Just nu i M3-nätverket
Jump to content

windows security alert


Micke-89

Recommended Posts

Hej jag har ett virus som kallar sig windows security alert, Får bort de tillfälligt. tror att de är borta nu. Men om jag startar om datorn så börjas de igen. aktivitetshanteraren slutar funka, de står att den är avstängd men så fort jag lyckas få bort dom grejerna nere vid klockan så funkar de igen. Så detta program försöker så mycket som möjigt att inte gå att ta bort. En annan smart funktion jag så när jag fick det, de var att datorn krascha bara för att de skulle lägga sig i Windows så fort som möjligt. Men de finns säkert buggar i ett sånt program med. Om jag bara viste vart den filen ligger och lurar och säker övervakar mig med. Finns de något att göra? eller ska man installera om windows har inget viktigt att säkerhets kopiera men de bästa är om man får bort de. tänkt skaffa windows 7 senare denna månad och då är de inget kul att sitta och göra två installationer och alla dessa drivrutiner sen.

Link to comment
Share on other sites

Hej!

Prova att installera Malwarebytes,

http://www.malwarebytes.org/mbam.php

 

Installera och kör programet, följ dess instruktioner, om virus hittas.

Kom tillbaka med inklistrad logg, loggar hittar du under fliken Loggar.

 

Om programmet nekas installation, döp om installationsfilen till ngt annat!

Och prova igen!

 

Om det inte går att installera eller köra, kom tillbaka här så fort du kan!

Mvh

Mats H

Link to comment
Share on other sites

Japp, hur många loggar vill du ha?

Skickar den senaste

 

Databasversion: 3976

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13

 

2010-04-11 19:42:40

mbam-log-2010-04-11 (19-42-40).txt

 

Skanningstyp: Snabbskanning

Antal skannade objekt: 107925

Förfluten tid: 11 minut(er), 20 sekund(er)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 1

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

Link to comment
Share on other sites

Hej!

 

Om du vill ha en grundligare genomgång för att se att allt nu är i god ordning.

Så ladda ned DDS: http://download.bleepingcomputer.com/sUBs/dds.scr'>http://download.bleepingcomputer.com/sUBs/dds.scr

Spara DDS på Skrivbordet.

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Medan du bifogar Attach.txt som en fil.

Så får vi se om vi kan hitta om det är mer som behöver göras för att få bort det skadliga programmet.

 

http://download.bleepingcomputer.com/sUBs/dds.scr

 

Hur fungerar din dator nu?

Mvh

Mats H

Link to comment
Share on other sites

Tja, lyckades igen släcka ner pop-pup rutorna, annars så märks inget fel. har väll en för snabb dator :).

 

DDS (Ver_10-03-17.01) - NTFSx86

Run by Michael at 21:23:21,62 on 2010-04-11

Internet Explorer: 7.0.5730.13 BrowserJavaVersion: 1.6.0_19

Microsoft Windows XP Home Edition 5.1.2600.3.1252.46.1053.18.2047.1329 [GMT 2:00]

 

AV: ESET NOD32 Antivirus 4.0 *On-access scanning enabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0}

FW: ActiveArmor Firewall *disabled* {EDC10449-64D1-46c7-A59A-EC20D662F26D}

 

============== Running Processes ===============

 

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\ESET\ESET NOD32 Antivirus\egui.exe

C:\Program\Analog Devices\Core\smax4pnp.exe

C:\Program\Analog Devices\SoundMAX\Smax4.exe

C:\Program\Logitech\Gaming Software\LWEMon.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program\Eraser\Eraser.exe

C:\Program\Adobe\Photoshop Elements 5.0\apdproxy.exe

C:\Program\Voddler\service\VNetManager.exe

C:\Program\Microsoft IntelliType Pro\itype.exe

C:\Program\Delade filer\Java\Java Update\jusched.exe

svchost.exe

C:\Program\Adobe\Photoshop Elements 5.0\PhotoshopElementsFileAgent.exe

C:\Program\ESET\ESET NOD32 Antivirus\ekrn.exe

C:\Program\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\NVIDIA Corporation\NetworkAccessManager\bin\nSvcLog.exe

C:\WINDOWS\system32\PnkBstrA.exe

C:\Program\NVIDIA Corporation\NetworkAccessManager\Apache Group\Apache2\bin\apache.exe

C:\WINDOWS\system32\PnkBstrB.exe

C:\Program\NVIDIA Corporation\NetworkAccessManager\bin\nSvcIp.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Delade filer\Ahead\Lib\NMBgMonitor.exe

C:\Program\DAEMON Tools Lite\DTLite.exe

C:\Program\Delade filer\Ahead\Lib\NMIndexingService.exe

C:\Program\Logitech\SetPoint\SetPoint.exe

C:\Program\Delade filer\Ahead\Lib\NMIndexStoreSvr.exe

C:\Program\Delade filer\Logishrd\KHAL2\KHALMNPR.EXE

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\uTorrent\uTorrent.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Michael\Skrivbord\dds.scr

 

============== Pseudo HJT Report ===============

 

uStart Page = hxxp://www.google.se/

BHO: AskBar BHO: {201f27d4-3704-41d6-89c1-aa35e39143ed} - c:\program\askbardis\bar\bin\askBar.dll

BHO: Windows Live inloggningshjälpen: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program\delade filer\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: Foxit Toolbar: {3041d03e-fd4b-44e0-b742-2d9b88305f98} - c:\program\askbardis\bar\bin\askBar.dll

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

uRun: [bgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "c:\program\delade filer\ahead\lib\NMBgMonitor.exe"

uRun: [DAEMON Tools Lite] "c:\program\daemon tools lite\DTLite.exe" -autorun

uRun: [davclnt.exe] c:\docume~1\michael\lokala~1\temp\davclnt.exe

mRun: [egui] "c:\program\eset\eset nod32 antivirus\egui.exe" /hide /waitservice

mRun: [soundMAXPnP] c:\program\analog devices\core\smax4pnp.exe

mRun: [soundMAX] "c:\program\analog devices\soundmax\Smax4.exe" /tray

mRun: [start WingMan Profiler] c:\program\logitech\gaming software\LWEMon.exe /noui

mRun: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [nwiz] nwiz.exe /install

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [Eraser] "c:\program\eraser\Eraser.exe" --atRestart

mRun: [QuickTime Task] "c:\program\quicktime\qttask.exe" -atboottime

mRun: [NeroFilterCheck] c:\program\delade filer\ahead\lib\NeroCheck.exe

mRun: [Adobe Photo Downloader] "c:\program\adobe\photoshop elements 5.0\apdproxy.exe"

mRun: [VoddlerNet Manager] c:\program\voddler\service\VNetManager.exe

mRun: [itype] "c:\program\microsoft intellitype pro\itype.exe"

mRun: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k

mRun: [sunJavaUpdateSched] "c:\program\delade filer\java\java update\jusched.exe"

mRun: [Malwarebytes Anti-Malware (reboot)] "c:\program\malwarebytes' anti-malware\hDKXVayqH.exe" /runcleanupscript

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\logite~1.lnk - c:\program\logitech\setpoint\SetPoint.exe

mPolicies-system: DisableTaskMgr = 1 (0x1)

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program\messenger\msmsgs.exe

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_19-windows-i586.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

Notify: LBTWlgn - c:\program\delade filer\logishrd\bluetooth\LBTWlgn.dll

 

================= FIREFOX ===================

 

FF - ProfilePath - c:\docume~1\michael\applic~1\mozilla\firefox\profiles\7ft5hxao.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/firefox?client=firefox-a&rls=org.mozilla:sv-SE:official

FF - component: c:\documents and settings\michael\application data\mozilla\firefox\profiles\7ft5hxao.default\extensions\piclens@cooliris.com\components\coolirisstub.dll

FF - plugin: c:\documents and settings\michael\application data\mozilla\firefox\profiles\7ft5hxao.default\extensions\piclens@cooliris.com\plugins\npcoolirisplugin.dll

FF - plugin: c:\program\google\google earth\plugin\npgeplugin.dll

FF - plugin: c:\program\google\update\1.2.183.23\npGoogleOneClick8.dll

FF - plugin: c:\program\mozilla firefox\plugins\npFoxitReaderPlugin.dll

FF - plugin: c:\program\voddler\plugin\npvoddler.dll

FF - HiddenExtension: Microsoft .NET Framework Assistant: {20a82645-c095-46ed-80e3-08825760534b} - c:\windows\microsoft.net\framework\v3.5\windows presentation foundation\dotnetassistantextension\

FF - HiddenExtension: Java Console: No Registry Reference - c:\program\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0019-ABCDEFFEDCBA}

 

---- FIREFOX POLICIES ----

c:\program\mozilla firefox\greprefs\all.js - pref("ui.use_native_colors", true);

c:\program\mozilla firefox\greprefs\all.js - pref("ui.use_native_popup_windows", false);

c:\program\mozilla firefox\greprefs\all.js - pref("browser.visited_color", "#551A8B");

c:\program\mozilla firefox\greprefs\all.js - pref("browser.enable_click_image_resizing", true);

c:\program\mozilla firefox\greprefs\all.js - pref("accessibility.browsewithcaret_shortcut.enabled", true);

c:\program\mozilla firefox\greprefs\all.js - pref("javascript.options.mem.high_water_mark", 32);

c:\program\mozilla firefox\greprefs\all.js - pref("javascript.options.mem.gc_frequency", 1600);

c:\program\mozilla firefox\greprefs\all.js - pref("network.auth.force-generic-ntlm", false);

c:\program\mozilla firefox\greprefs\all.js - pref("svg.smil.enabled", false);

c:\program\mozilla firefox\greprefs\all.js - pref("ui.trackpoint_hack.enabled", -1);

c:\program\mozilla firefox\greprefs\all.js - pref("browser.formfill.debug", false);

c:\program\mozilla firefox\greprefs\all.js - pref("browser.formfill.agedWeight", 2);

c:\program\mozilla firefox\greprefs\all.js - pref("browser.formfill.bucketSize", 1);

c:\program\mozilla firefox\greprefs\all.js - pref("browser.formfill.maxTimeGroupings", 25);

c:\program\mozilla firefox\greprefs\all.js - pref("browser.formfill.timeGroupingSize", 604800);

c:\program\mozilla firefox\greprefs\all.js - pref("browser.formfill.boundaryWeight", 25);

c:\program\mozilla firefox\greprefs\all.js - pref("browser.formfill.prefixWeight", 5);

c:\program\mozilla firefox\greprefs\all.js - pref("html5.enable", false);

c:\program\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.allow_unrestricted_renego_everywhere__temporarily_available_pref", true);

c:\program\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.renego_unrestricted_hosts", "");

c:\program\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.treat_unsafe_negotiation_as_broken", false);

c:\program\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl.require_safe_negotiation", false);

c:\program\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

c:\program\mozilla firefox\defaults\pref\firefox-branding.js - pref("app.update.download.backgroundInterval", 600);

c:\program\mozilla firefox\defaults\pref\firefox-branding.js - pref("app.update.url.manual", "http://www.firefox.com");

c:\program\mozilla firefox\defaults\pref\firefox-branding.js - pref("browser.search.param.yahoo-fr-ja", "mozff");

c:\program\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

c:\program\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.name", "chrome://browser/locale/browser.properties");

c:\program\mozilla firefox\defaults\pref\firefox.js - pref("extensions.{972ce4c6-7e08-4474-a285-3208198ce6fd}.description", "chrome://browser/locale/browser.properties");

c:\program\mozilla firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add", "addons.mozilla.org");

c:\program\mozilla firefox\defaults\pref\firefox.js - pref("xpinstall.whitelist.add.36", "getpersonas.com");

c:\program\mozilla firefox\defaults\pref\firefox.js - pref("lightweightThemes.update.enabled", true);

c:\program\mozilla firefox\defaults\pref\firefox.js - pref("browser.allTabs.previews", false);

c:\program\mozilla firefox\defaults\pref\firefox.js - pref("plugins.hide_infobar_for_outdated_plugin", false);

c:\program\mozilla firefox\defaults\pref\firefox.js - pref("plugins.update.notifyUser", false);

c:\program\mozilla firefox\defaults\pref\firefox.js - pref("browser.videoFeeds.handler", "ask");

c:\program\mozilla firefox\defaults\pref\firefox.js - pref("toolbar.customization.usesheet", false);

c:\program\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.enable", false);

c:\program\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.max", 20);

c:\program\mozilla firefox\defaults\pref\firefox.js - pref("browser.taskbar.previews.cachetime", 20);

 

============= SERVICES / DRIVERS ===============

 

R1 ehdrv;ehdrv;c:\windows\system32\drivers\ehdrv.sys [2009-5-14 107256]

R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2009-5-14 94360]

R2 ekrn;ESET Service;c:\program\eset\eset nod32 antivirus\ekrn.exe [2009-5-14 731840]

R2 LBeepKE;LBeepKE;c:\windows\system32\drivers\LBeepKE.sys [2009-12-30 10384]

R2 VoddlerNet;VoddlerNet;c:\program\voddler\service\voddler.exe [2010-3-25 1160912]

S2 gupdate;Google Update Service (gupdate);c:\program\google\update\GoogleUpdate.exe [2010-1-16 135664]

S3 TMPassthruMP;TMPassthruMP;c:\windows\system32\drivers\tmpassthru.sys --> c:\windows\system32\drivers\TMPassthru.sys [?]

 

=============== Created Last 30 ================

 

2010-04-11 14:59:03 73728 ----a-w- c:\windows\system32\javacpl.cpl

2010-04-11 14:44:21 0 d-----w- c:\docume~1\michael\applic~1\Malwarebytes

2010-04-11 14:44:12 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-11 14:44:11 0 d-----w- c:\docume~1\alluse~1\applic~1\Malwarebytes

2010-04-11 14:44:10 20824 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-11 14:44:09 0 d-----w- c:\program\Malwarebytes' Anti-Malware

2010-04-11 14:38:38 0 d-----w- c:\windows\PRAGMArvmbiquqxp

2010-04-01 13:12:37 0 d-----w- c:\program\Microsoft IntelliType Pro

2010-03-31 10:12:31 0 d-----w- c:\docume~1\michael\applic~1\Atari

2010-03-31 10:12:21 98304 ----a-w- c:\windows\system32\CmdLineExt.dll

2010-03-31 10:01:48 197120 ----a-w- c:\windows\patchw32.dll

2010-03-31 10:01:47 0 d-----w- c:\program\delade filer\PocketSoft

2010-03-31 09:59:08 0 d-----w- c:\program\Atari

2010-03-22 17:15:39 0 d-----w- c:\program\delade filer\Adobe AIR

2010-03-22 17:15:25 0 d-----w- C:\Voddler

2010-03-22 17:15:10 0 d-----w- c:\program\Voddler

2010-03-13 11:31:43 56832 ------w- c:\windows\system32\iyvu9_32.dll

2010-03-13 11:31:43 143872 ------w- c:\windows\system32\iacenc.dll

2010-03-13 11:30:37 0 d-----w- c:\program\Microsoft Games

2010-03-13 10:42:13 0 d-----w- c:\program\DAEMON Tools Lite

2010-03-13 10:13:23 0 d-----w- c:\docume~1\alluse~1\applic~1\DAEMON Tools Lite

2010-03-13 10:12:47 0 d-----w- c:\program\DAEMON Tools Toolbar

2010-03-13 10:09:56 691696 ----a-w- c:\windows\system32\drivers\sptd.sys

2010-03-13 10:09:53 0 d-----w- c:\docume~1\michael\applic~1\DAEMON Tools Lite

 

==================== Find3M ====================

 

2010-04-11 14:58:38 411368 ----a-w- c:\windows\system32\deploytk.dll

2010-04-11 08:33:06 138384 ----a-w- c:\windows\system32\drivers\PnkBstrK.sys

2010-04-11 08:32:51 215128 ----a-w- c:\windows\system32\PnkBstrB.exe

2010-03-28 08:25:15 78942 ----a-w- c:\windows\system32\perfc01D.dat

2010-03-28 08:25:15 434860 ----a-w- c:\windows\system32\perfh01D.dat

2010-03-11 12:37:44 832512 ----a-w- c:\windows\system32\wininet.dll

2010-03-11 12:37:41 78336 ----a-w- c:\windows\system32\ieencode.dll

2010-03-11 12:37:41 17408 ------w- c:\windows\system32\corpol.dll

2010-02-18 13:01:36 20640 ------w- c:\windows\system32\drivers\PxHelp20.sys

2010-02-18 13:01:36 108544 ------w- c:\windows\system32\pxcpyi64.exe

2010-02-18 13:01:35 109568 ------w- c:\windows\system32\pxinsi64.exe

2010-02-07 10:51:35 172544 ----a-w- c:\windows\system32\cncs32.dll

2010-02-05 20:14:40 1531392 ----a-w- c:\docume~1\michael\applic~1\tsdnwin.dll

2010-02-02 22:17:06 138056 ----a-w- c:\docume~1\michael\applic~1\PnkBstrK.sys

2010-02-02 22:16:42 2434856 ----a-w- c:\windows\system32\pbsvc_bc2.exe

2010-01-16 14:22:12 8192 ---h--w- c:\windows\fonts\vgasys.fon

2010-01-16 14:22:11 139264 ----a-w- c:\windows\fonts\verdanab.ttf

2010-01-16 14:22:11 126976 ----a-w- c:\windows\fonts\trebucbd.ttf

 

============= FINISH: 21:23:40,56 ===============

Link to comment
Share on other sites

Hej!

Vad finns i denna folder?

Lite underligt namn då!

2010-04-11 14:38:38 0 d-----w- c:\windows\PRAGMArvmbiquqxp

 

Mvh

Mats H

Link to comment
Share on other sites

Hej!

Vad finns i denna folder?

Lite underligt namn då!

2010-04-11 14:38:38 0 d-----w- c:\windows\PRAGMArvmbiquqxp

 

Mvh

Mats H

De håller ja med dej om de är en systemfil, jag har ej skapat den. Den är 44kB stor kan ju kolla om de är ett virus om man lägger ut den på virustotal. Om du drar isär mappnamnet PRAGMA-rvmbiquq-xp Står ju Xp i slutet Kan betyda inget eller så här de programmeraren som ska hålla isär olika versioner till olika operativ. Tror att de löser en del igenom att ta bort den. den följer definitivt inte en ny installation av Windows.

 

Får fram detta är inte så upplyftande precis.

 

File PRAGMAd.sys received on 2010.04.11 20:10:54 (UTC)

Current status: Loading ... queued waiting scanning finished NOT FOUND STOPPED

Result: 6/39 (15.39%)

 

 

 

Antivirus Version Last Update Result

a-squared 4.5.0.50 2010.04.11 -

AhnLab-V3 5.0.0.2 2010.04.10 -

AntiVir 7.10.6.55 2010.04.09 -

Antiy-AVL 2.0.3.7 2010.04.09 -

Authentium 5.2.0.5 2010.04.11 -

Avast 4.8.1351.0 2010.04.11 Win32:Crypt-GCB

Avast5 5.0.332.0 2010.04.11 Win32:Crypt-GCB

AVG 9.0.0.787 2010.04.11 Cryptic.EC

BitDefender 7.2 2010.04.11 -

CAT-QuickHeal 10.00 2010.04.10 -

ClamAV 0.96.0.3-git 2010.04.11 -

Comodo 4570 2010.04.11 -

DrWeb 5.0.2.03300 2010.04.11 -

eSafe 7.0.17.0 2010.04.11 -

eTrust-Vet 35.2.7418 2010.04.09 -

F-Prot 4.5.1.85 2010.04.11 -

F-Secure 9.0.15370.0 2010.04.11 -

Fortinet 4.0.14.0 2010.04.10 -

GData 19 2010.04.11 Win32:Crypt-GCB

Ikarus T3.1.1.80.0 2010.04.11 -

Jiangmin 13.0.900 2010.04.11 -

Kaspersky 7.0.0.125 2010.04.11 -

McAfee-GW-Edition 6.8.5 2010.04.11 -

Microsoft 1.5605 2010.04.11 Trojan:WinNT/Alureon.D

NOD32 5018 2010.04.11 -

Norman 6.04.11 2010.04.10 -

nProtect 2009.1.8.0 2010.04.06 -

Panda 10.0.2.2 2010.04.11 -

PCTools 7.0.3.5 2010.04.11 -

Prevx 3.0 2010.04.11 -

Rising 22.42.06.04 2010.04.11 -

Sophos 4.52.0 2010.04.11 Sus/UnkPack-C

Sunbelt 6164 2010.04.11 -

Symantec 20091.2.0.41 2010.04.11 -

TheHacker 6.5.2.0.259 2010.04.11 -

TrendMicro 9.120.0.1004 2010.04.11 -

VBA32 3.12.12.4 2010.04.09 -

ViRobot 2010.4.10.2270 2010.04.10 -

VirusBuster 5.0.27.0 2010.04.11 -

Additional information

Link to comment
Share on other sites

Hej igen!

Du är drabbad av denna fulingen med!

http://www.microsoft.com/security/portal/Threat/Encyclopedia/Entry.aspx?Name=Trojan%3AWinNT%2FAlureon.D

(uRun: [davclnt.exe] c:\docume~1\michael\lokala~1\temp\davclnt.exe)

 

Så följande steg bör göras!

1)

Spara RKill av Grinler på Skrivbordet. Ladda ner det från den första av dessa länkar:

http://download.bleepingcomputer.com/grinler/rkill.com

http://download.bleepingcomputer.com/grinler/rkill.pif

http://download.bleepingcomputer.com/grinler/rkill.scr

http://download.bleepingcomputer.com/grinler/rkill.exe

 

Starta Rkill (i Vista och Windows 7 genom att högerklicka på filen och välj Kör som administratör om det valet finns).

Det blir ett svart fönster/ruta en stund om programmet lyckades köra.

Om det inte blev något svart fönster/ruta så ta bort den RKill-varianten och upprepa med nästa RKill.

 

Om du får ett meddelande om att RKill är skadligt så bry dig inte om det. Det är det skadliga programmen som inte vill bli stoppat. Lämna kvar varningen på skärmen och kör RKill en gång till.

 

Kör RKill flera gånger efter varandra tills du inte ser till det skadliga programmet längre, dock max 10 gånger. Fortsätt med resten sedan. Om du redan från början inte ser till det skadliga programmet så räcker det med 3 gånger.

 

Om inte någon av program-varianterna kan köra så berätta det.

 

2)

Kör Malwarebytes, uppdatera det, snabbskanna och klistra in logg om det hittar något, följ instruktionerna.

 

3)

Combofix

Spara ComboFix på Skrivbordet:

http://www.bleepingcomputer.com/combofix/how-to-use-combofix

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

 

Mvh

Mats H

Link to comment
Share on other sites

Vad trevligt en bakdörr. Hade inte behövts på min burk har ju bara Windows inbyggda nu. Är ju hur lätt som helst att klampa in i datorn då :) Hittade ett registervärde. men den tog inte bort den detta program utan nu har jag tagit bort den manuellt. och dom andra två tog ja Erser lite överdrivet men nu går dom inte att återställa så lätt :) får starta om datorn får ja se om de är borta nu. alla virus jag har fått på datorn gör ju något väsen ifrån sig ju, dom försöker ju inte dölja dom.

 

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13

 

2010-04-11 23:10:23

mbam-log-2010-04-11 (23-10-23).txt

 

Skanningstyp: Snabbskanning

Antal skannade objekt: 107814

Förfluten tid: 3 minut(er), 29 sekund(er)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 1

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

 

 

Okej en uppdatering de verkar som den är borta nu.

Link to comment
Share on other sites

Vad trevligt en bakdörr.
Inte en bakdörr utan ett rootkit, mycket värre.

 

Mats och jag känner oss osäkra på vad du har gjort. Om man tar bort en sys-fil som hör till en drivrutin/rootkit utan att ta bort referensen till den i registret så kan man orsaka att Windows inte startar utan blåskärmar under uppstarten.

 

Var det pragma-mappen du tog bort?

Var det registerposterna:

Reg HKLM \ SYSTEM \ CurrentControlSet \ Services \ PRAGMAd.sys @ home 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\PRAGMAd.sys@type 1
Reg HKLM \ SYSTEM \ CurrentControlSet \ Services \ @ PRAGMAd.sys type 1
Reg HKLM\SYSTEM\CurrentControlSet\Services\PRAGMAd.sys@group file system
Reg HKLM \ SYSTEM \ CurrentControlSet \ Services \ @ group PRAGMAd.sys file system
Reg HKLM\SYSTEM\CurrentControlSet\Services\PRAGMAd.sys@imagepath \systemroot\system32\drivers\PRAGMAwvggikhclt.sys
Reg HKLM \ SYSTEM \ CurrentControlSet \ Services \ PRAGMAd.sys @ ImagePath \ SystemRoot \ system32 \ drivers \ PRAGMAwvggikhclt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\PRAGMAd.sys\modules
Reg HKLM \ SYSTEM \ CurrentControlSet \ Services \ PRAGMAd.sys \ modules
Reg HKLM\SYSTEM\CurrentControlSet\Services\PRAGMAd.sys\modules@PRAGMAc \\?\globalroot\systemroot\system32\PRAGMAbaitqwijol.dll
Reg HKLM \ SYSTEM \ CurrentControlSet \ Services \ PRAGMAd.sys \ modules PRAGMAc @ \ \? \ Globalroot \ systemroot \ system32 \ PRAGMAbaitqwijol.dll
Reg HKLM\SYSTEM\CurrentControlSet\Services\PRAGMAd.sys\modules@PRAGMAd \\?\globalroot\systemroot\system32\drivers\PRAGMAwvggikhclt.sys
Reg HKLM \ SYSTEM \ CurrentControlSet \ Services \ PRAGMAd.sys \ modules PRAGMAd @ \ \? \ Globalroot \ systemroot \ system32 \ drivers \ PRAGMAwvggikhclt.sys
Reg HKLM\SYSTEM\CurrentControlSet\Services\PRAGMAd.sys\modules@PRAGMAsrcr \\?\globalroot\systemroot\system32\PRAGMAjnbbqsiarw.dat
Reg HKLM \ SYSTEM \ CurrentControlSet \ Services \ PRAGMAd.sys \ modules PRAGMAsrcr @ \ \? \ Globalroot \ systemroot \ system32 \ PRAGMAjnbbqsiarw.dat
Reg HKLM\SYSTEM\CurrentControlSet\Services\PRAGMAd.sys\modules@pragmaserf \\?\globalroot\systemroot\system32\PRAGMAqopumtxidl.dll
Reg HKLM \ SYSTEM \ CurrentControlSet \ Services \ PRAGMAd.sys \ modules pragmaserf @ \ \? \ Globalroot \ systemroot \ system32 \ PRAGMAqopumtxidl.dll

som du tog bort? Fast filnamnen kan ju ha varit lite annorlunda i din dator.

 

Har du startat om datorn efter det?

Om du inte har startat om datorn så gör inte det.

Link to comment
Share on other sites

De funkade efter jag tog bort den mappen och en register fil kommer inte ihåg vad den heter men låg i HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr. DisableTaskMgr hette den. den och dom andra tre filerna jag har hittat. Ska jag ta bort dom du har skrivit nu med eller? kommer inte på vad en rootkit är just nu men om de är värre än en bakdörr får jag kolla upp vad de är. startade datorn den i morses utan problem. hur ska jag lösa problemet utan att starta datorn?

Link to comment
Share on other sites

Hej!

Nej med anledning av att du tagit bort dessa filer, kunde du eventuelt få BSOD, Cecilia kan utveckla det bättre än mig! Nu som det verkar att din dator fungerar, i vilket fall, dags för åtgärd nummer 3!

TDSSKiller, för att ta kål på ditt Root Kit!

http://sv.wikipedia.org/wiki/Rootkit

 

3) TDSSKiller

Spara TDSSKiller på Skrivbordet: http://support.kaspersky.com/downloads/utils/tdsskiller.zip

Högerklicka och välj Extrahera alla.

Se till att uppackningen sker till Skrivbordet.

Alternativt så kan du använda ditt eget program för att packa upp zip-filer, se bara till att filen tdsskiller.exe hamnar på Skrivbordet.

Start - Kör Kopiera raden som är i rutan

"%userprofile%\skrivbord\TDSSKiller.exe" -l rapport.txt -v

Öppna filer rapport som skapades på Skrivbordet och klistra in innehållet i ditt svar.

 

Spara Normans [/url]http://www.norman.com/support/support_tools/77201/en"]TDSS Cleaner[/url] på Skrivbordet.

Kör programmet.

Acceptera licensvillkoren och tryck sedan på "Start scan".

Om programmet tycker att datorn behöver startas om så gör det.

Det blir en ny skanning efter omstarten.

Klistra in innehållet i logfilen vars namn börjar med NFix och sedan fortsätter med datum och klockslag för körningen.

 

Mvh

Mats h

Link to comment
Share on other sites

Hej!

Ja det är en tålamodsprövande process!

Men du gör ett bra jobb!

Vi hörs under eftermiddagen/kvällen.

 

Mvh

Mats H

Link to comment
Share on other sites

De funkade efter jag tog bort den mappen och en register fil kommer inte ihåg vad den heter men låg i HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr. DisableTaskMgr hette den. den och dom andra tre filerna jag har hittat. Ska jag ta bort dom du har skrivit nu med eller? kommer inte på vad en rootkit är just nu men om de är värre än en bakdörr får jag kolla upp vad de är. startade datorn den i morses utan problem. hur ska jag lösa problemet utan att starta datorn?

Har du redan startat datorn så gick det ju bra :)

 

DisableTaskMgr handlar bara om du ska tillåtas att använda Aktivitetshanteraren.

 

Du kan ju se om du har de registerposter som jag skrev om i mitt förra inlägg. Men ta inte bort dem än.

Link to comment
Share on other sites

Hittade inte dom filerna du skrec Cecilia. men kan leta vidare.

 

 

Norman TDSS Cleaner

Version 1.9

Copyright © 1990 - 2010, Norman ASA. Built 2010/03/24 15:16:01

 

Norman Scanner Engine Version: 6.04.03

Nvcbin.def Version: 6.04.00, Date: 2010/03/24 15:16:01, Variants: 53473

 

Scan started: 12/04/2010 17:37:18

 

Running pre-scan cleanup routine:

Operating System: Microsoft Windows XP Home 5.1.2600 Service Pack 3

Logged on user: MICHAEL\Michael

 

 

Running anti-TDSS module:

 

No TDSS infection detected

 

TDSS scan complete. Will now scan for related malware

 

Scanning bootsectors...

 

Number of sectors found: 1

Number of sectors scanned: 1

Number of sectors not scanned: 0

Number of infections found: 0

Number of infections removed: 0

Total scanning time: 1s 47ms

 

 

Scanning running processes and process memory...

 

Number of processes/threads found: 4468

Number of processes/threads scanned: 4468

Number of processes/threads not scanned: 0

Number of infected processes/threads terminated: 0

Total scanning time: 32s

 

 

Scanning file system...

 

Scanning: prescan

 

Scanning: C:\WINDOWS\system32\drivers\*

 

Scanning: C:\*.*

 

C:\Program\Nero\Nero 7\Nero BackItUp\BackItUp_ImageTool\root.img/root.img (Error whilst scanning file: I/O Error (0x0022000A))

C:\Program\Nero\Nero 7\Nero BackItUp\BackItUp_ImageTool\root.img (Possible archive bomb)

 

C:\System Volume Information\_restore{C6E3742F-2FB8-4C7F-B060-43FBEC4AE72E}\RP105\A0030575.exe/noname.nsis/file8/chrome/togglesw.jar (Error whilst scanning file: I/O Error (0x00220005))

 

C:\System Volume Information\_restore{C6E3742F-2FB8-4C7F-B060-43FBEC4AE72E}\RP105\A0030575.exe/noname.nsis/file8/chrome/togglesw.jar/content/ctoolbar.js (Error whilst scanning file: I/O Error (0x00220005))

 

C:\System Volume Information\_restore{C6E3742F-2FB8-4C7F-B060-43FBEC4AE72E}\RP91\A0020445.exe/noname.nsis/file8/chrome/togglesw.jar (Error whilst scanning file: I/O Error (0x00220005))

 

C:\System Volume Information\_restore{C6E3742F-2FB8-4C7F-B060-43FBEC4AE72E}\RP91\A0020445.exe/noname.nsis/file8/chrome/togglesw.jar/content/ctoolbar.js (Error whilst scanning file: I/O Error (0x00220005))

 

Scanning: postscan

 

 

Running post-scan cleanup routine:

 

Number of files found: 280319

Number of archives unpacked: 2319

Number of files scanned: 280311

Number of files not scanned: 8

Number of files skipped due to exclude list: 0

Number of infected files found: 1

Number of infected files repaired/deleted: 0

Number of infections removed: 0

Total scanning time: 48m 23s

 

 

 

17:21:08:140 3324 TDSS rootkit removing tool 2.2.8.1 Mar 22 2010 10:43:04

17:21:08:140 3324 ================================================================================

17:21:08:140 3324 SystemInfo:

 

17:21:08:140 3324 OS Version: 5.1.2600 ServicePack: 3.0

17:21:08:140 3324 Product type: Workstation

17:21:08:140 3324 ComputerName: MICHAEL

17:21:08:140 3324 UserName: Michael

17:21:08:140 3324 Windows directory: C:\WINDOWS

17:21:08:140 3324 Processor architecture: Intel x86

17:21:08:140 3324 Number of processors: 2

17:21:08:140 3324 Page size: 0x1000

17:21:08:156 3324 Boot type: Normal boot

17:21:08:156 3324 ================================================================================

17:21:08:156 3324 UnloadDriverW: NtUnloadDriver error 2

17:21:08:156 3324 ForceUnloadDriverW: UnloadDriverW(klmd21) error 2

17:21:08:296 3324 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\system

17:21:08:296 3324 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

17:21:08:296 3324 wfopen_ex: Trying to KLMD file open

17:21:08:296 3324 wfopen_ex: File opened ok (Flags 2)

17:21:08:296 3324 wfopen_ex: Trying to open file C:\WINDOWS\system32\config\software

17:21:08:296 3324 wfopen_ex: MyNtCreateFileW error 32 (C0000043)

17:21:08:296 3324 wfopen_ex: Trying to KLMD file open

17:21:08:296 3324 wfopen_ex: File opened ok (Flags 2)

17:21:08:296 3324 Initialize success

17:21:08:296 3324

17:21:08:296 3324 Scanning Services ...

17:21:08:328 3324 Raw services enum returned 327 services

17:21:08:328 3324

17:21:08:328 3324 Scanning Kernel memory ...

17:21:08:328 3324 Devices to scan: 2

17:21:08:328 3324

17:21:08:328 3324 Driver Name: Disk

17:21:08:328 3324 IRP_MJ_CREATE : B80EEBB0

17:21:08:328 3324 IRP_MJ_CREATE_NAMED_PIPE : 804F4562

17:21:08:328 3324 IRP_MJ_CLOSE : B80EEBB0

17:21:08:328 3324 IRP_MJ_READ : B80E8D1F

17:21:08:328 3324 IRP_MJ_WRITE : B80E8D1F

17:21:08:328 3324 IRP_MJ_QUERY_INFORMATION : 804F4562

17:21:08:328 3324 IRP_MJ_SET_INFORMATION : 804F4562

17:21:08:328 3324 IRP_MJ_QUERY_EA : 804F4562

17:21:08:328 3324 IRP_MJ_SET_EA : 804F4562

17:21:08:328 3324 IRP_MJ_FLUSH_BUFFERS : B80E92E2

17:21:08:328 3324 IRP_MJ_QUERY_VOLUME_INFORMATION : 804F4562

17:21:08:328 3324 IRP_MJ_SET_VOLUME_INFORMATION : 804F4562

17:21:08:328 3324 IRP_MJ_DIRECTORY_CONTROL : 804F4562

17:21:08:328 3324 IRP_MJ_FILE_SYSTEM_CONTROL : 804F4562

17:21:08:328 3324 IRP_MJ_DEVICE_CONTROL : B80E93BB

17:21:08:328 3324 IRP_MJ_INTERNAL_DEVICE_CONTROL : B80ECF28

17:21:08:328 3324 IRP_MJ_SHUTDOWN : B80E92E2

17:21:08:328 3324 IRP_MJ_LOCK_CONTROL : 804F4562

17:21:08:328 3324 IRP_MJ_CLEANUP : 804F4562

17:21:08:328 3324 IRP_MJ_CREATE_MAILSLOT : 804F4562

17:21:08:328 3324 IRP_MJ_QUERY_SECURITY : 804F4562

17:21:08:328 3324 IRP_MJ_SET_SECURITY : 804F4562

17:21:08:328 3324 IRP_MJ_POWER : B80EAC82

17:21:08:328 3324 IRP_MJ_SYSTEM_CONTROL : B80EF99E

17:21:08:328 3324 IRP_MJ_DEVICE_CHANGE : 804F4562

17:21:08:328 3324 IRP_MJ_QUERY_QUOTA : 804F4562

17:21:08:328 3324 IRP_MJ_SET_QUOTA : 804F4562

17:21:08:343 3324 C:\WINDOWS\system32\DRIVERS\disk.sys - Verdict: 1

17:21:08:343 3324

17:21:08:343 3324 Driver Name: nvata

17:21:08:343 3324 IRP_MJ_CREATE : 8A5D01F8

17:21:08:343 3324 IRP_MJ_CREATE_NAMED_PIPE : 8A5D01F8

17:21:08:343 3324 IRP_MJ_CLOSE : 8A5D01F8

17:21:08:343 3324 IRP_MJ_READ : 8A5D01F8

17:21:08:343 3324 IRP_MJ_WRITE : 8A5D01F8

17:21:08:343 3324 IRP_MJ_QUERY_INFORMATION : 8A5D01F8

17:21:08:343 3324 IRP_MJ_SET_INFORMATION : 8A5D01F8

17:21:08:343 3324 IRP_MJ_QUERY_EA : 8A5D01F8

17:21:08:343 3324 IRP_MJ_SET_EA : 8A5D01F8

17:21:08:343 3324 IRP_MJ_FLUSH_BUFFERS : 8A5D01F8

17:21:08:343 3324 IRP_MJ_QUERY_VOLUME_INFORMATION : 8A5D01F8

17:21:08:343 3324 IRP_MJ_SET_VOLUME_INFORMATION : 8A5D01F8

17:21:08:343 3324 IRP_MJ_DIRECTORY_CONTROL : 8A5D01F8

17:21:08:343 3324 IRP_MJ_FILE_SYSTEM_CONTROL : 8A5D01F8

17:21:08:343 3324 IRP_MJ_DEVICE_CONTROL : 8A5D01F8

17:21:08:343 3324 IRP_MJ_INTERNAL_DEVICE_CONTROL : 8A5D01F8

17:21:08:343 3324 IRP_MJ_SHUTDOWN : 8A5D01F8

17:21:08:343 3324 IRP_MJ_LOCK_CONTROL : 8A5D01F8

17:21:08:343 3324 IRP_MJ_CLEANUP : 8A5D01F8

17:21:08:343 3324 IRP_MJ_CREATE_MAILSLOT : 8A5D01F8

17:21:08:343 3324 IRP_MJ_QUERY_SECURITY : 8A5D01F8

17:21:08:343 3324 IRP_MJ_SET_SECURITY : 8A5D01F8

17:21:08:343 3324 IRP_MJ_POWER : 8A5D01F8

17:21:08:343 3324 IRP_MJ_SYSTEM_CONTROL : 8A5D01F8

17:21:08:343 3324 IRP_MJ_DEVICE_CHANGE : 8A5D01F8

17:21:08:343 3324 IRP_MJ_QUERY_QUOTA : 8A5D01F8

17:21:08:343 3324 IRP_MJ_SET_QUOTA : 8A5D01F8

17:21:08:343 3324 C:\WINDOWS\system32\DRIVERS\nvata.sys - Verdict: 1

17:21:08:343 3324

17:21:08:343 3324 Completed

17:21:08:343 3324

17:21:08:343 3324 Results:

17:21:08:343 3324 Memory objects infected / cured / cured on reboot: 0 / 0 / 0

17:21:08:343 3324 Registry objects infected / cured / cured on reboot: 0 / 0 / 0

17:21:08:343 3324 File objects infected / cured / cured on reboot: 0 / 0 / 0

17:21:08:343 3324

17:21:08:343 3324 fclose_ex: Trying to close file C:\WINDOWS\system32\config\system

17:21:08:343 3324 fclose_ex: Trying to close file C:\WINDOWS\system32\config\software

17:21:08:343 3324 KLMD(ARK) unloaded successfully

Link to comment
Share on other sites

Hej!

Sök i ditt register efter poster som heter:

Reg HKLM \ SYSTEM \ CurrentControlSet \ Services \ PRAGMAd.sys

Om det finns, ta bort det.

Och efter städningen så ska din dator vara OK!

Om du har ytterligare frågor, återkom!

 

Mvh

Mats H

 

Nu återstår bara en sista städomgång:

 

1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade.

Börja med att skapa en ny systemåterställningspunkt:

XP:

Start - Program- Tillbehör - Systemverktyg - Systemåterställning

Välj att skapa en ny återställningspunkt och tryck på Nästa.

Vista och Windows 7 (?):

Högerklick på Datorn - Egenskaper - Systemskydd

Tryck på Skapa.

 

Ta sedan bort alla gamla systemåterställningspunkter genom att köra diskrensningsprogrammet.

Högerklicka på C: i Den här datorn/Utforskaren och välj Egenskaper.

På fliken Allmänt finns det en knapp som heter Diskrensning. Välj den.

Efter några minuter kommer programmet upp och då väljer du en flik som heter Fler alternativ eller något likande. Tryck på den Rensa-knapp som tar bort alla systemåterställningspunkter utom den senaste.

 

2. Ladda ner avinstallationsprogrammet OTC till Skrivbordet.

http://oldtimer.geekstogo.com/OTC.exe

Dubbelklicka på filen för att starta programmet.

Tryck på knappen CleanUp! och de olika fix-program som du har laddat ner kommer att avinstalleras, inkl. detta program, efter en omstart av datorn. Om något fix-program är kvar efter det så fråga hur du ska ta bort det.

 

3. Ta bort alla tillfälliga filer genom att ladda ner ATF-Cleaner på Skrivbordet:

http://www.atribune.org/index.php?option=com_content&task=view&id=25&Itemid=25

Stäng av alla andra program, särskilt webbläsare.

Dubbelklicka på ATF-Cleaner.exe för att starta programmet.

Bocka i Select All. Tryck på Empty Selected.

 

Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

 

Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.

Tryck på Exit i Main-menyn för att stänga programmet.

 

Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.

 

4. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.

http://mnin.blogspot.com/2009/02/why-i-enjoyed-tiggersyzor.html

beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.

 

5. Förbättra skyddet i datorn, se Cecilias Råd för en säkrare dator.

http://sites.google.com/site/ceblstockholm/

Link to comment
Share on other sites

Har fixat allt, men behöver man byta lösen på sidor man inte varit på? HKEY_LOCAL_MACHINE är de här man ska kolla? hittade inget varken med sök funktionen eller manuellt. jag har förresten bytt lösen efter jag rensade bort föra viruset ska ja göra de igen nu när root-kit:en verkar vara borta?

 

Ett säkerhetsråd kan jag ge ska man se en video klipp på nätet eller spara så ska de inte komma upp en ruta som de står kör på, då är de en installations fil. och man ska akta sig om du är ute på en inte så säker sida som uppmanar till att installera flash eller något liknande fast du har de programmet redan då är de en fett varning på att de är skit och du får ett helvete att få bort de sen.

Link to comment
Share on other sites

Hej,

Nej då borde allt vara OK!

Om Cecilia har fler kommentarer, så återkommer hon säkert!

 

Att byta lösenord är en klok allmän regel, byt dem!

Man kan aldrig utesluta ngt i denna värld. :D

 

Bra jobbat!

Kul att det verkar fungera!

Mvh

Mats H

Link to comment
Share on other sites

Nä men då får jag ta fram papper och penna och skriva ner det vet inte hur många sidor jag har en inloggning på. har tyvärr bara två olika lössen men håller på att byta ut en del. Har ett online spel jag inte kan byta lösen på och har inte vågat logga in på de. (ett spel jag har på datorn).

Link to comment
Share on other sites

Hej!

Du kan alltid trösta dig med att du gjort något bra.

Många skulle antagligen låta bli! Tyvärr.

 

Lika bra att ha dem nedskrivna i ngn låda hemma!

Har själv alldeles för många, och minnet sviker rätt som det är, bara att beställa ett nytt!

 

Ha en bra kväll!

Mvh

Mats H

Link to comment
Share on other sites

HeHe, jag vill inte ha sånt skit i datorn. även om jag inte har något privat i datorn, men ja betala räkningar och sånt och då vill man inte ha någon som kollar över axen (ja du vet vad jag menar). Har fått MSN virus eller messenger virus en gång som de ska kallas de tog mitt antivirusprogram dagen efter. Annars så har jag varit rätt skonad från virus.

 

Men ha en bra kväll själv.

Link to comment
Share on other sites

HKEY_LOCAL_MACHINE är de här man ska kolla? hittade inget varken med sök funktionen eller manuellt.

...

Ett säkerhetsråd kan jag ge ska man se en video klipp på nätet eller spara så ska de inte komma upp en ruta som de står kör på, då är de en installations fil. och man ska akta sig om du är ute på en inte så säker sida som uppmanar till att installera flash eller något liknande fast du har de programmet redan då är de en fett varning på att de är skit och du får ett helvete att få bort de sen.

Japp, HKLM är förkortningen för HKEY_LOCAL_MACHINE.

Flash etc ska man ladda ner från tillverkarens sida, för Flash från Adobe och ingen annanstans.

 

Nä men då får jag ta fram papper och penna och skriva ner det vet inte hur många sidor jag har en inloggning på. har tyvärr bara två olika lössen men håller på att byta ut en del. Har ett online spel jag inte kan byta lösen på och har inte vågat logga in på de. (ett spel jag har på datorn).

Kan rekommendera programmet KeePass för att hålla reda på lösenord. Då blir det lätt att ha unika och långa lösenord till varje webbplats.

Link to comment
Share on other sites

Japp, HKLM är förkortningen för HKEY_LOCAL_MACHINE.

Flash etc ska man ladda ner från tillverkarens sida, för Flash från Adobe och ingen annanstans.

 

Vet det, har ej gått på den bluffen själv än. Men har råkat ut för att visa klipp har de stått att man inte har flash installerat och gå inte på de de är till 100 procent bluff.

Och i HKEY_LOCAL_MACHINE hittade jag varken en mapp eller fil med de namnet. tror du att den är ren nu?

 

Kan rekommendera programmet KeePass för att hålla reda på lösenord. Då blir det lätt att ha unika och långa lösenord till varje webbplats.

 

 

MMM, men jag litar inte på nätet, om man har de på papper måste dom bryta sig in oss mig och de lär ja märka.

Link to comment
Share on other sites

KeePass är ett program du installerar i datorn och inget som ligger på nätet. Om du vill så kan du låta bli att spara lösenorden i det och bara använda det för att generera bra och starka lösenord. Säkerhetsmässigt så är det olämpligt att bara ha ett par lösenord som används på många webbplatser. Det är ju många gånger det har inträffat att en webbplats har blivit hackad och alla konton med mejladress och lösenord har blivit stulna. Inte så kul då om det lösenordet används till t ex ens mejlkonto också.

 

Men har råkat ut för att visa klipp har de stått att man inte har flash installerat och gå inte på de de är till 100 procent bluff.
Japp! :)

 

Och i HKEY_LOCAL_MACHINE hittade jag varken en mapp eller fil med de namnet. tror du att den är ren nu?
Ja, det tror jag.
Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.



×
×
  • Create New...