Just nu i M3-nätverket
Jump to content

Virus eller?


Yoshis

Recommended Posts

Hej igen!

Nu har jag lyckats ta bort alla filer du skrev utom c:\windows\system32\cssd ll32.dl
Den kan ju i för sig ha försvunnit efter jag kört den där comodo cleaner?? Vet faktiskt inte, men här kommer en ny logg iallafall.

MVH // Yoshis

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:40:46, on 2009-09-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program\Delade filer\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\hphmon06.exe
C:\HP\KBD\KBD.EXE
C:\Program\Delade filer\InterVideo\SchSvr\SchSvr.exe
C:\Program\InterVideo\Common\Bin\WinRemote.exe
C:\Program\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
C:\Program\D-Tools\daemon.exe
C:\Program\Delade filer\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program\Logitech\QuickCam\Quickcam.exe
C:\Program\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program\SlySoft\CloneCD\CloneCDTray.exe
C:\Program\Java\jre6\bin\jusched.exe
C:\Program\Avira\AntiVir Desktop\avguard.exe
C:\Program\Avira\AntiVir Desktop\avgnt.exe
C:\Program\Bonjour\mDNSResponder.exe
C:\Program\SlySoft\AnyDVD\AnyDVDtray.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program\Java\jre6\bin\jqs.exe
c:\Program\Delade filer\LightScribe\LSSrvc.exe
C:\Program\Delade filer\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\WebUpdateSvc4.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program\Delade filer\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program\Delade filer\Logishrd\LQCVFX\COCIManager.exe
C:\Program\internet explorer\iexplore.exe
C:\Program\internet explorer\iexplore.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe

Link to comment
Share on other sites

Jag ser inget skadligt i loggen, loggen, men det finns många skadliga program som inte syns i en HijackThis-logg. Jag ser att MBAM håller på och kör, vad har det hittat för något?

Link to comment
Share on other sites

Hej Cecilia och alla andra!

Har du något bra råd, vad man kan använda för program för att rensa trojaner, spyware osv. ?
Litar inte riktigt på detta program jag använder: Malwarebytes' Anti-Malware 1.41
Här kommer 2 olika loggar den senaste först och sedan den jag gjorde vid midnatt, tidigare idag! finns det nåt program som kan skydda mig från Total Security 2009? Det var ju den som försörde min dator tidigare ikväll!


Logg1:

Malwarebytes' Anti-Malware 1.41
Database version: 2775
Windows 5.1.2600 Service Pack 2

2009-09-26 01:42:49
mbam-log-2009-09-26 (01-42-49).txt

Scan type: Quick Scan
Objects scanned: 105104
Time elapsed: 4 minute(s), 43 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 0
Registry Values Infected: 0
Registry Data Items Infected: 0
Folders Infected: 0
Files Infected: 0

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
(No malicious items detected)

Registry Values Infected:
(No malicious items detected)

Registry Data Items Infected:
(No malicious items detected)

Folders Infected:
(No malicious items detected)

Files Infected:
(No malicious items detected)

Logg2:

Malwarebytes' Anti-Malware 1.41
Database version: 2775
Windows 5.1.2600 Service Pack 2

2009-09-25 23:33:45
mbam-log-2009-09-25 (23-33-45).txt

Scan type: Quick Scan
Objects scanned: 104961
Time elapsed: 4 minute(s), 6 second(s)

Memory Processes Infected: 0
Memory Modules Infected: 0
Registry Keys Infected: 1
Registry Values Infected: 2
Registry Data Items Infected: 2
Folders Infected: 1
Files Infected: 1

Memory Processes Infected:
(No malicious items detected)

Memory Modules Infected:
(No malicious items detected)

Registry Keys Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{b6b571fb-b71d-449c-ad70-82e966328795} (Trojan.FakeAlert) -> Quarantined and deleted successfully.

Registry Values Infected:
HKEY_CURRENT_USER\Control Panel\don't load\scui.cpl (Hijack.SecurityCenter) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Control Panel\don't load\wscui.cpl (Hijack.SecurityCenter) -> Quarantined and deleted successfully.

Registry Data Items Infected:
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools (Hijack.Regedit) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

Folders Infected:
C:\Documents and Settings\HP_Ägaren\Start-meny\Program\Total Security (Rogue.TotalSecurity) -> Quarantined and deleted successfully.

Files Infected:
C:\Documents and Settings\HP_Ägaren\Start-meny\Program\Total Security\Total Security 2009.lnk (Rogue.TotalSecurity) -> Quarantined and deleted successfully.

MVH// Yoshis

Link to comment
Share on other sites

Yoshis
För det första var hittar man detta:
"Total Security 2009" ??
Ge mig nedladdningslänken.
Sätter man på datorn så har man väl ngt slags kondom/skydd på eller ?
Ladda ned codecs o ev andra "tillägg" gör man väl med viss åtskillnad.
- Hur man skyddar sig , vanligt "common sense" räcker rätt långt.
Om man inte vet vad det innebär kan man väl räkna med att olyckor sker.

Link to comment
Share on other sites

Total Security har ju funnits sedan mitten på augusti så jag skulle tro att MBAM klarar av att få bort det, särskilt som det jag läser om det inte visar att det skulle vara något särskilt besvärligt att få bort. Men vi kan se vad ComboFix visar.

Ladda ner ComboFix till Skrivbordet:
http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.
Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html
Kör ComboFix och följ anvisningarna som visas.
Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

Det här forumet har svårt att hantera långa inlägg så du måste dela upp loggen i många inlägg. Ett inlägg bör max vara 50 rader långt och helst inte mer än 25.

Om du får problem med att komma ut på internet:
Kontrollpanelen - Nätverksanslutningar
högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

Link to comment
Share on other sites

Logg fr combofix:

ComboFix 09-09-25.01 - HP_Ägaren 2009-09-26 11:27.1.2 - NTFSx86
Microsoft Windows XP Home Edition  5.1.2600.2.1252.46.1053.18.1023.531 [GMT 2:00]
Körs från: c:\documents and settings\HP_Ägaren\Skrivbord\ComboFix.exe
AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}
 * Skapade en ny återställningspunkt
.
ADS - WINDOWS: deleted 24 bytes in 1 streams.

(((((((((((((((((((((((((((((((((((((((   Andra raderingar   ))))))))))))))))))))))))))))))))))))))))))))))))
.

c:\documents and settings\HP_Ägaren\Application Data\Microsoft\Clip Organizer\mstore10.mgc
c:\documents and settings\Steffi\Application Data\Microsoft\Clip Organizer\mstore10.mgc
c:\documents and settings\Steffi\Application Data\Microsoft\Clip Organizer\Offic10.MGC
c:\windows\Installer\46437.msi
c:\windows\Installer\4ada89.msi
c:\windows\Installer\7530ea.msi
c:\windows\Installer\7530eb.msp
c:\windows\Installer\7530ec.msp
c:\windows\Installer\7530ed.msp
c:\windows\Installer\7530ee.msp
c:\windows\Installer\7530ef.msp
c:\windows\Installer\7530f0.msp
c:\windows\Installer\7530f1.msp
c:\windows\Installer\7530f2.msp
c:\windows\Installer\7530f3.msp
c:\windows\Installer\7530f4.msp
c:\windows\Installer\75315f.msi
c:\windows\Installer\753160.msp
c:\windows\Installer\753161.msp
c:\windows\Installer\753162.msp
c:\windows\Installer\753163.msp
c:\windows\Installer\753164.msp
c:\windows\Installer\753165.msp
c:\windows\Installer\753166.msp
c:\windows\Installer\753167.msp
c:\windows\Installer\753168.msp
c:\windows\Installer\753169.msp
c:\windows\Installer\8d294b.msp
c:\windows\Installer\8d2968.msp
c:\windows\system32\ps2.bat

Link to comment
Share on other sites


.
((((((((((((((((((((((((   Filer Skapade från 2009-08-26 till 2009-09-26  ))))))))))))))))))))))))))))))
.

2009-09-25 22:31 . 2009-09-25 22:54 -------- d-----w- c:\program\Spybot - Search & Destroy
2009-09-25 22:31 . 2009-09-25 22:53 -------- d-----w- c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy
2009-09-25 22:09 . 2009-09-25 22:09 -------- d-----w- c:\program\Trend Micro
2009-09-25 21:34 . 2009-09-25 22:35 -------- d-----w- c:\program\Error Repair Professional
2009-09-25 21:15 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-09-25 21:15 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-09-25 21:15 . 2009-09-25 21:15 -------- d-----w- c:\program\Malwarebytes' Anti-Malware
2009-09-25 21:07 . 2009-09-25 21:07 -------- d-----w- c:\documents and settings\Steffi\Application Data\Malwarebytes
2009-09-25 21:07 . 2009-09-25 21:07 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-09-25 20:59 . 2009-09-25 21:06 -------- d-----w- c:\program\Enigma Software Group
2009-09-25 20:32 . 2009-09-25 20:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Canneverbe Limited
2009-09-25 20:32 . 2009-09-25 20:32 -------- d-----w- c:\program\CCleaner
2009-09-14 15:42 . 2009-07-28 14:33 55656 ----a-w- c:\windows\system32\drivers\avgntflt.sys
2009-09-14 15:42 . 2009-03-30 08:33 96104 ----a-w- c:\windows\system32\drivers\avipbb.sys
2009-09-14 15:42 . 2009-02-13 10:29 22360 ----a-w- c:\windows\system32\drivers\avgntmgr.sys
2009-09-14 15:42 . 2009-02-13 10:17 45416 ----a-w- c:\windows\system32\drivers\avgntdd.sys
2009-09-14 15:42 . 2009-09-14 15:42 -------- d-----w- c:\program\Avira
2009-09-14 15:42 . 2009-09-14 15:42 -------- d-----w- c:\documents and settings\All Users\Application Data\Avira
2009-09-13 16:13 . 2009-09-13 16:13 9381 ----a-w- c:\windows\system32\epfwdata.bin
2009-09-11 08:07 . 2009-09-11 08:07 -------- d-----w- c:\documents and settings\All Users\Application Data\DVD Shrink
2009-09-11 07:33 . 2003-08-15 12:55 348160 ----a-w- c:\windows\system32\eSellerateEngine.dll
2009-09-10 00:05 . 2003-01-26 11:41 40960 ----a-w- c:\windows\system32\ssubtmr6.dll

Link to comment
Share on other sites


.
((((((((((((((((((((((((((((((((((((((((   Find3M Rapport   )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-26 08:49 . 2008-07-18 12:53 0 ----a-w- c:\windows\system32\drivers\lvuvc.hs
2009-09-26 08:49 . 2008-07-18 12:53 0 ----a-w- c:\windows\system32\drivers\logiflt.iad
2009-09-26 00:16 . 2005-01-01 16:42 384 ----a-w- c:\windows\system32\DVCStateBkp-{00000003-00000000-00000006-00001102-00000004-20051102}.dat
2009-09-26 00:16 . 2005-01-01 16:42 384 ----a-w- c:\windows\system32\DVCState-{00000003-00000000-00000006-00001102-00000004-20051102}.dat
2009-09-26 00:16 . 2008-09-22 19:29 12 ----a-w- c:\windows\bthservsdp.dat
2009-09-25 21:27 . 2008-07-19 16:10 -------- d-----w- c:\documents and settings\Steffi\Application Data\Skype
2009-09-25 21:26 . 2008-07-19 16:12 -------- d-----w- c:\documents and settings\Steffi\Application Data\skypePM
2009-09-25 21:24 . 2009-01-20 20:19 -------- d-----w- c:\documents and settings\Steffi\Application Data\uTorrent
2009-09-14 15:12 . 2008-07-26 20:29 -------- d---a-w- c:\documents and settings\All Users\Application Data\TEMP
2009-09-14 14:33 . 2009-03-09 18:43 -------- d-----w- c:\documents and settings\Steffi\Application Data\TeamViewer
2009-09-14 14:33 . 2008-07-18 12:16 -------- d-----w- c:\program\Tetra Blocks v1.5
2009-09-14 14:31 . 2008-07-18 14:17 -------- d-----w- c:\documents and settings\All Users\Application Data\FLEXnet
2009-09-14 14:31 . 2008-07-18 12:25 -------- d-----w- c:\documents and settings\All Users\Application Data\WLInstaller
2009-09-11 09:22 . 2008-07-18 14:07 -------- d-----w- c:\program\Delade filer\Adobe
2009-09-10 20:08 . 2008-07-18 23:10 -------- d-----w- c:\documents and settings\All Users\Application Data\Microsoft Help
2009-08-26 22:32 . 2005-01-01 16:27 -------- d-----w- c:\program\Java
2009-08-17 23:55 . 2008-07-18 12:58 47360 ----a-w- c:\windows\system32\drivers\pcouffin.sys
2009-08-13 19:55 . 2009-08-13 19:55 -------- d-----w- c:\documents and settings\Steffi\Application Data\ESET
2009-08-10 16:53 . 2004-11-29 16:42 84948 ----a-w- c:\windows\system32\perfc01D.dat
2009-08-10 16:53 . 2004-11-29 16:42 447474 ----a-w- c:\windows\system32\perfh01D.dat
2009-08-09 10:53 . 2008-12-28 00:08 -------- d-----w- c:\program\TuneUp Utilities 2009
2009-08-09 10:36 . 2008-07-18 14:29 -------- d-----w- c:\documents and settings\All Users\Application Data\NOS
2009-08-09 10:35 . 2008-12-29 22:05 -------- d-----w- c:\program\NOS
2009-08-09 10:34 . 2008-07-18 13:31 -------- d-----w- c:\program\Delade filer\Nikon
2009-08-09 10:33 . 2008-12-28 00:07 -------- d-sh--w- c:\documents and settings\All Users\Application Data\{55A29068-F2CE-456C-9148-C869879E2357}
2009-08-05 09:08 . 2004-08-04 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-31 05:52 . 2008-07-18 13:31 20 ---h--w- c:\documents and settings\All Users\Application Data\PKP_DLdu.DAT
2009-07-31 05:31 . 2009-07-31 05:31 604488 ----a-w- c:\windows\system32\TUProgSt.exe
2009-07-31 05:31 . 2009-07-06 22:17 361288 ----a-w- c:\windows\system32\TuneUpDefragService.exe
2009-07-31 05:31 . 2009-07-31 05:31 -------- d-----w- c:\documents and settings\All Users\Application Data\TuneUp Software
2009-07-25 03:23 . 2008-12-28 02:41 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-07-17 19:00 . 2004-08-04 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-15 09:48 . 2009-07-31 05:31 29000 ----a-w- c:\windows\system32\uxtuneup.dll
2009-07-13 21:43 . 2004-08-04 11:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 17:00 . 2004-08-04 11:00 915456 ----a-w- c:\windows\system32\wininet.dll
2008-01-19 06:09 . 2008-07-18 19:11 22 --sha-w- c:\windows\SMINST\HPCD.SYS
Link to comment
Share on other sites


.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Not* Tomma poster & legitima standardposter visas inte.
REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"AnyDVD"="c:\program\SlySoft\AnyDVD\AnyDVDtray.exe" [2008-12-27 2292672]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"hpsysdrv"="c:\windows\system\hpsysdrv.exe" [1998-05-07 52736]
"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-02-24 5537792]
"HPHUPD06"="c:\program\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe" [2004-06-07 49152]
"HPHmon06"="c:\windows\system32\hphmon06.exe" [2004-06-07 659456]
"KBD"="c:\hp\KBD\KBD.EXE" [2005-02-02 61440]
"Home Theater SchSvr"="c:\program\Delade filer\InterVideo\SchSvr\SchSvr.exe" [2005-05-10 106496]
"WINREMOTE"="c:\program\InterVideo\Common\Bin\WinRemote.exe" [2005-05-10 233472]
"Recguard"="c:\windows\SMINST\RECGUARD.EXE" [2004-04-14 233472]
"PS2"="c:\windows\system32\ps2.exe" [2004-10-25 90112]
"CTDVDDET"="c:\program\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE" [2003-06-18 45056]
"LSBWatcher"="c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe" [2004-10-14 253952]
"regcmdcons"="c:\hp\bin\cloaker.exe" [1999-11-07 27136]
"DAEMON Tools-1033"="c:\program\D-Tools\daemon.exe" [2004-08-22 81920]
"LogitechCommunicationsManager"="c:\program\Delade filer\LogiShrd\LComMgr\Communications_Helper.exe" [2007-10-25 563984]
"LogitechQuickCamRibbon"="c:\program\Logitech\QuickCam\Quickcam.exe" [2007-10-25 2178832]
"GrooveMonitor"="c:\program\Microsoft Office\Office12\GrooveMonitor.exe" [2007-08-24 33648]
"CloneCDTray"="c:\program\SlySoft\CloneCD\CloneCDTray.exe" [2006-09-28 57344]
"SunJavaUpdateSched"="c:\program\Java\jre6\bin\jusched.exe" [2009-07-25 149280]
"avgnt"="c:\program\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]
"Malwarebytes Anti-Malware (reboot)"="c:\program\Malwarebytes' Anti-Malware\mbam.exe" [2009-09-10 1312080]
"Malwarebytes' Anti-Malware"="c:\program\Malwarebytes' Anti-Malware\mbamgui.exe" [2009-09-10 420176]
"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2005-02-24 1495040]
"CTHelper"="CTHELPER.EXE" - c:\windows\system32\CTHELPER.EXE [2003-11-14 24576]
"AGRSMMSG"="AGRSMMSG.exe" - c:\windows\AGRSMMSG.exe [2004-06-29 88363]
"BluetoothAuthenticationAgent"="bthprops.cpl" - c:\windows\system32\bthprops.cpl [2004-08-03 110592]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]
"SetDefaultMIDI"="MIDIDEF.EXE" - c:\windows\MIDIDEF.EXE [2003-06-21 49152]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c:\windows\system32\cssdll32.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run-]
"UpdReg"=c:\windows\UpdReg.EXE
"Adobe Reader Speed Launcher"="c:\program\Adobe\Reader 8.0\Reader\Reader_sl.exe"

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
"DisableMonitoring"=dword:00000001
Link to comment
Share on other sites


[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program\\uTorrent\\uTorrent.exe"=
"c:\\Program\\Bonjour\\mDNSResponder.exe"=
"c:\\Program\\Microsoft Office\\Office12\\OUTLOOK.EXE"=
"c:\\Program\\Microsoft Office\\Office12\\GROOVE.EXE"=
"c:\\Program\\Microsoft Office\\Office12\\ONENOTE.EXE"=
"c:\\Documents and Settings\\HP_Ägaren\\temp\\TeamViewer3\\TeamViewer.exe"=
"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=
"c:\\Program\\TeamViewer\\Version4\\TeamViewer.exe"=
"c:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=
"c:\\Program\\Windows Live\\Messenger\\livecall.exe"=
"c:\\Program\\Skype\\Phone\\Skype.exe"=

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\program\Avira\AntiVir Desktop\sched.exe [2009-09-14 108289]
R2 MBAMService;MBAMService;c:\program\Malwarebytes' Anti-Malware\mbamservice.exe [2009-09-25 269648]
R2 TuneUp.ProgramStatisticsSvc;TuneUp Program Statistics Service;c:\windows\system32\TUProgSt.exe [2009-07-31 604488]
R2 WebUpdate4;Web Update Wizard Service V4;c:\windows\system32\WebUpdateSvc4.exe [2008-01-18 258264]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2009-09-25 19160]
R3 PhTVTune;ASUS WDM TV Tuner;c:\windows\system32\drivers\PhTVTune.sys [2005-01-01 24544]
R3 WN5401;Liteon Wireless LAN PCI 802.11 a/b/g adapter WN5401A;c:\windows\system32\drivers\wn5401.sys [2005-01-01 449920]
S2 ekrn;ESET Service;"c:\program\ESET\ESET NOD32 Antivirus\ekrn.exe" --> c:\program\ESET\ESET NOD32 Antivirus\ekrn.exe [?]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost  - NetSvcs
UxTuneUp

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Innehållet i mappen 'Schemalagda aktiviteter':

2009-09-26 c:\windows\Tasks\1-Click Maintenance.job
- c:\program\TuneUp Utilities 2009\OneClickStarter.exe [2009-07-16 08:54]

Link to comment
Share on other sites


.
.
------- Extra genomsökning -------
.
uStart Page = hxxp://www.tt.se/
uDefault_Search_URL = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=SV_SE&c=Q305&bd=pavilion&pf=desktop
mSearch Bar = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=SV_SE&c=Q305&bd=pavilion&pf=desktop
uInternet Settings,ProxyOverride = *.local
IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\Office12\EXCEL.EXE/3000
.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-26 11:30
Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ... 

scanning hidden autostart entries ...

scanning hidden files ... 

scan completed successfully
hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\ASFWHide]
"ImagePath"="\??\c:\docume~1\HP_GAR~1\LOKALA~1\Temp\ASFWHide"
.
--------------------- LÅSTA REGISTERNYCKLAR ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}]
@Denied: (A 2) (Everyone)
@="FlashBroker"
"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation]
"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32]
@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10c.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}]
@Denied: (A 2) (Everyone)
@="IFlashBroker3"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32]
@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib]
@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"
"Version"="1.0"

Link to comment
Share on other sites


.
--------------------- DLLer som "laddats" under processer som körs ---------------------

- - - - - - - > 'winlogon.exe'(1220)
c:\windows\system32\cssdll32.dll

- - - - - - - > 'lsass.exe'(1296)
c:\windows\system32\cssdll32.dll
.
Sluttid: 2009-09-26 11:32
ComboFix-quarantined-files.txt  2009-09-26 09:32

Före genomsökningen: 118 594 355 200 byte ledigt
Efter genomsökningen: 118 611 537 920 byte ledigt

WindowsXP-KB310994-SP2-Home-BootDisk-SVE.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect

238 --- E O F --- 2009-09-15 18:51


Det var hela loggen! Tack så hemskt mycket Cecilia, att du hjälper oss icke kunniga! :)

MVH // Yoshis 

Link to comment
Share on other sites

Du kan läsa vad andra skriver om Error Repair Professional:
http://www.mywot.com/sv/scorecard/error-repair-pro.com
Om programmet har fixat något så återställ om möjligt innan du avinstallerar det.

Det verkar också finnas något program från Enigma Software Group i datorn. Det är inte heller något bra: http://www.mywot.com/sv/scorecard/enigmasoftware.com
Så avinstallera det också.

Det finns rester av Eset Nod32 i datorn så kör deras borttagningsprogram:
http://www.betterantivirus.com/nod32-antivirus-faqs/faqs/c1095623943.html#1170455686

Har du haft Comodo i datorn också?

Surfa till http://www.virustotal.com (fungerar bäst med Internet Explorer) klistra in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här. Upprepa med nästa filnamn.
c:\windows\system32\eSellerateEngine.dll
c:\windows\system32\ssubtmr6.dll
c:\windows\system32\drivers\logiflt.iad
c:\windows\system32\drivers\lvuvc.hs
c:\windows\system32\cssdll32.dll

Link to comment
Share on other sites

http://www.mywot.com/sv/scorecard/enigmasoftware.com
Så avinstallera det också=Lyckades inte hitta avinstallation så jag höger klickade på mappen med programmet och slängde hela mappen.

Det finns rester av Eset Nod32 i datorn så kör deras borttagningsprogram:
http://www.betterantivirus.com/nod32-antivirus-faqs/faqs/c1095623943.html#1170455686
Detta är gjort nu, tack det funkade utmärkt

Ang. Surfa till http://www.virustotal.com
Fattar inte riktigt, vad och hur använder jag informationen????

AntivirusVersionSenaste UppdateringResultata-squared4.5.0.242009.09.08-AhnLab-V35.0.0.22009.09.07-AntiVir7.9.1.122009.09.07-Antiy-AVL2.0.3.72009.09.08-Authentium5.1.2.42009.09.07-Avast4.8.1351.02009.09.07-AVG8.5.0.4092009.09.07-BitDefender7.22009.09.08-CAT-QuickHeal10.002009.09.08-ClamAV0.94.12009.09.08-Comodo22412009.09.08-DrWeb5.0.0.121822009.09.07-eSafe7.0.17.02009.09.06-eTrust-Vet31.6.67252009.09.08-F-Prot4.5.1.852009.09.07-F-Secure8.0.14470.02009.09.08-Fortinet3.120.0.02009.09.08-GData192009.09.08-IkarusT3.1.1.72.02009.09.08-Jiangmin11.0.8002009.09.08-K7AntiVirus7.10.8372009.09.05-Kaspersky7.0.0.1252009.09.08-McAfee57342009.09.07-McAfee+Artemis57342009.09.07-McAfee-GW-Edition6.8.52009.09.08-Microsoft1.50052009.09.08-NOD3244042009.09.08-Norman6.01.092009.09.07-nProtect2009.1.8.02009.09.07-Panda10.0.2.22009.09.07-PCTools4.4.2.02009.09.07-Prevx3.02009.09.08-Rising21.46.10.002009.09.08-Sophos4.45.02009.09.08-Sunbelt3.2.1858.22009.09.07-Symantec1.4.4.122009.09.08-TheHacker6.3.4.3.3972009.09.07-TrendMicro8.950.0.10942009.09.08-VBA323.12.10.102009.09.08-ViRobot2009.9.8.19222009.09.08-VirusBuster4.6.5.02009.09.07-Övrig informationFile size: 40960 bytesMD5   : dc7a3bc0fc185cd68848dc6f7d7b026bSHA1  : c661cb1198f5e3927a67884e71ca95ff33026224SHA256: 6618b3ab331642449f0b07e4f39abf9fc3bb90ae90b298f1b9ffd58ca5397399PEInfo: PE Structure information

( base data )
entrypointaddress.: 0x13E4
timedatestamp.....: 0x3E33E583 (Sun Jan 26 14:41:23 2003)
machinetype.......: 0x14C (Intel I386)

( 4 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x1000 0x4885 0x5000 5.66 5acec7c9e9ddbd64f6dd64703d7e2e5e
.data 0x6000 0x5F8 0x1000 0.00 620f0b67a91f7f74151bc5be745b7110
.rsrc 0x7000 0x1BAC 0x2000 3.88 fdf07ec06ad68b2436bb0f848c2b57a3
.reloc 0x9000 0x57A 0x1000 2.66 065b7238c4cf413b8007f104d058aeb3

( 1 imports )

> msvbvm60.dll: _CIcos, _adj_fptan, __vbaStrI4, __vbaVarMove, __vbaFreeVar, __vbaAptOffset, __vbaFreeVarList, _adj_fdiv_m64, __vbaRaiseEvent, _adj_fprem1, __vbaStrCat, __vbaSetSystemError, __vbaHresultCheckObj, _adj_fdiv_m32, -, __vbaObjSet, _adj_fdiv_m16i, __vbaObjSetAddref, _adj_fdivr_m16i, -, -, _CIsin, __vbaChkstk, EVENT_SINK_AddRef, __vbaGenerateBoundsError, DllFunctionCall, _adj_fpatan, EVENT_SINK_Release, _CIsqrt, -, __vbaObjIs, EVENT_SINK_QueryInterface, __vbaExceptHandler, -, __vbaStrToUnicode, _adj_fprem, _adj_fdivr_m64, __vbaFailedFriend, __vbaFPException, __vbaStrVarVal, __vbaVarCat, -, _CIlog, __vbaErrorOverflow, __vbaNew2, _adj_fdiv_m32i, _adj_fdivr_m32i, __vbaStrCopy, -, __vbaFreeStrList, _adj_fdivr_m32, _adj_fdiv_r, -, -, -, -, -, -, __vbaStrToAnsi, _CIatan, __vbaStrMove, __vbaCastObj, _allmul, _CItan, _CIexp, __vbaFreeStr, __vbaFreeObj

( 1 exports )

> DllCanUnloadNow, DllGetClassObject, DllRegisterServer, DllUnregisterServerTrID  : File type identification
Windows OCX File (90.7%)
Win32 Executable Generic (6.2%)
Generic Win/DOS Executable (1.4%)
DOS Executable Generic (1.4%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.0%)ssdeep: 768:vjBzwlSCIuAXEDsyPFHhOlLA57EkcAZnhtyFmNj:vLuAUocFHMlL07fRZPHPEiD  : -RDS   : NSRL Reference Data Set
Link to comment
Share on other sites

Bra att du har fått bort programmen.

Du har fattat rätt när det gäller virustotal. Även om du inte kan tolka informationen så kan jag göra det. Men jag inser nu att det blir lite mycket att klistra in här så du kan i stället klistra in länkarna till de olika resultaten.
Du ska alltså ladda upp alla filerna jag listade på virustotal en efter en och så vill jag veta vad resultatet blir för varje fil. Observera att i det sista filnamnet ska det inte vara något mellrum mitt i namnet.

Link to comment
Share on other sites

De två första och den sista länken fungerar men inte de två andra. Om du tittar på länkarna så ser du att de ser annorlunda ut, med recepcion i stället för analisis.

Link to comment
Share on other sites

Hej igen!

Får bara detta som resultat när jag försöker ladda upp filerna på virustotal.com=

[b]"0 bytes size received / Se ha recibido un archivo vacio"[/b]

Vet inte om jag gör fel, men det tror ja inte eftersom att jag lyckades med vissa?







Hmm vet inte vad jag gör för fel, dock...

MVH// Yoshis


Link to comment
Share on other sites

Kan du ta bort de två filerna:
c:\ windows\system32\drivers\logiflt.iad
c:\windows\s ystem32\drivers\lvuvc.hs


Har du haft Comodo i datorn också?

Link to comment
Share on other sites

Hej igen!

Jodå körde comodo en sväng, när mitt service avtal hos HP slutade gälla och tänkte använda det till jag köpt något annat, men efter lite strul med datorn, bestämde jag mig att avinstallera det utan att ens börja använda det. :) 

Jo, angående filerna 

c:\ windows\system32\drivers\logiflt.iad
c:\windows\s ystem32\drivers\lvuvc.hs

Kan jag ta bort dessa utan att förstöra datorn?

MVH// Yoshis

Link to comment
Share on other sites

Ja, så vitt jag kan förstå så ska de gå bra att ta bort de två filerna eftersom de inte innehåller något. Men du kan ju låta dem ligga i Papperskorgen eller på Skrivbordet några dagar. Men vad jag kan förstå så är de filer som hör till någon infektion.

Du kan köra en uppdaterad MBAM också.

För att ta bort rester av Comodo Firewall version 3 se första inlägget på
http://forums.comodo.com/help_for_v3/full_removal_of_comodo_firewall_pro_3_with_safesurf_toolbar_if_regular_uninstall_method_fails-t17220.0.html Läs under rubriken som börjar med "For novice users or people"
För Comodo Internet Security se http://forums.comodo.com/install_setup_configuration_help/cleanup_tool_for_comodo_internet_security-t36499.0.html i stället.

För att snabba upp den här tråden lite grann så kan du redigera ditt första inlägg och ta bort HijackThis-loggen. Sedan kan du klistra in en ny (uppdelad i 2-3 inlägg) så får jag kolla att Comodo är borta från den.

Link to comment
Share on other sites

Hej!
Nu har jag kört Comodo cleaner, här kommer en ny logg från hijackthis.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 20:40:46, on 2009-09-28
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program\Delade filer\LogiShrd\LVMVFM\LVPrcSrv.exe
C:\Program\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\hphmon06.exe
C:\HP\KBD\KBD.EXE
C:\Program\Delade filer\InterVideo\SchSvr\SchSvr.exe
C:\Program\InterVideo\Common\Bin\WinRemote.exe
C:\Program\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
C:\Program\D-Tools\daemon.exe
C:\Program\Delade filer\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program\Logitech\QuickCam\Quickcam.exe
C:\Program\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program\SlySoft\CloneCD\CloneCDTray.exe
C:\Program\Java\jre6\bin\jusched.exe
C:\Program\Avira\AntiVir Desktop\avguard.exe
C:\Program\Avira\AntiVir Desktop\avgnt.exe
C:\Program\Bonjour\mDNSResponder.exe
C:\Program\SlySoft\AnyDVD\AnyDVDtray.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program\Java\jre6\bin\jqs.exe
c:\Program\Delade filer\LightScribe\LSSrvc.exe
C:\Program\Delade filer\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\WebUpdateSvc4.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program\Delade filer\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program\Delade filer\Logishrd\LQCVFX\COCIManager.exe
C:\Program\internet explorer\iexplore.exe
C:\Program\internet explorer\iexplore.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe

Link to comment
Share on other sites


R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=SV_SE&c=Q305&bd=pavilion&pf=desktop
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.tt.se/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iesearch&locale=SV_SE&c=Q305&bd=pavilion&pf=desktop
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: Länkhjälp till Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Skype add-on (mastermind) - {22BF413B-C6D2-4d91-82A9-A0F997BA588C} - C:\Program\Skype\Toolbars\Internet Explorer\SkypeIEPlugin.dll
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O3 - Toolbar: HP-vy - {B2847E28-5D7D-4DEB-8B67-05D28BCF79F5} - c:\Program\HP\Digital Imaging\bin\HPDTLK02.dll
O4 - HKLM\..\Run: [hpsysdrv] c:\windows\system\hpsysdrv.exe
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /installquiet /keeploaded /nodetect
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [HPHUPD06] c:\Program\HP\{AAC4FC36-8F89-4587-8DD3-EBC57C83374D}\hphupd06.exe
O4 - HKLM\..\Run: [HPHmon06] C:\WINDOWS\system32\hphmon06.exe
O4 - HKLM\..\Run: [KBD] C:\HP\KBD\KBD.EXE
O4 - HKLM\..\Run: [Home Theater SchSvr] "C:\Program\Delade filer\InterVideo\SchSvr\SchSvr.exe"
O4 - HKLM\..\Run: [WINREMOTE] C:\Program\InterVideo\Common\Bin\WinRemote.exe
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [CTDVDDET] C:\Program\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
O4 - HKLM\..\Run: [LSBWatcher] c:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
O4 - HKLM\..\Run: [regcmdcons] c:\hp\bin\cloaker.exe c:\hp\bin\cmdcons.cmd
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Program\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program\Delade filer\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program\Microsoft Office\Office12\GrooveMonitor.exe"
O4 - HKLM\..\Run: [bluetoothAuthenticationAgent] rundll32.exe bthprops.cpl,,BluetoothAuthenticationAgent
O4 - HKLM\..\Run: [CloneCDTray] "C:\Program\SlySoft\CloneCD\CloneCDTray.exe" /s
O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKLM\..\Run: [Malwarebytes' Anti-Malware] "C:\Program\Malwarebytes' Anti-Malware\mbamgui.exe" /starttray
O4 - HKCU\..\Run: [AnyDVD] C:\Program\SlySoft\AnyDVD\AnyDVDtray.exe
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-18\..\RunOnce: [setDefaultMIDI] MIDIDEF.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\RunOnce: [setDefaultMIDI] MIDIDEF.EXE (User 'Default user')

Link to comment
Share on other sites

C:\Program\Creative\SBAudigy2ZS\DVDAudio\CTDVDDet.EXE
C:\hp\drivers\hplsbwatcher\lsburnwatcher.exe
C:\Program\D-Tools\daemon.exe
C:\Program\Delade filer\LogiShrd\LComMgr\Communications_Helper.exe
C:\Program\Logitech\QuickCam\Quickcam.exe
C:\Program\Microsoft Office\Office12\GrooveMonitor.exe
C:\WINDOWS\system32\rundll32.exe
C:\Program\SlySoft\CloneCD\CloneCDTray.exe
C:\Program\Java\jre6\bin\jusched.exe
C:\Program\Avira\AntiVir Desktop\avguard.exe
C:\Program\Avira\AntiVir Desktop\avgnt.exe
C:\Program\Bonjour\mDNSResponder.exe
C:\Program\SlySoft\AnyDVD\AnyDVDtray.exe
C:\WINDOWS\system32\CTSvcCDA.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program\Java\jre6\bin\jqs.exe
c:\Program\Delade filer\LightScribe\LSSrvc.exe
C:\Program\Delade filer\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program\Malwarebytes' Anti-Malware\mbamservice.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\HPZipm12.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\TUProgSt.exe
C:\WINDOWS\system32\WebUpdateSvc4.exe
C:\WINDOWS\system32\MsPMSPSv.exe
C:\Program\Delade filer\LogiShrd\LVCOMSER\LVComSer.exe
C:\Program\Delade filer\Logishrd\LQCVFX\COCIManager.exe
C:\Program\internet explorer\iexplore.exe
C:\Program\internet explorer\iexplore.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe


O23 - Service: ESET Service (ekrn) - Unknown owner - C:\Program\ESET\ESET NOD32 Antivirus\ekrn.exe (file missing)
O23 - Service: FLEXnet Licensing Service - Acresso Software Inc. - C:\Program\Delade filer\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
O23 - Service: getPlus® Helper - Unknown owner - C:\Program\NOS\bin\getPlus_HelperSvc.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe
O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program\Delade filer\LightScribe\LSSrvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program\Delade filer\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program\Delade filer\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program\Delade filer\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: MBAMService - Malwarebytes Corporation - C:\Program\Malwarebytes' Anti-Malware\mbamservice.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe
O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe
O23 - Service: TuneUp Drive Defrag Service (TuneUp.Defrag) - TuneUp Software - C:\WINDOWS\System32\TuneUpDefragService.exe
O23 - Service: TuneUp Program Statistics Service (TuneUp.ProgramStatisticsSvc) - TuneUp Software - C:\WINDOWS\System32\TUProgSt.exe
O23 - Service: Web Update Wizard Service V4 (WebUpdate4) - Data Perceptions / PowerProgrammer - C:\WINDOWS\system32\WebUpdateSvc4.exe

--
End of file - 11160 bytes

Link to comment
Share on other sites

Ser inte till Comodo där men jag tror det blev något konstigt med klistrandet för det blev ett väldigt snabbt hopp från rader som börjar med O4 till rader som börjar med O23. Kan du ha missat någon bit?

Dags för en avslutande städning.

1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade. Du gör det genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt.
Systemåterställningsfunktionen slår man av och på här:
XP: Högerklick på Den här datorn - Egenskaper - Systemåterställning
Vista: Högerklick på Datorn - Egenskaper - Avancerade systeminställningar - Systemskydd
Avbocka resp. sätt tillbaks bockar för alla hårddiskar (kom ihåg hur det såg ut innan)

2. Om du har använt något fix-program, t ex ComboFix så ladda ner avinstallationsprogrammet OTC till Skrivbordet.
http://oldtimer.geekstogo.com/OTC.exe
Dubbelklicka på filen för att starta programmet.
Tryck på knappen CleanUp! och de olika fix-program som du har laddat ner kommer att avinstalleras, inkl. detta program, efter en omstart av datorn. Om något fix-program är kvar efter det så fråga hur du ska ta bort det.

3. Ta bort alla tillfälliga filer genom att ladda ner ATF-Cleaner på Skrivbordet:
http://www.atribune.org/ccount/click.php?id=1
Stäng av alla andra program, särskilt webbläsare.
Dubbelklicka på ATF-Cleaner.exe för att starta programmet.
Bocka i Select All. Tryck på Empty Selected.
Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.
Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.
Tryck på Exit i Main-menyn för att stänga programmet.
Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.

4. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.
http://mnin.blogspot.com/2009/02/why-i-enjoyed-tiggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.

5. Förbättra skyddet i datorn, se mina Råd för en säkrare dator. http://ceblstockholm.googlepages.com/home

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...