security tool

16 september, 2010

Hej.

I går när jag surfade på Internet så dök det upp ett meddelande från "security tool" som informerade om att det fanns massor av virus och trojaner på datorn.

Det enda viruset dock är just security tool som jag inte kan få bort.Jag kan inte göra något med datorn då detta "program" spärrar allt.

Jag försökte med en systemåterställning men sidan öppnar inte, det går inte ens att stänga datorn med mindre att jag använder strömbrytaren.

Jag kör XP som fungerat perfekt sedan installation 2004.

Några tips därute?

Hans

16 september, 2010

Hej,

vi kan börja med följande

Om något antivirus- eller antispionprogram har hittat något skadligt så klistra in en logg där det framgår vad som har hittats och vilka filer och mappar som är inblandade.

Klistra in loggen/resultatet från programmet DDS. Spara DDS på Skrivbordet.

http://download.blee...om/sUBs/dds.scr

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Medan du bifogar Attach.txt som en fil.

DDS är ett program som listar processer som kör, program och tjänster som startas automatiskt samt filer i sådana mappar som är vanliga att skadliga program och som är nya eller ändrade under senaste 1-3 månader. DDS är ett mycket vanligt program bland oss som hjälper till att rensa datorer. Resultatet ger oss en grundläggande kunskap om vad som händer och har hänt nyligen i datorn, och från det kan vi dra slutsatser om vad som är nästa lämpliga steg i rensningen av datorn.

Obs! När du klistrar in en logg eller ett resultat i ditt inlägg använd inga knappar eller taggar utan kopiera det i programmet (oftast Anteckningar) och klistra in det direkt i rutan du skriver i.

Sedan provar du att starta datorn i Felsäkert läge men nätverk, tryck F8 upprepade gånger under uppstart av datorn. Prova att ladda ned Malwarebytes, Malwarebytes' Anti-Malware och kör en snabbskanner, återkom med resultatet, följ programmets instruktioner, återkom med logg, hittas under fliken Loggar.

Om inget, eller att Malwarebytes inte fungerar, kör följande:

Spara RKill av Grinler på Skrivbordet. Ladda ner det från den första av dessa länkar:

http://download.bleepingcomputer.com/grinler/rkill.com

http://download.bleepingcomputer.com/grinler/rkill.pif

http://download.bleepingcomputer.com/grinler/rkill.scr

http://download.bleepingcomputer.com/grinler/rkill.exe

Starta Rkill (i Vista och Windows 7 genom att högerklicka på filen och välj Kör som administratör om det valet finns).

Det blir ett svart fönster/ruta en stund om programmet lyckades köra.

Om det inte blev något svart fönster/ruta så ta bort den RKill-varianten och upprepa med nästa RKill.

Om du får ett meddelande om att RKill är skadligt så bry dig inte om det. Det är det skadliga programmen som inte vill bli stoppat. Lämna kvar varningen på skärmen och kör RKill en gång till.

Kör RKill flera gånger efter varandra tills du inte ser till det skadliga programmet längre, dock max 10 gånger. Fortsätt med resten sedan. Om du redan från början inte ser till det skadliga programmet så räcker det med 3 gånger.

Om inte någon av program-varianterna kan köra så berätta det.

Mvh

Mats H

16 september, 2010

Hej Mats.

Det var ett snabbt svar.

Tyvärr är det inte mitt virusprogram som hittat ett virus utan det är ett bluffprogram som hindrar allt annat.

Jag skulle vilja veta om man kan köra en systemåterställning innan XP startat.

Hans

16 september, 2010

Hej.

En systemåterställning kommer tyvärr inte att lösa ditt problem.

En systemåterställning kommer endast att kapsla in problemet och eventuellt förvärra din situation.

Du behöver endera börja ta bort viruset genom att gå igenom punkterna i mitt inlägg.

Det är en början av rensningsprocessen.

Ett annat alternativ är då ominstallation av Windows, med en formatering av din hårddisk först.

Alternativt fabriksåterställning, se din manual, om du inte har XP skiva. Kopiera dina dokument, bilder, film foto först till CD/DVD eller extern USB ansluten disk eller minne.

Kom ihåg att smitta kan överföras via dessa enheter till en frisk dator, därför bör du först vidta denna åtgärd.

Spara Flash Disinfector by sUBs på Skrivbordet:

http://www.techsupportforum.com/sectools/sUBs/Flash_Disinfector.exe

http://download.bleepingcomputer.com/sUBs/Flash_Disinfector.exe

Dubbelklicka på den nedladdade filen för att starta programmet.

Följ de anvisningar som kommer upp.

När det står att du ska sätta in flash-diskar så stoppar du in de USB-minnen etc som kan tänkas vara infekterade. Håll nere Shift-tangenten medan du stoppar in USB-minnet etc ända till Windows har detekterat att enheten är inne för att hindra att något program på enheten körs.

När allt är klart så avsluta programmet och starta om datorn.

Ett bra alternativ till ovanstående för filräddning är följande guide:

http://www.alltomwindows.se/forum/index.php/topic/21771-raedda-data-med-puppy-linux/page__p__158891__hl__%2Bpuppy+%2Blinux__fromsearch__1#entry158891

då riskerar du inte att föra över ngn smitta till en annan Windows dator.

Mvh

Mats H

17 september, 2010

Hej Mats.

Innan jag läst ditt senaste svar så testade jag med F5 istället för F8 och kunde då komma in och köra i felsäkert läge.

När detta drog igång så fick jag frågan om jag ville göra en systemåterställning och det gjorde jag.

Efter detta så fungerar datorn, till synes, som vanligt.

Vet inte vad som kommer att hända när jag startar den nästa gång men om det går så tänker jag följa ditt första råd för att virussöka.

Fortsättning följer.

Hälsningar

Hans

17 september, 2010

Hej,

valet är ditt, hoppas att det inte fanns ngt systemförändrande virus i din infektion.

Har du skannat datorn efteråt med t.ex. Malwarebytes eller ditt antivirusprogram?

Mvh

Mats H

17 september, 2010

Jag vet en person som gjorde återställning och det gick bra, men det är inte rekomendera.

Här är en länk till Manuell borttagning.

Och en massa tips vad andra gjort.

http://www.xp-vista.com/spyware-removal/remove-security-tool-removal-instructions

Alla Antivirusprogram har nog med det som spyware(rogue anti-spyware program, kategori där sådana program är i).

Det kan hända att allt inte följer med så kolla med länken ovan och din logg.

Lycka till!

Tack för ni delar med er!

17 september, 2010

Det är nog bättre och säkrare att följa Mats anvisningar än att lita på att SpyHunter tar bort Security Tool som xp-vista.com skriver.

http://www.mywot.com/sv/scorecard/xp-vista.com

18 september, 2010

Hej Mats och Cecilia

Jag har nu kört alla versioner av rkill och fått samma svar:

This log file is located at C:\rkill.log.

Please post this only if requested to by the person helping you.

Otherwise you can close this log when you wish.

Ran as Hans Low‚n on 2010-09-18 at 14:41:31.

Services Stopped:

Processes terminated by Rkill or while it was running:

C:\Documents and Settings\Hans Lowén\Skrivbord\rkill.com

Rkill completed on 2010-09-18 at 14:41:35.

Sen körde jag DDS och här är resultatet:

DDS (Ver_10-03-17.01) - NTFSx86

Run by Hans Low‚n at 14:54:12,76 on 2010-09-18

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Home Edition 5.1.2600.3.1252.46.1053.18.1023.623 [GMT 2:00]

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

svchost.exe

C:\Program\Delade filer\Acronis\Schedule2\schedul2.exe

C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe

C:\Program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE

C:\Program\F-Secure\Anti-Virus\fsgk32st.exe

C:\Program\F-Secure\Anti-Virus\FSGK32.EXE

C:\Program\F-Secure\Anti-Virus\fssm32.exe

C:\Program\Ahead\InCD\InCDsrv.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\F-Secure\BackWeb\7681197\Program\BackWeb-7681197.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\PMJ151LA.BIN

C:\WINDOWS\System32\svchost.exe -k imgsvc

C:\Program\F-Secure\Common\FSMA32.EXE

C:\WINDOWS\system32\BRMFRSMG.EXE

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\Program\Microsoft IntelliPoint\point32.exe

C:\Program\Acronis\TrueImageHome\TrueImageMonitor.exe

C:\Program\Acronis\TrueImageHome\TimounterMonitor.exe

C:\Program\Delade filer\Acronis\Schedule2\schedhlp.exe

C:\program\scansoft\paperp~1\pptd40nt.exe

C:\WINDOWS\system32\iid.exe

C:\Program\Microsoft IntelliType Pro\itype.exe

C:\Program\Delade filer\Java\Java Update\jusched.exe

C:\Program\Delade filer\Real\Update_OB\realsched.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

C:\Program\Messenger\msmsgs.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\F-Secure\Common\FSLAUNCH.EXE

C:\Documents and Settings\Hans Lowén\Skrivbord\dds.scr

C:\Program\Delade filer\Java\Java Update\jucheck.exe

============== Pseudo HJT Report ===============

uStart Page = hxxp://swp2.vv.sebank.se/cgi-bin/pts3/pow/default.asp

uSearch Bar = hxxp://www.google.com/ie

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

BHO: Adobe PDF Reader Link Helper: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program\adobe\acrobat 7.0\activex\AcroIEHelper.dll

BHO: RealPlayer Download and Record Plugin for Internet Explorer: {3049c3e9-b461-4bc5-8870-4c09146192ca} - c:\documents and settings\all users\application data\real\realplayer\browserrecordplugin\ie\rpbrowserrecordplugin.dll

BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\program\google\google toolbar\GoogleToolbar_32.dll

BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\program\google\googletoolbarnotifier\5.5.5126.1836\swg.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: Easy-WebPrint: {327c2873-e90d-4c37-aa9d-10ac9baba46c} - c:\program\canon\easy-webprint\Toolband.dll

TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program\google\google toolbar\GoogleToolbar_32.dll

EB: {32683183-48a0-441b-a342-7c2a440a9478} - No File

uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe

uRun: [swg] "c:\program\google\googletoolbarnotifier\GoogleToolbarNotifier.exe"

uRun: [MSMSGS] "c:\program\messenger\msmsgs.exe" /background

uRun: [Google Update] "c:\documents and settings\hans lowén\lokala inställningar\application data\google\update\GoogleUpdate.exe" /c

mRun: [F-Secure Manager] "c:\program\f-secure\common\FSM32.EXE" /splash

mRun: [PinnacleDriverCheck] c:\windows\system32\PSDrvCheck.exe -CheckReg

mRun: [Ptipbmf] rundll32.exe ptipbmf.dll,SetWriteCacheMode

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [nwiz] nwiz.exe /install

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [intelliPoint] "c:\program\microsoft intellipoint\point32.exe"

mRun: [TrueImageMonitor.exe] c:\program\acronis\trueimagehome\TrueImageMonitor.exe

mRun: [AcronisTimounterMonitor] c:\program\acronis\trueimagehome\TimounterMonitor.exe

mRun: [Acronis Scheduler2 Service] "c:\program\delade filer\acronis\schedule2\schedhlp.exe"

mRun: [OSSelectorReinstall] c:\program\delade filer\acronis\acronis disk director\oss_reinstall.exe

mRun: [QuickTime Task] "c:\program\quicktime\qttask.exe" -atboottime

mRun: [PaperPort PTD] c:\program\scansoft\paperp~1\pptd40nt.exe

mRun: [Net iD] c:\windows\system32\iid.exe

mRun: [itype] "c:\program\microsoft intellitype pro\itype.exe"

mRun: [sunJavaUpdateSched] "c:\program\delade filer\java\java update\jusched.exe"

mRun: [TkBellExe] "c:\program\delade filer\real\update_ob\realsched.exe" -osboot

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\docume~1\hanslo~1\start-~1\program\autost~1\outloo~1.lnk - c:\program\outlook express\msimn.exe

IE: E&xportera till Microsoft Excel - c:\program\micros~2\office11\EXCEL.EXE/3000

IE: Easy-WebPrint Add To Print List - c:\program\canon\easy-webprint\Resource.dll/RC_AddToList.html

IE: Easy-WebPrint High Speed Print - c:\program\canon\easy-webprint\Resource.dll/RC_HSPrint.html

IE: Easy-WebPrint Preview - c:\program\canon\easy-webprint\Resource.dll/RC_Preview.html

IE: Easy-WebPrint Print - c:\program\canon\easy-webprint\Resource.dll/RC_Print.html

IE: Google Sidewiki... - c:\program\google\google toolbar\component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

IE: {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - c:\program\partypoker\PartyPoker.exe

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program\messenger\msmsgs.exe

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\program\micros~2\office11\REFIEBAR.DLL

DPF: {02BCC737-B171-4746-94C9-0D8A0B2C0089} - hxxp://office.microsoft.com/templates/ieawsdc.cab

DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} - hxxp://www.apple.com/qtactivex/qtplugin.cab

DPF: {03F998B2-0E00-11D3-A498-00104B6EB52E} - hxxps://components.viewpoint.com/MTSInstallers/MetaStream3.cab?url=http://www.viewpoint.com/cgi-bin/installer.v3/vet_install_premium.pl?1&4&04.00.09.13&premium&unknown&http://62.3.133.38/SE/24_3d_view_my_car_pop.jsp?noreloadredir

DPF: {0DB074F0-617E-4EE9-912C-2965CF2AA5A4} - hxxp://download.microsoft.com/download/0/f/b/0fb0fab9-7f09-4bb6-86d8-8e791ba99ac5/VirtualEarth3D.cab

DPF: {166B1BCA-3F9C-11CF-8075-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/director/sw.cab

DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://go.microsoft.com/fwlink/?linkid=36467&clcid=0x409

DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} - hxxp://www.pixaco.se/static/download/pixacodndupload.cab

DPF: {31B7EB4E-8B4B-11D1-A789-00A0CC6651A8} - hxxp://host.cycore.net/plugins/windows/ie/Cult3D_IE_5.3.0.228.cab

DPF: {3E68E405-C6DE-49FF-83AE-41EE9F4C36CE} - hxxp://office.microsoft.com/officeupdate/content/opuc.cab

DPF: {5BF56AD2-E297-416E-BC49-000004080009} - hxxps://cve.trust.telia.com/TeliaElegUpgrade/iidsetup.cab

DPF: {5D637FAD-E202-48D1-8F18-5B9C459BD1E3} - hxxp://www.onskefoto.se/common/ImageUploader5.cab

DPF: {6E5E167B-1566-4316-B27F-0DDAB3484CF7} - hxxp://www.onskefoto.se/photos/upload/ImageUploader4.cab

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

DPF: {CAFEEFAC-0013-0001-0009-ABCDEFFEDCBA} - hxxp://java.sun.com/products/plugin/autodl/jinstall-1_3_1_09-windows-i586.cab

DPF: {CAFEEFAC-0015-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_02-windows-i586.cab

DPF: {CAFEEFAC-0015-0000-0004-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_04-windows-i586.cab

DPF: {CAFEEFAC-0015-0000-0006-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_06-windows-i586.cab

DPF: {CAFEEFAC-0015-0000-0009-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_09-windows-i586.cab

DPF: {CAFEEFAC-0015-0000-0010-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.5.0/jinstall-1_5_0_10-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0001-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_01-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0002-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_02-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0003-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_03-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0005-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_05-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0020-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_20-windows-i586.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/swflash.cab

DPF: {D3166EE4-3E00-46CA-8F62-8E01D2314A7F} - hxxp://www.cig.canon-europe.com/ph/sv_SE/st/download/ddup/CNIMGUP_01_210102E.cab

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

LSA: Authentication Packages = msv1_0 relog_ap

============= SERVICES / DRIVERS ===============

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [2004-10-23 155136]

R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [2004-10-23 5248]

R2 BackWeb Client - 7681197;F-Secure BackWeb;c:\program\f-secure\backweb\7681197\program\SERVIC~1.EXE [2004-4-17 16384]

R2 F-Secure Filter;F-Secure File System Filter;c:\program\f-secure\anti-virus\win2k\FSfilter.sys [2004-4-17 47280]

R2 F-Secure Gatekeeper Handler Starter;F-Secure Gatekeeper Handler Starter;c:\program\f-secure\anti-virus\fsgk32st.exe [2004-4-17 45056]

R2 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program\f-secure\anti-virus\win2k\fsgk.sys [2004-4-17 37456]

R2 F-Secure Recognizer;F-Secure File System Recognizer;c:\program\f-secure\anti-virus\win2k\FSrec.sys [2004-4-17 15984]

R2 FSpm;F-Secure Policy Manager;c:\program\f-secure\common\FSpm.sys [2004-4-17 65328]

R2 PMJ151NM;Panasonic DVC Web Camera;c:\windows\system32\drivers\PMJ151NM.sys [2004-6-26 14848]

R3 brfilt;Brother MFC-filterdrivrutin;c:\windows\system32\drivers\BrFilt.sys [2008-11-8 2944]

R3 BrSerWDM;Seriell Brother-drivrutin;c:\windows\system32\drivers\BrSerWdm.sys [2008-11-8 60416]

R3 BrUsbMdm;Brother MFC USB - endast faxmodem;c:\windows\system32\drivers\BrUsbMdm.sys [2000-2-24 11008]

R3 BrUsbScn;Drivrutin för Brother MFC USB-skanner;c:\windows\system32\drivers\BrUsbScn.sys [2008-11-8 10368]

S2 DCamUSB20;USB 2.0 Capture;c:\windows\system32\drivers\CsMini20.sys [2005-2-2 46216]

S2 gupdate;Tjänsten Google Update (gupdate);c:\program\google\update\GoogleUpdate.exe [2010-2-12 135664]

S3 avera800;AVerMedia DVB-T BDA Video Capture(A800);c:\windows\system32\drivers\avera800.sys [2005-3-1 32768]

S3 F-Secure BackWeb LAN Access;F-Secure BackWeb LAN Access;c:\program\f-secure\backweb\7681197\program\fsbwlan.exe [2004-4-17 39936]

S3 F-Secure Network Request Broker;F-Secure Network Request Broker;c:\program\f-secure\common\FNRB32.exe [2004-4-17 110668]

S3 FTLUND;Lundinova Filter Driver;c:\windows\system32\drivers\ftlund.sys [2005-11-29 6828]

=============== Created Last 30 ================

2010-09-16 22:26:04 0 d-----w- c:\windows\system32\wbem\Repository

2010-09-12 14:30:22 0 d-----w- c:\docume~1\hanslo~1\applic~1\MSA

==================== Find3M ====================

2010-09-18 12:52:18 84508 ----a-w- c:\windows\system32\perfc01D.dat

2010-09-18 12:52:18 446538 ----a-w- c:\windows\system32\perfh01D.dat

2010-09-18 12:46:46 8912896 ----a-w- c:\documents and settings\hans lowén\ntuser.dat

2010-06-30 12:33:09 149504 ----a-w- c:\windows\system32\schannel.dll

2010-06-24 12:27:44 916480 ----a-w- c:\windows\system32\wininet.dll

2010-06-24 09:02:52 1851904 ----a-w- c:\windows\system32\win32k.sys

2006-11-21 19:30:18 2668 ---ha-w- c:\program\MetaImage.dll

2010-01-06 12:09:55 16384 --sha-w- c:\windows\system32\config\systemprofile\ietldcache\index.dat

2008-08-31 13:30:45 32768 --sha-w- c:\windows\system32\config\systemprofile\lokala inställningar\tidigare\history.ie5\mshist012008083120080901\index.dat

2010-01-06 12:09:55 32768 --sha-w- c:\windows\system32\config\systemprofile\lokala inställningar\tidigare\history.ie5\mshist012010010620100107\index.dat

============= FINISH: 14:54:55,37 ===============

Efter det har jag letat virus efter tips och förmåga men kan inte finna något problem.

Jag gick även efter Spyhunters tips om var man skulle leta, bl.a i registret men fann inga spår efter Security Tool.

Jag kanske skall nämna att när Security Tool dök upp på skärmen så installerade jag naturligtvis inte det eller tryckte på någon OK-knapp.

Jag är ganska övertygad om att problemet är borta, men bara ganska.

I min jakt så tömde jag äver Temp Internet Files men lyckas inte bli av med flera hundra Cookies hur jag än försökte.

Jag har också 0,99GB i Temp-mappen, vågar man radera det?

Hälsningar

Hans

18 september, 2010

Hej,

följande:

Vill kolla med ComboFix också. Spara ComboFix på Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

När den är färdig så ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

Mvh

Mats H

18 september, 2010

Nu var det inte att utsätta någon för risk.

Men jag ansåg att man kunde ta bort manuellt, för en del Virusprogram gör det ochså.

Dom flesta virusprogram tar bort helt eller delvis sedan får man plocka manuellt.

Att det kom med ett program som man kanske inte ska lita på kan ju hända ibland.

Till o med Norton(symantec) redovisar dessa filer ang. security tools.

Det Mats gör är enastående och jag hitta en sådan sida ochså om att använda Rkill sedan Malwarebytes men den varifrån tidiga 2008 och man hade vid Vista lagt till Windows7.

Men även där ska man använda manuellbortagning.

Tack för ni delar med er!

18 september, 2010

Nu var det inte att utsätta någon för risk.

Men jag ansåg att man kunde ta bort manuellt, för en del Virusprogram gör det ochså.

Dom flesta virusprogram tar bort helt eller delvis sedan får man plocka manuellt.

Att det kom med ett program som man kanske inte ska lita på kan ju hända ibland.

Till o med Norton(symantec) redovisar dessa filer ang. security tools.

Det Mats gör är enastående och jag hitta en sådan sida ochså om att använda Rkill sedan Malwarebytes men den varifrån tidiga 2008 och man hade vid Vista lagt till Windows7.

Men även där ska man använda manuellbortagning.

Tack för ni delar med er!

Hej,

denna sida innehåller pålitlig information i ämnet!

http://www.bleepingcomputer.com/virus-removal/remove-antivirus-vista-2010

Bläddra gärna igenom Bleeping Computer sidor, mycket bra.

För övrigt så har användandet av Combofix idag blivit en mer vanlig åtgärd eftersom dessa virus ej är en kod enbart som inte förändras.

Samt att en dator som använts en stund med en sådan infektion snabbt attraherar annat "otyg" ombord. Så man vet inte alltid vad som dyker upp.

Mvh

Mats H

18 september, 2010

Hej Mats H

Körde Combofix som indikerade rootkit aktivitet och startade om datorn.

Inget hände på 5 minuter så jag tryckte på on-knappen, viloläge förbereds, inget händer.

Tryckte på reset och datorn startade om och Combofix fortsatte.

Loggen är som bilaga.

Säger inte mig så mycket men ni vet hur det skall se ut.

Uppskattar verkligen ert stöd och support.

Hälsningar

Hans

18 september, 2010

Postar Combofix logg!

Mvh

Mats H

ComboFix 10-09-17.04 - Hans Lowén 2010-09-18 20:36:07.1.2 - x86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.46.1053.18.1023.735 [GMT 2:00]

Körs från: c:\documents and settings\Hans Lowén\Skrivbord\ComboFix.exe

* Skapade en ny återställningspunkt

.

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\docume~1\HANSLO~1\LOKALA~1\Temp\install_flash_player.exe

c:\documents and settings\Hans Lowén\Application Data\MSA

c:\documents and settings\Hans Lowén\Application Data\MSA\userid.dat

c:\windows\AutoRun.ini

c:\windows\daemon.dll

c:\windows\system\BCBSMP35.BPL

c:\windows\system32\win.ini

c:\windows\system32\zip32.dll

.

(((((((((((((((((((((((( Filer Skapade från 2010-08-18 till 2010-09-18 ))))))))))))))))))))))))))))))

.

2010-09-18 15:22 . 2010-09-18 15:22 -------- d-----w- c:\program\CCleaner

2010-09-16 22:26 . 2010-09-16 22:26 -------- d-----w- c:\windows\system32\wbem\Repository

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-18 18:39 . 2003-04-24 12:00 84508 ----a-w- c:\windows\system32\perfc01D.dat

2010-09-18 18:39 . 2003-04-24 12:00 446538 ----a-w- c:\windows\system32\perfh01D.dat

2010-08-19 10:00 . 2004-08-03 07:50 -------- d-----w- c:\program\Wfwin

2010-06-30 12:33 . 2003-04-24 12:00 149504 ----a-w- c:\windows\system32\schannel.dll

2010-06-24 12:27 . 2004-08-23 18:36 916480 ----a-w- c:\windows\system32\wininet.dll

2010-06-24 09:02 . 2003-04-24 12:00 1851904 ----a-w- c:\windows\system32\win32k.sys

2010-06-21 15:27 . 2003-04-24 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys

2006-11-21 19:30 . 2006-11-21 19:26 2668 ---ha-w- c:\program\MetaImage.dll

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"swg"="c:\program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-07-31 68856]

"Google Update"="c:\documents and settings\Hans Lowén\Lokala inställningar\Application Data\Google\Update\GoogleUpdate.exe" [2010-03-25 136176]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"F-Secure Manager"="c:\program\F-Secure\Common\FSM32.EXE" [2002-12-05 106571]

"PinnacleDriverCheck"="c:\windows\system32\PSDrvCheck.exe" [2004-03-10 406016]

"Ptipbmf"="ptipbmf.dll" [2003-06-20 118784]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-12-10 7311360]

"nwiz"="nwiz.exe" [2005-12-10 1519616]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-12-10 86016]

"IntelliPoint"="c:\program\Microsoft IntelliPoint\point32.exe" [2005-03-23 217088]

"TrueImageMonitor.exe"="c:\program\Acronis\TrueImageHome\TrueImageMonitor.exe" [2007-02-09 1165680]

"AcronisTimounterMonitor"="c:\program\Acronis\TrueImageHome\TimounterMonitor.exe" [2007-02-09 1945960]

"Acronis Scheduler2 Service"="c:\program\Delade filer\Acronis\Schedule2\schedhlp.exe" [2007-02-09 149024]

"OSSelectorReinstall"="c:\program\Delade filer\Acronis\Acronis Disk Director\oss_reinstall.exe" [2007-02-22 2209224]

"QuickTime Task"="c:\program\QuickTime\qttask.exe" [2007-12-11 286720]

"PaperPort PTD"="c:\program\scansoft\paperp~1\pptd40nt.exe" [2001-08-16 26624]

"Net iD"="c:\windows\system32\iid.exe" [2008-02-22 74992]

"itype"="c:\program\Microsoft IntelliType Pro\itype.exe" [2006-11-21 813912]

"SunJavaUpdateSched"="c:\program\Delade filer\Java\Java Update\jusched.exe" [2010-02-18 248040]

"TkBellExe"="c:\program\Delade filer\Real\Update_OB\realsched.exe" [2010-03-30 202256]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\Hans Low‚n\Start-meny\Program\Autostart\

Outlook Express (2).lnk - c:\program\Outlook Express\msimn.exe [2004-6-7 60416]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Adobe Gamma Loader.exe.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\Adobe Gamma Loader.exe.lnk

backup=c:\windows\pss\Adobe Gamma Loader.exe.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Brother SmartUI PopUp.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\Brother SmartUI PopUp.lnk

backup=c:\windows\pss\Brother SmartUI PopUp.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Phone Connection Monitor.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\Phone Connection Monitor.lnk

backup=c:\windows\pss\Phone Connection Monitor.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Hans Lowén^Start-meny^Program^Autostart^Produktregistreringspåminnelse för Scansoft.lnk]

path=c:\documents and settings\Hans Lowén\Start-meny\Program\Autostart\Produktregistreringspåminnelse för Scansoft.lnk

backup=c:\windows\pss\Produktregistreringspåminnelse för Scansoft.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Easy-PrintToolBox]

2004-01-14 02:10 409600 ----a-w- c:\program\Canon\Easy-PrintToolBox\BJPSMAIN.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

2007-12-11 11:10 267048 ----a-w- c:\program\iTunes\iTunesHelper.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MsgCenterExe]

2010-03-30 21:24 75320 ----a-w- c:\program\Delade filer\Real\Update_OB\RealOneMessageCenter.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

2008-04-14 16:05 1695232 ----a-w- c:\program\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

2010-03-30 21:24 202256 ----a-w- c:\program\Delade filer\Real\Update_OB\realsched.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]

2006-03-30 14:45 313472 ----a-w- c:\program\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program\\Intuwave Ltd\\Shared\\mRouterRunTime\\mRouterRuntime.exe"=

"c:\\Program\\Pinnacle\\Studio 10\\programs\\RM.exe"=

"c:\\Program\\Pinnacle\\Studio 10\\programs\\Studio.exe"=

"c:\\Program\\Pinnacle\\Studio 10\\programs\\PMSRegisterFile.exe"=

"c:\\Program\\Pinnacle\\Studio 10\\programs\\umi.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program\\iTunes\\iTunes.exe"=

"c:\\Program\\Spotify\\spotify.exe"=

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [2004-10-23 155136]

R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [2004-10-23 5248]

R2 F-Secure Filter;F-Secure File System Filter;c:\program\F-Secure\Anti-Virus\win2k\FSfilter.sys [2004-04-17 47280]

R2 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program\F-Secure\Anti-Virus\win2k\fsgk.sys [2004-04-17 37456]

R2 F-Secure Recognizer;F-Secure File System Recognizer;c:\program\F-Secure\Anti-Virus\win2k\FSrec.sys [2004-04-17 15984]

R2 FSpm;F-Secure Policy Manager;c:\program\F-Secure\Common\FSpm.sys [2004-04-17 65328]

R2 PMJ151NM;Panasonic DVC Web Camera;c:\windows\system32\drivers\PMJ151NM.sys [2004-06-26 14848]

R3 brfilt;Brother MFC-filterdrivrutin;c:\windows\system32\drivers\BrFilt.sys [2008-11-08 2944]

R3 BrSerWDM;Seriell Brother-drivrutin;c:\windows\system32\drivers\BrSerWdm.sys [2008-11-08 60416]

R3 BrUsbMdm;Brother MFC USB - endast faxmodem;c:\windows\system32\drivers\BrUsbMdm.sys [2000-02-24 11008]

R3 BrUsbScn;Drivrutin för Brother MFC USB-skanner;c:\windows\system32\drivers\BrUsbScn.sys [2008-11-08 10368]

S2 BackWeb Client - 7681197;F-Secure BackWeb;c:\program\F-Secure\BackWeb\7681197\Program\SERVIC~1.EXE [2004-04-17 16384]

S2 DCamUSB20;USB 2.0 Capture;c:\windows\system32\drivers\CsMini20.sys [2005-02-02 46216]

S2 gupdate;Tjänsten Google Update (gupdate);c:\program\Google\Update\GoogleUpdate.exe [2010-02-12 135664]

S3 avera800;AVerMedia DVB-T BDA Video Capture(A800);c:\windows\system32\drivers\avera800.sys [2005-03-01 32768]

S3 FTLUND;Lundinova Filter Driver;c:\windows\system32\drivers\ftlund.sys [2005-11-29 6828]

.

Innehållet i mappen 'Schemalagda aktiviteter':

2010-07-26 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program\Apple Software Update\SoftwareUpdate.exe [2007-08-29 13:57]

2010-09-18 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program\Google\Update\GoogleUpdate.exe [2010-02-11 23:13]

2010-09-18 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program\Google\Update\GoogleUpdate.exe [2010-02-11 23:13]

2010-09-18 c:\windows\Tasks\RealUpgradeLogonTaskS-1-5-21-746137067-602609370-725345543-1004.job

- c:\program\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]

2010-09-18 c:\windows\Tasks\RealUpgradeScheduledTaskS-1-5-21-746137067-602609370-725345543-1004.job

- c:\program\Real\RealUpgrade\realupgrade.exe [2010-02-24 20:09]

.

------- Extra genomsökning -------

.

uStart Page = hxxp://swp2.vv.sebank.se/cgi-bin/pts3/pow/default.asp

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Easy-WebPrint Add To Print List - c:\program\Canon\Easy-WebPrint\Resource.dll/RC_AddToList.html

IE: Easy-WebPrint High Speed Print - c:\program\Canon\Easy-WebPrint\Resource.dll/RC_HSPrint.html

IE: Easy-WebPrint Preview - c:\program\Canon\Easy-WebPrint\Resource.dll/RC_Preview.html

IE: Easy-WebPrint Print - c:\program\Canon\Easy-WebPrint\Resource.dll/RC_Print.html

IE: Google Sidewiki... - c:\program\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

DPF: {2EF3FB47-7B1E-4536-BA4D-51427BD45DFA} - hxxp://www.pixaco.se/static/download/pixacodndupload.cab

DPF: {5BF56AD2-E297-416E-BC49-000004080009} - hxxps://cve.trust.telia.com/TeliaElegUpgrade/iidsetup.cab

DPF: {D3166EE4-3E00-46CA-8F62-8E01D2314A7F} - hxxp://www.cig.canon-europe.com/ph/sv_SE/st/download/ddup/CNIMGUP_01_210102E.cab

.

- - - - FÖRÄLDRALÖSA POSTER SOM TAGITS BORT - - - -

MSConfigStartUp-MsnMsgr - c:\program\MSN Messenger\MsnMsgr.Exe

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net'>http://www.gmer.net

Rootkit scan 2010-09-18 20:43

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

Stealth MBR rootkit/Mebroot/Sinowal detector 0.3.7 by Gmer, http://www.gmer.net

device: opened successfully

user: MBR read successfully

called modules: ntoskrnl.exe catchme.sys CLASSPNP.SYS disk.sys ACPI.sys hal.dll >>UNKNOWN [0x85A73290]<<

kernel: MBR read successfully

detected MBR rootkit hooks:

\Driver\Disk -> CLASSPNP.SYS @ 0xf7593f28

\Driver\ACPI -> ACPI.sys @ 0xf74c0cb8

\Driver\atapi -> 0x85a73290

IoDeviceObjectType -> DeleteProcedure -> ntoskrnl.exe @ 0x805e710a

ParseProcedure -> ntoskrnl.exe @ 0x80578f7a

\Device\Harddisk0\DR0 -> DeleteProcedure -> ntoskrnl.exe @ 0x805e710a

ParseProcedure -> ntoskrnl.exe @ 0x80578f7a

NDIS: Marvell Yukon Gigabit Ethernet 10/100/1000Base-T Adapter, Coppe -> SendCompleteHandler -> NDIS.sys @ 0xf7345bb0

PacketIndicateHandler -> NDIS.sys @ 0xf7352a21

SendHandler -> NDIS.sys @ 0xf733087b

Warning: possible MBR rootkit infection !

user & kernel MBR OK

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PMJ151LA]

"ImagePath"="%SystemRoot%\PMJ151LA.BIN"

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

[HKEY_USERS\S-1-5-21-746137067-602609370-725345543-1004\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\€–€|ÿÿÿÿÀ•€|ù•6~*]

"D140110900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

- - - - - - - > 'lsass.exe'(1212)

c:\windows\system32\relog_ap.dll

.

Sluttid: 2010-09-18 20:45:13

ComboFix-quarantined-files.txt 2010-09-18 18:45

Före genomsökningen: 210 863 878 144 byte ledigt

Efter genomsökningen: 211 402 493 952 byte ledigt

WindowsXP-KB310994-SP2-Home-BootDisk-SVE.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /fastdetect /NoExecute=OptIn

- - End Of File - - 4ADAEBD3F96822FE186F5AD0259E076F

18 september, 2010

Hej,

vi får prova att köra ytterligare en Combofix.

Starta om datorn först.

Du behöver stänga av F-Secure.

I XP, Kontrollpanelen, Säkerhetscenter - Viruskydd, stäng av. Brandväggen skall lämnas på.

Kör en gång till. Posta loggen.

Som du riktigt konstaterade så finns det Rootkit, men vi ska ta ett tag med dem.

Så lycka till med nästa körning. Om ngt hakar upp sig, fråga här.

Bevakar din tråd!

Mvh

Mats H

19 september, 2010

Hej.

Körde Malwarebytes Anti-Malware i natt, tog över 9 timmar.

Det fanns 30 infekterade filer men alla härstammade från PAL SpywareRemover.

Körde Combofix 2 gånger med samma resultat som första gången, det varnade Rootkit aktiviteter och ville starta om datorn.

Fick göra en reset för att den skulle starta om.

Fortfarande står det: Warning: possible MBR rootkit infection !

Skulle vara tacksam för mer info.

Här kommer loggarna på MBAM och Combofix.

Hälsningar

Hans

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Databasversion: 4649

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

2010-09-19 08:35:06

mbam-log-2010-09-19 (08-35-06).txt

Skanningstyp: Fullständig skanning (C:\|F:\|I:\|)

Antal skannade objekt: 278952

Förfluten tid: 9 timme(ar), 13 minut(er), 12 sekund(er)

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 3

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 6

Infekterade filer: 30

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

Infekterade registernycklar:

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\EZMapIt (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\Software\VB and VBA Program Settings\Spyware Remover (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\PAL Spyware Remover_is1 (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

Infekterade registervärden:

(Inga illasinnade poster hittades)

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

Infekterade mappar:

C:\Program\PAL SPYREM (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Program\PAL SPYREM\Other Security Applications (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Program\PAL SPYREM\Quarantine (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Program\PAL SPYREM\Reports (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Start-meny\Program\PAL Spyware Remover (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Start-meny\Program\PAL Spyware Remover\Essential Security Programs (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

Infekterade filer:

C:\Program\PAL SPYREM\spyrem.exe (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\config\systemprofile\Lokala inställningar\Temporary Internet Files\Content.IE5\CX8ROXUD\wcap[1].exe (Trojan.Dropper) -> Quarantined and deleted successfully.

F:\temp överfört 2-6-07\från nätet\spyrem_setup_c.exe (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Program\PAL SPYREM\ee.ico (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Program\PAL SPYREM\ee.url (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Program\PAL SPYREM\klp.ico (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Program\PAL SPYREM\klp.url (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Program\PAL SPYREM\pct.ico (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Program\PAL SPYREM\pct.url (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Program\PAL SPYREM\PopupE.ico (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Program\PAL SPYREM\popupe.url (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Program\PAL SPYREM\psapi.dll (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Program\PAL SPYREM\ref.dat (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Program\PAL SPYREM\spyrem.url (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Program\PAL SPYREM\spyremhlp.url (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Program\PAL SPYREM\spyremreg.url (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Program\PAL SPYREM\unins000.dat (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Program\PAL SPYREM\unins000.exe (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Start-meny\Program\PAL Spyware Remover\Order PAL Spyware Remover.lnk (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Start-meny\Program\PAL Spyware Remover\PAL Spyware Remover Help.lnk (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Start-meny\Program\PAL Spyware Remover\PAL Spyware Remover on the Web.lnk (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Start-meny\Program\PAL Spyware Remover\PAL Spyware Remover.lnk (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Start-meny\Program\PAL Spyware Remover\Uninstall PAL Spyware Remover.lnk (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Start-meny\Program\PAL Spyware Remover\Essential Security Programs\PAL Evidence Eliminator.lnk (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Start-meny\Program\PAL Spyware Remover\Essential Security Programs\PAL Keylog PRO.lnk (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Start-meny\Program\PAL Spyware Remover\Essential Security Programs\PAL PC Tracker.lnk (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Documents and Settings\All Users\Start-meny\Program\PAL Spyware Remover\Essential Security Programs\PAL Popup Eliminator.lnk (Rogue.PALSpywareRemover) -> Quarantined and deleted successfully.

C:\Documents and Settings\Hans Lowén\Application Data\avdrn.dat (Malware.Trace) -> Quarantined and deleted successfully.

C:\WINDOWS\system32\config\systemprofile\Application Data\fvgqad.dat (Malware.Trace) -> Quarantined and deleted successfully.

C:\Program\MetaImage.dll (Spyware.OnlineGames) -> Quarantined and deleted successfully.

ComboFix 10-09-17.04 - Hans Lowén 2010-09-19 10:19:02.3.2 - x86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.46.1053.18.1023.734 [GMT 2:00]

Körs från: c:\documents and settings\Hans Lowén\Skrivbord\ComboFix.exe

.

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\TEMP\IadHide3.dll

.

(((((((((((((((((((((((( Filer Skapade från 2010-08-19 till 2010-09-19 ))))))))))))))))))))))))))))))

.

2010-09-18 21:11 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-09-18 21:11 . 2010-09-19 06:34 -------- d-----w- c:\program\Malwarebytes' Anti-Malware

2010-09-18 21:11 . 2010-09-18 21:11 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-09-18 21:11 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-09-18 15:22 . 2010-09-18 15:22 -------- d-----w- c:\program\CCleaner

2010-09-16 22:26 . 2010-09-16 22:26 -------- d-----w- c:\windows\system32\wbem\Repository

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-09-19 08:21 . 2003-04-24 12:00 84508 ----a-w- c:\windows\system32\perfc01D.dat

2010-09-19 08:21 . 2003-04-24 12:00 446538 ----a-w- c:\windows\system32\perfh01D.dat

2010-08-19 10:00 . 2004-08-03 07:50 -------- d-----w- c:\program\Wfwin

2010-08-17 13:17 . 2003-04-24 12:00 58880 ----a-w- c:\windows\system32\spoolsv.exe

2010-07-22 15:46 . 2004-04-17 15:43 590848 ----a-w- c:\windows\system32\rpcrt4.dll

2010-07-22 06:19 . 2008-05-05 05:25 5120 ----a-w- c:\windows\system32\xpsp4res.dll

2010-06-30 12:33 . 2003-04-24 12:00 149504 ----a-w- c:\windows\system32\schannel.dll

2010-06-24 12:27 . 2004-08-23 18:36 916480 ----a-w- c:\windows\system32\wininet.dll

2010-06-24 09:02 . 2003-04-24 12:00 1851904 ----a-w- c:\windows\system32\win32k.sys

2010-06-21 15:27 . 2003-04-24 12:00 354304 ----a-w- c:\windows\system32\drivers\srv.sys

.

((((((((((((((((((((((((((((( SnapShot@2010-09-18_18.43.04 )))))))))))))))))))))))))))))))))))))))))

.

+ 2010-09-19 08:17 . 2010-09-19 08:17 16384 c:\windows\Temp\Perflib_Perfdata_2c0.dat

+ 2010-08-17 13:17 . 2010-08-17 13:17 58880 c:\windows\system32\dllcache\spoolsv.exe

+ 2010-06-18 17:47 . 2010-06-18 17:47 293376 c:\windows\system32\dllcache\winsrv.dll

+ 2010-04-16 15:38 . 2010-04-16 15:38 406016 c:\windows\system32\dllcache\usp10.dll

+ 2010-03-30 10:24 . 2010-03-30 10:24 317440 c:\windows\system32\dllcache\mp4sdecd.dll

+ 2010-08-05 11:50 . 2010-08-05 11:50 4018176 c:\windows\Installer\103d1a.msp

+ 2010-08-20 11:50 . 2010-08-20 11:50 5518848 c:\windows\Installer\103cf8.msp

+ 2010-08-25 15:06 . 2010-08-25 15:06 6479360 c:\windows\Installer\103ce1.msp