Är deifeel.exe ett virus?

[Hans]

Hej.

Då min laptop hade blivit otroligt seg och mitt F-Secure vägrade fungera så gjorde jag en virusskanning online med Kaspersky som ni har på er hemsida. Det fanns 26 virus och trojaner men då jag skulle ta bort ett så fick jag blåskärm och datorn startade om och detta höll på i en ond cirkel.

Jag körde en reparation med HP:s XP skiva men då kom nästa problem.

Uppstarten tar 20min. och jag ser i aktivitetshanteraren att deifeel.exe tar mellan 70-90% av CPU:n.

Jag har googlat på deifeel.exe men finner ingen info om detta. Efter att ha hittat den i C:/Windows/prefetch, bytt namn på den och tagit bort den och sen avslutat processen i aktivitetshanteraren så gick CPU användningen ner till 5%.

Jag startade om datorn och problemet återkom exakt likadant och jag tog bort deifeel.exe igen men nu hittar jag den inte längre i C:/Windows/prefetch och kan inte avsluta den i aktivitetshanteraren.

CPU användningen ligger konstant på 100% med 40-66% på deifeel och resten på fssm32.exe och fsgk32.exe som är F-Secure fast jag inte kan se att F-Secure har startat eller finns överhuvudtaget.

Har kört F-Secure online scanning som inte hittade något och Kaspersky kan inte köras då jag får upp en ruta med ” Launch of the java application is interrupted! Please establish an uninterrupted Internet connection for work with this program”

 

Vad göra? Jag vill inte göra en hel ominstall. av XP då jag har många program som jag inte kan ominstallera.

Tacksam för hjälp.

Hans

[Gäst Olle Munter]

Det som ligger i Prefetch-mappen är bara hänvisningar till systemet på använda program, som gör att programmen lättare startar. Hittade heller inget när jag sökte på filen. Har du möjlighet själv att försöka hitta filen på din dator kan det lösa problemet.

 

Troligen tillhör deifeel.exe något program du har på datorn.

 

Du har sökt igenom datorn och bara hittat den i Prefetch? Det som finns där gör inget om man tar bort. Se ovan!

 

Du kan ju pröva med en systemåterställning till innan datorn blev seg och detta hände, om du kar koll på det förstås?

 

Annasr får du försöka hitta filen på datorn.

 

Vad hände föresten med alla virus, försvann dessa?

[Cecilia]

Vi kan se vad DDS visar till att börja med. Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

 

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Medan du bifogar Attach.txt som en fil.

[Gäst Olle Munter]

Cecilia!

 

Kanske vore intressant för Hans att veta vad DDS är för något. Hade själv inte hört talas om det.

 

Eftersom det är Hans första postning här i forumet.

[Cecilia]

DDS är ett program som listar processer som kör, program och tjänster som startas automatiskt samt filer i sådana mappar som är vanliga att skadliga program och som är nya eller ändrade under senaste 1-3 månader. DDS är ett mycket vanligt program bland oss som hjälper till att rensa datorer. Resultatet ger oss en grundläggande kunskap om vad som händer och har hänt nyligen i datorn, och från det kan vi dra slutsatser om vad som är nästa lämpliga steg i rensningen av datorn.

[Hans]

Hej .

Tack för en snabb respons, tyvärr har jag inte kunnat ta tag i det förrän nu. Jag skall försöka svara på era frågor.

På första genomsökningen svarade Kaspersky att deifeel.exe är ett virus, se bilaga Kaspresky.

Nu kan jag inte köra Kaspersky längre, se första inlagan.

 

Jag kör en Diagnostikstart, deifeel pendlar mellan 67-78%, systemkonfigurationen visar Selektiv start istället för Diagnostikstart. 13 processer igång.

Kan bara se deifeel i msconfig och aktivitetshanteraren och kan därför inte längre radera den.

 

Gick in under autostart och där fanns Deifeel under Kommando C:\ Documents and settings\mitt namn\deifeel.exe på 2 ställen och Plats: HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Run. samt:

SOFTWARE\Microsoft\Windows\CurrentVersion\Run

Tog bort bocken för dessa och startade om men ser att den som börjar med HKCU återigen är ibockad och i Aktivitetshanteraren visar den 47-78%.

Se bilaga, dds4

Men nu har jag fått tillbaka F-Secure iconen.

Tar bort bocken igen—samma sak

Fått ett nytt fönster: Remote Server,se, bilaga dds4

 

Någon systemåterställning är inte möjlig då jag kört en XP reparation.

 

Försökte köra DDS se bilaga dds och dds2.

Jag kan skicka Loggboken från Administrationsverktyg men den är stor.

 

Körde en ny fullständig F-Secure online virusscan, se bilaga dds5 och dds6.

 

Allt jag gör i datorn är väldigt tidskrävande då den är otroligt seg och CPU:n jobbar hela tiden på 100%.

Men jag har gett mig den på att viruset inte skall avgå med seger.

Alla bilagor skapades i den infekterade laptoppen och fördes över till den dator som jag använder för denna kommentar, via ett USB minne varpå denna dator direkt fann viruset med detta resultat:

Resultat: 2 skadliga program hittades

Gen:Trojan.Chinky.2 (virus)

• F:\deifeel.scr Åtgärd: bytt namn

• F:\deifeel.exe Åtgärd: bytt namn

Hoppas jag lyckas skicka bilagorna på rätt sätt.

Hälsningar Hans

[Cecilia]

Jag ser i loggen från Kaspersky att du har en besvärlig infektion av typen rootkit. Innan det är borta så är det ingen idé att bry sig om deifeel-filen.

 

1. Spara RKill av Grinler på Skrivbordet. Ladda ner det från den första av dessa länkar:

http://download.bleepingcomputer.com/grinler/rkill.com

http://download.bleepingcomputer.com/grinler/rkill.pif

http://download.bleepingcomputer.com/grinler/rkill.scr

http://download.bleepingcomputer.com/grinler/rkill.exe

 

Starta Rkill (i Vista och Windows 7 genom att högerklicka på filen och välj Kör som administratör om det valet finns).

Det blir ett svart fönster/ruta en stund om programmet lyckades köra.

Om det inte blev något svart fönster/ruta så ta bort den RKill-varianten och upprepa med nästa RKill.

 

Om du får ett meddelande om att RKill är skadligt så bry dig inte om det. Det är det skadliga programmen som inte vill bli stoppat. Lämna kvar varningen på skärmen och kör RKill en gång till.

 

Kör RKill tre gånger efter varandra. Det kommer att stoppa ett antal processer (program) så att det går lättare att köra rensningsprogram. Upprepa körningarna med RKill när du har startat om datorn.

 

Om inte någon av program-varianterna kan köra så berätta det.

 

2. Det var mycket skadliga filer i några olika mappar för tillfälliga filer. Ta bort alla tillfälliga filer genom att ladda ner ATF-Cleaner på Skrivbordet:

http://www.atribune.org/ccount/click.php?id=1

Stäng av alla andra program, särskilt webbläsare.

Dubbelklicka på ATF-Cleaner.exe för att starta programmet.

Bocka i Select All. Tryck på Empty Selected.

 

Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

 

Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

Tryck på Exit i Main-menyn för att stänga programmet.

 

Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.

 

3. Därefter bör det gå bra att köra DDS. Om F-secure vägrar att låta dig ladda ner och köra DDS så inaktivera F-secures antivirusdel.

[Hans]

Tack för ditt svar Cecilia.

Jag får nog inte tid förrän på fredag.

Tilläggas skall att loggen från Kaspersky är före XP reparationen.

Jag har ingen koll på nuvarande status mer än det som jag fick när jag körde F-Secure online virusscan.

Enligt den så finns det bara 1 virus som ligger i temp.internet files som jag kan radera.

Hans

[Cecilia]

Du kan se om det går att göra Kasperskys online-skanning efter att du har kört RKill. Annars så får vi undersöka med andra program om där fortfarande finns ett rootkit eller om det försvann vid reparationen. Eftersom deifeel.exe återkommer efter en omstart av datorn så är det knappast ensamt i datorn i alla fall utan det finns något mer som skapar deifeel om den försvinner och ser till att den på nytt läggs in under Autostart. För att komma vidare så är det de tre steg jag listade förut som gäller till att börja med.

[Hans]

Hej igen

 

Jag har nu kört rkill ett flertal gånger men varje gång jag startar om så är diefeel tillbaka.

Efter att ha kört rkill så kunde jag köra Kaspersky och hade många virus i temp mappen

Jag tog bort allt men lyckas inte hitta deifeel. Jag kan se iexplore men det var den som jag skulle ta bort från början och då fick jag blåskärm och jag kunde inte ens köra i felsäkert läge så jag körde en XP reperation.

Har kört ATF cleaner 7-8 gånger och varje gång raderas flera Mb.

Har du fler förslag på vad jag kan testa?

 

Hans

[Cecilia]

RKill tar inte bort något utan stänger bara av processer som kör så det är normalt att den måste köras när man har startat datorn.

 

Jag behöver se DDS-loggen så att jag kan se vad som händer i datorn och vad för något som kan finnas mer i datorn är de tre filer som Kaspersky hittade senast. Det är först då jag kan föreslå lämpliga åtgärder för att få datorn ren.

[Hans]

Tyvärr stänger rkill även mitt F-Secure och för att starta F-Secure igen så är deifeel tillbaka.

Jag kan fortfarande inte köra DDS,se tidigare bilaga dds.

Jag tog bort iexplor så nu har jag "bara" 2 diefeel kvar.

 

Hans

[Cecilia]

Som jag uppfattade det du har skrivit och bifogat tidigare så är det F-secure som stoppar nedladdning och körning av DDS. Då är det bara bra att RKill stänger av F-secure. Det gör inget att deifeel är tillbaka eftersom deifeel inte är det stora problemet i datorn utan det är bara ett symptom på något värre.

 

Men vi kan pröva med något annat, men det är ju bättre om jag först får se mer om vad som händer i datorn.

Ladda ner Malwarebytes Anti-Malware (MBAM) från:

http://www.download.com/Malwarebytes-Anti-Malware/3000-8022_4-10804572.html

Dubbelklicka på mbam-setup för att installera programmet.

 

Om du får problem med att ladda ner, installera eller köra MBAM så kör RKill några gånger.

 

Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

Om det inte går att uppdatera inifrån programmet så ladda själv ner senaste uppdateringen:

http://www.malwarebytes.org/mbam/database/mbam-rules.exe

och starta den för att uppdateringen ska ske.

 

När programmet startar så välj "Utför snabb skanning" och tryck på Skanna.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan "Visa resultat".

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.

Kopiera loggen och klistra in den i ditt svar. Bifoga den inte utan klistra in loggen direkt i svarsrutan.

[Hans]

Jag körde rkill.com och rkill.pif flera gånger och sen försökt med dds med samma resultat varje gång.

Tack för din input.

Försöker vidare med nästa steg.

Hans

[Hans]

Inga problem med att köra MBAM. Jag körde en fullständig scanning och den fann och tog bort enligt logg:

 

Malwarebytes' Anti-Malware 1.44

Databasversion: 3510

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

2010-03-06 19:43:20

mbam-log-2010-03-06 (19-43-20).txt

 

Skanningstyp: Fullständig skanning (C:\|E:\|)

Antal skannade objekt: 211699

Förfluten tid: 1 hour(s), 14 minute(s), 49 second(s)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 3

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 4

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{1d4db7d2-6ec9-47a3-bd87-1e41684e07bb} (Adware.MyWebSearch) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{e596df5f-4239-4d40-8367-ebadf0165917} (Rogue.Installer) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{09f1adac-76d8-4d0f-99a5-5c907dadb988} (Rogue.Multiple) -> Quarantined and deleted successfully.

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

C:\WINDOWS\system32\kbdatat4.dll (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\kboem32.dat (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\kbupdate.dll (Backdoor.Bot) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\crt4.dll (Backdoor.Bot) -> Quarantined and deleted successfully.

 

När jag satte i USBminnet med loggen från den infekterade datorn till denna datorn så fann F-Secure denna:

”Trojan.AutorunINF.Gen” som togs bort direkt.

 

Deifeel finns fortfarande kvar i autostart trots att jag bockat av den varje gång och dessutom har det tillkommit en ny:”muioj” som ligger på samma ställe som deifeel.

Så ligger de båda och tar 60-85% av CPU:n.

Nu lyckades jag köra dds.scr så jag skickar med loggfilerna.

 

DDS (Ver_09-12-01.01) - NTFSx86

Run by Hans Low‚n at 14:16:26,87 on 2010-03-07

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Home Edition 5.1.2600.3.1252.46.1053.18.1150.761 [GMT 1:00]

 

 

============== Running Processes ===============

 

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup

svchost.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

svchost.exe

C:\WINDOWS\system32\brsvc01a.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\system32\brss01a.exe

svchost.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

C:\Program\Bonjour\mDNSResponder.exe

C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program\F-Secure\Anti-Virus\fssm32.exe

C:\Program\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\Delade filer\LightScribe\LSSrvc.exe

C:\Program\Delade filer\LogiShrd\LVMVFM\LVPrcSrv.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\Program\F-Secure\Common\FSMA32.EXE

C:\Program\Canon\CAL\CALMAIN.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Documents and Settings\Hans Lowén\deifeel.exe

C:\Documents and Settings\Hans Lowén\muioj.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\System32\svchost.exe -k HTTPFilter

C:\Program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Documents and Settings\Hans Lowén\Skrivbord\dds.scr

 

============== Pseudo HJT Report ===============

 

uStart Page = hxxp://www.minradio.se/

uSearch Bar = hxxp://www.google.com/ie

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uInternet Settings,ProxyOverride = *.local

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

BHO: Länkhjälp till Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program\delade filer\adobe\acrobat\activex\AcroIEHelper.dll

BHO: Skype add-on (mastermind): {22bf413b-c6d2-4d91-82a9-a0f997ba588c} - c:\program\skype\toolbars\internet explorer\SkypeIEPlugin.dll

BHO: {7E853D72-626A-48EC-A868-BA8D5E23E045} - No File

BHO: Windows Live inloggningshjälpen: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program\delade filer\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\program\google\googletoolbarnotifier\5.4.4525.1752\swg.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No File

TB: {2318C2B1-4965-11D4-9B18-009027A5CD4F} - No File

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

uRun: [deifeel] c:\documents and settings\hans lowén\deifeel.exe

uRun: [muioj] c:\documents and settings\hans lowén\muioj.exe

uRun: [swg] "c:\program\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"

mRun: [MSConfig] c:\windows\pchealth\helpctr\binaries\MSConfig.exe /auto

mRun: [F-Secure Manager] "c:\program\f-secure\common\FSM32.EXE" /splash

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

IE: E&xportera till Microsoft Excel - c:\program\micros~2\office11\EXCEL.EXE/3000

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program\messenger\msmsgs.exe

IE: {5067A26B-1337-4436-8AFE-EE169C2DA79F} - {77BF5300-1474-4EC7-9980-D32B190E9B07} - c:\program\skype\toolbars\internet explorer\SkypeIEPlugin.dll

IE: {77BF5300-1474-4EC7-9980-D32B190E9B07} - {77BF5300-1474-4EC7-9980-D32B190E9B07} - c:\program\skype\toolbars\internet explorer\SkypeIEPlugin.dll

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\program\micros~2\office11\REFIEBAR.DLL

Trusted Zone: film2home.se\www

DPF: Microsoft XML Parser for Java - file://c:\windows\java\classes\xmldso.cab

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

DPF: {AB86CE53-AC9F-449F-9399-D8ABCA09EC09} - hxxps://h17000.www1.hp.com/ewfrf-JAVA/Secure/HPGetDownloadManager.ocx

DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab

DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab

DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab

DPF: {CAFEEFAC-0015-0000-0011-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_11-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - hxxp://www.adobe.com/products/acrobat/nos/gp.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

DPF: {D3166EE4-3E00-46CA-8F62-8E01D2314A7F} - hxxp://www.cig.canon-europe.com/ph/sv_SE/st/download/ddup/CNIMGUP_01_210102E.cab

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\program\delade~1\skype\SKYPE4~1.DLL

Notify: AtiExtEvent - Ati2evxx.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

 

============= SERVICES / DRIVERS ===============

 

R2 BackWeb Client - 7681197;F-Secure BackWeb;c:\program\f-secure\backweb\7681197\program\SERVIC~1.EXE [2006-2-21 16384]

R2 F-Secure Filter;F-Secure File System Filter;c:\program\f-secure\anti-virus\win2k\FSfilter.sys [2006-2-21 47280]

R2 F-Secure Gatekeeper Handler Starter;F-Secure Gatekeeper Handler Starter;c:\program\f-secure\anti-virus\fsgk32st.exe [2006-2-21 45056]

R2 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program\f-secure\anti-virus\win2k\fsgk.sys [2006-2-21 37456]

R2 F-Secure Recognizer;F-Secure File System Recognizer;c:\program\f-secure\anti-virus\win2k\FSrec.sys [2006-2-21 15984]

R2 FSpm;F-Secure Policy Manager;c:\program\f-secure\common\FSpm.sys [2006-2-21 65328]

R3 HSFHWATI;HSFHWATI;c:\windows\system32\drivers\HSFHWATI.sys [2004-12-15 200192]

S2 gupdate1c9cb27d5543b00;Tjänsten Google Update (gupdate1c9cb27d5543b00);c:\program\google\update\GoogleUpdate.exe [2009-5-2 133104]

S3 avera800;AVerMedia DVB-T BDA Video Capture(A800);c:\windows\system32\drivers\avera800.sys [2005-3-1 32768]

S3 AWINDIS5;AWINDIS5 Protocol Driver;c:\windows\system32\AWINDIS5.SYS [2006-2-12 16194]

S3 brfilt;Brother MFC-filterdrivrutin;c:\windows\system32\drivers\BrFilt.sys [2008-7-17 2944]

S3 BrSerWDM;Seriell Brother-drivrutin;c:\windows\system32\drivers\BrSerWdm.sys [2008-7-17 60416]

S3 BrUsbMdm;Brother MFC USB - endast faxmodem;c:\windows\system32\drivers\BrUsbMdm.sys [2008-7-17 11008]

S3 BrUsbScn;Drivrutin för Brother MFC USB-skanner;c:\windows\system32\drivers\BrUsbScn.sys [2008-7-17 10368]

S3 F-Secure BackWeb LAN Access;F-Secure BackWeb LAN Access;c:\program\f-secure\backweb\7681197\program\fsbwlan.exe [2006-2-21 39936]

S3 F-Secure Network Request Broker;F-Secure Network Request Broker;c:\program\f-secure\common\FNRB32.exe [2006-2-21 110668]

S3 NETGEAR_WG511_SERVICE;NETGEAR WG511T Wireless Adapter Service;c:\windows\system32\drivers\wg511nd5.sys [2006-2-12 319040]

S3 SUSCOM;Susteen Serial port driver;c:\windows\system32\drivers\SUSCOM.SYS [2006-3-20 40448]

 

=============== Created Last 30 ================

 

2010-03-07 12:29:51 86016 --sh--r- c:\documents and settings\hans lowén\muioj.exe

2010-03-06 17:18:34 0 d-----w- c:\docume~1\hanslo~1\applic~1\Malwarebytes

2010-03-06 17:18:22 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-03-06 17:18:20 0 d-----w- c:\docume~1\alluse~1\applic~1\Malwarebytes

2010-03-06 17:18:19 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-03-06 17:18:19 0 d-----w- c:\program\Malwarebytes' Anti-Malware

2010-02-28 14:47:16 0 d-----w- c:\program\MSXML 6.0

2010-02-28 14:44:26 69120 -c----w- c:\windows\system32\dllcache\iecompat.dll

2010-02-28 14:43:25 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll

2010-02-28 14:43:25 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll

2010-02-28 14:43:24 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll

2010-02-28 14:43:24 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll

2010-02-28 14:43:24 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll

2010-02-28 14:43:24 11070464 -c----w- c:\windows\system32\dllcache\ieframe.dll

2010-02-28 13:11:40 79872 -c----w- c:\windows\system32\dllcache\msxml6r.dll

2010-02-28 13:11:40 1372672 -c----w- c:\windows\system32\dllcache\msxml6.dll

2010-02-28 13:09:20 19569 ----a-w- c:\windows\003141_.tmp

2010-02-27 20:32:27 0 d-----w- c:\docume~1\alluse~1\applic~1\F-Secure

2010-02-27 20:25:02 272128 -c----w- c:\windows\system32\dllcache\bthport.sys

2010-02-27 20:20:04 33280 -c----w- c:\windows\system32\dllcache\csrsrv.dll

2010-02-27 20:13:58 203136 -c----w- c:\windows\system32\dllcache\rmcast.sys

2010-02-27 20:05:41 343552 -c----w- c:\windows\system32\dllcache\mspaint.exe

2010-02-27 20:03:33 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll

2010-02-27 20:02:27 217088 -c----w- c:\windows\system32\dllcache\wordpad.exe

2010-02-27 20:01:29 81920 -c----w- c:\windows\system32\dllcache\fontsub.dll

2010-02-27 20:01:28 119808 -c----w- c:\windows\system32\dllcache\t2embed.dll

2010-02-27 19:59:08 471552 -c----w- c:\windows\system32\dllcache\aclayers.dll

2010-02-27 19:58:44 474112 -c----w- c:\windows\system32\dllcache\shlwapi.dll

2010-02-27 19:57:01 227840 -c----w- c:\windows\system32\dllcache\wmiprvse.exe

2010-02-27 19:56:42 284160 -c----w- c:\windows\system32\dllcache\pdh.dll

2010-02-27 19:56:41 110592 -c----w- c:\windows\system32\dllcache\services.exe

2010-02-27 19:56:40 401408 -c----w- c:\windows\system32\dllcache\rpcss.dll

2010-02-27 19:56:35 473600 -c----w- c:\windows\system32\dllcache\fastprox.dll

2010-02-27 19:56:30 681472 -c----w- c:\windows\system32\dllcache\advapi32.dll

2010-02-27 19:56:26 730624 -c----w- c:\windows\system32\dllcache\lsasrv.dll

2010-02-27 19:56:24 453120 -c----w- c:\windows\system32\dllcache\wmiprvsd.dll

2010-02-27 19:56:22 719360 -c----w- c:\windows\system32\dllcache\ntdll.dll

2010-02-27 19:48:41 17920 -c----w- c:\windows\system32\dllcache\msyuv.dll

2010-02-27 19:48:41 1293824 -c----w- c:\windows\system32\dllcache\quartz.dll

2010-02-27 19:46:35 691712 -c----w- c:\windows\system32\dllcache\inetcomm.dll

2010-02-27 19:46:27 85504 -c----w- c:\windows\system32\dllcache\avifil32.dll

2010-02-27 19:46:27 48128 -c----w- c:\windows\system32\dllcache\iyuv_32.dll

2010-02-27 19:46:27 11264 -c----w- c:\windows\system32\dllcache\msrle32.dll

2010-02-27 19:46:17 2146304 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe

2010-02-27 19:46:16 2066816 -c----w- c:\windows\system32\dllcache\ntkrnlpa.exe

2010-02-27 19:46:16 2024960 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe

2010-02-27 19:45:34 353792 -c----w- c:\windows\system32\dllcache\srv.sys

2010-02-27 19:43:58 337408 -c----w- c:\windows\system32\dllcache\netapi32.dll

2010-02-27 19:43:13 455424 -c----w- c:\windows\system32\dllcache\mrxsmb.sys

2010-02-27 18:59:50 148 ----a-w- c:\documents and settings\hans lowén\Video .lnk

2010-02-27 18:59:50 148 ----a-w- c:\documents and settings\hans lowén\Pictures .lnk

2010-02-27 18:59:50 148 ----a-w- c:\documents and settings\hans lowén\Passwords .lnk

2010-02-27 18:59:50 148 ----a-w- c:\documents and settings\hans lowén\New Folder .lnk

2010-02-27 18:59:50 148 ----a-w- c:\documents and settings\hans lowén\Music .lnk

2010-02-27 18:59:50 148 ----a-w- c:\documents and settings\hans lowén\Documents .lnk

2010-02-27 18:59:45 132 --sh--r- c:\documents and settings\hans lowén\autorun.inf

2010-02-27 18:48:29 0 d-----w- c:\windows\msapps

2010-02-27 18:33:22 41600 -c--a-w- c:\windows\system32\dllcache\weitekp9.dll

2010-02-27 18:33:22 31232 -c--a-w- c:\windows\system32\dllcache\weitekp9.sys

2010-02-27 18:33:17 48256 -c--a-w- c:\windows\system32\dllcache\w32.dll

2010-02-27 18:33:01 14336 -c--a-w- c:\windows\system32\dllcache\tsprof.exe

2010-02-27 18:31:54 38912 -c--a-w- c:\windows\system32\dllcache\EXCH_ntfsdrv.dll

2010-02-27 18:31:17 92416 -c--a-w- c:\windows\system32\dllcache\mga.sys

2010-02-27 18:31:17 92032 -c--a-w- c:\windows\system32\dllcache\mga.dll

2010-02-27 18:31:15 65536 -c--a-w- c:\windows\system32\dllcache\EXCH_mailmsg.dll

2010-02-27 18:31:02 18432 -c--a-w- c:\windows\system32\dllcache\jupiw.dll

2010-02-27 18:30:28 31744 -c--a-w- c:\windows\system32\dllcache\fxsroute.dll

2010-02-27 18:30:28 11264 -c--a-w- c:\windows\system32\dllcache\fxssend.exe

2010-02-27 18:30:27 135168 -c--a-w- c:\windows\system32\dllcache\fxsclntr.dll

2010-02-27 18:30:27 111104 -c--a-w- c:\windows\system32\dllcache\fxscfgwz.dll

2010-02-27 18:30:24 14848 -c--a-w- c:\windows\system32\dllcache\flattemp.exe

2010-02-27 18:30:23 43520 -c--a-w- c:\windows\system32\dllcache\EXCH_fcachdll.dll

2010-02-27 18:30:22 45056 -c--a-w- c:\windows\system32\dllcache\esunid.dll

2010-02-27 18:30:22 25856 -c--a-w- c:\windows\system32\dllcache\et4000.sys

2010-02-27 18:30:21 57856 -c--a-w- c:\windows\system32\dllcache\esuimgd.dll

2010-02-27 18:30:21 31744 -c--a-w- c:\windows\system32\dllcache\esucmd.dll

2010-02-27 18:30:03 19456 -c--a-w- c:\windows\system32\dllcache\cprofile.exe

2010-02-27 18:28:55 208896 -c--a-w- c:\windows\system32\dllcache\fpmmcsat.dll

2010-02-27 18:25:44 488 ---ha-r- c:\windows\system32\logonui.exe.manifest

2010-02-27 18:25:32 749 ---ha-r- c:\windows\WindowsShell.Manifest

2010-02-27 18:25:32 749 ---ha-r- c:\windows\system32\wuaucpl.cpl.manifest

2010-02-27 18:25:32 749 ---ha-r- c:\windows\system32\sapi.cpl.manifest

2010-02-27 18:25:32 749 ---ha-r- c:\windows\system32\ncpa.cpl.manifest

2010-02-27 18:24:55 16384 -c--a-w- c:\windows\system32\dllcache\isignup.exe

2010-02-27 18:04:57 66082 -c--a-w- c:\windows\system32\dllcache\c_10021.nls

2010-02-27 18:03:59 7168 ----a-w- c:\windows\system32\kbdibm02.dll

2010-02-27 18:02:58 24661 -c--a-w- c:\windows\system32\dllcache\spxcoins.dll

2010-02-16 15:44:18 4 ----a-w- c:\program\1921828.dat

2010-02-16 15:44:14 8 ----a-w- c:\docume~1\alluse~1\applic~1\mswintmp.dat

2010-02-16 15:44:13 42496 ----a-w- c:\windows\system32\msxsltsso.dll

2010-02-16 15:38:33 86016 --sh--r- c:\documents and settings\hans lowén\deifeel.scr

2010-02-16 15:38:33 86016 --sh--r- c:\documents and settings\hans lowén\deifeel.exe

 

==================== Find3M ====================

 

2010-03-06 19:20:27 4718592 ----a-w- c:\documents and settings\hans lowén\ntuser.dat

2010-03-01 19:18:54 85250 ----a-w- c:\windows\system32\perfc01D.dat

2010-03-01 19:18:54 447874 ----a-w- c:\windows\system32\perfh01D.dat

2010-02-27 18:23:33 23564 ----a-w- c:\windows\system32\emptyregdb.dat

2009-12-22 05:36:09 81920 ------w- c:\windows\system32\ieencode.dll

2009-12-21 19:09:46 916480 ----a-w- c:\windows\system32\wininet.dll

2009-12-17 16:14:00 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-12-17 07:42:44 343552 ----a-w- c:\windows\system32\mspaint.exe

2009-12-14 07:10:20 33280 ----a-w- c:\windows\system32\csrsrv.dll

2009-12-09 10:11:37 2066816 ----a-w- c:\windows\system32\ntkrnlpa.exe

2009-12-09 10:11:33 2189952 ----a-w- c:\windows\system32\ntoskrnl.exe

 

============= FINISH: 14:17:22,76 ===============

[Cecilia]

På sidan http://www.virustotal.com trycker du på Bläddra-knappen och klistrar in ett av följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) eller en länk till resultatet här. Upprepa med nästa filnamn.

c:\windows\003141_.tmp

c:\program\1921828.dat

c:\docume~1\alluse~1\applic~1\mswintmp.dat

c:\windows\system32\msxsltsso.dll

c:\documents and settings\hans lowén\deifeel.scr

c:\documents and settings\hans lowén\deifeel.exe

 

Spara ComboFix på Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

[Hans]

Resultat från Virustotal:

analisis/831e2030a051703f571ef7fa7f663dc322cd99e2c431d77f6eabc738e34742f0-1267962271

analisis/df3f619804a92fdb4057192dc43dd748ea778adc52bc498ce80524c014b81119-1267986688

3-6 är borta då jag kört MBAM några gånger till efter lite annat trixande, se loggen:

 

Infekterade filer:

C:\WINDOWS\system32\msxsltsso.dll (Trojan.Downloader) -> Quarantined and deleted successfully.

C:\Documents and Settings\Hans Lowén\deifeel.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Hans Lowén\deifeel.scr (Trojan.Agent) -> Quarantined and deleted successfully.

C:\Documents and Settings\Hans Lowén\muioj.exe (Trojan.Agent) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\spool\prtprocs\w32x86\374.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\spool\prtprocs\w32x86\D9.tmp (Rootkit.TDSS) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Application Data\mswintmp.dat (Malware.Trace) -> Quarantined and deleted successfully.

 

diefeel och muioj finns fortfarande någonstans för de ligger kvar i autostarten, dock inte ibockade. Enligt autostart skall de ligga i C:\Documents and Settings\Hans Lowén\ men de syns inte.Kan inte se dem i aktivitetshanteraren och CPU:n jobbar normalt.

 

Har försökt köra ComboFix 3 ggr men fått felmeddelande se bilaga.

 

Har tyvärr fyllt uppladdningskvoten så jag får skriva in det.

!! ALERT !! It is not safe to continue!

The content of the Combofix package has been compromised.

Please download a fresh copy

Note: You may be infected with a file patching virus 'Virut'

[Cecilia]

Det är inga länkar du har klistrat in när det gäller virustotal.

 

Eftersom det är den besvärliga TDSS-rootkitet så se om detta hjälper:

Kör RKill några gånger. Spara TDSSKiller på Skrivbordet:

http://support.kaspersky.com/downloads/utils/tdsskiller.zip

 

Högerklicka och välj Extrahera alla. Se till att uppackningen sker till Skrivbordet. Alternativt så kan du använda ditt eget program för att packa upp zip-filer, se bara till att filen tdsskiller.exe hamnar på Skrivbordet.

 

Start - Kör

Kopiera raden som är i rutan

"%userprofile%\skrivbord\TDSSKiller.exe" -l rapport.txt -v

 

Öppna filer rapport som skapades på Skrivbordet och klistra in innehållet i ditt svar.

[Hans]

Nu hänger jag inte med riktigt.

Kopiera raden till vad?

 

Det finns ingen filer rapport på skrivbordet.

 

TDSSkiller fann inget.

Memory objects infected / cured / cured on reeboot: 0/0/0

Regestry - " - 0/0/0

File objects - " - 0/0/0

[Hans]

Läste det en gång till och fattade.

Här är den:

00:22:43:140 3088 TDSS rootkit removing tool 2.2.7.1 Feb 27 2010 13:29:25

00:22:43:140 3088 ================================================================================

00:22:43:140 3088 SystemInfo:

 

00:22:43:140 3088 OS Version: 5.1.2600 ServicePack: 3.0

00:22:43:140 3088 Product type: Workstation

00:22:43:140 3088 ComputerName: HANSBÄRBARA

00:22:43:140 3088 UserName: Hans Lowén

00:22:43:140 3088 Windows directory: C:\WINDOWS

00:22:43:140 3088 Processor architecture: Intel x86

00:22:43:140 3088 Number of processors: 1

00:22:43:140 3088 Page size: 0x1000

00:22:43:140 3088 Boot type: Normal boot

00:22:43:140 3088 ================================================================================

00:22:43:156 3088 UnloadDriverW: NtUnloadDriver error 2

00:22:43:156 3088 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2

00:22:43:203 3088 Initialize success

00:22:43:203 3088

00:22:43:203 3088 Scanning Services ...

00:22:43:203 3088 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system

00:22:43:203 3088 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

00:22:43:203 3088 wfopen_ex: Trying to KLMD file open

00:22:43:203 3088 wfopen_ex: File opened ok (Flags 2)

00:22:43:203 3088 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software

00:22:43:203 3088 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

00:22:43:203 3088 wfopen_ex: Trying to KLMD file open

00:22:43:203 3088 wfopen_ex: File opened ok (Flags 2)

00:22:43:890 3088 GetAdvancedServicesInfo: Raw services enum returned 376 services

00:22:43:890 3088 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system

00:22:43:890 3088 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software

00:22:43:890 3088

00:22:43:890 3088 Scanning Kernel memory ...

00:22:43:890 3088 Devices to scan: 2

00:22:43:890 3088

00:22:43:890 3088 Driver Name: Disk

00:22:43:890 3088 IRP_MJ_CREATE : F75B6BB0

00:22:43:890 3088 IRP_MJ_CREATE_NAMED_PIPE : 804F355A

00:22:43:890 3088 IRP_MJ_CLOSE : F75B6BB0

00:22:43:890 3088 IRP_MJ_READ : F75B0D1F

00:22:43:890 3088 IRP_MJ_WRITE : F75B0D1F

00:22:43:890 3088 IRP_MJ_QUERY_INFORMATION : 804F355A

00:22:43:890 3088 IRP_MJ_SET_INFORMATION : 804F355A

00:22:43:890 3088 IRP_MJ_QUERY_EA : 804F355A

00:22:43:890 3088 IRP_MJ_SET_EA : 804F355A

00:22:43:890 3088 IRP_MJ_FLUSH_BUFFERS : F75B12E2

00:22:43:890 3088 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F355A

00:22:43:890 3088 IRP_MJ_SET_VOLUME_INFORMATION : 804F355A

00:22:43:890 3088 IRP_MJ_DIRECTORY_CONTROL : 804F355A

00:22:43:890 3088 IRP_MJ_FILE_SYSTEM_CONTROL : 804F355A

00:22:43:890 3088 IRP_MJ_DEVICE_CONTROL : F75B13BB

00:22:43:890 3088 IRP_MJ_INTERNAL_DEVICE_CONTROL : F75B4F28

00:22:43:890 3088 IRP_MJ_SHUTDOWN : F75B12E2

00:22:43:890 3088 IRP_MJ_LOCK_CONTROL : 804F355A

00:22:43:890 3088 IRP_MJ_CLEANUP : 804F355A

00:22:43:890 3088 IRP_MJ_CREATE_MAILSLOT : 804F355A

00:22:43:890 3088 IRP_MJ_QUERY_SECURITY : 804F355A

00:22:43:890 3088 IRP_MJ_SET_SECURITY : 804F355A

00:22:43:890 3088 IRP_MJ_POWER : F75B2C82

00:22:43:890 3088 IRP_MJ_SYSTEM_CONTROL : F75B799E

00:22:43:890 3088 IRP_MJ_DEVICE_CHANGE : 804F355A

00:22:43:890 3088 IRP_MJ_QUERY_QUOTA : 804F355A

00:22:43:906 3088 IRP_MJ_SET_QUOTA : 804F355A

00:22:43:906 3088 TDL3_StartIoLastChanceHookDetect: Unable to dump StartIo handler code

00:22:43:906 3088 sion

00:22:43:921 3088 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: Clean

00:22:43:921 3088

00:22:43:921 3088 Driver Name: atapi

00:22:43:921 3088 IRP_MJ_CREATE : F73C56F2

00:22:43:921 3088 IRP_MJ_CREATE_NAMED_PIPE : 804F355A

00:22:43:921 3088 IRP_MJ_CLOSE : F73C56F2

00:22:43:921 3088 IRP_MJ_READ : 804F355A

00:22:43:921 3088 IRP_MJ_WRITE : 804F355A

00:22:43:921 3088 IRP_MJ_QUERY_INFORMATION : 804F355A

00:22:43:921 3088 IRP_MJ_SET_INFORMATION : 804F355A

00:22:43:921 3088 IRP_MJ_QUERY_EA : 804F355A

00:22:43:921 3088 IRP_MJ_SET_EA : 804F355A

00:22:43:921 3088 IRP_MJ_FLUSH_BUFFERS : 804F355A

00:22:43:921 3088 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F355A

00:22:43:921 3088 IRP_MJ_SET_VOLUME_INFORMATION : 804F355A

00:22:43:921 3088 IRP_MJ_DIRECTORY_CONTROL : 804F355A

00:22:43:921 3088 IRP_MJ_FILE_SYSTEM_CONTROL : 804F355A

00:22:43:921 3088 IRP_MJ_DEVICE_CONTROL : F73C5712

00:22:43:921 3088 IRP_MJ_INTERNAL_DEVICE_CONTROL : F73C1852

00:22:43:921 3088 IRP_MJ_SHUTDOWN : 804F355A

00:22:43:921 3088 IRP_MJ_LOCK_CONTROL : 804F355A

00:22:43:921 3088 IRP_MJ_CLEANUP : 804F355A

00:22:43:921 3088 IRP_MJ_CREATE_MAILSLOT : 804F355A

00:22:43:921 3088 IRP_MJ_QUERY_SECURITY : 804F355A

00:22:43:921 3088 IRP_MJ_SET_SECURITY : 804F355A

00:22:43:921 3088 IRP_MJ_POWER : F73C573C

00:22:43:921 3088 IRP_MJ_SYSTEM_CONTROL : F73CC336

00:22:43:921 3088 IRP_MJ_DEVICE_CHANGE : 804F355A

00:22:43:937 3088 IRP_MJ_QUERY_QUOTA : 804F355A

00:22:43:937 3088 IRP_MJ_SET_QUOTA : 804F355A

00:22:43:937 3088 siohd: 0

00:22:43:953 3088 C:\WINDOWS\system32\DRIVERS\atapi.sys - Verdict: Clean

00:22:43:953 3088

00:22:43:953 3088 Completed

00:22:43:953 3088

00:22:43:953 3088 Results:

00:22:43:953 3088 Memory objects infected / cured / cured on reboot: 0 / 0 / 0

00:22:43:953 3088 Registry objects infected / cured / cured on reboot: 0 / 0 / 0

00:22:43:953 3088 File objects infected / cured / cured on reboot: 0 / 0 / 0

00:22:43:953 3088

00:22:43:953 3088 KLMD(ARK) unloaded successfully

 

Go'natt

[Cecilia]

God morgon!

 

Du kan ta bort bilderna du bifogade tidigare i tråden så att du får utrymme att bifoga nytt i stället. http://smart.idg.se/index.php?app=core&module=usercp&tab=core&area=attachments

 

Kan du göra om det med virustotal och se om du kan få fram kompletta webbadresser till resultaten alternativt kopiera resultaten och klistra in i ditt svar?

 

Kan du ladda ner och köra ComboFix om du kör RKill några gånger först?

 

Ladda ner och kör Normans TDSS Cleaner: http://www.norman.com/support/support_tools/77201/en

Acceptera licensvillkoren och tryck sedan på "Start scan".

Om programmet tycker att datorn behöver startas om så gör det.

Det blir en ny skanning efter omstarten. Klistra in innehållet i logfilen vars namn börjar med NFix och sedan fortsätter med datum och klockslag för körningen.

[Hans]

I Virustotal visas 0/41 alltså inga resultat på första och andra. De andra 4 är borta som tidigare.

Jag har testat flera gånger.

Kört rkill 3gånger, F-Secure avstängt, samma svar från combofix.

 

Det vill sig inte alls för även Norman vägrar.

Jag får en svarsruta med:

This program is outdated and will not run.Please download the latest version from Norman.com.

If you are using a special version,please contact Norman support to obtain a new fix.

Jag har testat 3 gånger med samma resultat.

 

Vad händer om jag formaterar hårddisken och ominstallerar XP?

Ligger problemen kvar eller blir hårddisken helt ren?

If worse come to worse

Fast än har jag inte gett upp eftersom jag har en del viktiga program jag inte kan ominstallera.

[Cecilia]

Starta datorn i felsäkert läge och se om det går bättre att köra programmen.

 

Du skulle kunna pröva med Dr.Web Live CD, som innehåller Dr.Web anti-malware. Det är en nedladdningsbar ISO-fil som du bränner till en CD-skiva som du startar datorn ifrån.

http://www.freedrweb.com/livecd/ Se länken How it Works till vänster.

 

Även Avira Antivir Rescue System, som är en liknande skiva fast med Avira Antivir antivirusprogram. http://www.avira.com/en/support/support_downloads.html

 

Vad händer om jag formaterar hårddisken och ominstallerar XP?

Ligger problemen kvar eller blir hårddisken helt ren?

Det är ovanligt med något som överlever en formatering och ominstallation av Windows.

[Hans]

Hej igen.

 

Efter en veckas behövlig semester och en veckas hårt jobb så har jag tagit tag i felsökningen igen.

Jag gjorde en skiva och körde den men inga konstigheter noterades.

Jag körde sen Combofix i felsäkert läge och det enda jag kunde se var att några "föräldralösa filer" togs bort.

Däribland deifeel.exe och muioj.exe som tog så mycket processorkraft.

Datorn verkar fungera normalt och F-secure startar och ser ut att fungera.

Jag körde en virus scan och det verkade ok.

Det verkar med andra ord som att allt fungerar som det skall och jag har lärt mig en hel del under resans gång.

Så tack Cecilia för din utmärkta vägledning som gjorde det hela möjligt.

Hans

[Cecilia]

Det är ju bra att det verkar normalt igen

 

Om du vill kan jag titta på loggen från ComboFix och se om jag ser något mer anmärkningsvärt. Den finns som C:\ComboFix.txt.

 

Det är många gamla Java-versioner med säkerhetshål i datorn. Jag rekommenderar dig att avinstallera alla Java och J2SE utom den senaste i Kontrollpanelen - Lägg till eller ta bort program (inga webbläsare igång).

 

Om du inte vill att jag ska kolla loggen så är det dags för en sista städomgång:

 

1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade.

Börja med att skapa en ny systemåterställningspunkt:

XP:

Start - Program- Tillbehör - Systemverktyg - Systemåterställning

Välj att skapa en ny återställningspunkt och tryck på Nästa.

Vista och Windows 7 (?):

Högerklick på Datorn - Egenskaper - Systemskydd

Tryck på Skapa.

 

Ta sedan bort alla gamla systemåterställningspunkter genom att köra diskrensningsprogrammet.

Högerklicka på C: i Den här datorn/Utforskaren och välj Egenskaper.

På fliken Allmänt finns det en knapp som heter Diskrensning. Välj den.

Efter några minuter kommer programmet upp och då väljer du en flik som heter Fler alternativ eller något likande. Tryck på den Rensa-knapp som tar bort alla systemåterställningspunkter utom den senaste.

 

2. Ladda ner avinstallationsprogrammet OTC till Skrivbordet.

http://oldtimer.geekstogo.com/OTC.exe

Dubbelklicka på filen för att starta programmet.

Tryck på knappen CleanUp! och de olika fix-program som du har laddat ner kommer att avinstalleras, inkl. detta program, efter en omstart av datorn. Ta bort RKill, DDS-programmet och dess loggar.

 

3. Ta bort alla tillfälliga filer genom att ladda ner ATF-Cleaner på Skrivbordet:

http://www.atribune.org/ccount/click.php?id=1

Stäng av alla andra program, särskilt webbläsare.

Dubbelklicka på ATF-Cleaner.exe för att starta programmet.

Bocka i Select All. Tryck på Empty Selected.

 

Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

 

Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

Tryck på Exit i Main-menyn för att stänga programmet.

 

Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.

 

4. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.

http://mnin.blogspot.com/2009/02/why-i-enjoyed-tiggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.

 

5. Förbättra skyddet i datorn, se mina Råd för en säkrare dator. http://sites.google.com/site/ceblstockholm/home