Just nu i M3-nätverket
Gå till innehåll
bakerb

Windows security suite

Rekommendera Poster

bakerb

 Hjälp! Min son har laddat ner Windows Security Suite på sin dator i tron att det är ett antivirusprogram. Jag har kollat på nätet ,och följt en massa råd; putsat med Malwarebytes Antimalware, Spyware doctor , för hand och dessutom intallerat riktiga antivirus (AVG) och brandvägg( Zonealarm)  men inte lyckats få bort viruset. Hittar inte dom filer som sägs ska finnas i registret ,har tagit bort en del andra,vanliga filer enligt råd på nätet, men ändå,om jag stänger Zonalarm , står Windows Security Suite som aktiv brandvägg.  Råd??
bj

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
927

posta den senaste malwarebytes loggen, öppnar du programmet så finns den under loggar

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
bakerb

Tack för tipset ultimatescar ,sidan har jag dock besökt förr, och försökt med det mesta som rekommenderas där. En sak är jag osäker på; om man söker t.ex dll filer, så hittar man vissa gånger flera med samma namn, vissa hör väl till andra program,då kan man väl inta ta bort dom, eller hur vet man vilka som kan höra till Windows Security Suite?
bj

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
Cecilia

Om man inte vet vad man gör så ska man inte hålla på och radera filer i alla fall. 927 kan säkert ge dig råd om vad som behöver göras.

Jag skulle tro att 927 är intresserad av en MBAM-logg där något har tagits bort. Eftersom det blir väldigt svårt att läsa loggen som skärmdump så kopiera texten i Anteckningar och så klistra in den i ditt svar.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
927

uppdatera malwarebytes och gör en ny scan, posta innehållet från txt filen

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
bakerb

ok! sorry! Om jag kunde dethär skulle jag inte fråga! Alltså , första scanningen:
Malwarebytes' Anti-Malware 1.41
Databasversion: 2870
Windows 5.1.2600 Service Pack 3

29.9.2009 14:57:40
mbam-log-2009-09-29 (14-57-40).txt

Skanningstyp: Snabb skanning
Antal skannade objekt: 107272
Förfluten tid: 8 minute(s), 8 second(s)

Infekterade minnesprocesser: 0
Infekterade minnesmoduler: 0
Infekterade registernycklar: 650
Infekterade registervärden: 0
Infekterade registerdataposter: 1
Infekterade mappar: 0
Infekterade filer: 0

Infekterade minnesprocesser:
(Inga illasinnade poster hittades)

Infekterade minnesmoduler:
(Inga illasinnade poster hittades)

Infekterade registernycklar:
HKEY_CLASSES_ROOT\CLSID\{2b96d5cc-c5b5-49a5-a69d-cc0a30f9028c} (Adware.Minibug) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\SOFTWARE\Trymedia Systems (Adware.TryMedia) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Multimedia\WMPlayer\Schemes\f3pss (Adware.MyWebSearch) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_avp32.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_avpcc.exe (Security.Hijack) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_avpm.exe (Security.Hijack) -> Quarantined and deleted successfully.

Den här loggen var så lång att den fick visningen av tråden att helt spåra ur. Jag har därför tagit bort allt utom början av loggen. Den fortsatte med flera hundra rader som såg likadan ut som ovanstående fast med olika filnamn.
Cecilia - Moderator

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
927

uppdatera malwarebytes och posta den loggen, nu tror jag inte att den blir så lång men posta den isåfall i flera inlägg

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
bakerb

senaste loggen:Malwarebytes' Anti-Malware 1.41
Databasversion: 2915
Windows 5.1.2600 Service Pack 3

6.10.2009 19:11:58
mbam-log-2009-10-06 (19-11-58).txt

Skanningstyp: Snabb skanning
Antal skannade objekt: 108166
Förfluten tid: 7 minute(s), 44 second(s)

Infekterade minnesprocesser: 0
Infekterade minnesmoduler: 0
Infekterade registernycklar: 0
Infekterade registervärden: 0
Infekterade registerdataposter: 0
Infekterade mappar: 0
Infekterade filer: 0

Infekterade minnesprocesser:
(Inga illasinnade poster hittades)

Infekterade minnesmoduler:
(Inga illasinnade poster hittades)

Infekterade registernycklar:
(Inga illasinnade poster hittades)

Infekterade registervärden:
(Inga illasinnade poster hittades)

Infekterade registerdataposter:
(Inga illasinnade poster hittades)

Infekterade mappar:
(Inga illasinnade poster hittades)

Infekterade filer:
(Inga illasinnade poster hittades)

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
bakerb

Laddade hem den igår! Startade nyss upp andra datorn ,ska se om jag får hem en nyare idag.Kan det verkligen ha någon som helst betydelse om versionen är från igår?? :)
bj

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
bakerb

senaste log:Malwarebytes' Anti-Malware 1.41
Databasversion: 2917
Windows 5.1.2600 Service Pack 3

7.10.2009 13:45:34
mbam-log-2009-10-07 (13-45-34).txt

Skanningstyp: Snabb skanning
Antal skannade objekt: 108344
Förfluten tid: 11 minute(s), 45 second(s)

Infekterade minnesprocesser: 0
Infekterade minnesmoduler: 0
Infekterade registernycklar: 0
Infekterade registervärden: 0
Infekterade registerdataposter: 0
Infekterade mappar: 0
Infekterade filer: 0

Infekterade minnesprocesser:
(Inga illasinnade poster hittades)

Infekterade minnesmoduler:
(Inga illasinnade poster hittades)

Infekterade registernycklar:
(Inga illasinnade poster hittades)

Infekterade registervärden:
(Inga illasinnade poster hittades)

Infekterade registerdataposter:
(Inga illasinnade poster hittades)

Infekterade mappar:
(Inga illasinnade poster hittades)

Infekterade filer:
(Inga illasinnade poster hittades)

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
bakerb

Körde Hijackthis ,här är loggen om det hjälper:
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:40:26, on 7.10.2009
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16876)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\WINDOWS\SYSTEM32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\Ati2evxx.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
C:\Program\Ahead\InCD\InCDsrv.exe
C:\WINDOWS\SYSTEM32\Ati2evxx.exe
C:\windows\System32\svchost.exe
C:\windows\Explorer.EXE
C:\windows\System32\svchost.exe
C:\WINDOWS\system32\ZoneLabs\vsmon.exe
C:\windows\system32\spoolsv.exe
C:\windows\System32\svchost.exe
C:\Program\Netropa\Multimedia Keyboard\nhksrv.exe
C:\Program\AVG\AVG8\avgwdsvc.exe
C:\Program\Java\jre6\bin\jqs.exe
C:\Program\Pinnacle\MediaServer\Microsoft SQL Server\MSSQL$PINNACLESYS\Binn\sqlservr.exe
C:\Program\AVG\AVG8\avgrsx.exe
C:\Program\AVG\AVG8\avgnsx.exe
C:\Program\Spyware Doctor\pctsAuxs.exe
C:\Program\Delade filer\Microsoft Shared\Works Shared\WkUFind.exe
C:\windows\System32\svchost.exe
C:\Program\Java\jre6\bin\jusched.exe
C:\Program\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program\Spyware Doctor\pctsTray.exe
C:\Program\Zone Labs\ZoneAlarm\zlclient.exe
C:\Program\AVG\AVG8\avgtray.exe
C:\windows\system32\ctfmon.exe
C:\Program\TomTom HOME 2\TomTomHOMERunner.exe
C:\Program\DAEMON Tools\daemon.exe
C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program\Spyware Doctor\pctsSvc.exe
C:\Program\ATI Technologies\ATI.ACE\Core-Static\ccc.exe
C:\windows\System32\alg.exe
C:\Program\Malwarebytes' Anti-Malware\mbam.exe
C:\Documents and Settings\Björn\Skrivbord\hijackthis.exe
C:\windows\system32\notepad.exe
C:\windows\system32\wbem\wmiprvse.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Bar = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.ircdown.com/sv/index.php?rvs=hompag&d=79919376
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = localhost
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
R3 - URLSearchHook: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)
R3 - URLSearchHook: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program\Search Settings\kb127\SearchSettings.dll
O1 - Hosts: Enter DataBase IP bf2web.gamespy.com
O1 - Hosts: Enter DataBase IP bf2web.gamespy.com
O2 - BHO: Länkhjälp till Adobe PDF Reader - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: Blubster Toolbar Helper - {09AA6C75-179E-42E0-82F7-302603339A82} - C:\Program\Blubster Toolbar\v3.3.0.1\Blubster_Toolbar.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program\AVG\AVG8\avgssie.dll
O2 - BHO: DealioBHO Class - {6A87B991-A31F-4130-AE72-6D0C294BF082} - (no file)
O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program\Microsoft Office\Office12\GrooveShellExtensions.dll
O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll
O2 - BHO: SearchSettings Class - {E312764E-7706-43F1-8DAB-FCDD2B1E416D} - C:\Program\Search Settings\kb127\SearchSettings.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [PinnacleDriverCheck] C:\WINDOWS\system32\\PSDrvCheck.exe
O4 - HKLM\..\Run: [Microsoft Works Update Detection] "C:\Program\Delade filer\Microsoft Shared\Works Shared\WkUFind.exe"
O4 - HKLM\..\Run: [startCCC] "C:\Program\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun
O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Java\jre6\bin\jusched.exe"
O4 - HKLM\..\Run: [iSTray] "C:\Program\Spyware Doctor\pctsTray.exe"
O4 - HKLM\..\Run: [ZoneAlarm Client] "C:\Program\Zone Labs\ZoneAlarm\zlclient.exe"
O4 - HKLM\..\Run: [AVG8_TRAY] C:\Program\AVG\AVG8\avgtray.exe
O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (reboot)] "C:\Program\Malwarebytes' Anti-Malware\mbam.exe" /runcleanupscript
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKCU\..\Run: [TomTomHOME.exe] "C:\Program\TomTom HOME 2\TomTomHOMERunner.exe"
O4 - HKCU\..\Run: [DAEMON Tools] "C:\Program\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [sUPERAntiSpyware] C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O8 - Extra context menu item: Compare Prices with &Dealio - C:\Documents and Settings\Björn\Application Data\Dealio\kb127\res\DealioSearch.html
O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~4\Office12\EXCEL.EXE/3000
O9 - Extra button: Skicka till OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra 'Tools' menuitem: Ski&cka till OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\Program\MICROS~4\Office12\ONBttnIE.dll
O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~4\Office12\REFIEBAR.DLL
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) -
O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program\Microsoft Office\Office12\GrooveSystemServices.dll
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program\AVG\AVG8\avgpp.dll
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\Program\DELADE~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - C:\Program\SUPERAntiSpyware\SASWINLO.dll
O20 - Winlogon Notify: avgrsstarter - C:\windows\SYSTEM32\avgrsstx.dll
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\windows\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\Program\AVG\AVG8\avgwdsvc.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: InCD Helper (InCDsrv) - Nero AG - C:\Program\Ahead\InCD\InCDsrv.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe
O23 - Service: Netropa NHK Server (nhksrv) - Unknown owner - C:\Program\Netropa\Multimedia Keyboard\nhksrv.exe
O23 - Service: Pinnacle Systems Media Service (PinnacleSys.MediaServer) - Pinnacle Systems - C:\Program\Pinnacle\Shared Files\Programs\MediaServer\PMSHost.exe
O23 - Service: PC Tools Auxiliary Service (sdAuxService) - PC Tools - C:\Program\Spyware Doctor\pctsAuxs.exe
O23 - Service: PC Tools Security Service (sdCoreService) - PC Tools - C:\Program\Spyware Doctor\pctsSvc.exe
O23 - Service: TomTomHOMEService - TomTom - C:\Program\TomTom HOME 2\TomTomHOMEService.exe
O23 - Service: TrueVector Internet Monitor (vsmon) - Check Point Software Technologies LTD - C:\WINDOWS\system32\ZoneLabs\vsmon.exe

--
End of file - 8902 bytes

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
927

det ser bra ut. finns det här programmet i lägg till/ta bort så stång IE och avinstallera det
C:\Program\Search Settings

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
bakerb

Avistallerade programmet Search Settings. Men fortfarande,om jag stänger av Zonealarm; visas  Windows Security Suite  som aktiv brandvägg. Vad gör jag?
bj

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
927

vart ser du detta, i windows säkerhetscenter?

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
bakerb

Ja i Windows säkerhetscenter står att minst två brandväggar är aktiva, om jag stänger Zonalarm, står det att windows security suite är aktivt och "skyddar" min dator. Det står också att minst två antivirusprogram körs; har inte släckt ner AVG, men utgår från att problemet är detsamma som för brandväggen.
bj

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
927

mbam hitta ju 650 registerposter så jag trodde faktisk det skulle hjälpa.
jag har inaktiverat säkerhets centrat så jag är inte så insatt i detta men det som visas där är inte av så stor betydelse då programmet i fråga inte finns kvar i datorn. gör en snabb scan med superantispyware, det brukar kunna hitta mycket i registret.
http://www.filehippo.com/download_superantispyware/

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
bakerb

Körde superantispyware ,hittade inget. Kan man möjligen anse att datorn är "ren" och säker att använda nu, eller finns det något mera man kan pröva? Lite irriterande är ju "felanmälningen" i säkerhetscenter, ska man bry sej? Vad tror 927 ? Tack för alla råd hittills i alla fall!!
bj

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
927

vad hittar du du i den här "mappen" förutom avg och ZA?
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Security Center\Monitoring

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
bakerb

HKEY-osv.. innehåller: Ahnlab antivirus,Computer assosiates antivirus, Kaspersky antivirus, Mc Afee antivirus, Mc Afee firewall, Panda antivirus, Panda firewall, Sophos Antivirus, Symantec antivirus, Symantec firewall, Tiny firewall, Trend antivirus, Trend firevall, Zonelabs firewall

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
jalec

Försök med att starta om Security Center. Skriv services.msc i Kör... leta reda på Security Center i listan, högerklicka och välj Starta om. Eller välj Stoppa och starta om datorn. Du måste vara inloggad som Administratör.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser
bakerb

Startade om security center ,inget  ändrades . Stängde av Security center,startade om datorn,inget ändrades,har fortfarande två brandväggar och två antivirusprogram aktiva enligt Security center. Blir tvungen att försöka med Cecilias ide om msi ,verkar lite klurigt dock.

Dela detta inlägg


Länk till inlägg
Dela på andra webbplatser

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Skapa ett nytt konto på vårt forum. Det är lätt!

Registrera ett nytt konto

Logga in

Redan medlem? Logga in här.

Logga in nu



×
×
  • Skapa nytt...