (kom ihåg hur det såg ut innan)

2. Om du har använt något fix-program, t ex ComboFix så ladda ner avinstallationsprogrammet OTC till Skrivbordet.
http://oldtimer.geekstogo.com/OTC.exe
Dubbelklicka på filen för att starta programmet.

Tryck på knappen CleanUp! och de olika fix-program som du har laddat ner kommer att avinstalleras, inkl. detta program, efter en omstart av datorn. Om något fix-program är kvar efter det så fråga hur du ska ta bort det.

3. Ta bort alla tillfälliga filer genom att ladda ner ATF-Cleaner på Skrivbordet:
http://www.atribune.org/ccount/click.php?id=1

Stäng av alla andra program, särskilt webbläsare.
Dubbelklicka på ATF-Cleaner.exe för att starta programmet.
Bocka i Select All. Tryck på Empty Selected.

Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

Tryck på Exit i Main-menyn för att stänga programmet.

Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.

4. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.
http://mnin.blogspot.com/2009/02/why-i-enjoyed-tiggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.

5. Förbättra skyddet i datorn, se mina Råd för en säkrare dator. http://ceblstockholm.googlepages.com/home

Link to comment
Share on other sites

Hej Cecilia.

Jag är dej evigt tacksam för att lotsat mig säkert förbi alla blidskären.

Kan bara säga tusen tack för mycket god hjälp och råd.

Hälsningar

Kenneth Stor kram

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...