Säkerhetsråd? + HJT logg (använd dator)

[Benna]

Hej det är så att jag precis fått en laptop .. skitglad:) Problemet är att den redan är använd, så jag undrar om det finns på något sätt något som inte är bra.

 

Jag skickar en HJT logg så att man kan se lite, och så undrar jag också jag har Bredbandsbolagets säkerhetsskydd inkl brandvägg, på min stationära hade jag nod32 / kan fixa kaspersky och sedan comodo som brandvägg... Vad tycks vara enklast och skönast?

 

Tack för svar!

 

 

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:05:08, on 2010-06-11

Platform: Windows XP SP2 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\SYSTEM32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\Ati2evxx.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SYSTEM32\Ati2evxx.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\ehome\ehtray.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\RTHDCPL.EXE

C:\WINDOWS\sm56hlpr.exe

C:\Program Files\iTunes\iTunesHelper.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\Common Files\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\eHome\ehRecvr.exe

C:\WINDOWS\eHome\ehSched.exe

C:\Program Files\Bredbandsbolaget Security Services\Anti-Virus\fsgk32st.exe

C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

C:\WINDOWS\system32\o2flash.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\iPod\bin\iPodService.exe

C:\WINDOWS\system32\dllhost.exe

C:\WINDOWS\eHome\ehmsas.exe

C:\WINDOWS\System32\svchost.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\Program Files\ATI Technologies\ATI.ACE\cli.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Real\RealPlayer\RealPlay.exe

C:\Program Files\VideoLAN\VLC\vlc.exe

C:\Program Files\Bredbandsbolaget Security Services\Anti-Virus\FSGK32.EXE

C:\Program Files\Bredbandsbolaget Security Services\Anti-Virus\fssm32.exe

C:\Program Files\Bredbandsbolaget Security Services\Common\FSMA32.EXE

C:\Program Files\Bredbandsbolaget Security Services\Common\FSHDLL32.EXE

C:\Program Files\Bredbandsbolaget Security Services\Common\FSM32.EXE

C:\Program Files\Bredbandsbolaget Security Services\FWES\Program\fsdfwd.exe

C:\Program Files\Bredbandsbolaget Security Services\Anti-Virus\fsav32.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\SoftwareDistribution\Download\9866fb57abdc0ea2f5d4e132d055ba4e\update\update.exe

C:\Documents and Settings\Helena\My Documents\Hämtade filer\wlsetup-web.exe

C:\HJT\HijackThis.exe

C:\WINDOWS\system32\msiexec.exe

C:\WINDOWS\system32\wuauclt.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aftonbladet.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/

R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings,ProxyOverride = *.local

O1 - Hosts file is located at: C:\WINDOWS\System32\drivers\etc\hosts

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)

O2 - BHO: {91e5fb58-b6e3-ec3b-5e04-0ee98ca1b031} - {130b1ac8-9ee0-40e5-b3ce-3e6b85bf5e19} - C:\WINDOWS\system32\vryopllq.dll (file missing)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: (no name) - {2012F73E-7427-4AD8-9E9D-6CBA6E0053D4} - C:\Program Files\Video Add-on\isfmdl.dll (file missing)

O2 - BHO: RealPlayer Download and Record Plugin for Internet Explorer - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll

O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {B2A67EAA-DE66-4F0A-8AA7-87DBF2E19C66} - C:\WINDOWS\system32\geedd.dll (file missing)

O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe

O4 - HKLM\..\Run: [ATICCC] "C:\Program Files\ATI Technologies\ATI.ACE\cli.exe" runtime -Delay

O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [sMSERIAL] sm56hlpr.exe

O4 - HKLM\..\Run: [AntiSpywareConductor] C:\Program Files\AntiSpywareConductor\pgs.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Bredbandsbolaget Security Services\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Bredbandsbolaget Security Services\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [sBI] C:\Documents and Settings\Helena\Local Settings\Temporary Internet Files\Content.IE5\OV8FMNU1\setup_sbd_en[1].exe

O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [iTunesHelper] "C:\Program Files\iTunes\iTunesHelper.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Common Files\Real\Update_OB\realsched.exe" -osboot

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background

O4 - HKLM\..\Policies\Explorer\Run: [some] C:\Program Files\Video Add-on\icthis.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe

O4 - Global Startup: BankID säkerhetsprogram.lnk = C:\Program Files\Personal\bin\Personal.exe

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1219155840322

O22 - SharedTaskScheduler: end - {aaad3a22-1c07-45f5-bfb3-e9a8c3b382fe} - C:\WINDOWS\system32\fsehfcu.dll (file missing)

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Bredbandsbolaget Security Services\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Bredbandsbolaget Security Services\FWES\Program\fsdfwd.exe

O23 - Service: FSMA - F-Secure Corporation - C:\Program Files\Bredbandsbolaget Security Services\Common\FSMA32.EXE

O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\Bredbandsbolaget Security Services\ORSP Client\fsorsp.exe

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Common Files\InstallShield\Driver\1050\Intel 32\IDriverT.exe

O23 - Service: iPod Service - Apple Inc. - C:\Program Files\iPod\bin\iPodService.exe

O23 - Service: Nero BackItUp Scheduler 4.0 - Nero AG - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe

O23 - Service: O2Micro Flash Memory (O2Flash) - Unknown owner - C:\WINDOWS\system32\o2flash.exe

 

--

End of file - 8131 bytes

[Cecilia]

Loggen innehåller en del skadligt. Jag rekommenderar att du installerar om Windows, dels för att du säkert ska bli av med allt skadligt och dels för att du inte vet om där finns dåliga inställningar som t ex sänker säkerheten i datorn.

[Benna]

Loggen innehåller en del skadligt. Jag rekommenderar att du installerar om Windows, dels för att du säkert ska bli av med allt skadligt och dels för att du inte vet om där finns dåliga inställningar som t ex sänker säkerheten i datorn.

 

 

Jag har tyvärr inte windows skivorna som jag behöver, skulle det inte duga om du bara kunda säga vad som kan rensas enligt loggen av din synvinkel och din åsikt angående antivuris och brandväggen

 

Tack för svar!

 

Och Cecilia det 'r alltid lika skönt att få svar av dig:)

[Cecilia]

Tack!

 

Bärbara datorer har ju normalt en återställningspartition som man använder för att återställa datorn till leveransskick, och det blir samma resultat som en installation från en XP-skiva. Du kanske ska fundera på hur du löser problemet med Windows den dagen som hårddisken går sönder. Normalt gör man ju sin egen XP-skiva med hjälp av ett program som datortillverkaren skickar med datorn så att man kan installera om även om hårddisken måste bytas ut.

 

Om du inte kan tänka dig en återställning till leveransskick, vilket jag rekommenderar, så måste man ju kolla mycket djupare i datorn än vad HijackThis gör.

 

1. Spara OTL på Skrivbordet.

http://oldtimer.geekstogo.com/OTL.exe

Stäng alla program.

Kör OTL (i Vista högerklicka och Kör som administratör).

Under Output högt upp så välj Minimal Output.

Ändra antalet dagar från 30 till 90.

Bocka för LOP Check och Purity Check.

Tryck på Run Scan och låt programmet köra ostört.

 

När det är klart så skapas två loggfiler på Skrivbordet, OTL.txt och Extras.txt. I ditt svar klistrar du in loggen OTL.txt. Medan du bifogar Extras.txt som en fil.

 

2. När du gjort ovanstående, ladda ner Malwarebytes Anti-Malware (MBAM) från:

http://www.malwarebytes.org/mbam.php

Dubbelklicka på mbam-setup för att installera programmet.

 

Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj "Utför snabb skanning" och tryck på Skanna.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan "Visa resultat".

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.

Kopiera loggen och klistra in den i ditt svar.

[Benna]

Tack!

 

Bärbara datorer har ju normalt en återställningspartition som man använder för att återställa datorn till leveransskick, och det blir samma resultat som en installation från en XP-skiva. Du kanske ska fundera på hur du löser problemet med Windows den dagen som hårddisken går sönder. Normalt gör man ju sin egen XP-skiva med hjälp av ett program som datortillverkaren skickar med datorn så att man kan installera om även om hårddisken måste bytas ut.

 

Om du inte kan tänka dig en återställning till leveransskick, vilket jag rekommenderar, så måste man ju kolla mycket djupare i datorn än vad HijackThis gör.

 

1. Spara OTL på Skrivbordet.

http://oldtimer.geekstogo.com/OTL.exe

Stäng alla program.

Kör OTL (i Vista högerklicka och Kör som administratör).

Under Output högt upp så välj Minimal Output.

Ändra antalet dagar från 30 till 90.

Bocka för LOP Check och Purity Check.

Tryck på Run Scan och låt programmet köra ostört.

 

När det är klart så skapas två loggfiler på Skrivbordet, OTL.txt och Extras.txt. I ditt svar klistrar du in loggen OTL.txt. Medan du bifogar Extras.txt som en fil.

 

2. När du gjort ovanstående, ladda ner Malwarebytes Anti-Malware (MBAM) från:

http://www.malwarebytes.org/mbam.php

Dubbelklicka på mbam-setup för att installera programmet.

 

Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj "Utför snabb skanning" och tryck på Skanna.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan "Visa resultat".

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.

Kopiera loggen och klistra in den i ditt svar.

 

 

 

Done!

 

 

OTL logfile created on: 2010-06-12 02:38:51 - Run 1

OTL by OldTimer - Version 3.2.6.0 Folder = C:\Documents and Settings\Helena\My Documents\Hämtade filer

Windows XP Media Center Edition Service Pack 3 (Version = 5.1.2600) - Type = NTWorkstation

Internet Explorer (Version = 6.0.2900.5512)

Locale: 0000041D | Country: Sweden | Language: SVE | Date Format: yyyy-MM-dd

 

894,00 Mb Total Physical Memory | 369,00 Mb Available Physical Memory | 41,00% Memory free

2,00 Gb Paging File | 2,00 Gb Available in Paging File | 75,00% Paging File free

Paging file location(s): C:\pagefile.sys 1344 2688 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program Files

Drive C: | 74,52 Gb Total Space | 55,69 Gb Free Space | 74,74% Space Free | Partition Type: NTFS

Drive D: | 1,88 Gb Total Space | 0,47 Gb Free Space | 24,82% Space Free | Partition Type: FAT32

E: Drive not present or media not loaded

F: Drive not present or media not loaded

G: Drive not present or media not loaded

H: Drive not present or media not loaded

I: Drive not present or media not loaded

 

Computer Name: xxxxx

Current User Name: xxxxxx

Logged in as Administrator.

 

Current Boot Mode: Normal

Scan Mode: All users

Company Name Whitelist: Off

Skip Microsoft Files: Off

File Age = 90 Days

Output = Minimal

 

========== Processes (SafeList) ==========

 

PRC - C:\Documents and Settings\Helena\My Documents\Hämtade filer\OTL.exe (OldTimer Tools)

PRC - C:\Program Files\Bredbandsbolaget Security Services\ORSP Client\fsorsp.exe (F-Secure Corporation)

PRC - C:\Program Files\Bredbandsbolaget Security Services\Anti-Virus\fsav32.exe (F-Secure Corporation)

PRC - C:\Program Files\Bredbandsbolaget Security Services\Anti-Virus\fssm32.exe (F-Secure Corporation)

PRC - C:\Program Files\Bredbandsbolaget Security Services\Anti-Virus\fsgk32.exe (F-Secure Corporation)

PRC - C:\Program Files\Mozilla Firefox\firefox.exe (Mozilla Corporation)

PRC - C:\Program Files\Bredbandsbolaget Security Services\Common\FSMA32.EXE (F-Secure Corporation)

PRC - C:\Program Files\Bredbandsbolaget Security Services\Common\FSM32.EXE (F-Secure Corporation)

PRC - C:\Program Files\Bredbandsbolaget Security Services\Common\FSHDLL32.EXE (F-Secure Corporation)

PRC - C:\Program Files\Bredbandsbolaget Security Services\FWES\program\fsdfwd.exe (F-Secure Corporation)

PRC - C:\Program Files\Bredbandsbolaget Security Services\FSGUI\fscuif.exe (F-Secure Corporation)

PRC - C:\Program Files\Bredbandsbolaget Security Services\Anti-Virus\fsgk32st.exe (F-Secure Corporation)

PRC - C:\Program Files\Common Files\Real\Update_OB\realsched.exe (RealNetworks, Inc.)

PRC - C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (Nero AG)

PRC - C:\WINDOWS\explorer.exe (Microsoft Corporation)

PRC - C:\WINDOWS\sm56hlpr.exe (Motorola Inc.)

PRC - C:\Program Files\ATI Technologies\ATI.ACE\CLI.exe (ATI Technologies Inc.)

PRC - C:\WINDOWS\system32\o2flash.exe ()

 

 

========== Modules (SafeList) ==========

 

MOD - C:\Documents and Settings\Helena\My Documents\Hämtade filer\OTL.exe (OldTimer Tools)

MOD - C:\WINDOWS\system32\msscript.ocx (Microsoft Corporation)

 

 

========== Win32 Services (SafeList) ==========

 

SRV - (FSORSPClient) -- C:\Program Files\Bredbandsbolaget Security Services\ORSP Client\fsorsp.exe (F-Secure Corporation)

SRV - (FSMA) -- C:\Program Files\Bredbandsbolaget Security Services\Common\FSMA32.EXE (F-Secure Corporation)

SRV - (FSDFWD) -- C:\Program Files\Bredbandsbolaget Security Services\FWES\Program\fsdfwd.exe (F-Secure Corporation)

SRV - (F-Secure Gatekeeper Handler Starter) -- C:\Program Files\Bredbandsbolaget Security Services\Anti-Virus\fsgk32st.exe (F-Secure Corporation)

SRV - (Nero BackItUp Scheduler 4.0) -- C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe (Nero AG)

SRV - (O2Flash) -- C:\WINDOWS\system32\o2flash.exe ()

 

 

========== Driver Services (SafeList) ==========

 

DRV - (F-Secure Gatekeeper) -- C:\Program Files\Bredbandsbolaget Security Services\Anti-Virus\minifilter\fsgk.sys ()

DRV - (fsbts) -- C:\WINDOWS\system32\Drivers\fsbts.sys ()

DRV - (F-Secure HIPS) -- C:\Program Files\Bredbandsbolaget Security Services\HIPS\drivers\fshs.sys (F-Secure Corporation)

DRV - (FSFW) -- C:\WINDOWS\System32\drivers\fsdfw.sys (F-Secure Corporation)

DRV - (F-Secure Filter) -- C:\Program Files\Bredbandsbolaget Security Services\Anti-Virus\win2k\fsfilter.sys ()

DRV - (F-Secure Recognizer) -- C:\Program Files\Bredbandsbolaget Security Services\Anti-Virus\win2k\fsrec.sys ()

DRV - (HDAudBus) -- C:\WINDOWS\system32\drivers\hdaudbus.sys (Windows ® Server 2003 DDK provider)

DRV - (AmdK8) -- C:\WINDOWS\system32\drivers\AmdK8.sys (Advanced Micro Devices)

DRV - (IntcAzAudAddService) Service for Realtek HD Audio (WDM) -- C:\WINDOWS\system32\drivers\RtkHDAud.Sys (Realtek Semiconductor Corp.)

DRV - (ati2mtag) -- C:\WINDOWS\system32\drivers\ati2mtag.sys (ATI Technologies Inc.)

DRV - (AR5211) -- C:\WINDOWS\system32\drivers\ar5211.sys (Atheros Communications, Inc.)

DRV - (O2MDRDR) -- C:\WINDOWS\system32\DRIVERS\o2media.sys (O2Micro )

DRV - (RTL8023xp) -- C:\WINDOWS\system32\drivers\Rtnicxp.sys (Realtek Semiconductor Corporation )

DRV - (O2SDRDR) -- C:\WINDOWS\system32\DRIVERS\o2sd.sys (O2Micro )

DRV - (smserial) -- C:\WINDOWS\system32\drivers\smserial.sys (Motorola Inc.)

DRV - (rtl8139) Realtek RTL8139(A/B/C) -- C:\WINDOWS\system32\drivers\RTL8139.sys (Realtek Semiconductor Corporation)

 

 

========== Standard Registry (SafeList) ==========

 

 

========== Internet Explorer ==========

 

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www.yahoo.com/

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Main,Local Page = %SystemRoot%\system32\blank.htm

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,CustomSearch = http://us.rd.yahoo.com/customize/ie/defaults/cs/msgr8/*http://www.yahoo.com/ext/search/search.html

IE - HKLM\SOFTWARE\Microsoft\Internet Explorer\Search,Default_Search_URL = http://www.google.com/ie

 

 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\S-1-5-18\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

 

IE - HKU\S-1-5-21-436374069-1604221776-1801674531-1003\SOFTWARE\Microsoft\Internet Explorer\Main,Start Page = http://www.aftonbladet.se/

IE - HKU\S-1-5-21-436374069-1604221776-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

IE - HKU\S-1-5-21-436374069-1604221776-1801674531-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyOverride" = *.local

 

========== FireFox ==========

 

FF - prefs.js..browser.startup.homepage: "http://www.google.se/"

FF - prefs.js..keyword.URL: "http://www.shareware-sw.com/sv/index.php?rvs=hompag"

FF - prefs.js..network.proxy.no_proxies_on: "*.local"

 

FF - HKLM\software\mozilla\Firefox\Extensions\\{ABDE892B-13A8-4d1b-88E6-365A6E755758}: C:\Program Files\Real\RealPlayer\browserrecord [2009-03-18 17:34:23 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Components: C:\Program Files\Mozilla Firefox\components [2010-06-11 16:27:15 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.3\extensions\\Plugins: C:\Program Files\Mozilla Firefox\plugins [2010-06-11 16:26:57 | 000,000,000 | ---D | M]

 

[2009-02-01 20:54:12 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Helena\Application Data\Mozilla\Extensions

[2010-06-11 21:29:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Helena\Application Data\Mozilla\Firefox\Profiles\fds7hjaj.default\extensions

[2010-06-11 21:19:01 | 000,000,000 | ---D | M] (Microsoft .NET Framework Assistant) -- C:\Documents and Settings\Helena\Application Data\Mozilla\Firefox\Profiles\fds7hjaj.default\extensions\{20a82645-c095-46ed-80e3-08825760534b}

[2010-06-11 16:26:58 | 000,000,000 | ---D | M] -- C:\Program Files\Mozilla Firefox\extensions

[2010-04-01 19:42:59 | 000,001,470 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\allaannonser-sv-SE.xml

[2010-04-01 19:42:59 | 000,002,670 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\prisjakt-sv-SE.xml

[2010-04-01 19:42:59 | 000,000,948 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\tyda-sv-SE.xml

[2010-04-01 19:42:59 | 000,001,174 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\wikipedia-sv-SE.xml

[2010-04-01 19:42:59 | 000,000,951 | ---- | M] () -- C:\Program Files\Mozilla Firefox\searchplugins\yahoo-sv-SE.xml

 

O1 HOSTS File: ([2009-10-08 18:10:33 | 000,000,734 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.

O2 - BHO: (no name) - {130b1ac8-9ee0-40e5-b3ce-3e6b85bf5e19} - C:\WINDOWS\System32\vryopllq.dll File not found

O2 - BHO: (no name) - {2012F73E-7427-4AD8-9E9D-6CBA6E0053D4} - C:\Program Files\Video Add-on\isfmdl.dll File not found

O2 - BHO: (RealPlayer Download and Record Plugin for Internet Explorer) - {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\Program Files\Real\RealPlayer\rpbrowserrecordplugin.dll (RealPlayer)

O2 - BHO: (SSVHelper Class) - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_07\bin\ssv.dll (Sun Microsystems, Inc.)

O2 - BHO: (no name) - {B2A67EAA-DE66-4F0A-8AA7-87DBF2E19C66} - C:\WINDOWS\System32\geedd.dll File not found

O3 - HKU\S-1-5-21-436374069-1604221776-1801674531-1003\..\Toolbar\ShellBrowser: (no name) - {6DABBDA0-1DA5-4A2F-BC89-2AE084C572FA} - No CLSID value found.

O3 - HKU\S-1-5-21-436374069-1604221776-1801674531-1003\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.

O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)

O4 - HKLM..\Run: [AntiSpywareConductor] C:\Program Files\AntiSpywareConductor\pgs.exe File not found

O4 - HKLM..\Run: [AppleSyncNotifier] C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe (Apple Inc.)

O4 - HKLM..\Run: [ATICCC] C:\Program Files\ATI Technologies\ATI.ACE\cli.exe (ATI Technologies Inc.)

O4 - HKLM..\Run: [F-Secure Manager] C:\Program Files\Bredbandsbolaget Security Services\Common\FSM32.EXE (F-Secure Corporation)

O4 - HKLM..\Run: [F-Secure TNB] C:\Program Files\Bredbandsbolaget Security Services\FSGUI\TNBUtil.exe (F-Secure Corporation)

O4 - HKLM..\Run: [sBI] C:\Documents and Settings\Helena\Local Settings\Temporary Internet Files\Content.IE5\OV8FMNU1\setup_sbd_en[1].exe File not found

O4 - HKLM..\Run: [sMSERIAL] C:\WINDOWS\sm56hlpr.exe (Motorola Inc.)

O4 - HKLM..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\realsched.exe (RealNetworks, Inc.)

O4 - Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\BankID säkerhetsprogram.lnk = C:\Program Files\Personal\bin\Personal.exe (Technology Nexus AB)

O4 - Startup: C:\Documents and Settings\Helena\Start Menu\Programs\Startup\OpenOffice.org 3.0.lnk = C:\Program Files\OpenOffice.org 3\program\quickstart.exe ()

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run: some = C:\Program Files\Video Add-on\icthis.exe File not found

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallVisualStyle = C:\WINDOWS\Resources\Themes\Royale\Royale.msstyles (Microsoft)

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\System: InstallTheme = C:\WINDOWS\Resources\Themes\Royale.theme ()

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-18\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-19\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-20\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\S-1-5-21-436374069-1604221776-1801674531-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O9 - Extra 'Tools' menuitem : Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_07\bin\npjpi160_07.dll (Sun Microsystems, Inc.)

O10 - NameSpace_Catalog5\Catalog_Entries\000000000004 [] - C:\Program Files\Bonjour\mdnsNSP.dll (Apple Inc.)

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program Files\Bredbandsbolaget Security Services\FSPS\program\FSLSP.DLL (F-Secure Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program Files\Bredbandsbolaget Security Services\FSPS\program\FSLSP.DLL (F-Secure Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program Files\Bredbandsbolaget Security Services\FSPS\program\FSLSP.DLL (F-Secure Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000021 - C:\Program Files\Bredbandsbolaget Security Services\FSPS\program\FSLSP.DLL (F-Secure Corporation)

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1219155840322 (MUWebControl Class)

O16 - DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab'>http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)

O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Key error.)

O16 - DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} http://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab (Java Plug-in 1.5.0_06)

O16 - DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab (Java Plug-in 1.6.0_05)

O16 - DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} http://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab (Java Plug-in 1.6.0_07)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 81.26.226.3 81.26.228.3

O18 - Protocol\Handler\livecall {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation)

O18 - Protocol\Handler\msnim {828030A1-22C1-4009-854F-8E305202313F} - C:\Program Files\Windows Live\Messenger\msgrapp.14.0.8117.0416.dll (Microsoft Corporation)

O18 - Protocol\Handler\wlmailhtml {03C514A3-1EFB-4856-9F99-10D7BE1653C0} - C:\Program Files\Windows Live\Mail\mailcomm.dll (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - Winlogon\Notify\AtiExtEvent: DllName - Ati2evxx.dll - C:\WINDOWS\System32\ati2evxx.dll (ATI Technologies Inc.)

O22 - SharedTaskScheduler: {aaad3a22-1c07-45f5-bfb3-e9a8c3b382fe} - end - C:\WINDOWS\System32\fsehfcu.dll File not found

O28 - HKLM ShellExecuteHooks: {E0EA1F31-B58F-47E8-A185-20C52DF9F168} - Reg Error: Key error. File not found

O30 - LSA: Authentication Packages - (C:\WINDOWS\system32\geedd.dll) - C:\WINDOWS\System32\geedd.dll File not found

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2009-02-02 00:46:36 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O33 - MountPoints2\{64f06efa-d901-11dd-b5b3-00030d4da124}\Shell - "" = AutoRun

O33 - MountPoints2\{64f06efa-d901-11dd-b5b3-00030d4da124}\Shell\AutoRun\command - "" = D:\LaunchU3.exe -- File not found

O34 - HKLM BootExecute: (autocheck autochk *) - File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = comfile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 

========== Files/Folders - Created Within 90 Days ==========

 

[2010-06-12 02:20:58 | 000,000,000 | R--D | C] -- C:\Documents and Settings\Helena\My Documents\My Pictures

[2010-06-12 02:20:16 | 000,000,000 | ---D | C] -- C:\WINDOWS\Prefetch

[2010-06-11 23:44:57 | 000,000,000 | ---D | C] -- C:\WINDOWS\LastGood.Tmp

[2010-06-11 23:35:49 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\scripting

[2010-06-11 23:35:44 | 000,000,000 | ---D | C] -- C:\WINDOWS\l2schemas

[2010-06-11 23:35:41 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\en

[2010-06-11 23:35:40 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\bits

[2010-06-11 23:18:09 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Helena\Tracing

[2010-06-11 23:15:22 | 003,426,072 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\d3dx9_32.dll

[2010-06-11 23:14:57 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft SQL Server Compact Edition

[2010-06-11 23:13:48 | 000,000,000 | ---D | C] -- C:\WINDOWS\network diagnostic

[2010-06-11 23:11:50 | 000,000,000 | ---D | C] -- C:\Program Files\Microsoft

[2010-06-11 23:11:20 | 000,000,000 | ---D | C] -- C:\Program Files\Windows Live SkyDrive

[2010-06-11 23:01:14 | 000,000,000 | ---D | C] -- C:\HJT

[2010-06-11 23:00:02 | 000,000,000 | -H-D | C] -- C:\WINDOWS\$NtServicePackUninstall$

[2010-06-11 22:56:14 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Helena\My Documents\Hämtade filer

[2010-06-11 22:14:34 | 000,000,000 | ---D | C] -- C:\Program Files\Common Files\Windows Live

[2010-06-11 21:28:49 | 000,017,920 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\msyuv.dll

[2010-06-11 16:52:03 | 000,000,000 | ---D | C] -- C:\683bf5410977302870

[2010-06-11 16:48:08 | 000,000,000 | ---D | C] -- C:\WINDOWS\System32\MpEngineStore

[2010-06-11 16:15:44 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Sun

[2010-06-11 16:06:57 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Helena\My Documents\My Received Files

[2010-06-10 22:28:40 | 000,471,552 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\aclayers.dll

[2010-06-10 22:25:04 | 000,293,376 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\browserchoice.exe

[2010-06-10 22:08:16 | 000,000,000 | ---D | C] -- C:\Documents and Settings\All Users\Application Data\Real

[2010-04-17 00:21:16 | 000,306,544 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\WLXPGSS.SCR

[2010-04-16 22:12:18 | 000,048,464 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\sirenacm.dll

[2010-04-16 18:09:05 | 001,025,024 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\browseui.dll

[2010-04-16 18:09:05 | 000,251,904 | ---- | C] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iepeers.dll

[34 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[1 C:\*.tmp files -> C:\*.tmp -> ]

 

========== Files - Modified Within 90 Days ==========

 

[2010-06-12 02:45:34 | 005,505,024 | -H-- | M] () -- C:\Documents and Settings\Helena\NTUSER.DAT

[2010-06-12 02:27:58 | 000,448,148 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2010-06-12 02:27:58 | 000,074,378 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2010-06-12 02:27:57 | 000,532,400 | ---- | M] () -- C:\WINDOWS\System32\PerfStringBackup.INI

[2010-06-12 02:27:16 | 000,316,640 | ---- | M] () -- C:\WINDOWS\WMSysPr9.prx

[2010-06-12 02:26:05 | 000,026,896 | ---- | M] () -- C:\Documents and Settings\Helena\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

[2010-06-12 02:20:33 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010-06-12 02:20:16 | 000,000,006 | -H-- | M] () -- C:\WINDOWS\tasks\SA.DAT

[2010-06-12 02:19:52 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010-06-12 02:19:40 | 000,139,648 | ---- | M] () -- C:\WINDOWS\System32\FNTCACHE.DAT

[2010-06-12 02:18:22 | 000,000,178 | -HS- | M] () -- C:\Documents and Settings\Helena\ntuser.ini

[2010-06-12 02:18:12 | 004,271,474 | -H-- | M] () -- C:\Documents and Settings\Helena\Local Settings\Application Data\IconCache.db

[2010-06-12 00:52:46 | 000,054,081 | ---- | M] () -- C:\Documents and Settings\Helena\Desktop\30862_1519522907971_1231489325_1492140_1462737_n.jpg

[2010-06-12 00:52:27 | 000,055,891 | ---- | M] () -- C:\Documents and Settings\Helena\Desktop\30862_1519522827969_1231489325_1492138_2466058_n.jpg

[2010-06-11 23:13:55 | 000,000,904 | ---- | M] () -- C:\Documents and Settings\Helena\My Documents\My Sharing Folders.lnk

[2010-06-11 23:11:37 | 000,250,048 | RHS- | M] () -- C:\ntldr

[2010-06-11 23:01:28 | 000,001,323 | ---- | M] () -- C:\Documents and Settings\Helena\Desktop\HijackThis.lnk

[2010-06-11 22:50:05 | 000,060,416 | ---- | M] () -- C:\Documents and Settings\Helena\Local Settings\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2010-06-11 21:13:48 | 000,033,920 | ---- | M] () -- C:\WINDOWS\System32\drivers\fsbts.sys

[2010-06-11 21:12:17 | 000,002,084 | ---- | M] () -- C:\Documents and Settings\All Users\Desktop\Säker Bas.lnk

[2010-06-11 21:08:09 | 000,000,268 | -H-- | M] () -- C:\sqmdata10.sqm

[2010-06-11 21:08:09 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt09.sqm

[2010-06-11 16:48:08 | 000,000,127 | ---- | M] () -- C:\WINDOWS\System32\MRT.INI

[2010-06-11 16:27:17 | 000,001,602 | ---- | M] () -- C:\Documents and Settings\All Users\Desktop\Mozilla Firefox.lnk

[2010-06-10 22:51:26 | 000,000,268 | -H-- | M] () -- C:\sqmdata09.sqm

[2010-06-10 22:51:26 | 000,000,244 | -H-- | M] () -- C:\sqmnoopt08.sqm

[2010-05-02 07:22:50 | 001,851,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\win32k.sys

[2010-05-02 07:22:50 | 001,851,264 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\win32k.sys

[2010-04-20 07:30:08 | 000,285,696 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\dllcache\atmfd.dll

[2010-04-20 07:30:08 | 000,285,696 | ---- | M] (Adobe Systems Incorporated) -- C:\WINDOWS\System32\atmfd.dll

[2010-04-17 00:21:16 | 000,306,544 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\WLXPGSS.SCR

[2010-04-16 22:12:18 | 000,048,464 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\sirenacm.dll

[2010-04-16 18:09:09 | 000,667,136 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\wininet.dll

[2010-04-16 18:09:08 | 000,627,712 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\urlmon.dll

[2010-04-16 18:09:07 | 003,073,024 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\mshtml.dll

[2010-04-16 18:09:07 | 001,509,888 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\shdocvw.dll

[2010-04-16 18:09:07 | 000,061,952 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\tdc.ocx

[2010-04-16 18:09:05 | 001,025,024 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\browseui.dll

[2010-04-16 18:09:05 | 000,251,904 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\iepeers.dll

[2010-04-16 18:09:05 | 000,251,904 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\iepeers.dll

[2010-04-16 18:09:05 | 000,081,920 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\ieencode.dll

[2010-04-16 18:09:05 | 000,081,920 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\ieencode.dll

[2010-04-16 15:44:28 | 000,369,664 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\html.iec

[2010-04-03 04:27:44 | 002,334,720 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\WMVCore.dll

[2010-04-03 04:27:44 | 002,334,720 | ---- | M] (Microsoft Corporation) -- C:\WINDOWS\System32\dllcache\WMVCore.dll

[34 C:\WINDOWS\*.tmp files -> C:\WINDOWS\*.tmp -> ]

[2 C:\WINDOWS\System32\*.tmp files -> C:\WINDOWS\System32\*.tmp -> ]

[1 C:\*.tmp files -> C:\*.tmp -> ]

 

========== Files Created - No Company Name ==========

 

[2010-06-12 00:52:46 | 000,054,081 | ---- | C] () -- C:\Documents and Settings\Helena\Desktop\30862_1519522907971_1231489325_1492140_1462737_n.jpg

[2010-06-12 00:52:26 | 000,055,891 | ---- | C] () -- C:\Documents and Settings\Helena\Desktop\30862_1519522827969_1231489325_1492138_2466058_n.jpg

[2010-06-11 23:39:12 | 000,001,839 | ---- | C] () -- C:\Documents and Settings\Helena\Desktop\Windows Live Messenger .lnk

[2010-06-11 23:01:28 | 000,001,323 | ---- | C] () -- C:\Documents and Settings\Helena\Desktop\HijackThis.lnk

[2010-06-11 21:12:17 | 000,002,084 | ---- | C] () -- C:\Documents and Settings\All Users\Desktop\Säker Bas.lnk

[2010-06-11 21:08:09 | 000,000,268 | -H-- | C] () -- C:\sqmdata10.sqm

[2010-06-11 21:08:09 | 000,000,244 | -H-- | C] () -- C:\sqmnoopt09.sqm

[2010-06-11 16:48:08 | 000,000,127 | ---- | C] () -- C:\WINDOWS\System32\MRT.INI

[2010-06-11 16:27:17 | 000,001,602 | ---- | C] () -- C:\Documents and Settings\All Users\Desktop\Mozilla Firefox.lnk

[2010-06-10 22:51:26 | 000,000,268 | -H-- | C] () -- C:\sqmdata09.sqm

[2010-06-10 22:51:26 | 000,000,244 | -H-- | C] () -- C:\sqmnoopt08.sqm

[2009-02-22 20:58:21 | 000,033,920 | ---- | C] () -- C:\WINDOWS\System32\drivers\fsbts.sys

[2009-01-28 21:39:55 | 000,000,754 | ---- | C] () -- C:\WINDOWS\WORDPAD.INI

[2008-12-18 19:09:57 | 000,004,767 | ---- | C] () -- C:\WINDOWS\Irremote.ini

[2008-04-03 22:10:30 | 001,162,161 | -HS- | C] () -- C:\WINDOWS\System32\gwcalpoj.ini

[2008-04-02 19:37:38 | 000,700,906 | -HS- | C] () -- C:\WINDOWS\System32\wrpnvoaq.ini

[2008-04-01 16:43:34 | 000,700,835 | -HS- | C] () -- C:\WINDOWS\System32\kngkhdse.ini

[2008-03-30 17:04:56 | 000,000,475 | -HS- | C] () -- C:\WINDOWS\System32\kmgywpwc.ini

[2008-03-28 20:27:00 | 001,580,783 | -HS- | C] () -- C:\WINDOWS\System32\herhgkrm.ini

[2008-03-25 23:50:35 | 001,583,817 | -HS- | C] () -- C:\WINDOWS\System32\ouuhkeel.ini

[2008-03-22 13:25:59 | 001,500,618 | -HS- | C] () -- C:\WINDOWS\System32\jnaxmcek.ini

[2008-03-16 14:41:16 | 001,487,497 | -HS- | C] () -- C:\WINDOWS\System32\crarevod.ini

[2008-03-11 18:01:03 | 001,116,686 | -HS- | C] () -- C:\WINDOWS\System32\medvkwce.ini

[2008-03-09 20:09:22 | 001,233,910 | -HS- | C] () -- C:\WINDOWS\System32\riwrpkys.ini

[2008-03-06 07:15:37 | 001,099,002 | -HS- | C] () -- C:\WINDOWS\System32\servuefk.ini

[2008-02-24 17:14:12 | 001,143,681 | -HS- | C] () -- C:\WINDOWS\System32\ubmnqdlm.ini

[2008-02-18 04:37:16 | 001,205,815 | -HS- | C] () -- C:\WINDOWS\System32\forepojt.ini

[2008-02-15 10:21:37 | 000,001,538 | ---- | C] () -- C:\WINDOWS\cookies.ini

[2008-02-14 06:01:49 | 001,249,266 | -HS- | C] () -- C:\WINDOWS\System32\gegttgjo.ini

[2008-02-10 06:31:02 | 001,220,650 | -HS- | C] () -- C:\WINDOWS\System32\gnfnkdwr.ini

[2008-02-08 12:04:53 | 000,176,125 | -HS- | C] () -- C:\WINDOWS\System32\ddeeg.ini2

[2008-02-08 12:04:53 | 000,176,125 | -HS- | C] () -- C:\WINDOWS\System32\ddeeg.ini

[2008-01-08 06:31:01 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\RtlCPAPI.dll

[2008-01-08 06:25:25 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56spn.dll

[2008-01-08 06:25:25 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56itl.dll

[2008-01-08 06:25:25 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56eng.dll

[2008-01-08 06:25:25 | 000,069,632 | ---- | C] () -- C:\WINDOWS\sm56brz.dll

[2008-01-08 06:25:25 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56ger.dll

[2008-01-08 06:25:25 | 000,061,440 | ---- | C] () -- C:\WINDOWS\sm56fra.dll

[2008-01-08 06:25:25 | 000,053,248 | ---- | C] () -- C:\WINDOWS\sm56jpn.dll

[2008-01-08 06:25:25 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56cht.dll

[2008-01-08 06:25:25 | 000,049,152 | ---- | C] () -- C:\WINDOWS\sm56chs.dll

[2008-01-08 05:55:06 | 000,001,052 | ---- | C] () -- C:\WINDOWS\System32\OEMINFO.INI

[2005-08-06 00:01:54 | 000,239,104 | ---- | C] () -- C:\WINDOWS\System32\psisdecd.dll

[2005-01-21 22:02:28 | 000,013,312 | ---- | C] () -- C:\WINDOWS\System32\RMDevice.dll

[2001-03-30 22:58:36 | 000,135,168 | ---- | C] () -- C:\WINDOWS\System32\drivers\Property.dll

 

========== LOP Check ==========

 

[2009-02-22 20:58:13 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\F-Secure

[2010-06-11 21:04:56 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\fssg

[2009-02-07 14:40:00 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\NCH Swift Sound

[2008-02-08 21:40:07 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\TEMP

[2009-02-07 13:54:57 | 000,000,000 | ---D | M] -- C:\Documents and Settings\All Users\Application Data\WinZip

[2008-03-15 17:03:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Helena\Application Data\F-Secure

[2008-08-16 12:33:24 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Helena\Application Data\MSNInstaller

[2008-12-22 18:42:27 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Helena\Application Data\OpenOffice.org

[2009-02-23 03:38:45 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Helena\Application Data\Personal

[2009-09-05 20:40:25 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Helena\Application Data\Spotify

[2010-06-11 23:53:14 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Helena\Application Data\uTorrent

[2009-08-28 18:56:07 | 000,000,382 | ---- | M] () -- C:\WINDOWS\Tasks\NSSstub.job

 

========== Purity Check ==========

 

 

 

========== Alternate Data Streams ==========

 

@Alternate Data Stream - 119 bytes -> C:\Documents and Settings\All Users\Application Data\TEMP:18B7103A

< End of report >

 

 

 

Och sedan MBAM loggen, (NOTE Jag sparade den innan jag tog bort allting)

 

 

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

 

Databasversion: 4190

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 6.0.2900.5512

 

2010-06-12 03:35:32

mbam-log-2010-06-12 (03-35-32).txt

 

Skanningstyp: Snabbskanning

Antal skannade objekt: 143929

Förfluten tid: 31 minut(er), 41 sekund(er)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 17

Infekterade registervärden: 7

Infekterade registerdataposter: 0

Infekterade mappar: 1

Infekterade filer: 9

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{130b1ac8-9ee0-40e5-b3ce-3e6b85bf5e19} (Trojan.Vundo.H) -> No action taken.

HKEY_CLASSES_ROOT\CLSID\{130b1ac8-9ee0-40e5-b3ce-3e6b85bf5e19} (Trojan.Vundo.H) -> No action taken.

HKEY_CLASSES_ROOT\AppID\{ea7522f6-87cf-411e-8a55-19ee4344b676} (Rogue.Multiple) -> No action taken.

HKEY_CLASSES_ROOT\Typelib\{d761645b-6b20-4698-aee8-729981152a82} (Rogue.Multiple) -> No action taken.

HKEY_CLASSES_ROOT\Typelib\{ea7522f6-87cf-411e-8a55-19ee4344b676} (Rogue.Multiple) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\SearchScopes\{daed9266-8c28-4c1c-8b58-5c66eff1d302} (Search.Hijacker) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\setup.exe (Rogue.Multiple) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\aldd (Trojan.Vundo) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\MS Juan (Trojan.Vundo) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affltid (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\affri (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\aoprndtws (Trojan.Vundo) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\jkwslist (Malware.Trace) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Juan (Trojan.Vundo) -> No action taken.

 

Infekterade registervärden:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\Extensions\CmdMapping\{9034a523-d068-4be8-a284-9df278be776e} (Trojan.Zlob) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{e0ea1f31-b58f-47e8-a185-20c52df9f168} (Trojan.Vundo) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\*.safetyincludes.com (Trojan.Zlob) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\*.securemanaging.com (Trojan.Zlob) -> No action taken.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Internet Explorer\New Windows\Allow\*.securewebinfo.com (Trojan.Zlob) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\some (Trojan.Zlob) -> No action taken.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\sbi (Rogue.AntiSpywareSuite) -> No action taken.

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

C:\Documents and Settings\Helena\Local Settings\Temp\NI.UGA6P_0001_N122M0611 (Rogue.Multiple) -> No action taken.

 

Infekterade filer:

C:\WINDOWS\system32\vryopllq.dll (Trojan.Vundo.H) -> No action taken.

C:\Documents and Settings\Helena\Local Settings\Temp\NI.UGA6P_0001_N122M0611\settings.ini (Rogue.Multiple) -> No action taken.

C:\Documents and Settings\Helena\Local Settings\Temp\NI.UGA6P_0001_N122M0611\setup.exe (Rogue.Multiple) -> No action taken.

C:\Documents and Settings\Helena\Local Settings\Temp\NI.UGA6P_0001_N122M0611\setup.len (Rogue.Multiple) -> No action taken.

C:\Documents and Settings\Helena\Favorites\Online Security Test.url (Rogue.Link) -> No action taken.

C:\Documents and Settings\All Users\Start Menu\Online Security Guide.url (Rogue.Link) -> No action taken.

C:\Documents and Settings\All Users\Start Menu\Security Troubleshooting.url (Rogue.Link) -> No action taken.

C:\WINDOWS\system32\mcrh.tmp (Malware.Trace) -> No action taken.

C:\WINDOWS\cookies.ini (Malware.Trace) -> No action taken.

[Cecilia]

FF - prefs.js..keyword.URL: "http://www.shareware-sw.com/sv/index.php?rvs=hompag"

I Firefox adressfält skriver du in: about:config

Leta upp raden "keyword.URL" och byt ut webbplatsen mot en som inte innehåller skadliga filer, t ex google.se

 

Följande filer är rester efter en infektion och ska tas bort:

[2008-04-03 22:10:30 | 001,162,161 | -HS- | C] () -- C:\WINDOWS\System32\gwcalpoj.ini

[2008-04-02 19:37:38 | 000,700,906 | -HS- | C] () -- C:\WINDOWS\System32\wrpnvoaq.ini

[2008-04-01 16:43:34 | 000,700,835 | -HS- | C] () -- C:\WINDOWS\System32\kngkhdse.ini

[2008-03-30 17:04:56 | 000,000,475 | -HS- | C] () -- C:\WINDOWS\System32\kmgywpwc.ini

[2008-03-28 20:27:00 | 001,580,783 | -HS- | C] () -- C:\WINDOWS\System32\herhgkrm.ini

[2008-03-25 23:50:35 | 001,583,817 | -HS- | C] () -- C:\WINDOWS\System32\ouuhkeel.ini

[2008-03-22 13:25:59 | 001,500,618 | -HS- | C] () -- C:\WINDOWS\System32\jnaxmcek.ini

[2008-03-16 14:41:16 | 001,487,497 | -HS- | C] () -- C:\WINDOWS\System32\crarevod.ini

[2008-03-11 18:01:03 | 001,116,686 | -HS- | C] () -- C:\WINDOWS\System32\medvkwce.ini

[2008-03-09 20:09:22 | 001,233,910 | -HS- | C] () -- C:\WINDOWS\System32\riwrpkys.ini

[2008-03-06 07:15:37 | 001,099,002 | -HS- | C] () -- C:\WINDOWS\System32\servuefk.ini

[2008-02-24 17:14:12 | 001,143,681 | -HS- | C] () -- C:\WINDOWS\System32\ubmnqdlm.ini

[2008-02-18 04:37:16 | 001,205,815 | -HS- | C] () -- C:\WINDOWS\System32\forepojt.ini

[2008-02-14 06:01:49 | 001,249,266 | -HS- | C] () -- C:\WINDOWS\System32\gegttgjo.ini

[2008-02-10 06:31:02 | 001,220,650 | -HS- | C] () -- C:\WINDOWS\System32\gnfnkdwr.ini

[2008-02-08 12:04:53 | 000,176,125 | -HS- | C] () -- C:\WINDOWS\System32\ddeeg.ini2

[2008-02-08 12:04:53 | 000,176,125 | -HS- | C] () -- C:\WINDOWS\System32\ddeeg.ini

Som du ser så är det väldigt länge sedan infektionen skedde.

För att se ovanstående filer behöver du ställa in Utforskaren/Den här datorn så att du både ser dolda filer och operativsystemfiler.

 

Det är gamla Java-versioner med säkerhetshål i datorn. Installera en ny från http://www.java.com/sv/ och därefter avinstallera följande när inga webbläsare är igång:

"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6

"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java™ 6 Update 5

"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java™ 6 Update 7

 

Det är nog också en gammal Adobe Reader med säkerhetshål. Avinstallera gärna och byt till en liten och snabb PDF-läsare i stället, t ex Sumatra PDF.

 

Från Loggboken:

Error - 2010-06-11 16:16:13 | Computer Name = HELENA-BAF02964 | Source = Application Error | ID = 1000

Description = Felaktigt program ieo24.exe, version 14.0.8089.726, felaktig modul

kernel32.dll, version 5.1.2600.3541, felaktig adress 0x0000168a.

Kan du hitta filen ieo24.exe i datorn? I vilken mapp finns den?

[Benna]

FF - prefs.js..keyword.URL: "http://www.shareware-sw.com/sv/index.php?rvs=hompag"

I Firefox adressfält skriver du in: about:config

Leta upp raden "keyword.URL" och byt ut webbplatsen mot en som inte innehåller skadliga filer, t ex google.se

 

Följande filer är rester efter en infektion och ska tas bort:

[2008-04-03 22:10:30 | 001,162,161 | -HS- | C] () -- C:\WINDOWS\System32\gwcalpoj.ini

[2008-04-02 19:37:38 | 000,700,906 | -HS- | C] () -- C:\WINDOWS\System32\wrpnvoaq.ini

[2008-04-01 16:43:34 | 000,700,835 | -HS- | C] () -- C:\WINDOWS\System32\kngkhdse.ini

[2008-03-30 17:04:56 | 000,000,475 | -HS- | C] () -- C:\WINDOWS\System32\kmgywpwc.ini

[2008-03-28 20:27:00 | 001,580,783 | -HS- | C] () -- C:\WINDOWS\System32\herhgkrm.ini

[2008-03-25 23:50:35 | 001,583,817 | -HS- | C] () -- C:\WINDOWS\System32\ouuhkeel.ini

[2008-03-22 13:25:59 | 001,500,618 | -HS- | C] () -- C:\WINDOWS\System32\jnaxmcek.ini

[2008-03-16 14:41:16 | 001,487,497 | -HS- | C] () -- C:\WINDOWS\System32\crarevod.ini

[2008-03-11 18:01:03 | 001,116,686 | -HS- | C] () -- C:\WINDOWS\System32\medvkwce.ini

[2008-03-09 20:09:22 | 001,233,910 | -HS- | C] () -- C:\WINDOWS\System32\riwrpkys.ini

[2008-03-06 07:15:37 | 001,099,002 | -HS- | C] () -- C:\WINDOWS\System32\servuefk.ini

[2008-02-24 17:14:12 | 001,143,681 | -HS- | C] () -- C:\WINDOWS\System32\ubmnqdlm.ini

[2008-02-18 04:37:16 | 001,205,815 | -HS- | C] () -- C:\WINDOWS\System32\forepojt.ini

[2008-02-14 06:01:49 | 001,249,266 | -HS- | C] () -- C:\WINDOWS\System32\gegttgjo.ini

[2008-02-10 06:31:02 | 001,220,650 | -HS- | C] () -- C:\WINDOWS\System32\gnfnkdwr.ini

[2008-02-08 12:04:53 | 000,176,125 | -HS- | C] () -- C:\WINDOWS\System32\ddeeg.ini2

[2008-02-08 12:04:53 | 000,176,125 | -HS- | C] () -- C:\WINDOWS\System32\ddeeg.ini

Som du ser så är det väldigt länge sedan infektionen skedde.

För att se ovanstående filer behöver du ställa in Utforskaren/Den här datorn så att du både ser dolda filer och operativsystemfiler.

 

Det är gamla Java-versioner med säkerhetshål i datorn. Installera en ny från http://www.java.com/sv/ och därefter avinstallera följande när inga webbläsare är igång:

"{3248F0A8-6813-11D6-A77B-00B0D0150060}" = J2SE Runtime Environment 5.0 Update 6

"{3248F0A8-6813-11D6-A77B-00B0D0160050}" = Java 6 Update 5

"{3248F0A8-6813-11D6-A77B-00B0D0160070}" = Java 6 Update 7

 

Det är nog också en gammal Adobe Reader med säkerhetshål. Avinstallera gärna och byt till en liten och snabb PDF-läsare i stället, t ex Sumatra PDF.

 

Från Loggboken:

Error - 2010-06-11 16:16:13 | Computer Name = HELENA-BAF02964 | Source = Application Error | ID = 1000

Description = Felaktigt program ieo24.exe, version 14.0.8089.726, felaktig modul

kernel32.dll, version 5.1.2600.3541, felaktig adress 0x0000168a.

Kan du hitta filen ieo24.exe i datorn? I vilken mapp finns den?

Jag gjorde det du sa!

 

Angående ieo24.exe filen så hitta jag inte den.

 

Det som oroar mig är antalet processer som är igång även om jag inte startat något.

 

Jag postar nu vad som körs för tillfället, om du kan se något skumt.

 

 

 

alg.exe 1000 C:\WINDOWS\System32\alg.exe Application Layer Gateway Service 5.1.2600.5512. © Microsoft Corporation. All rights reserved.

AppleMobileDeviceService.exe 204 C:\Program Files\Common Files\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe Apple Mobile Device Service 2.1.29.0. © 2007-2008 Apple Inc. All Rights Reserved.

asc-setup.exe 2496 C:\Documents and Settings\Helena\Desktop\asc-setup.exe Advanced SystemCare 3 3.6.0 . Copyright© 2005-2010

asc-setup.tmp 5704 C:\DOCUME~1\Helena\LOCALS~1\Temp\is-8A6OT.tmp\asc-setup.tmp Setup/Uninstall Setup/Uninstall. Setup/Uninstall

Ati2evxx.exe 764 C:\WINDOWS\system32\Ati2evxx.exe ATI External Event Utility EXE Module 6.14.10.4132. Copyright © 1999-2004 ATI Technologies Inc.

Ati2evxx.exe 1544 C:\WINDOWS\SYSTEM32\Ati2evxx.exe ATI External Event Utility EXE Module 6.14.10.4132. Copyright © 1999-2004 ATI Technologies Inc.

cli.exe 1816 C:\Program Files\ATI Technologies\ATI.ACE\cli.exe CLI Application (Command Line Interface) 1.11.0.0. 2002-2005

cli.exe 1920 C:\Program Files\ATI Technologies\ATI.ACE\cli.exe CLI Application (Command Line Interface) 1.11.0.0. 2002-2005

cli.exe 2100 C:\Program Files\ATI Technologies\ATI.ACE\cli.exe CLI Application (Command Line Interface) 1.11.0.0. 2002-2005

csrss.exe 508 C:\WINDOWS\system32\csrss.exe Client Server Runtime Process 5.1.2600.5512. © Microsoft Corporation. All rights reserved.

ctfmon.exe 196 C:\WINDOWS\system32\ctfmon.exe CTF Loader 5.1.2600.5512. © Microsoft Corporation. All rights reserved.

dllhost.exe 3940 C:\WINDOWS\system32\dllhost.exe COM Surrogate 5.1.2600.5512. © Microsoft Corporation. All rights reserved.

ehmsas.exe 3288 C:\WINDOWS\eHome\ehmsas.exe Media Center Media Status Aggregator Service 5.1.2710.2732. © Microsoft Corporation. All rights reserved.

ehRecvr.exe 260 C:\WINDOWS\eHome\ehRecvr.exe Media Center Receiver Service 5.1.2715.2812. © Microsoft Corporation. All rights reserved.

ehSched.exe 376 C:\WINDOWS\eHome\ehSched.exe Media Center Scheduler Service 5.1.2710.2732. © Microsoft Corporation. All rights reserved.

ehtray.exe 1792 C:\WINDOWS\ehome\ehtray.exe Media Center Tray Applet 5.1.2710.2732. © Microsoft Corporation. All rights reserved.

Explorer.EXE 1684 C:\WINDOWS\Explorer.EXE Windows Explorer 6.00.2900.5512. © Microsoft Corporation. All rights reserved.

firefox.exe 2836 C:\Program Files\Mozilla Firefox\firefox.exe Firefox 3.6.3. ©Firefox and Mozilla Developers, according to the MPL 1.1/GPL 2.0/LGPL 2.1 licenses, as applicable.

fsav32.exe 2528 C:\Program Files\Bredbandsbolaget Security Services\Anti-Virus\fsav32.exe FSAV Handler 9.30.15430. Copyright © 1998-2009, F-Secure Corporation

fsdfwd.exe 3632 C:\Program Files\Bredbandsbolaget Security Services\FWES\Program\fsdfwd.exe F-Secure Internet Shield daemon 6.24 Build 103. Copyright © F-Secure Corporation 1997-2009

FSGK32.EXE 424 C:\Program Files\Bredbandsbolaget Security Services\Anti-Virus\FSGK32.EXE Gatekeeper Handler II 9.61.16220.4. Copyright © 2004-2009

fsgk32st.exe 400 C:\Program Files\Bredbandsbolaget Security Services\Anti-Virus\fsgk32st.exe F-Secure Anti-Virus Scanning Service 8.70.15111.1. Copyright © 2004-2007, F-Secure Corporation

FSHDLL32.EXE 1056 C:\Program Files\Bredbandsbolaget Security Services\Common\FSHDLL32.EXE F-Secure DLL Hosting Plugin 8.10 Build 30088 . Copyright © 1998-2008 F-Secure Corporation. All rights reserved.

FSM32.EXE 1856 C:\Program Files\Bredbandsbolaget Security Services\Common\FSM32.EXE F-Secure Settings and Statistics 8.10 Build 30088 . Copyright © 1998-2008 F-Secure Corporation. All rights reserved.

FSMA32.EXE 412 C:\Program Files\Bredbandsbolaget Security Services\Common\FSMA32.EXE F-Secure Management Agent 8.10 Build 30088 . Copyright © 1998-2008 F-Secure Corporation. All rights reserved.

fsorsp.exe 3576 C:\Program Files\Bredbandsbolaget Security Services\ORSP Client\fsorsp.exe F-Secure ORSP Service 1.0.18 build 492. © 2007-2010, F-Secure Corporation

fssm32.exe 3968 C:\Program Files\Bredbandsbolaget Security Services\Anti-Virus\fssm32.exe F-Secure Scanner Manager 9.61.16220.4. Copyright © 2004-2009

GrooveMonitor.exe 2028 C:\Program Files\Microsoft Office\Office12\GrooveMonitor.exe GrooveMonitor Utility 4.2.0.2623. © 2006 Microsoft Corporation. All rights reserved.

iPodService.exe 3824 C:\Program Files\iPod\bin\iPodService.exe iPodService Module 7.7.1.11. © 2003-2008 Apple Inc. All Rights Reserved.

iTunesHelper.exe 5268 C:\Program Files\iTunes\iTunesHelper.exe iTunesHelper Module 7.7.1.11. © 2003-2008 Apple Inc. All Rights Reserved.

jqs.exe 4680 C:\Program Files\Java\jre6\bin\jqs.exe Java Quick Starter Service 6.0.200.2. Copyright © 2004

lsass.exe 592 C:\WINDOWS\system32\lsass.exe LSA Shell (Export Version) 5.1.2600.5512. © Microsoft Corporation. All rights reserved.

mcrdsvc.exe 2068 C:\WINDOWS\ehome\mcrdsvc.exe MCRD Device Service 4.1.2710.2732. © Microsoft Corporation. All rights reserved.

mDNSResponder.exe 216 C:\Program Files\Bonjour\mDNSResponder.exe Bonjour Service 1,0,4,12. Copyright © 2003-2007 Apple Inc.

MsnMsgr.Exe 596 C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe Windows Live Messenger 14.0.8117.0416. © Microsoft Corporation. All rights reserved.

NBService.exe 1048 C:\Program Files\Common Files\Nero\Nero BackItUp 4\NBService.exe Nero BackItUp 4.2.3.100. Copyright © 2003-2008 Nero AG and its licensors

o2flash.exe 1408 C:\WINDOWS\system32\o2flash.exe o2flash.exe

PrcView.exe 4644 C:\Documents and Settings\Helena\Desktop\Prcview\PrcView.exe Process Viewer Application 5.2.15.1. Developed by Igor Nys 1995-2005

realsched.exe 1984 C:\Program Files\Common Files\Real\Update_OB\realsched.exe RealNetworks Scheduler 0.1.1.137. Copyright © RealNetworks, Inc. 1995-2007

RTHDCPL.EXE 1824 C:\WINDOWS\RTHDCPL.EXE Realtek HD Audio Control Panel 2.0.5.9. Copyright © 2004 Realtek Semiconductor Corp.

services.exe 580 C:\WINDOWS\system32\services.exe Services and Controller app 5.1.2600.5755. © Microsoft Corporation. All rights reserved.

smss.exe 460 C:\WINDOWS\System32\smss.exe Windows NT Session Manager 5.1.2600.5512. © Microsoft Corporation. All rights reserved.

spoolsv.exe 1252 C:\WINDOWS\system32\spoolsv.exe Spooler SubSystem App 5.1.2600.5512. © Microsoft Corporation. All rights reserved.

svchost.exe 136 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.5512. © Microsoft Corporation. All rights reserved.

svchost.exe 780 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.5512. © Microsoft Corporation. All rights reserved.

svchost.exe 880 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.5512. © Microsoft Corporation. All rights reserved.

svchost.exe 920 C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.5512. © Microsoft Corporation. All rights reserved.

svchost.exe 976 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.5512. © Microsoft Corporation. All rights reserved.

svchost.exe 1072 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.5512. © Microsoft Corporation. All rights reserved.

svchost.exe 1592 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.5512. © Microsoft Corporation. All rights reserved.

svchost.exe 1640 C:\WINDOWS\system32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.5512. © Microsoft Corporation. All rights reserved.

svchost.exe 2852 C:\WINDOWS\System32\svchost.exe Generic Host Process for Win32 Services 5.1.2600.5512. © Microsoft Corporation. All rights reserved.

wdfmgr.exe 1756 C:\WINDOWS\system32\wdfmgr.exe Windows User Mode Driver Manager 5.2.3790.1230. © Microsoft Corporation. All rights reserved.

winlogon.exe 536 C:\WINDOWS\SYSTEM32\winlogon.exe Windows NT Logon Application 5.1.2600.5512. © Microsoft Corporation. All rights reserved.

wlcomm.exe 3760 C:\Program Files\Windows Live\Contacts\wlcomm.exe Windows Live Communications Platform 14.0.8117.0416. © Microsoft Corporation. All rights reserved.

wuauclt.exe 3480 C:\WINDOWS\system32\wuauclt.exe Windows Update 7.4.7600.226. © Microsoft Corporation. All rights reserved.

 

 

Tack för svar!

[Benna]

Hej förlåt, men går inte att bifoga fil ifall man ändrar sin post, jag laddar upp listan på vad som startas upp vid start av windows.

[Cecilia]

asc-setup.exe 2496 C:\Documents and Settings\Helena\Desktop\asc-setup.exe Advanced SystemCare 3 3.6.0 . Copyright© 2005-2010

asc-setup.tmp 5704 C:\DOCUME~1\Helena\LOCALS~1\Temp\is-8A6OT.tmp\asc-setup.tmp Setup/Uninstall Setup/Uninstall. Setup/Uninstall

Ovanståend är ett registerstädningsprogram. Registerstädningsprogram orsakar ofta problem i datorn pga att de tar bort för mycket. Man kanske inte märker problemet på en gång utan det kan visa sig först efter ett par månader när det inte går att avinstallera ett program eller uppdatera Windows. Ska man använda sådana ska man veta vad man låter programmet göra.

 

Visst kan vi gå igenom och se om där är program och tjänster som startar i onödan men först så gäller det väl att få datorn ren.

 

Har det blivit några fler "fel" i Loggboken (Kontrollpanelen - Administrationsverktyg) sedan du körde OTL.

 

Finns det något i mappen C:\Documents and Settings\All Users\Application Data\TEMP ?

 

Uppdatera och skanna igenom datorn med MBAM. Om något hittas så klistra in i ditt svar.

 

Kör en online-skanning http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html Om något hittas så spara loggen och klistra in i ditt svar.

[Benna]

asc-setup.exe 2496 C:\Documents and Settings\Helena\Desktop\asc-setup.exe Advanced SystemCare 3 3.6.0 . Copyright© 2005-2010

asc-setup.tmp 5704 C:\DOCUME~1\Helena\LOCALS~1\Temp\is-8A6OT.tmp\asc-setup.tmp Setup/Uninstall Setup/Uninstall. Setup/Uninstall

Ovanståend är ett registerstädningsprogram. Registerstädningsprogram orsakar ofta problem i datorn pga att de tar bort för mycket. Man kanske inte märker problemet på en gång utan det kan visa sig först efter ett par månader när det inte går att avinstallera ett program eller uppdatera Windows. Ska man använda sådana ska man veta vad man låter programmet göra.

 

Visst kan vi gå igenom och se om där är program och tjänster som startar i onödan men först så gäller det väl att få datorn ren.

 

Har det blivit några fler "fel" i Loggboken (Kontrollpanelen - Administrationsverktyg) sedan du körde OTL.

 

Finns det något i mappen C:\Documents and Settings\All Users\Application Data\TEMP ?

 

Uppdatera och skanna igenom datorn med MBAM. Om något hittas så klistra in i ditt svar.

 

Kör en online-skanning http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html Om något hittas så spara loggen och klistra in i ditt svar.

 

 

Okej, tack för rådet, ska vara extra försiktig när jag har igång programmet.

 

Ja när jag öppnar loggboken så ser jag "fel" på vissa ställen.

 

MBAM Hitta inget!

[Cecilia]

Bra att MBAM inte hittar något.

 

Ta bort den Extras.txt som OTL skapade och kör OTL en till gång så att det blir en ny Extras.txt. I Extras.txt kan man se de senaste felen i Loggboken. I OTL väljer du Minimal Output och "Extra Registry" - "Use SafeList".

[Benna]

asc-setup.exe 2496 C:\Documents and Settings\Helena\Desktop\asc-setup.exe Advanced SystemCare 3 3.6.0 . Copyright© 2005-2010

asc-setup.tmp 5704 C:\DOCUME~1\Helena\LOCALS~1\Temp\is-8A6OT.tmp\asc-setup.tmp Setup/Uninstall Setup/Uninstall. Setup/Uninstall

Ovanståend är ett registerstädningsprogram. Registerstädningsprogram orsakar ofta problem i datorn pga att de tar bort för mycket. Man kanske inte märker problemet på en gång utan det kan visa sig först efter ett par månader när det inte går att avinstallera ett program eller uppdatera Windows. Ska man använda sådana ska man veta vad man låter programmet göra.

 

Visst kan vi gå igenom och se om där är program och tjänster som startar i onödan men först så gäller det väl att få datorn ren.

 

Har det blivit några fler "fel" i Loggboken (Kontrollpanelen - Administrationsverktyg) sedan du körde OTL.

 

Finns det något i mappen C:\Documents and Settings\All Users\Application Data\TEMP ?

 

Uppdatera och skanna igenom datorn med MBAM. Om något hittas så klistra in i ditt svar.

 

Kör en online-skanning http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html Om något hittas så spara loggen och klistra in i ditt svar.

 

 

Okej, tack för rådet, ska vara extra försiktig när jag har igång programmet.

 

Ja när jag öppnar loggboken så ser jag "fel" på vissa ställen.

 

MBAM Hitta inget!

[Benna]

Bra att MBAM inte hittar något.

 

Ta bort den Extras.txt som OTL skapade och kör OTL en till gång så att det blir en ny Extras.txt. I Extras.txt kan man se de senaste felen i Loggboken. I OTL väljer du Minimal Output och "Extra Registry" - "Use SafeList".

 

o

Yes done;) Jag laddar upp båda, here you go...

[Cecilia]

Inget nytt i Loggboken som är säkerhetsrelaterat eller verkar vara något annat än tillfälligt.

 

Där finns gamla programversioner med säkerhetshål i datorn, jag ser en gammal VLC och OpenOffice. Låt Secunias Software Inspector kolla upp datorn och fixa de problem som den rapporterar.

 

HijackThis kan du avinstallera. Om du inte använder Bonjour från Apple kan du avinstallera det.

 

TeaTimer-funktionen i Spybot S&D är väldigt bra, men just nu så kan den störa de nödvändiga förändringarna i registret så du behöver stänga av den. Kom ihåg att sätta på den när datorn är ren men inte förrän dess. Om det då kommer upp frågor om ändringar ska tillåtas så välj att tillåta dem.

 

Högerklicka på TeaTimer-ikonen, ett Windows-fönster med hänglås, vid klockan och välj "Reset lists".

 

Starta Spybot S&D

Välj Advanced i Mode-menyn

Till vänster välj Tools - Resident

Ta bort bocken för TeaTimer

Avsluta programmet.

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram så att de inte krockar med OTL.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

 

Starta programmet OTL (i Vista/Windows7 högerklicka och välj Kör som administratör).

Kopiera alla raderna i rutan:

:OTL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (no name) - {2012F73E-7427-4AD8-9E9D-6CBA6E0053D4} - Reg Error: Value error. File not found
O2 - BHO: (no name) - {B2A67EAA-DE66-4F0A-8AA7-87DBF2E19C66} - Reg Error: Value error. File not found
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {6DABBDA0-1DA5-4A2F-BC89-2AE084C572FA} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Value error.)
O30 - LSA: Authentication Packages - (C:\WINDOWS\system32\geedd.dll) - C:\WINDOWS\System32\geedd.dll File not found
:Commands
[CREATERESTOREPOINT]
[emptytemp]
[Reboot]

Klistra in dem i rutan Custom Scans/Fixes.

Tryck på Run Fix.

Om du blir tillfrågad om att starta om datorn så gör det.

Det kommer upp en logg i Anteckningar. Kopiera den och klistra in i ditt svar.

 

Om den inte kommer automatiskt så hittar du den i mappen c:\_OTL\Moved Files med ett namn som innehåller dagens datum och klockslaget för körningen.

 

Se till att aktivera antivirusprogram mm innan du ansluter datorn till internet.

[Benna]

Inget nytt i Loggboken som är säkerhetsrelaterat eller verkar vara något annat än tillfälligt.

 

Där finns gamla programversioner med säkerhetshål i datorn, jag ser en gammal VLC och OpenOffice. Låt Secunias Software Inspector kolla upp datorn och fixa de problem som den rapporterar.

 

HijackThis kan du avinstallera. Om du inte använder Bonjour från Apple kan du avinstallera det.

 

TeaTimer-funktionen i Spybot S&D är väldigt bra, men just nu så kan den störa de nödvändiga förändringarna i registret så du behöver stänga av den. Kom ihåg att sätta på den när datorn är ren men inte förrän dess. Om det då kommer upp frågor om ändringar ska tillåtas så välj att tillåta dem.

 

Högerklicka på TeaTimer-ikonen, ett Windows-fönster med hänglås, vid klockan och välj "Reset lists".

 

Starta Spybot S&D

Välj Advanced i Mode-menyn

Till vänster välj Tools - Resident

Ta bort bocken för TeaTimer

Avsluta programmet.

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram så att de inte krockar med OTL.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

 

Starta programmet OTL (i Vista/Windows7 högerklicka och välj Kör som administratör).

Kopiera alla raderna i rutan:

:OTL
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - No CLSID value found.
O2 - BHO: (no name) - {2012F73E-7427-4AD8-9E9D-6CBA6E0053D4} - Reg Error: Value error. File not found
O2 - BHO: (no name) - {B2A67EAA-DE66-4F0A-8AA7-87DBF2E19C66} - Reg Error: Value error. File not found
O3 - HKCU\..\Toolbar\ShellBrowser: (no name) - {6DABBDA0-1DA5-4A2F-BC89-2AE084C572FA} - No CLSID value found.
O3 - HKCU\..\Toolbar\WebBrowser: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - No CLSID value found.
O16 - DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} http://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab (Reg Error: Value error.)
O30 - LSA: Authentication Packages - (C:\WINDOWS\system32\geedd.dll) - C:\WINDOWS\System32\geedd.dll File not found
:Commands
[CREATERESTOREPOINT]
[emptytemp]
[Reboot]

Klistra in dem i rutan Custom Scans/Fixes.

Tryck på Run Fix.

Om du blir tillfrågad om att starta om datorn så gör det.

Det kommer upp en logg i Anteckningar. Kopiera den och klistra in i ditt svar.

 

Om den inte kommer automatiskt så hittar du den i mappen c:\_OTL\Moved Files med ett namn som innehåller dagens datum och klockslaget för körningen.

 

Se till att aktivera antivirusprogram mm innan du ansluter datorn till internet.

 

 

 

All processes killed

========== OTL ==========

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{02478D38-C3F9-4efb-9B51-7695ECA05670}\ not found.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{2012F73E-7427-4AD8-9E9D-6CBA6E0053D4}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{2012F73E-7427-4AD8-9E9D-6CBA6E0053D4}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{B2A67EAA-DE66-4F0A-8AA7-87DBF2E19C66}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{B2A67EAA-DE66-4F0A-8AA7-87DBF2E19C66}\ deleted successfully.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\ShellBrowser\\{6DABBDA0-1DA5-4A2F-BC89-2AE084C572FA} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{6DABBDA0-1DA5-4A2F-BC89-2AE084C572FA}\ not found.

Registry value HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\WebBrowser\\{EF99BD32-C1FB-11D2-892F-0090271D4F88} deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{EF99BD32-C1FB-11D2-892F-0090271D4F88}\ not found.

Starting removal of ActiveX control {8FFBE65D-2C9C-4669-84BD-5829DC0B603C}

C:\WINDOWS\Downloaded Program Files\erma.inf moved successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Code Store Database\Distribution Units\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ deleted successfully.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.

Registry key HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{8FFBE65D-2C9C-4669-84BD-5829DC0B603C}\ not found.

Registry value HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\\Authentication Packages:C:\WINDOWS\system32\geedd.dll deleted successfully.

========== COMMANDS ==========

Restore point Set: OTL Restore Point (0)

 

[EMPTYTEMP]

 

User: All Users

 

User: Default User

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 33170 bytes

 

User: Helena

->Temp folder emptied: 172176317 bytes

->Temporary Internet Files folder emptied: 3165754 bytes

->Java cache emptied: 128094 bytes

->FireFox cache emptied: 144596754 bytes

->Google Chrome cache emptied: 593984 bytes

->Apple Safari cache emptied: 78981 bytes

->Flash cache emptied: 1167 bytes

 

User: LocalService

->Temp folder emptied: 65984 bytes

->Temporary Internet Files folder emptied: 10075796 bytes

 

User: NetworkService

->Temp folder emptied: 0 bytes

->Temporary Internet Files folder emptied: 102440112 bytes

 

%systemdrive% .tmp files removed: 289418738 bytes

%systemroot% .tmp files removed: 1594886 bytes

%systemroot%\System32 .tmp files removed: 2577 bytes

%systemroot%\System32\dllcache .tmp files removed: 0 bytes

%systemroot%\System32\drivers .tmp files removed: 0 bytes

Windows Temp folder emptied: 791878 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temp folder emptied: 23957076 bytes

%systemroot%\system32\config\systemprofile\Local Settings\Temporary Internet Files folder emptied: 34318 bytes

RecycleBin emptied: 0 bytes

 

Total Files Cleaned = 714,00 mb

 

 

OTL by OldTimer - Version 3.2.6.0 log created on 06152010_015632

 

Files\Folders moved on Reboot...

 

Registry entries deleted on Reboot...

[Cecilia]

Finns det något i mappen C:\Documents and Settings\All Users\Application Data\TEMP ?

 

Körde du Kasperskys online-skanning? Hittades något?

[Benna]

Finns det något i mappen C:\Documents and Settings\All Users\Application Data\TEMP ?

Körde du Kasperskys online-skanning? Hittades något?

 

 

Nej mappen "TEMP" finns ej heller.

 

Jag har inte kunnat köra Kasperskys online-scan eftersom jag sitter på ett trådlöst nätverk, eftersom TV:en är på i huset så blir det kraschar med nätet hela tiden... en annan femma, men jag ska göra scanningen så fort som möjligt!

 

Under tiden skickar jag en så kallad "HJT log" och en "SBSD log" som är gjorda av RunAlyzer, ganska specificerade saker där.. Jag undrar över en process som är kallad som hör till en mapp som är kallad "ehome" har du någon aning om vad det är?

[Cecilia]

eHome tillhör Media Center som ingår i XP Media Center Edition, ger väl en möjlighet att ansluta ett tevekort och titta på teve i datorn och använda en fjärrkontroll för styrningen av det.

 

Jag brukar använda http://www.systemlookup.com/ för att slå upp filnamn och beteckningar.

 

O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)

Kan du läsa om på

http://www.systemlookup.com/Startup/596-ALCMTR_EXE.html

 

O4 - HKLM..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\realsched.exe (RealNetworks, Inc.)

O4 - HKCU..\Run: [Advanced SystemCare 3] C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe (IObit)

O4 - Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\BankID säkerhetsprogram.lnk = C:\Program Files\Personal\bin\Personal.exe (Technology Nexus AB)

Är väl onödigt att de jämnt startar automatiskt.

 

Men jag tycker inte att det är särskilt många processer som drar igång automatiskt längre.

[Benna]

eHome tillhör Media Center som ingår i XP Media Center Edition, ger väl en möjlighet att ansluta ett tevekort och titta på teve i datorn och använda en fjärrkontroll för styrningen av det.

 

Jag brukar använda http://www.systemlookup.com/ för att slå upp filnamn och beteckningar.

 

O4 - HKLM..\Run: [Alcmtr] C:\WINDOWS\Alcmtr.exe (Realtek Semiconductor Corp.)

Kan du läsa om på

http://www.systemlookup.com/Startup/596-ALCMTR_EXE.html

 

O4 - HKLM..\Run: [TkBellExe] C:\Program Files\Common Files\Real\Update_OB\realsched.exe (RealNetworks, Inc.)

O4 - HKCU..\Run: [Advanced SystemCare 3] C:\Program Files\IObit\Advanced SystemCare 3\AWC.exe (IObit)

O4 - Startup: C:\Documents and Settings\All Users\Start Menu\Programs\Startup\BankID säkerhetsprogram.lnk = C:\Program Files\Personal\bin\Personal.exe (Technology Nexus AB)

Är väl onödigt att de jämnt startar automatiskt.

 

Men jag tycker inte att det är särskilt många processer som drar igång automatiskt längre.

 

 

Hej!

 

Bockat av de programmen som du ansåg och likaså jag.

 

Tack för länken där jag kan se vilka processer tillhör vilka program det är suveränt!

 

det här visa kaspersky

 

File name Threat Threats count

C:\Documents and Settings\Helena\Application Data\Microsoft\CryptnetUrlCache\Content\2BF68F4714092295550497DD56F57004.0 Infected: Trojan-Clicker.HTML.IFrame.uu 1

 

 

Jag gick själv till mappen och tog bort filen.

 

Något mera jag behöver göra nu?

[Cecilia]

Nu återstår bara en sista städomgång:

 

1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade.

Börja med att skapa en ny systemåterställningspunkt:

XP:

Start - Program- Tillbehör - Systemverktyg - Systemåterställning

Välj att skapa en ny återställningspunkt och tryck på Nästa.

Vista och Windows 7:

Högerklick på Datorn - Egenskaper - Systemskydd

Tryck på Skapa.

 

Ta sedan bort alla gamla systemåterställningspunkter genom att köra diskrensningsprogrammet.

Högerklicka på C: i Den här datorn/Utforskaren och välj Egenskaper.

På fliken Allmänt finns det en knapp som heter Diskrensning. Välj den.

Efter några minuter kommer programmet upp och då väljer du en flik som heter Fler alternativ eller något likande. Tryck på den Rensa-knapp som tar bort alla systemåterställningspunkter utom den senaste.

 

2. Starta OTL.

Tryck på knappen CleanUp! och de olika fix-program som du har laddat ner kommer att avinstalleras, inkl. detta program, efter en omstart av datorn. Om något fix-program är kvar efter det så fråga hur du ska ta bort det.

 

3. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.

http://mnin.blogspot.com/2009/02/why-i-enjoyed-tiggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.

 

4. Förbättra skyddet i datorn, se mina Råd för en säkrare dator. http://sites.google.com/site/ceblstockholm/home

[Benna]

Nu återstår bara en sista städomgång:

 

1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade.

Börja med att skapa en ny systemåterställningspunkt:

XP:

Start - Program- Tillbehör - Systemverktyg - Systemåterställning

Välj att skapa en ny återställningspunkt och tryck på Nästa.

Vista och Windows 7:

Högerklick på Datorn - Egenskaper - Systemskydd

Tryck på Skapa.

 

Ta sedan bort alla gamla systemåterställningspunkter genom att köra diskrensningsprogrammet.

Högerklicka på C: i Den här datorn/Utforskaren och välj Egenskaper.

På fliken Allmänt finns det en knapp som heter Diskrensning. Välj den.

Efter några minuter kommer programmet upp och då väljer du en flik som heter Fler alternativ eller något likande. Tryck på den Rensa-knapp som tar bort alla systemåterställningspunkter utom den senaste.

 

2. Starta OTL.

Tryck på knappen CleanUp! och de olika fix-program som du har laddat ner kommer att avinstalleras, inkl. detta program, efter en omstart av datorn. Om något fix-program är kvar efter det så fråga hur du ska ta bort det.

 

3. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.

http://mnin.blogspot.com/2009/02/why-i-enjoyed-tiggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.

 

4. Förbättra skyddet i datorn, se mina Råd för en säkrare dator. http://sites.google.com/site/ceblstockholm/home

 

 

Tack så mycket för hjälpen Cecilia!

 

Och ska ta en titt på dina råd på din angivna länk.

 

Tack och ha en bra Sommar, lycka till med allt!

 

MVH Benna

[Cecilia]

Tack detsamma!