Just nu i M3-nätverket
Jump to content

Vundo


Kalle Dator1

Recommended Posts

Hej !

 

Jag är tydligen utsatt för återkommande attacker, eller intrångsförsök, av en trojan "vundo", att döma av de blockeringar som Norton Internet Security har utfört p g a 'högrisk'.

 

Sedan några dagar tillbaka har jag fått upp meddelanden från Rundll liknande dessa

 

post-4543-0-92274900-1290534027_thumb.jpg

post-4543-0-58084500-1290534069_thumb.jpg

 

Intrångsförsöken sker på min server, som ju går dygnet runt, och således är mer sårbar än andra datorer som bara startas någon gång dagtid.

 

Vid kontroll i NIS och vad antivirusprogrammet gjort, framgår det att blockering skett av den nämnda trojanen just vid de tillfällen som meddelandet kommer upp. Efter en natt kan jag ha flera meddelanden, som vart och ett berättar att en viss dll-fil inte har kunnat hämtas.

 

Det handlar om filer som "iihedc.dll", "dddaax.dll", "fcbbxu.dll" och "yabxvt.dll". Samtliga dessa hittar jag i historiken i NIS, där motsvarande filnamn har blivit blockerade...

 

post-4543-0-80058100-1290534158_thumb.jpg

post-4543-0-28464600-1290534219_thumb.jpg

 

Är det något som jag själv ytterligare kan åtgärda för att bli kvitt någonting som har bosatt sig i datorn, eller ska jag låta NIS fortsättningsvis ta hand om och blockera varje försök ??

Det är ju i och för sig irriterande med dessa återkommande meddelanden, men hur allvarliga är dessa symptom på något onormalt i datorn ?

 

Sedan jag noterade det föregående så har NIS tre gånger detekterat 'vundo' i form av

 

"a0071762.exe" och kort därefter "a0071764.exe" och "a0071764.exe" vilka är omhändertagna.

 

Jag ombads av NIS att starta om datorn.

Ovanstående meddelanden kommer dock tillbaka med olika dll-filer

 

Sedan jag kom in på IDG Eforum igen (efter er uppdatering) har jag kört scanning med VundoFix i felsäkert läge. Men programmet hittar tyvärr inga infekterade filer !

 

Symantec Trojan.Vundo Removal Tool 1.5.1

 

C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\SRTSP\Quarantine: (not scanned)
C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\SRTSP\SrtETmp: (not scanned)
C:\System Volume Information: (not scanned)
D:\System Volume Information: (not scanned)
Trojan.Vundo has not been found on your computer.

 

Försökte att förnya scanningen, samt "Remove Vundo", men får bara svaret att inga filer hittades !

 

 

Men ovanstående meddelanden fortsätter att fylla skärmen, speciellt om jag inte har tittat till den på ett tag (server som går kontinuerligt !)

 

Vad göra nu ???

 

Med vänlig hälsning

 

/Kalle

Link to comment
Share on other sites

  • Replies 75
  • Created
  • Last Reply

Hej !

 

Jag är tydligen utsatt för återkommande attacker, eller intrångsförsök, av en trojan "vundo", att döma av de blockeringar som Norton Internet Security har utfört p g a 'högrisk'.

 

Sedan några dagar tillbaka har jag fått upp meddelanden från Rundll liknande dessa

 

post-4543-0-92274900-1290534027_thumb.jpg

post-4543-0-58084500-1290534069_thumb.jpg

 

Intrångsförsöken sker på min server, som ju går dygnet runt, och således är mer sårbar än andra datorer som bara startas någon gång dagtid.

 

Vid kontroll i NIS och vad antivirusprogrammet gjort, framgår det att blockering skett av den nämnda trojanen just vid de tillfällen som meddelandet kommer upp. Efter en natt kan jag ha flera meddelanden, som vart och ett berättar att en viss dll-fil inte har kunnat hämtas.

 

Det handlar om filer som "iihedc.dll", "dddaax.dll", "fcbbxu.dll" och "yabxvt.dll". Samtliga dessa hittar jag i historiken i NIS, där motsvarande filnamn har blivit blockerade...

 

post-4543-0-80058100-1290534158_thumb.jpg

post-4543-0-28464600-1290534219_thumb.jpg

 

Är det något som jag själv ytterligare kan åtgärda för att bli kvitt någonting som har bosatt sig i datorn, eller ska jag låta NIS fortsättningsvis ta hand om och blockera varje försök ??

Det är ju i och för sig irriterande med dessa återkommande meddelanden, men hur allvarliga är dessa symptom på något onormalt i datorn ?

 

Sedan jag noterade det föregående så har NIS tre gånger detekterat 'vundo' i form av

 

"a0071762.exe" och kort därefter "a0071764.exe" och "a0071764.exe" vilka är omhändertagna.

 

Jag ombads av NIS att starta om datorn.

Ovanstående meddelanden kommer dock tillbaka med olika dll-filer

 

Sedan jag kom in på IDG Eforum igen (efter er uppdatering) har jag kört scanning med VundoFix i felsäkert läge. Men programmet hittar tyvärr inga infekterade filer !

 

Symantec Trojan.Vundo Removal Tool 1.5.1

 

C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\SRTSP\Quarantine: (not scanned)
C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\SRTSP\SrtETmp: (not scanned)
C:\System Volume Information: (not scanned)
D:\System Volume Information: (not scanned)
Trojan.Vundo has not been found on your computer.

 

Försökte att förnya scanningen, samt "Remove Vundo", men får bara svaret att inga filer hittades !

 

 

Men ovanstående meddelanden fortsätter att fylla skärmen, speciellt om jag inte har tittat till den på ett tag (server som går kontinuerligt !)

 

Vad göra nu ???

 

Med vänlig hälsning

 

/Kalle

 

Ladda hem och kör programmet SuperAntiSpyware free edition

http://www.superantispyware.com/download.html

Klicka på Check for updates,välj sedan Scan your Computer,C:\Fixed drive

skall vara ibockad,välj sedan Perform Complete Scan,och sedan Next/Nästa

för att skanna datorn.Hoppas att detta hjälper....

Link to comment
Share on other sites

Det verkar finnas skadliga filer som Norton inte hittar. Vi kan se vad DDS visar till att börja med. Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

 

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt. Medan du bifogar Attach.txt som en fil.

Link to comment
Share on other sites

Tack Cecilia !

 

Har fått utmärkt hjälp av dig tidigare, med gott resultat... Hoppas på det bästa även här !

 

Här kommer min DDS.text

 

 

[log]DDS (Ver_10-11-10.01) - NTFSx86

Run by Karl-Erik Karlsson at 21:46:34,18 on 2010-11-23

Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_18

Microsoft Windows XP Professional 5.1.2600.3.1252.46.1053.18.3063.2387 [GMT 1:00]

 

 

============== Running Processes ===============

 

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Delade filer\Adobe\ARM\1.0\AdobeARM.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\No-IP\DUC20.exe

C:\Program\DynDNS Updater\DynTray.exe

svchost.exe

C:\Program\Apache2.2\bin\httpd.exe

C:\Program\Diskeeper Corporation\Diskeeper\DkService.exe

C:\Program\Apache2.2\bin\httpd.exe

C:\Program\DynDNS Updater\DynUpSvc.exe

C:\Program\FileZilla Server\FileZilla Server.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\Norton Internet Security\Engine\17.8.0.5\ccSvcHst.exe

C:\WINDOWS\System32\svchost.exe -k imgsvc

C:\Program\Norton Internet Security\Engine\17.8.0.5\ccSvcHst.exe

C:\WINDOWS\System32\svchost.exe -k HTTPFilter

C:\Program\Apache2.2\bin\ApacheMonitor.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\WINDOWS\system32\rundll32.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Mozilla Firefox\plugin-container.exe

C:\Documents and Settings\Karl-Erik Karlsson\Skrivbord\dds.scr

 

============== Pseudo HJT Report ===============

 

uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2088752

uURLSearchHooks: ToggleSW Toolbar: {6dabbda0-1da5-4a2f-bc89-2ae084c572fa} - c:\program\togglesw\tbTog0.dll

BHO: Adobe PDF Reader Link Helper: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program\delade filer\adobe\acrobat\activex\AcroIEHelper.dll

BHO: Conduit Engine: {30f9b915-b755-4826-820b-08fba6bd249d} - c:\program\conduitengine\ConduitEngin0.dll

BHO: {5c8b2a36-3db1-42a4-a3cb-d426709bbfeb} - PCTools Site Guard

BHO: Symantec NCO BHO: {602adb0e-4aff-4217-8aa1-95dac4dfa408} - c:\program\norton internet security\engine\17.8.0.5\coIEPlg.dll

BHO: TBSB07398: {64efc884-834b-4235-8a4b-73db87965b15} - TBSB07398 Class

BHO: Symantec Intrusion Prevention: {6d53ec84-6aae-4787-aeee-f4628f01010c} - c:\program\norton internet security\engine\17.8.0.5\IPSBHO.DLL

BHO: ToggleSW Toolbar: {6dabbda0-1da5-4a2f-bc89-2ae084c572fa} - c:\program\togglesw\tbTog0.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: Yahoo! Toolbar: {ef99bd32-c1fb-11d2-892f-0090271d4f88} - c:\program\yahoo!\companion\installs\cpn\yt.dll

TB: BitTorrent.To Toolbar: {bfb5f154-9212-46f3-b547-ac6106030a54} -

TB: Norton Toolbar: {7febefe3-6b19-4349-98d2-ffb09d4b49ca} - c:\program\norton internet security\engine\17.8.0.5\coIEPlg.dll

TB: TerraTec Home Cinema: {ad6e6555-fb2c-47d4-8339-3e2965509877} - c:\program\terratec\terrat~1\THCDES~1.DLL

TB: ToggleSW Toolbar: {6dabbda0-1da5-4a2f-bc89-2ae084c572fa} - c:\program\togglesw\tbTog0.dll

TB: Conduit Engine: {30f9b915-b755-4826-820b-08fba6bd249d} - c:\program\conduitengine\ConduitEngin0.dll

TB: {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No File

EB: {32683183-48a0-441b-a342-7c2a440a9478} - No File

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

uRun: [updateMgr] "c:\program\adobe\acrobat 7.0\reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

uRun: [DCAM]

uRun: [browserChoice] "c:\windows\system32\browserchoice.exe" /run

uRun: [Remote Control Editor] "c:\program\delade filer\terratec\remote\TTTVRC.exe"

uRunOnce: [<NO NAME>] c:\program\internet explorer\iexplore.exe

 

http://www.symantec.com/techsupp/servlet/ProductMessages?module=2009&error=0&language=sv&product=SymNRT&version=2009.0.5.41&build=Symantec&a=00

 

000082.0000001e.0000004a&b=00000082.00000049.000000b9&c=00000082.00000096.000001d8

mRun: [khiggesys] rundll32.exe "wvtsts.dll",DllRegisterServer

mRun: [Adobe Reader Speed Launcher] "c:\program\adobe\reader 8.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\program\delade filer\adobe\arm\1.0\AdobeARM.exe"

mRunOnce: [symLnch] "c:\documents and settings\karl-erik karlsson\application data\symantec\layouts\norton internet

 

security\15.0\symalllanguages\nis_retail\20070829\support\symlnch\symlnch.exe" "c:\documents and settings\karl-erik karlsson\application

 

data\symantec\layouts\norton internet security\15.0\symalllanguages\nis_retail\20070829\Setup.exe" "/REALUPREBOOT /temp /patched"

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

dRun: [ALUAlert] c:\program\symantec\liveupdate\ALUNotify.exe

dRun: [tutqrqsys] rundll32.exe "wvtsts.dll",DllRegisterServer

dRun: [pmlliidrv] rundll32.exe "efdbyx.dll",s

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\duc20e~1.lnk - c:\program\no-ip\DUC20.exe

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\dyndns~1.lnk - c:\program\dyndns updater\DynTray.exe

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\monito~1.lnk - c:\program\apache2.2\bin\ApacheMonitor.exe

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\start.lnk - c:\program\apache2.2\bin\httpd.exe

IE: E&xportera till Microsoft Excel - d:\program\micros~1\office10\EXCEL.EXE/3000

IE: {4B30061A-5B39-11D3-80F8-0090276F843F} - c:\program files\net2phone\Net2fone.exe

IE: {CD67F990-D8E9-11d2-98FE-00C0F0318AFE}

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program\messenger\msmsgs.exe

DPF: DirectAnimation Java Classes - file://c:\windows\java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\java\classes\xmldso.cab

DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} - hxxp://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab

DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} -

 

hxxp://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094970742420

DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} - hxxps://webdl.symantec.com/activex/symdlmgr.cab

DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} -

 

hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1209494601406

DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} - hxxp://82.51.236.211//activex/AMC.cab

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

Notify: igfxcui - igfxdev.dll

AppInit_DLLs: Xc:\windows\system32\syspol32.dll,c:\windows\system32\winamnc.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

LSA: Authentication Packages = msv1_0 wvtsts.dll

 

================= FIREFOX ===================

 

FF - ProfilePath - c:\docume~1\karl-e~1\applic~1\mozilla\firefox\profiles\cg3qn3z1.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2088752&SearchSource=3&q={searchTerms}

FF - prefs.js: browser.search.selectedEngine - ToggleSW Customized Web Search

FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2088752&SearchSource=13

FF - prefs.js: network.proxy.type - 4

FF - component: c:\documents and settings\all users\application

 

data\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\nis_17.0.0.136\coffplgn\components\coFFPlgn.dll

FF - component: c:\documents and settings\all users\application

 

data\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\nis_17.0.0.136\ipsffplgn\components\IPSFFPl.dll

FF - component: c:\documents and settings\karl-erik karlsson\application

 

data\mozilla\firefox\profiles\cg3qn3z1.default\extensions\{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}\components\FFExternalAlert.dll

FF - component: c:\documents and settings\karl-erik karlsson\application

 

data\mozilla\firefox\profiles\cg3qn3z1.default\extensions\{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}\components\RadioWMPCore.dll

FF - HiddenExtension: Java Console: No Registry Reference - c:\program\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA}

 

---- FIREFOX POLICIES ----

c:\program\mozilla firefox\greprefs\all.js - pref("browser.visited_color", "#551A8B");

c:\program\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\program\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional

c:\program\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified

c:\program\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);

c:\program\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

c:\program\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);

c:\program\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);

c:\program\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);

c:\program\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional

c:\program\mozilla firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified

c:\program\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

c:\program\mozilla firefox\defaults\pref\firefox.js - pref("browser.videoFeeds.handler", "ask");

 

============= SERVICES / DRIVERS ===============

 

R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\nis\1108000.005\symds.sys [2010-9-21 328752]

R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\nis\1108000.005\symefa.sys [2010-9-21 173104]

R1 BHDrvx86;BHDrvx86;c:\documents and settings\all users\application

 

data\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\nis_17.0.0.136\definitions\bashdefs\20101104.001\BHDrvx86.sys [2010-11-4 691248]

R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\nis\1108000.005\cchpx86.sys [2010-9-21 501888]

R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\nis\1108000.005\ironx86.sys [2010-9-21 116784]

R2 Apache2.2;Apache2.2;c:\program\apache2.2\bin\httpd.exe [2008-1-17 24635]

R2 DynDNS Updater;DynDNS Updater;c:\program\dyndns updater\DynUpSvc.exe [2008-4-8 61440]

R2 NIS;Norton Internet Security;c:\program\norton internet security\engine\17.8.0.5\ccsvchst.exe [2010-9-21 126392]

R3 Cinergy_HT_PCI_MKII;Cinergy HT PCI (MKII) service;c:\windows\system32\drivers\Cinergy_HT_PCI_MKII.sys [2010-6-15 221184]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program\delade filer\symantec shared\eengine\EraserUtilRebootDrv.sys [2010-5-27 102448]

R3 IDSxpx86;IDSxpx86;c:\documents and settings\all users\application

 

data\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\nis_17.0.0.136\definitions\ipsdefs\20101122.004\IDSXpx86.sys [2010-10-19 341880]

R3 NAVENG;NAVENG;c:\documents and settings\all users\application

 

data\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\nis_17.0.0.136\definitions\virusdefs\20101123.002\NAVENG.SYS [2010-11-23 86064]

R3 NAVEX15;NAVEX15;c:\documents and settings\all users\application

 

data\norton\{0c55c096-0f1d-4f28-aaa2-85ef591126e7}\nis_17.0.0.136\definitions\virusdefs\20101123.002\NAVEX15.SYS [2010-11-23 1371184]

S2 ATTSCAP;AVerMedia, WDM MPEG-2 TS Capture (DVBT);c:\windows\system32\drivers\attscap.sys [2004-9-23 18048]

S2 ATVCAP;AVerMedia, DVB-T WDM Video Capture;c:\windows\system32\drivers\atvcap.sys [2004-9-23 56320]

S2 ATXBAR;AVerMedia, DVB-T WDM Crossbar;c:\windows\system32\drivers\atxbar.sys [2004-9-23 8576]

S2 Automatisk LiveUpdate-schemaläggare;Automatisk LiveUpdate-schemaläggare;"c:\program\symantec\liveupdate\aluschedulersvc.exe" -->

 

c:\program\symantec\liveupdate\ALUSchedulerSvc.exe [?]

S2 TTDec;ATI WDM Teletext Decoder;c:\windows\system32\drivers\atinttxx.sys [2004-9-8 20960]

S2 WebDriveFSD;WebDrive File System Driver;\??\e:\fpt\netdrive\rffsd.sys --> e:\fpt\netdrive\rffsd.sys [?]

S2 winbackupdumper-id19v1RkZc3WzM;Windows System Backup Dumper;c:\windows\system32\mousenh32.exe --> c:\windows\system32\mousenh32.exe [?]

S3 3xHybrid;Philips SAA713x PCI Card;c:\windows\system32\drivers\3xHybrid.sys [2010-6-9 554112]

S3 Atkcfg;Cordless Device Configuration;c:\windows\system32\drivers\atkcfg.sys [2006-7-7 46592]

S3 Gig5gu;Cordless Internet Access;c:\windows\system32\drivers\gig5gu.sys [2006-7-7 55680]

S3 Gigsrf;Cordless Device Line Access;c:\windows\system32\drivers\gigsrf.sys [2006-7-7 94592]

S3 Gigtnc;Cordless PC Control;c:\windows\system32\drivers\gigtnc.sys [2006-7-7 45440]

S3 glidehid;GlidePoint HID Touchpad Minidriver;c:\windows\system32\drivers\glidehid.sys [2005-9-30 33920]

S3 glideps2;GlidePoint PS/2 Touchpad Filter;c:\windows\system32\drivers\glideps2.sys [2005-9-30 12672]

S3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\drivers\manycam.sys --> c:\windows\system32\drivers\ManyCam.sys

 

[?]

S3 siellif;siellif;c:\windows\system32\drivers\siellif.sys [2005-3-1 113408]

S3 Sieupapp;Cordless Device Update;c:\windows\system32\drivers\sieupapp.sys [2006-7-7 32128]

S3 Sieupdfu;Cordless Device in update mode;c:\windows\system32\drivers\sieupdfu.sys [2006-7-7 32000]

S3 TodosAgmII;Driver for Todos Argosmini II USB;c:\windows\system32\drivers\AgmIIusb.sys [2004-11-23 22016]

S3 VMUVC;Vimicro Camera Service VMUVC;c:\windows\system32\drivers\vmuvc.sys --> c:\windows\system32\drivers\VMUVC.sys [?]

S3 vvftUVC;Vimicro Camera Filter Service VMUVC;c:\windows\system32\drivers\vvftuvc.sys --> c:\windows\system32\drivers\vvftUVC.sys [?]

S4 acrosysbackup_exv1RkZc3WzM;Acronis System Backup;c:\windows\system32\wirepots.exe --> c:\windows\system32\wirepots.exe [?]

S4 RFNP32;WebDrive Provider; [x]

 

=============== Created Last 30 ================

 

2010-11-23 16:54:47 -------- d-----w- C:\VundoFix Backups

2010-11-22 18:22:25 0 ----a-w- c:\windows\system32\ConduitEngine.tmp

2010-11-22 17:16:41 -------- d-----w- c:\docume~1\karl-e~1\lokala~1\applic~1\ToggleSW

2010-11-22 17:16:38 -------- d-----w- c:\docume~1\karl-e~1\lokala~1\applic~1\ConduitEngine

2010-11-22 17:16:34 -------- d-----w- c:\program\ConduitEngine

2010-11-22 17:16:28 -------- d-----w- c:\program\ToggleSW

2010-11-22 17:16:28 -------- d-----w- c:\docume~1\karl-e~1\lokala~1\applic~1\Temp

2010-11-22 17:15:51 25048 ----a-w- c:\program\mozilla firefox\components\browserdirprovider.dll

2010-11-22 17:15:51 140248 ----a-w- c:\program\mozilla firefox\components\brwsrcmp.dll

2010-11-22 17:15:50 719832 ----a-w- c:\program\mozilla firefox\mozcpp19.dll

2010-11-22 17:15:50 16856 ----a-w- c:\program\mozilla firefox\plugin-container.exe

 

==================== Find3M ====================

 

2010-09-18 10:23:44 974848 ----a-w- c:\windows\system32\mfc42u.dll

2010-09-18 06:53:42 974848 ----a-w- c:\windows\system32\mfc42.dll

2010-09-18 06:53:42 954368 ----a-w- c:\windows\system32\mfc40.dll

2010-09-18 06:53:42 953856 ----a-w- c:\windows\system32\mfc40u.dll

2010-09-10 05:52:34 916480 ----a-w- c:\windows\system32\wininet.dll

2010-09-10 05:52:30 43520 ----a-w- c:\windows\system32\licmgr10.dll

2010-09-10 05:52:30 1469440 ------w- c:\windows\system32\inetcpl.cpl

2010-09-01 11:52:44 285824 ----a-w- c:\windows\system32\atmfd.dll

2010-09-01 07:57:46 1852800 ----a-w- c:\windows\system32\win32k.sys

2010-08-27 08:03:53 119808 ----a-w- c:\windows\system32\t2embed.dll

2010-08-27 05:54:29 99840 ----a-w- c:\windows\system32\srvsvc.dll

2010-08-27 01:43:50 5120 ----a-w- c:\windows\system32\xpsp4res.dll

2010-08-26 23:41:48 140288 ----a-w- c:\windows\system32\pcre3.dll

2008-05-15 12:21:16 1233306 ----a-w- c:\program\wrar371sw.exe

 

============= FINISH: 21:46:52,39 ===============

[/log]

 

Och Attach.txt är bifogad !

 

Om/när du hittar något mysko, vore det verkligen intressant om du pekar ut det, för min framtida lärdom !!

 

Vänliga hälsningar

 

/Kalle

Attach.txt

Link to comment
Share on other sites

1.

Avinstallera:

BitTorrent.To Toolbar

Conduit Engine

ToggleSW Toolbar

 

Anledningen till det kan du läsa på http://www.systemlookup.com/CLSID/58315-tbTogg_dll_tbTog0_dll_tbTog1_dll.html

Du kan även slå upp de andra namnen och se att samma sak gäller dem.

 

2010-11-22 17:16:34 -------- d-----w- c:\program\ConduitEngine

2010-11-22 17:16:28 -------- d-----w- c:\program\ToggleSW

Vad installerade du i måndags klockan 18.16 som drog in dessa saker?

 

2.

Vad är det för årsmodell på Norton?

 

3.

Avinstallera Java™ 6 Update 18 eftersom det är en gammal version med säkerhetshål. Normalt så borde du inte behöva ha Java installerad på en server, men om du skulle märka att Java behövs så installera senaste versionen från http://www.java.com/sv/ och då måste du också se till att hålla den uppdaterad i fortsättningen.

 

4.

Dessa rader i loggen är skadliga:

mRun: [khiggesys] rundll32.exe "wvtsts.dll",DllRegisterServer

dRun: [tutqrqsys] rundll32.exe "wvtsts.dll",DllRegisterServer

dRun: [pmlliidrv] rundll32.exe "efdbyx.dll",s

AppInit_DLLs: Xc:\windows\system32\syspol32.dll,c:\windows\system32\winamnc.dll

 

Jag tror att Malwarebytes Anti-Malware (MBAM) kan ta bort dem, inklusive Vundo-filerna.

Ladda ner från en av dessa länkar:

http://www.malwarebytes.org/mbam-download.php

http://majorgeeks.com/downloadget.php?id=5756&file=15&evp=693ee0b20204960edfd909666f809b26

http://dw.com.com/redir?edId=3&siteId=4&oId=3000-8022_4-10804572&ontId=8022_4&spi=b4a0904e0f02b40bf2ae9ce030ef5c99&lop=link&tag=tdw_dltext&ltype=dl_dlnow&pid=11375988&mfgId=6290020&merId=6290020&pguid=XI3P-goPjFwAACI-g4wAAAA4&destUrl=http%3A%2F%2Fdownload.cnet.com%2F3001-8022_4-10804572.html%3Fspi%3Db4a0904e0f02b40bf2ae9ce030ef5c99

http://fileforum.betanews.com/detail/Malwarebytes-AntiMalware/1186760019/1

Dubbelklicka på mbam-setup för att installera programmet.

 

Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Tryck på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj "Utför snabb skanning" och tryck på Skanna.

Skanningen tar ett tag.

När den är klar så tryck på OK och sedan "Visa resultat".

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.

Kopiera loggen och klistra in den i ditt svar tillsammans med en ny DDS-logg.

Link to comment
Share on other sites

Hej igen, Cecilia !

 

Går inte så bra för mig !

 

Avinstallationerna m h a Läggtill/Ta bort program:

 

BitTorrent.To Toolbar: Flashar bara till. (Utforskaren visar en tom programmapp !)

 

Conduit Engine: "Avinstallationsfel; Ett fel uppstod... ev. redan avinstallerat.."

(Programmappen intakt. Uninstall.exe fungerar ej, men föreslår ominstallation...)

 

ToggleSW Toolbar: "Wise Uninstall 'Could not open INSTALL.LOG file'"

(Programmapp intakt)

 

Har inte utfört vidare åtgärder beträffande dessa.

 

Kollade angiven webbsite, angående ovanstående program, men fann inget annat än "questionable behavior..."

 

Har ingen kännedom om installerat program i måndags vid angiven tidpunkt, tidigare eller senare... Ser dock att ovanstående misstänkta program har tiden 17:16 den 22:a nov.

 

Norton Internet Security förnyades i augusti, för 89 dagar sedan, och bör vara 2010 - 2011, eftersom 2011 inte var utgiven vid tidpunkten för förnyandet, men uppdatering ständigt sker genom LiveUpdate..

 

Java är nu avinstallerat, nuvarande behov ännu obekant, men jag har tidigare haft vissa javascript ingående i några webbsidor...

 

Laddat hem Malwarebytes Anti-Malvare (MBAM) två gånger från olika länkar. Installerat och startat efter installation, men ingen av gångerna har programmet startat. (Kollat även i aktivitetshanteraren !) Andra gången såg jag en sekundsnabb glimt "Ansluter till server..."

 

Under tiden fortsätter RUNDLL-meddelandena att poppa upp...

 

/Kalle

Link to comment
Share on other sites

Java och javascript är två helt olika saker.

 

Spara RKill av Grinler på Skrivbordet. Ladda ner dessa tre varianter:

http://download.bleepingcomputer.com/grinler/rkill.com

http://download.bleepingcomputer.com/grinler/eXplorer.exe

http://download.bleepingcomputer.com/grinler/iExplore.exe

 

Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Starta Rkill, varianten rkill.com, genom att dubbelklicka på den.

Det blir ett svart fönster/ruta en stund om programmet lyckades köra.

Upprepa körningen av RKill några gånger.

 

Om du får ett meddelande om att RKill är skadligt så bry dig inte om det. Det är det skadliga programmen som inte vill bli stoppat. Lämna kvar varningen på skärmen och kör RKill en gång till.

 

Om det inte hjälper att köra ovanstående RKill några gånger för att få ett tillfälligt stopp på det skadliga programmet pröva med de två andra varianterna av RKill

 

Se om du nu kan installera och köra MBAM.

Link to comment
Share on other sites

Skam till sägandes åstadkoms inte mycket framgång på den här kanten !

 

Har kört exe-filerna rkill, eXplorer och iExplore i såväl felsäkert som i vanligt läge. Men ingen större skillnad. MBAM vill inte komma igång, fastän antydningar finns (se nedan).

 

Vid vanligt läge, men med inaktiverat internet, händer:

 

rkill hittar och stoppar C:\Windows\system32\wuauclt.exe, ...\wmiprvse.exe.

 

sporadiskt kommer också en Norton-varning angående nedladdning av "pev.rkexe", "nircmdc.rkexe" och "sed.rkexe". Varningen återkommer nu med varje körning av iExplore.exe

 

Dessa tre filer kan jag lokalisera till en katalog \Temp\3E.tmp, där de ligger tillsammans med rkill.bat !!

 

Men MBAM startar inte, trots vissa tendenser om jag stressar programikonen. Då kan som hastigast dyka upp en skymt av ett meddelande, säger att programmet redan köres, samtidigt som en tendens också syns i aktivitetsfältet... Tid ungefär ett par sekunder....

 

Provat att köra från Start => Kör: Lika dåligt resultat !

 

Provat också att köra via kommandotolken (i "DOS"), men hittar då inte katalogen ifråga...

 

Anmärkningsvärt att medan jag hade inaktiverad nätanslutning, kom inga popup-meddelanden från RUNDLL...

 

(Vad är det för sjuka människor som sitter och tar fram dylika virus- och trojanprogram, och vilket nöje / nytta har de av att ställa till för andra ???

Är det samma kategori av folk som slänger ner stenar på motorvägen, så att folk ska köra på dem och kanske riskera livet bara för att de själva ska ha njutningen av att höra det smälla...

Bara undrar...)

 

/Kalle

Link to comment
Share on other sites

Skadliga program tas fram för att någon ska tjäna pengar på dem, t ex visa annonser, skicka spam som får någon att köpa något, lura någon att betala för falska program osv. Det är kriminella grupper över hela världen som ligger bakom.

 

Eftersom en temp-mapp är inblandad så pröva med att köra TFC i felsäkert läge innan du drar igång MBAM och ComboFix enligt nedan. Det finns ytterligare metoder att ta till om det behövs.

 

1. Nedladdning av filer

Spara TFC (Temporary File Cleaner) av OldTimer på Skrivbordet.

http://oldtimer.geekstogo.com/TFC.exe

Ladda ner MBAM på nytt.

Spara ComboFix på Skrivbordet: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

2. Installation av återställningkonsol

a) Du har CD-skiva med Windows XP

Se http://www.bleepingcomputer.com/tutorials/tutorial117.html#install

 

B) Du har inte en XP-skiva

Se http://www.bleepingcomputer.com/combofix/se/hur-combofix-ska-anvandas#manual_recovery Punkt 1-4.

3. Körning i felsäkert läge

 

a) RKill

Kör RKill några gånger.

 

B) TFC

Stäng alla program och fönster.

Kör TFC (om du har Vista eller Windows 7 så högerklicka på filen och välj Kör som administratör).

Klicka på Start-knappen för att starta städningen.

Det kan ta några minuter och låt datorn vara ifred under tiden.

 

När det är klart är det meningen att datorn ska startas om automatiskt. Om den inte gör det så startar du om datorn själv (fortfarande felsäkert läge).

c) MBAM

Försök installera den nyss nedladdade filen och om det går bra .

 

d) ComboFix

Stäng av alla program du ser.

Kör ComboFix och följ anvisningarna som visas.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när det körs eftersom så det kan hänga upp sig då.

 

När ComboFix är färdig (efter en omstart till normalt läge) ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

Link to comment
Share on other sites

Nedladdning av filer gick bra !

 

Rkill-körningen gav inga synliga uppseväckande svar ! Körde alla tre varianterna.

 

Efter körning av TFC startade datorn ej om automatiskt ! (C:a 3 500 MB frilades !)

 

MBAM: Installera OK... Köra - icke !

 

ComboFix assimilerade WindowsXP-filen och startade något oväntat. Såg ut att köra OK.

 

Jag hoppas att spärren av USB var tillfällig ! Använder inte USB i internetsammanhang, men väl för annan kommunikation till och från datorn vid behov (Extern hårddisk m m). Kan jag utgå ifrån att det går bra även fortsättningsvis, då jag inte har någon CD-enhet i datorn ?

 

Här kommer då loggen:

 

[log]ComboFix 10-11-23.05 - Karl-Erik Karlsson 2010-11-24 19:01:15.1.2 - x86 MINIMAL

Microsoft Windows XP Professional 5.1.2600.3.1252.46.1053.18.3063.2803 [GMT 1:00]

Körs från: c:\documents and settings\Karl-Erik Karlsson\Skrivbord\ComboFix.exe

Använda kommandoväxlar :: c:\documents and settings\Karl-Erik Karlsson\Skrivbord\WindowsXP-KB310994-SP2-Pro-BootDisk-SVE.exe

.

 

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\Karl-Erik Karlsson\Application Data\regsdkrl32

c:\documents and settings\Karl-Erik Karlsson\Application Data\regsdkrl32\config.ini

c:\documents and settings\Karl-Erik Karlsson\Application Data\regsdkrl32\regsdkrl63.exe

c:\documents and settings\Karl-Erik Karlsson\Recent\Thumbs.db

c:\documents and settings\Karl-Erik Karlsson\regsdkrl63.exe

c:\windows\ST6UNST.000

c:\windows\system32\autorun.ini

c:\windows\system32\Cache

c:\windows\system32\Ijl11.dll

c:\windows\system32\pcre3.dll

c:\windows\system32\wvtsts.dll

 

.

(((((((((((((((((((((((( Filer Skapade från 2010-10-24 till 2010-11-24 ))))))))))))))))))))))))))))))

.

 

2010-11-24 17:54 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-11-24 17:54 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-11-24 12:46 . 2010-11-24 12:46 -------- d-sh--w- c:\documents and settings\Administratör\IETldCache

2010-11-24 11:40 . 2010-11-24 17:54 -------- d-----w- c:\program\Malwarebytes' Anti-Malware

2010-11-24 09:55 . 2010-11-24 09:55 -------- d-----w- c:\documents and settings\Karl-Erik Karlsson\Application Data\Malwarebytes

2010-11-24 09:55 . 2010-11-24 09:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-11-23 16:54 . 2010-11-23 16:54 -------- d-----w- C:\VundoFix Backups

2010-11-22 17:16 . 2010-11-22 18:21 -------- d-----w- c:\documents and settings\Karl-Erik Karlsson\Lokala inställningar\Application Data\ToggleSW

2010-11-22 17:16 . 2010-11-22 18:21 -------- d-----w- c:\documents and settings\Karl-Erik Karlsson\Lokala inställningar\Application Data\ConduitEngine

2010-11-22 17:16 . 2010-11-22 18:22 -------- d-----w- c:\program\ConduitEngine

2010-11-22 17:16 . 2010-11-22 18:22 -------- d-----w- c:\program\ToggleSW

2010-11-22 17:16 . 2010-11-22 17:16 -------- d-----w- c:\documents and settings\Karl-Erik Karlsson\Lokala inställningar\Application Data\Temp

2010-11-22 17:15 . 2010-10-27 06:23 25048 ----a-w- c:\program\Mozilla Firefox\components\browserdirprovider.dll

2010-11-22 17:15 . 2010-10-27 06:23 140248 ----a-w- c:\program\Mozilla Firefox\components\brwsrcmp.dll

2010-11-22 17:15 . 2010-10-27 06:23 719832 ----a-w- c:\program\Mozilla Firefox\mozcpp19.dll

2010-11-22 17:15 . 2010-10-27 06:23 16856 ----a-w- c:\program\Mozilla Firefox\plugin-container.exe

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-11-24 18:12 . 2010-06-14 17:54 79872 ---ha-w- c:\windows\system32\wvtsts.dll

2010-09-18 10:23 . 2001-09-28 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll

2010-09-18 06:53 . 2001-09-28 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll

2010-09-18 06:53 . 2001-09-28 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll

2010-09-18 06:53 . 2001-09-28 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll

2010-09-10 05:52 . 2006-06-23 11:30 916480 ----a-w- c:\windows\system32\wininet.dll

2010-09-10 05:52 . 2002-09-09 12:08 1469440 ------w- c:\windows\system32\inetcpl.cpl

2010-09-10 05:52 . 2002-09-09 12:07 43520 ----a-w- c:\windows\system32\licmgr10.dll

2010-09-01 11:52 . 2001-09-28 12:00 285824 ----a-w- c:\windows\system32\atmfd.dll

2010-09-01 07:57 . 2002-09-09 11:44 1852800 ----a-w- c:\windows\system32\win32k.sys

2010-08-27 08:03 . 2001-09-28 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll

2010-08-27 05:54 . 2001-09-28 12:00 99840 ----a-w- c:\windows\system32\srvsvc.dll

2010-08-27 01:43 . 2008-05-05 05:25 5120 ----a-w- c:\windows\system32\xpsp4res.dll

2008-05-15 12:21 . 2008-05-15 12:21 1233306 ----a-w- c:\program\wrar371sw.exe

.

 

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}"= "c:\program\ToggleSW\tbTog0.dll" [2010-10-18 3908192]

 

[HKEY_CLASSES_ROOT\clsid\{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]

2010-10-18 10:26 3908192 ----a-w- c:\program\ConduitEngine\ConduitEngin0.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}]

2010-10-18 10:26 3908192 ----a-w- c:\program\ToggleSW\tbTog0.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}"= "c:\program\ToggleSW\tbTog0.dll" [2010-10-18 3908192]

"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program\ConduitEngine\ConduitEngin0.dll" [2010-10-18 3908192]

 

[HKEY_CLASSES_ROOT\clsid\{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}]

 

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Remote Control Editor"="c:\program\Delade filer\TerraTec\Remote\TTTVRC.exe" [2009-09-22 1528320]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"khiggesys"="wvtsts.dll" [2010-11-24 79872]

"Adobe Reader Speed Launcher"="c:\program\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-06-17 40368]

"Adobe ARM"="c:\program\Delade filer\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

"tutqrqsys"="wvtsts.dll" [2010-11-24 79872]

 

c:\documents and settings\All Users\Start-meny\Program\Autostart\

DUC20.exe.lnk - c:\program\No-IP\DUC20.exe [2008-4-19 1172992]

DynDNS Updater Tray Icon.lnk - c:\program\DynDNS Updater\DynTray.exe [2008-4-8 65536]

Monitor Apache Servers.lnk - c:\program\Apache2.2\bin\ApacheMonitor.exe [2008-1-17 41041]

Start.lnk - c:\program\Apache2.2\bin\httpd.exe [2008-1-17 24635]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"Norton Internet Security"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program\\uTorrent\\uTorrent.exe"=

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"=

"c:\\Program\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=

"c:\\Program\\TerraTec\\TerraTec Home Cinema\\VersionCheck\\VersionCheck.exe"=

"c:\\Program\\TerraTec\\TerraTec Home Cinema\\InstTool.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"86:TCP"= 86:TCP:BroadCam Video Streaming Server Web Server

"4100:UDP"= 4100:UDP:uPNP Router Control Port

 

R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1108000.005\symds.sys [2010-09-21 328752]

R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1108000.005\symefa.sys [2010-09-21 173104]

R1 BHDrvx86;BHDrvx86;c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\BASHDefs\20101104.001\BHDrvx86.sys [2010-11-04 691248]

R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NIS\1108000.005\cchpx86.sys [2010-09-21 501888]

R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1108000.005\ironx86.sys [2010-09-21 116784]

R2 Apache2.2;Apache2.2;c:\program\Apache2.2\bin\httpd.exe [2008-01-17 24635]

R2 DynDNS Updater;DynDNS Updater;c:\program\DynDNS Updater\DynUpSvc.exe [2008-04-08 61440]

R2 NIS;Norton Internet Security;c:\program\Norton Internet Security\Engine\17.8.0.5\ccsvchst.exe [2010-09-21 126392]

R3 Cinergy_HT_PCI_MKII;Cinergy HT PCI (MKII) service;c:\windows\system32\drivers\Cinergy_HT_PCI_MKII.sys [2010-06-15 221184]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program\Delade filer\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2010-05-27 102448]

R3 IDSxpx86;IDSxpx86;c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\IPSDefs\20101122.006\IDSXpx86.sys [2010-11-24 341944]

S2 ATTSCAP;AVerMedia, WDM MPEG-2 TS Capture (DVBT);c:\windows\system32\drivers\attscap.sys [2004-09-23 18048]

S2 ATVCAP;AVerMedia, DVB-T WDM Video Capture;c:\windows\system32\drivers\atvcap.sys [2004-09-23 56320]

S2 ATXBAR;AVerMedia, DVB-T WDM Crossbar;c:\windows\system32\drivers\atxbar.sys [2004-09-23 8576]

S2 Automatisk LiveUpdate-schemaläggare;Automatisk LiveUpdate-schemaläggare;"c:\program\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\program\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]

S2 TTDec;ATI WDM Teletext Decoder;c:\windows\system32\drivers\atinttxx.sys [2004-09-08 20960]

S2 WebDriveFSD;WebDrive File System Driver;\??\e:\fpt\NetDrive\rffsd.sys --> e:\fpt\NetDrive\rffsd.sys [?]

S2 winbackupdumper-id19v1RkZc3WzM;Windows System Backup Dumper;c:\windows\system32\mousenh32.exe --> c:\windows\system32\mousenh32.exe [?]

S3 3xHybrid;Philips SAA713x PCI Card;c:\windows\system32\drivers\3xHybrid.sys [2010-06-09 554112]

S3 Atkcfg;Cordless Device Configuration;c:\windows\system32\drivers\atkcfg.sys [2006-07-07 46592]

S3 Gig5gu;Cordless Internet Access;c:\windows\system32\drivers\gig5gu.sys [2006-07-07 55680]

S3 Gigsrf;Cordless Device Line Access;c:\windows\system32\drivers\gigsrf.sys [2006-07-07 94592]

S3 Gigtnc;Cordless PC Control;c:\windows\system32\drivers\gigtnc.sys [2006-07-07 45440]

S3 glidehid;GlidePoint HID Touchpad Minidriver;c:\windows\system32\drivers\glidehid.sys [2005-09-30 33920]

S3 glideps2;GlidePoint PS/2 Touchpad Filter;c:\windows\system32\drivers\glideps2.sys [2005-09-30 12672]

S3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\DRIVERS\ManyCam.sys --> c:\windows\system32\DRIVERS\ManyCam.sys [?]

S3 siellif;siellif;c:\windows\system32\drivers\siellif.sys [2005-03-01 113408]

S3 Sieupapp;Cordless Device Update;c:\windows\system32\drivers\sieupapp.sys [2006-07-07 32128]

S3 Sieupdfu;Cordless Device in update mode;c:\windows\system32\drivers\sieupdfu.sys [2006-07-07 32000]

S3 TodosAgmII;Driver for Todos Argosmini II USB;c:\windows\system32\drivers\AgmIIusb.sys [2004-11-23 22016]

S3 VMUVC;Vimicro Camera Service VMUVC;c:\windows\system32\Drivers\VMUVC.sys --> c:\windows\system32\Drivers\VMUVC.sys [?]

S3 vvftUVC;Vimicro Camera Filter Service VMUVC;c:\windows\system32\drivers\vvftUVC.sys --> c:\windows\system32\drivers\vvftUVC.sys [?]

S4 acrosysbackup_exv1RkZc3WzM;Acronis System Backup;c:\windows\system32\wirepots.exe --> c:\windows\system32\wirepots.exe [?]

S4 RFNP32;WebDrive Provider; [x]

.

Innehållet i mappen 'Schemalagda aktiviteter':

 

2010-11-23 c:\windows\Tasks\TipsScanna.job

- d:\wwwroot\Kalle\Tipset\TipsScanna.exe [2008-07-31 14:32]

.

.

------- Extra genomsökning -------

.

uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2088752

IE: E&xportera till Microsoft Excel - d:\program\MICROS~1\Office10\EXCEL.EXE/3000

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Karl-Erik Karlsson\Application Data\Mozilla\Firefox\Profiles\cg3qn3z1.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2088752&SearchSource=3&q={searchTerms}

FF - prefs.js: browser.search.selectedEngine - ToggleSW Customized Web Search

FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2088752&SearchSource=13

FF - prefs.js: keyword.URL - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2088752&q=

FF - prefs.js: network.proxy.type - 4

FF - component: c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\coFFPlgn\components\coFFPlgn.dll

FF - component: c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\IPSFFPlgn\components\IPSFFPl.dll

FF - component: c:\documents and settings\Karl-Erik Karlsson\Application Data\Mozilla\Firefox\Profiles\cg3qn3z1.default\extensions\{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}\components\FFExternalAlert.dll

FF - component: c:\documents and settings\Karl-Erik Karlsson\Application Data\Mozilla\Firefox\Profiles\cg3qn3z1.default\extensions\{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}\components\RadioWMPCore.dll

 

---- FIREFOX POLICY ----

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified

c:\program\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

c:\program\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

- - - - FÖRÄLDRALÖSA POSTER SOM TAGITS BORT - - - -

 

BHO-{64EFC884-834B-4235-8A4B-73DB87965B15} - (no file)

HKCU-Run-updateMgr - c:\program\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

HKCU-Run-DCAM - (no file)

HKCU-Run-BrowserChoice - c:\windows\system32\browserchoice.exe

HKLM-RunOnce-SymLnch - c:\documents and settings\Karl-Erik Karlsson\Application Data\Symantec\Layouts\Norton Internet Security\15.0\SymAllLanguages\NIS_RETAIL\20070829\Support\SymLnch\SymLnch.exe

HKU-Default-Run-ALUAlert - c:\program\Symantec\LiveUpdate\ALUNotify.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-11-24 19:11

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NIS]

"ImagePath"="\"c:\program\Norton Internet Security\Engine\17.8.0.5\ccSvcHst.exe\" /s \"NIS\" /m \"c:\program\Norton Internet Security\Engine\17.8.0.5\diMaster.dll\" /prefetch:1"

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

 

[HKEY_USERS\S-1-5-21-484763869-706699826-1060284298-1003\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

 

- - - - - - - > 'winlogon.exe'(456)

c:\windows\system32\RFNP32.DLL

c:\windows\system32\RFHelper.dll

c:\windows\system32\rfhres.dll

 

- - - - - - - > 'explorer.exe'(3584)

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

 

- - - - - - - > 'csrss.exe'(432)

c:\windows\system32\wvtsts.dll

.

------------------------ Andra processer som körs ------------------------

.

c:\program\Diskeeper Corporation\Diskeeper\DkService.exe

c:\program\FileZilla Server\FileZilla Server.exe

.

**************************************************************************

.

Sluttid: 2010-11-24 19:18:00 - datorn startades om.

ComboFix-quarantined-files.txt 2010-11-24 18:17

 

Före genomsökningen: 69 204 492 288 byte ledigt

Efter genomsökningen: 69 094 543 360 byte ledigt

 

WindowsXP-KB310994-SP2-Pro-BootDisk-SVE.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

UnsupportedDebug="do not select this" /debug

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Professional" /fastdetect /NoExecute=OptIn

 

- - End Of File - - FDC1DF0C40701D178FDC8079BF03A9A6

[/log]

 

 

/Kalle

Link to comment
Share on other sites

Det går alldeles utmärkt att använda USB-anslutna enheter, det enda är att inget program på dem kommer att starta automatiskt längre, av säkerhetsskäl.

 

Det där var ju bra. Starta om datorn. Se om du nu kan köra MBAM. Kör sedan ComboFix igen. Klistra in loggarna från båda programmen.

Link to comment
Share on other sites

"Roade mig" med att kolla i Registry efter de program som inte gick att avinstallera !

 

ToggleSW förekommer på 37 ställen

ConduitEngine förekommer på 18 ställen

BitTorrent.To Toolbar förekommer på 8 ställen.

 

Kan man inte radera resp programkatalog och sedan samtliga förekomster i Registry ??

---------

 

MBAM vägrar att starta !

 

Påbörjad körning med ComboFix, fick avbrytas p g a varning för scannande program, som NIS, vilket föreslogs stängas av.

(Ingen liknande varning förra gången !)

 

Här loggen efter senaste ComboFix-körningen:

 

[log]ComboFix 10-11-23.05 - Karl-Erik Karlsson 2010-11-24 22:07:34.2.2 - x86 MINIMAL

Microsoft Windows XP Professional 5.1.2600.3.1252.46.1053.18.3063.2807 [GMT 1:00]

Körs från: c:\documents and settings\Karl-Erik Karlsson\Skrivbord\ComboFix.exe

Använda kommandoväxlar :: c:\documents and settings\Karl-Erik Karlsson\Skrivbord\WindowsXP-KB310994-SP2-Pro-BootDisk-SVE.exe

AV: Norton Internet Security *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}

FW: Norton Internet Security *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

.

 

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\wvtsts.dll

 

.

(((((((((((((((((((((((( Filer Skapade från 2010-10-24 till 2010-11-24 ))))))))))))))))))))))))))))))

.

 

2010-11-24 19:58 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-11-24 19:58 . 2010-11-24 19:58 -------- d-----w- c:\program\Malwarebytes' Anti-Malware

2010-11-24 19:58 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-11-24 12:46 . 2010-11-24 12:46 -------- d-sh--w- c:\documents and settings\Administratör\IETldCache

2010-11-24 09:55 . 2010-11-24 09:55 -------- d-----w- c:\documents and settings\Karl-Erik Karlsson\Application Data\Malwarebytes

2010-11-24 09:55 . 2010-11-24 09:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-11-23 16:54 . 2010-11-23 16:54 -------- d-----w- C:\VundoFix Backups

2010-11-22 17:16 . 2010-11-22 18:21 -------- d-----w- c:\documents and settings\Karl-Erik Karlsson\Lokala inställningar\Application Data\ToggleSW

2010-11-22 17:16 . 2010-11-22 18:21 -------- d-----w- c:\documents and settings\Karl-Erik Karlsson\Lokala inställningar\Application Data\ConduitEngine

2010-11-22 17:16 . 2010-11-22 18:22 -------- d-----w- c:\program\ConduitEngine

2010-11-22 17:16 . 2010-11-22 18:22 -------- d-----w- c:\program\ToggleSW

2010-11-22 17:16 . 2010-11-22 17:16 -------- d-----w- c:\documents and settings\Karl-Erik Karlsson\Lokala inställningar\Application Data\Temp

2010-11-22 17:15 . 2010-10-27 06:23 25048 ----a-w- c:\program\Mozilla Firefox\components\browserdirprovider.dll

2010-11-22 17:15 . 2010-10-27 06:23 140248 ----a-w- c:\program\Mozilla Firefox\components\brwsrcmp.dll

2010-11-22 17:15 . 2010-10-27 06:23 719832 ----a-w- c:\program\Mozilla Firefox\mozcpp19.dll

2010-11-22 17:15 . 2010-10-27 06:23 16856 ----a-w- c:\program\Mozilla Firefox\plugin-container.exe

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-11-24 21:20 . 2010-06-14 17:54 79872 ---ha-w- c:\windows\system32\wvtsts.dll

2010-09-18 10:23 . 2001-09-28 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll

2010-09-18 06:53 . 2001-09-28 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll

2010-09-18 06:53 . 2001-09-28 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll

2010-09-18 06:53 . 2001-09-28 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll

2010-09-10 05:52 . 2006-06-23 11:30 916480 ----a-w- c:\windows\system32\wininet.dll

2010-09-10 05:52 . 2002-09-09 12:08 1469440 ------w- c:\windows\system32\inetcpl.cpl

2010-09-10 05:52 . 2002-09-09 12:07 43520 ----a-w- c:\windows\system32\licmgr10.dll

2010-09-01 11:52 . 2001-09-28 12:00 285824 ----a-w- c:\windows\system32\atmfd.dll

2010-09-01 07:57 . 2002-09-09 11:44 1852800 ----a-w- c:\windows\system32\win32k.sys

2010-08-27 08:03 . 2001-09-28 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll

2010-08-27 05:54 . 2001-09-28 12:00 99840 ----a-w- c:\windows\system32\srvsvc.dll

2010-08-27 01:43 . 2008-05-05 05:25 5120 ----a-w- c:\windows\system32\xpsp4res.dll

2008-05-15 12:21 . 2008-05-15 12:21 1233306 ----a-w- c:\program\wrar371sw.exe

.

 

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}"= "c:\program\ToggleSW\tbTog0.dll" [2010-10-18 3908192]

 

[HKEY_CLASSES_ROOT\clsid\{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]

2010-10-18 10:26 3908192 ----a-w- c:\program\ConduitEngine\ConduitEngin0.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}]

2010-10-18 10:26 3908192 ----a-w- c:\program\ToggleSW\tbTog0.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}"= "c:\program\ToggleSW\tbTog0.dll" [2010-10-18 3908192]

"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program\ConduitEngine\ConduitEngin0.dll" [2010-10-18 3908192]

 

[HKEY_CLASSES_ROOT\clsid\{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}]

 

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Remote Control Editor"="c:\program\Delade filer\TerraTec\Remote\TTTVRC.exe" [2009-09-22 1528320]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"khiggesys"="wvtsts.dll" [2010-11-24 79872]

"Adobe Reader Speed Launcher"="c:\program\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-06-17 40368]

"Adobe ARM"="c:\program\Delade filer\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

"tutqrqsys"="wvtsts.dll" [2010-11-24 79872]

 

c:\documents and settings\All Users\Start-meny\Program\Autostart\

DUC20.exe.lnk - c:\program\No-IP\DUC20.exe [2008-4-19 1172992]

DynDNS Updater Tray Icon.lnk - c:\program\DynDNS Updater\DynTray.exe [2008-4-8 65536]

Monitor Apache Servers.lnk - c:\program\Apache2.2\bin\ApacheMonitor.exe [2008-1-17 41041]

Start.lnk - c:\program\Apache2.2\bin\httpd.exe [2008-1-17 24635]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"Norton Internet Security"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program\\uTorrent\\uTorrent.exe"=

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"=

"c:\\Program\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=

"c:\\Program\\TerraTec\\TerraTec Home Cinema\\VersionCheck\\VersionCheck.exe"=

"c:\\Program\\TerraTec\\TerraTec Home Cinema\\InstTool.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"86:TCP"= 86:TCP:BroadCam Video Streaming Server Web Server

"4100:UDP"= 4100:UDP:uPNP Router Control Port

 

R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1108000.005\symds.sys [2010-09-21 328752]

R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1108000.005\symefa.sys [2010-09-21 173104]

R1 BHDrvx86;BHDrvx86;c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\BASHDefs\20101104.001\BHDrvx86.sys [2010-11-04 691248]

R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NIS\1108000.005\cchpx86.sys [2010-09-21 501888]

R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1108000.005\ironx86.sys [2010-09-21 116784]

R2 Apache2.2;Apache2.2;c:\program\Apache2.2\bin\httpd.exe [2008-01-17 24635]

R2 DynDNS Updater;DynDNS Updater;c:\program\DynDNS Updater\DynUpSvc.exe [2008-04-08 61440]

R2 NIS;Norton Internet Security;c:\program\Norton Internet Security\Engine\17.8.0.5\ccsvchst.exe [2010-09-21 126392]

R3 Cinergy_HT_PCI_MKII;Cinergy HT PCI (MKII) service;c:\windows\system32\drivers\Cinergy_HT_PCI_MKII.sys [2010-06-15 221184]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program\Delade filer\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2010-05-27 102448]

R3 IDSxpx86;IDSxpx86;c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\IPSDefs\20101122.006\IDSXpx86.sys [2010-11-24 341944]

S2 ATTSCAP;AVerMedia, WDM MPEG-2 TS Capture (DVBT);c:\windows\system32\drivers\attscap.sys [2004-09-23 18048]

S2 ATVCAP;AVerMedia, DVB-T WDM Video Capture;c:\windows\system32\drivers\atvcap.sys [2004-09-23 56320]

S2 ATXBAR;AVerMedia, DVB-T WDM Crossbar;c:\windows\system32\drivers\atxbar.sys [2004-09-23 8576]

S2 Automatisk LiveUpdate-schemaläggare;Automatisk LiveUpdate-schemaläggare;"c:\program\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\program\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]

S2 TTDec;ATI WDM Teletext Decoder;c:\windows\system32\drivers\atinttxx.sys [2004-09-08 20960]

S2 WebDriveFSD;WebDrive File System Driver;\??\e:\fpt\NetDrive\rffsd.sys --> e:\fpt\NetDrive\rffsd.sys [?]

S2 winbackupdumper-id19v1RkZc3WzM;Windows System Backup Dumper;c:\windows\system32\mousenh32.exe --> c:\windows\system32\mousenh32.exe [?]

S3 3xHybrid;Philips SAA713x PCI Card;c:\windows\system32\drivers\3xHybrid.sys [2010-06-09 554112]

S3 Atkcfg;Cordless Device Configuration;c:\windows\system32\drivers\atkcfg.sys [2006-07-07 46592]

S3 Gig5gu;Cordless Internet Access;c:\windows\system32\drivers\gig5gu.sys [2006-07-07 55680]

S3 Gigsrf;Cordless Device Line Access;c:\windows\system32\drivers\gigsrf.sys [2006-07-07 94592]

S3 Gigtnc;Cordless PC Control;c:\windows\system32\drivers\gigtnc.sys [2006-07-07 45440]

S3 glidehid;GlidePoint HID Touchpad Minidriver;c:\windows\system32\drivers\glidehid.sys [2005-09-30 33920]

S3 glideps2;GlidePoint PS/2 Touchpad Filter;c:\windows\system32\drivers\glideps2.sys [2005-09-30 12672]

S3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\DRIVERS\ManyCam.sys --> c:\windows\system32\DRIVERS\ManyCam.sys [?]

S3 siellif;siellif;c:\windows\system32\drivers\siellif.sys [2005-03-01 113408]

S3 Sieupapp;Cordless Device Update;c:\windows\system32\drivers\sieupapp.sys [2006-07-07 32128]

S3 Sieupdfu;Cordless Device in update mode;c:\windows\system32\drivers\sieupdfu.sys [2006-07-07 32000]

S3 TodosAgmII;Driver for Todos Argosmini II USB;c:\windows\system32\drivers\AgmIIusb.sys [2004-11-23 22016]

S3 VMUVC;Vimicro Camera Service VMUVC;c:\windows\system32\Drivers\VMUVC.sys --> c:\windows\system32\Drivers\VMUVC.sys [?]

S3 vvftUVC;Vimicro Camera Filter Service VMUVC;c:\windows\system32\drivers\vvftUVC.sys --> c:\windows\system32\drivers\vvftUVC.sys [?]

S4 acrosysbackup_exv1RkZc3WzM;Acronis System Backup;c:\windows\system32\wirepots.exe --> c:\windows\system32\wirepots.exe [?]

S4 RFNP32;WebDrive Provider; [x]

.

Innehållet i mappen 'Schemalagda aktiviteter':

 

2010-11-23 c:\windows\Tasks\TipsScanna.job

- d:\wwwroot\Kalle\Tipset\TipsScanna.exe [2008-07-31 14:32]

.

.

------- Extra genomsökning -------

.

uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2088752

IE: E&xportera till Microsoft Excel - d:\program\MICROS~1\Office10\EXCEL.EXE/3000

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Karl-Erik Karlsson\Application Data\Mozilla\Firefox\Profiles\cg3qn3z1.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2088752&SearchSource=3&q={searchTerms}

FF - prefs.js: browser.search.selectedEngine - ToggleSW Customized Web Search

FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2088752&SearchSource=13

FF - prefs.js: network.proxy.type - 4

FF - component: c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\coFFPlgn\components\coFFPlgn.dll

FF - component: c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\IPSFFPlgn\components\IPSFFPl.dll

FF - component: c:\documents and settings\Karl-Erik Karlsson\Application Data\Mozilla\Firefox\Profiles\cg3qn3z1.default\extensions\{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}\components\FFExternalAlert.dll

FF - component: c:\documents and settings\Karl-Erik Karlsson\Application Data\Mozilla\Firefox\Profiles\cg3qn3z1.default\extensions\{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}\components\RadioWMPCore.dll

 

---- FIREFOX POLICY ----

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified

c:\program\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

c:\program\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-11-24 22:18

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NIS]

"ImagePath"="\"c:\program\Norton Internet Security\Engine\17.8.0.5\ccSvcHst.exe\" /s \"NIS\" /m \"c:\program\Norton Internet Security\Engine\17.8.0.5\diMaster.dll\" /prefetch:1"

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

 

[HKEY_USERS\S-1-5-21-484763869-706699826-1060284298-1003\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

 

- - - - - - - > 'winlogon.exe'(392)

c:\windows\system32\RFNP32.DLL

c:\windows\system32\RFHelper.dll

c:\windows\system32\rfhres.dll

 

- - - - - - - > 'explorer.exe'(3188)

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

 

- - - - - - - > 'csrss.exe'(368)

c:\windows\system32\wvtsts.dll

.

------------------------ Andra processer som körs ------------------------

.

c:\program\Diskeeper Corporation\Diskeeper\DkService.exe

c:\program\FileZilla Server\FileZilla Server.exe

c:\windows\System32\wbem\wmiapsrv.exe

.

**************************************************************************

.

Sluttid: 2010-11-24 22:23:58 - datorn startades om.

ComboFix-quarantined-files.txt 2010-11-24 21:23

ComboFix2.txt 2010-11-24 18:18

 

Före genomsökningen: 69 072 904 192 byte ledigt

Efter genomsökningen: 69 075 693 568 byte ledigt

 

- - End Of File - - 865B533CD2D1D9B9C1D9B9AC27709F58

[/log]

 

Vad ser du i loggen ?

 

/Kalle

Link to comment
Share on other sites

Vänta med de olika toolbar, det kan tänkas att en avinstallation fungerar bättre när det inte finns en infektion i datorn och när det blir aktuellt kan ett avinstallationsprogram som Revo Uninstaller vara bättre än att själv försöka radera filer.

 

Förra gången körde du ComboFix i felsäkert läge och då är inte antivirusprogram igång.

 

Du ska inte dra filen du laddade ner från Microsoft till ComboFix-ikonen något mer.

 

Den skadliga fil som ComboFix tog bort senast återuppstår på en gång.

 

På sidan http://www.virustotal.com trycker du på Bläddra-knappen och klistrar in ett av följande filnamn i rutan, tryck på Öppna och sedan Skicka Fil. Vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in en länk till resultatet här. Upprepa med nästa filnamn.

c:\windows\system32\wvtsts.dll

c:\program\Mozilla Firefox\components\browserdirprovider.dll

c:\program\Mozilla Firefox\components\brwsrcmp.dll

c:\program\Mozilla Firefox\mozcpp19.dll

c:\program\Mozilla Firefox\plugin-container.exe

Link to comment
Share on other sites

Fel Cecilia ! !

 

Jag körde ComboFix båda gångerna - på anmaning - i felsäkert läge. Men den första gången fick jag ingen varning för att NIS skulle kunna störa verksamheten, eller någon uppmaning att stänga de scannande funktionerna !

 

Härmed resultaten från Virustotal (den första verkar vara en luring !)

 

c:\windows\system32\wvtsts.dll

http://www.virustotal.com/file-scan/report.html?id=6b2b9269c0c7febe402ff5c24d9ab60aa58d20dd41dc1b53de5d568597299f9d-1290670206

 

c:\program\Mozilla Firefox\components\browserdirprovider.dll

http://www.virustotal.com/file-scan/report.html?id=de99aaab9c43c1a657842e6cd5098d9ddf6895defbc28a0f3cd4cdc675adc694-1290670701

 

c:\program\Mozilla Firefox\components\brwsrcmp.dll (Last report !)

http://www.virustotal.com/file-scan/report.html?id=22416d098d616b349ad4f6e8023566332709d3dfa328ddc0d3afee10d7c726cd-1290306243

 

c:\program\Mozilla Firefox\mozcpp19.dll (Last report !)

http://www.virustotal.com/file-scan/report.html?id=b5ee08d575c69978767650d109eebb397cbf9290a8177cb8c8b1a465e810a246-1290306244

 

c:\program\Mozilla Firefox\plugin-container.exe

http://www.virustotal.com/file-scan/report.html?id=f8b40227145d2041b5466bd67b805ba36c44d31a35f8a5670d55a75c971faff5-1290671145

 

 

...och RUNDLL-meddelandena fortsätter att poppa upp, jämrande sig över att det inte går att läsa in / hitta den angivna modulen med det fantastiskt originella namnet !

 

Kanske inte helt fel då att köra om ComboFix - i felsäkert läge - och nu utan att dra Windows-filen till den...

 

Samma varning som förra (andra) gången, återgång till normalt läge - inaktivera internet och stänga ned NIS-funktioner - ny start av ComboFix...

 

Händer följande:

 

Kommer ett meddelande att pev.exe har stött på ett problem och måste avslutas. Meddelandet försvinner av sig själv, utan åtgärd !

 

Efter några minuter och påbörjade "Skeden" i ComboFix

 

Blåskärm med meddelande:

 

"Ett fel uppstod och Windows har stängts för att förebygga problem med din dator."

 

IRQL_NOT_LESS__OR_EQUAL

 

Uppmaning till omstart av dator, om första gången meddelandet visas

 

Teknisk information:

 

Stop: 0x0000000A (0x00000016, 0x0000001C, 0x804E1757)

 

Påbörjar dumpning av fysiskt minne

Dumpar fysiskt minne till disk: 49 (vad jag hann se innan meddelandet försvann)

 

Datorn startar om själv och någon logg från ComboFix blev det naturligtvis inte !

 

MBAM lika startovillig !

 

 

/Kalle

Link to comment
Share on other sites

Förlåt, det var ju ovanligt att det var något av Norton igång i felsäkert läge. Det var ju tråkigt att det inte gick att köra ComboFix i normalt läge för den är lite kraftfullare då. pev.exe är en del av ComboFix.

 

En av de filer som ComboFix tog bort förut var regsdkrl63.exe som du frågade om i september, det var ju synd att du inte fullföljde den tråden.

 

Var det en uppdatering av Firefox i måndags? För de andra filerna du kollade upp på virustotal är ju standard Firefox-filer.

 

virustotal-resultatet för wvtsts.dll visar att det kan vara ett rootkit inblandat. Därför kommer nu här några olika anti-rootkit-program att köra. Kör dem helst i normalt läge, men om det inte går ta till felsäkert läge. Alla program, inklusive Norton, ska vara avstängda när du kör dessa. Du kan antingen klistra in en logg i taget direkt efter att du kört ett program eller alla tre när du har kört alla programmen.

 

1.

Ladda ner mbr.exe till Skrivbordet:

http://www2.gmer.net/mbr/mbr.exe

 

Start - Kör

Kopiera raden som är i rutan nedan och klistra in i Kör-fältet.

"%userprofile%\skrivbord\mbr.exe" -tDFR -s  > "C:\mbr.log"

"%userprofile%\desktop\mbr.exe" -tDFR -s  > "C:\mbr.log"

Klistra in innehållet i mbr.log som skapas i C:\.

Starta om datorn.

 

2.

Spara Gmer på Skrivbordet från:

http://www2.gmer.net/download.php

Den har ett slumpmässigt namn så notera vad programmet sparas som.

 

Starta det nedladdade programmet.

En första snabbskanning startar.

Om det kommer upp en WARNING som nämner ROOTKIT och frågar om "fully scan" så välj Nej/No. Spara loggen och klistra in i ditt svar. Gör inte mer.

 

Om frågan inte kommer så välj fliken Rootkit/Malware, kontrollera att allt är förbockat till höger utom IAT/EAT, Show All och andra partitioner än C:\. Tryck på Scan. Låt datorn stå ifred medan Gmer håller på och det kan ta några timmar.

Tryck på Save och spara resultatet på Skrivbordet.

Klistra in resultatet i ditt svar.

Starta om datorn.

 

3.

Spara TDSSKiller på Skrivbordet:

http://support.kaspersky.com/downloads/utils/tdsskiller.zip

 

Högerklicka och välj Extrahera alla. Kom ihåg var du packar upp filen.

Kör programmet TDSSKiller.exe som finns i mappen där du packade upp filerna.

 

Klicka på Start Scan.

 

Om några hot hittas så välj Cure och klicka på Continue. Om inte Cure finns så välj Skip. Välj INTE Quarantine eller Delete. Eventuellt behöver datorn startas om.

 

Klistra in innehållet i loggen som du hittar i C:\ med namnet TDSSKiller följt av version och tidpunkt.

Link to comment
Share on other sites

Angående varningen vid ComboFix

Ja, jag tyckte också att det var underligt, eftersom jag inte ens hade någon ikon för NIS i felsäkert läge. Naturligtvis ingen undran den första gången, eftersom det aldrig kom upp, men däremot senare gånger. En tanke var att meddelandet var ett fejk, och tänkte strunta i det. Men hotet var för starkt, med att man kunde riskera både system- och "maskin"-fel...

 

Jag körde inte, eller ens försökte att köra, ComboFix i normalt läge, eftersom det uttryckligt anmanades att köra i felsäkert läge (har jag fel ??).

 

Så underligt att jag inte gick vidare med regsdkrl63.exe ! Troligtvis kollade jag aldrig om jag hade fått något svar, sedan kom annat emellan...

 

Försökte att se när Firefox senast uppdaterades, men Firefox.exe ändrades senast 27 oktober, så det kan inte vara den som uppdaterades i måndags 22 nov. Men alla undermappar till Mozilla Firefox har skapats detta datum (22:a), även om de ingående filerna har ett tidigare datum, de flesta av dem också 27 oktober.

 

Och nu till dagens övningar, som inte gick som smort !

 

Start - Kör av mbr.exe:

Jag klistrade in raden (den översta) i Kör-fältet, inklusive citationstecknen, eftersom de var inkluderade. Tänkte att datorn säger ifrån om det inte går...

 

Den sade ifrån !

Direkt blåskärm - likadan som senast. Nu dumpade den fysyskt minne till 100 innan datorn startade om.

Tveksam att göra om försöket - avvaktar t v !

 

Gick dock in i felsäkert läge inför Gmer, som jag startade. Den utförde inte mycket innan den såg ut att vara klar för scanning. Tog bort angivna bockar och körde Scan. Visade Section: C:\Windows\System32\KDCOM.DLL längst ned...

 

Tog en tupplur. Exakt samma bild kvarstod. Datorn visade sig ha stallat... Gick inte att starta om med mindre än reset.

Åter i normalt läge. Nytt försök. Började scanna och fyllde fältet med uppgifter - därefter blåskärm igen, bara några tiotal sekunder senare, med delvis andra data, men samma grundinnehåll...

 

Stannar där t v, och har inte kört TDSSKiller...

 

 

Ska jag fortsätta ?

 

 

/Kalle

Link to comment
Share on other sites

Första gången kommer jag ihåg att jag tyckte att ComboFix skulle köras i felsäkert läge, men sen tror jag inte att jag skrev det, men det spelar ingen roll.

 

Det är stor risk att det är det skadliga programmet som orsakar blåskärmarna för att man inte ska kunna ta bort det. Hur besvärligt vore det att installera om datorn?

Link to comment
Share on other sites

Hej igen ! Har nu kommit in på idg igen (för hur länge ??)

 

Skickar först loggen från TDSSKiller:

 

[log]2010/11/25 17:09:33.0343 TDSS rootkit removing tool 2.4.8.0 Nov 17 2010 07:23:12

2010/11/25 17:09:33.0343 ================================================================================

2010/11/25 17:09:33.0343 SystemInfo:

2010/11/25 17:09:33.0343

2010/11/25 17:09:33.0343 OS Version: 5.1.2600 ServicePack: 3.0

2010/11/25 17:09:33.0343 Product type: Workstation

2010/11/25 17:09:33.0343 ComputerName: OLDIE

2010/11/25 17:09:33.0343 UserName: Karl-Erik Karlsson

2010/11/25 17:09:33.0343 Windows directory: C:\WINDOWS

2010/11/25 17:09:33.0343 System windows directory: C:\WINDOWS

2010/11/25 17:09:33.0343 Processor architecture: Intel x86

2010/11/25 17:09:33.0343 Number of processors: 2

2010/11/25 17:09:33.0343 Page size: 0x1000

2010/11/25 17:09:33.0343 Boot type: Normal boot

2010/11/25 17:09:33.0343 ================================================================================

2010/11/25 17:09:33.0984 Initialize success

2010/11/25 17:09:51.0312 ================================================================================

2010/11/25 17:09:51.0312 Scan started

2010/11/25 17:09:51.0312 Mode: Manual;

2010/11/25 17:09:51.0312 ================================================================================

2010/11/25 17:09:51.0546 3xHybrid (0345929356dd3b418cecbd1f2883dc0e) C:\WINDOWS\system32\DRIVERS\3xHybrid.sys

2010/11/25 17:09:51.0640 61883 (914a9709fc3bf419ad2f85547f2a4832) C:\WINDOWS\system32\DRIVERS\61883.sys

2010/11/25 17:09:51.0890 ACPI (48547e29772befe3c554ff5e4855bf51) C:\WINDOWS\system32\DRIVERS\ACPI.sys

2010/11/25 17:09:52.0031 ACPIEC (decedc736cef3c0fff6e981b31e73a61) C:\WINDOWS\system32\drivers\ACPIEC.sys

2010/11/25 17:09:52.0140 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys

2010/11/25 17:09:52.0234 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys

2010/11/25 17:09:52.0484 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys

2010/11/25 17:09:52.0687 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys

2010/11/25 17:09:52.0750 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys

2010/11/25 17:09:52.0843 ati2mtaa (27bab72eae141d0ce39ec65c0fdeb2d6) C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys

2010/11/25 17:09:52.0937 ati2mtag (c580b409fbe52a770a394eef63fb5161) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys

2010/11/25 17:09:53.0031 atinrvxx (9982aa116bf913fd2d719a165690b57c) C:\WINDOWS\system32\DRIVERS\atinrvxx.sys

2010/11/25 17:09:53.0093 ATITUNEP (c5e545bbb396439bdb618cabc0ed0984) C:\WINDOWS\system32\DRIVERS\atintuxx.sys

2010/11/25 17:09:53.0140 ATIXSAudio (e6e2935c08b73fa9a5dfe673cf6fd33d) C:\WINDOWS\system32\DRIVERS\atinxsxx.sys

2010/11/25 17:09:53.0203 Atkcfg (35961aa408009f2faf3330ddc5b0e480) C:\WINDOWS\system32\Drivers\atkcfg.sys

2010/11/25 17:09:53.0281 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys

2010/11/25 17:09:53.0343 ATTSCAP (a5a2de39e64759b42946c64da454c6c8) C:\WINDOWS\system32\drivers\attscap.sys

2010/11/25 17:09:53.0406 ATVCAP (1cb2947decfb7849bbb68f7383aaf07d) C:\WINDOWS\system32\drivers\atvcap.sys

2010/11/25 17:09:53.0484 ATXBAR (7b1dcad2c7e52b8987af4f9a8d286534) C:\WINDOWS\system32\drivers\ATXBAR.sys

2010/11/25 17:09:53.0562 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys

2010/11/25 17:09:53.0656 Avc (f8e6956a614f15a0860474c5e2a7de6b) C:\WINDOWS\system32\DRIVERS\avc.sys

2010/11/25 17:09:53.0718 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys

2010/11/25 17:09:53.0875 BHDrvx86 (80f390347c7754835a900349ba1e4b75) C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\BASHDefs\20101104.001\BHDrvx86.sys

2010/11/25 17:09:53.0937 Bridge (f934d1b230f84e1d19dd00ac5a7a83ed) C:\WINDOWS\system32\DRIVERS\bridge.sys

2010/11/25 17:09:53.0968 BridgeMP (f934d1b230f84e1d19dd00ac5a7a83ed) C:\WINDOWS\system32\DRIVERS\bridge.sys

2010/11/25 17:09:54.0078 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys

2010/11/25 17:09:54.0156 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys

2010/11/25 17:09:54.0250 ccHP (e941e709847fa00e0dd6d58d2b8fb5e1) C:\WINDOWS\system32\drivers\NIS\1108000.005\ccHPx86.sys

2010/11/25 17:09:54.0343 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys

2010/11/25 17:09:54.0406 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys

2010/11/25 17:09:54.0484 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys

2010/11/25 17:09:54.0656 Cinergy_HT_PCI_MKII (e55e0c3094bed534998e5ad88f9aacc2) C:\WINDOWS\system32\DRIVERS\Cinergy_HT_PCI_MKII.sys

2010/11/25 17:09:54.0781 cmpci (9d8443f0f2ddf56b161506268934e263) C:\WINDOWS\system32\drivers\cmpci.sys

2010/11/25 17:09:54.0953 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys

2010/11/25 17:09:55.0031 dmboot (80008bd0c19d97b0b3f4d1d9cbf190a8) C:\WINDOWS\system32\drivers\dmboot.sys

2010/11/25 17:09:55.0156 dmio (41862731f82be80f0cfba5d0da36b683) C:\WINDOWS\system32\DRIVERS\dmio.sys

2010/11/25 17:09:55.0187 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys

2010/11/25 17:09:55.0250 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys

2010/11/25 17:09:55.0359 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys

2010/11/25 17:09:55.0453 eeCtrl (089296aedb9b72b4916ac959752bdc89) C:\Program\Delade filer\Symantec Shared\EENGINE\eeCtrl.sys

2010/11/25 17:09:55.0531 EIO (6f41da43aa4806a7bdbb2f9a8b05023e) C:\WINDOWS\system32\drivers\EIO.sys

2010/11/25 17:09:55.0609 EraserUtilRebootDrv (850259334652d392e33ee3412562e583) C:\Program\Delade filer\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys

2010/11/25 17:09:55.0703 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys

2010/11/25 17:09:55.0765 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys

2010/11/25 17:09:55.0843 Fips (b66ddb75642f6722468707840c67a394) C:\WINDOWS\system32\drivers\Fips.sys

2010/11/25 17:09:55.0906 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys

2010/11/25 17:09:55.0984 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys

2010/11/25 17:09:56.0062 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys

2010/11/25 17:09:56.0125 Ftdisk (45fc410cfe68ff036ad232a141e69c19) C:\WINDOWS\system32\DRIVERS\ftdisk.sys

2010/11/25 17:09:56.0171 gameenum (065639773d8b03f33577f6cdaea21063) C:\WINDOWS\system32\DRIVERS\gameenum.sys

2010/11/25 17:09:56.0250 Gig5gu (9046b280953f046b2bc29da7a2cc74b6) C:\WINDOWS\system32\Drivers\gig5gu.sys

2010/11/25 17:09:56.0312 Gigsrf (cc6ceb19661b1e3a51dfe5e05540ffe6) C:\WINDOWS\system32\Drivers\gigsrf.sys

2010/11/25 17:09:56.0375 Gigtnc (e401d62f224aded29859cffde6071cce) C:\WINDOWS\system32\Drivers\gigtnc.sys

2010/11/25 17:09:56.0437 glidehid (6404abd3d7f05e16a1de550b6d282bab) C:\WINDOWS\system32\DRIVERS\glidehid.sys

2010/11/25 17:09:56.0500 glideps2 (fa66a3c2c34db1d3aea14136b69dd69e) C:\WINDOWS\system32\DRIVERS\glideps2.sys

2010/11/25 17:09:56.0578 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys

2010/11/25 17:09:56.0656 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys

2010/11/25 17:09:56.0734 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys

2010/11/25 17:09:56.0843 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys

2010/11/25 17:09:56.0968 i8042prt (82e56cd09b2ce1edec3fba9111c7ee3a) C:\WINDOWS\system32\DRIVERS\i8042prt.sys

2010/11/25 17:09:57.0171 ialm (2aae7be67911f4aec9ad28e9cfb9096f) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys

2010/11/25 17:09:57.0484 IDSxpx86 (74e8463447101ecf0165ddc7e5168b7e) C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\IPSDefs\20101124.002\IDSxpx86.sys

2010/11/25 17:09:57.0562 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys

2010/11/25 17:09:57.0812 intelppm (02431778e84a525d29929d14bab71d53) C:\WINDOWS\system32\DRIVERS\intelppm.sys

2010/11/25 17:09:57.0890 ip6fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys

2010/11/25 17:09:57.0968 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys

2010/11/25 17:09:58.0015 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys

2010/11/25 17:09:58.0093 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys

2010/11/25 17:09:58.0140 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys

2010/11/25 17:09:58.0203 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys

2010/11/25 17:09:58.0281 isapnp (48f97c77daf8811598cfae21368eacb6) C:\WINDOWS\system32\DRIVERS\isapnp.sys

2010/11/25 17:09:58.0328 Kbdclass (d655ca94c8e2e0223c1bc28bcd95723a) C:\WINDOWS\system32\DRIVERS\kbdclass.sys

2010/11/25 17:09:58.0390 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys

2010/11/25 17:09:58.0453 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys

2010/11/25 17:09:58.0593 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys

2010/11/25 17:09:58.0671 Modem (42ce19726d9c410dff75d3ff1cc79db2) C:\WINDOWS\system32\drivers\Modem.sys

2010/11/25 17:09:58.0750 Mouclass (e0c4c36573bcf0c0d2a1578caa791f7d) C:\WINDOWS\system32\DRIVERS\mouclass.sys

2010/11/25 17:09:58.0796 mouhid (98e474ecf11f1db62fb072157a95ea83) C:\WINDOWS\system32\DRIVERS\mouhid.sys

2010/11/25 17:09:58.0859 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys

2010/11/25 17:09:58.0906 MPE (c0f8e0c2c3c0437cf37c6781896dc3ec) C:\WINDOWS\system32\DRIVERS\MPE.sys

2010/11/25 17:09:59.0000 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys

2010/11/25 17:09:59.0078 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys

2010/11/25 17:09:59.0156 MSDV (1477849772712bac69c144dcf2c9ce81) C:\WINDOWS\system32\DRIVERS\msdv.sys

2010/11/25 17:09:59.0218 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys

2010/11/25 17:09:59.0265 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys

2010/11/25 17:09:59.0343 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys

2010/11/25 17:09:59.0390 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys

2010/11/25 17:09:59.0468 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys

2010/11/25 17:09:59.0531 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys

2010/11/25 17:09:59.0593 ms_mpu401 (ca3e22598f411199adc2dfee76cd0ae0) C:\WINDOWS\system32\drivers\msmpu401.sys

2010/11/25 17:09:59.0656 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys

2010/11/25 17:09:59.0703 MVDCODEC (a6c4bb3897a0b3ac8d175528385408ea) C:\WINDOWS\system32\DRIVERS\atinmdxx.sys

2010/11/25 17:09:59.0781 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys

2010/11/25 17:09:59.0953 NAVENG (49d802531e5984cf1fe028c6c129b9d8) C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\VirusDefs\20101124.051\NAVENG.SYS

2010/11/25 17:10:00.0156 NAVEX15 (158676a5758c1fa519563b3e72fbf256) C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\VirusDefs\20101124.051\NAVEX15.SYS

2010/11/25 17:10:00.0250 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys

2010/11/25 17:10:00.0296 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys

2010/11/25 17:10:00.0375 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys

2010/11/25 17:10:00.0437 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys

2010/11/25 17:10:00.0500 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys

2010/11/25 17:10:00.0578 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys

2010/11/25 17:10:00.0640 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys

2010/11/25 17:10:00.0687 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys

2010/11/25 17:10:00.0765 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys

2010/11/25 17:10:00.0843 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys

2010/11/25 17:10:00.0906 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys

2010/11/25 17:10:01.0000 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys

2010/11/25 17:10:01.0078 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys

2010/11/25 17:10:01.0156 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys

2010/11/25 17:10:01.0218 NwlnkIpx (8b8b1be2dba4025da6786c645f77f123) C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys

2010/11/25 17:10:01.0281 NwlnkNb (56d34a67c05e94e16377c60609741ff8) C:\WINDOWS\system32\DRIVERS\nwlnknb.sys

2010/11/25 17:10:01.0359 NwlnkSpx (c0bb7d1615e1acbdc99757f6ceaf8cf0) C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys

2010/11/25 17:10:01.0421 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys

2010/11/25 17:10:01.0484 P3 (ca61db88a7cd4624d02112af4d87a064) C:\WINDOWS\system32\DRIVERS\p3.sys

2010/11/25 17:10:01.0546 Parport (19e28ed86e7244d76fda792c2810188e) C:\WINDOWS\system32\DRIVERS\parport.sys

2010/11/25 17:10:01.0609 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys

2010/11/25 17:10:01.0640 ParVdm (5cf71e14a108c492c1fb07543d579af5) C:\WINDOWS\system32\drivers\ParVdm.sys

2010/11/25 17:10:01.0703 PCI (8a185f0112cf5b42ff1aaff31b8b3091) C:\WINDOWS\system32\DRIVERS\pci.sys

2010/11/25 17:10:01.0781 PCIIde (239de4275ee40fdf9912761467025244) C:\WINDOWS\system32\DRIVERS\pciide.sys

2010/11/25 17:10:01.0828 Pcmcia (904053aa6e251c77cf85371ce644cfd7) C:\WINDOWS\system32\drivers\Pcmcia.sys

2010/11/25 17:10:01.0921 pcouffin (02aaafb7ba137ce5ddabcdf8090954d9) C:\WINDOWS\system32\Drivers\pcouffin.sys

2010/11/25 17:10:02.0156 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys

2010/11/25 17:10:02.0218 Processor (992e4b2a91e6a2f3d21de89b9273353a) C:\WINDOWS\system32\DRIVERS\processr.sys

2010/11/25 17:10:02.0281 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys

2010/11/25 17:10:02.0484 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys

2010/11/25 17:10:02.0546 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys

2010/11/25 17:10:02.0625 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys

2010/11/25 17:10:02.0703 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys

2010/11/25 17:10:02.0781 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys

2010/11/25 17:10:02.0875 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys

2010/11/25 17:10:02.0937 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys

2010/11/25 17:10:03.0015 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys

2010/11/25 17:10:03.0078 redbook (97130d37842819fa39fd5f1e90a5d676) C:\WINDOWS\system32\DRIVERS\redbook.sys

2010/11/25 17:10:03.0265 RTLE8023xp (25be98c05808c57e4d8d26477dc12d39) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys

2010/11/25 17:10:03.0343 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys

2010/11/25 17:10:03.0421 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys

2010/11/25 17:10:03.0468 Serial (f7d35464062edc08909e568bcd8ae77d) C:\WINDOWS\system32\DRIVERS\serial.sys

2010/11/25 17:10:03.0531 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys

2010/11/25 17:10:03.0609 siellif (a684ce1204c1375479b2eeb0ff85b774) C:\WINDOWS\system32\Drivers\siellif.sys

2010/11/25 17:10:03.0687 Sieupapp (e9a736736bdae666dc1c34cd4a26a584) C:\WINDOWS\system32\Drivers\Sieupapp.sys

2010/11/25 17:10:03.0750 Sieupdfu (d73c6171d6b2cda8b8bacbd82df7a1cb) C:\WINDOWS\system32\Drivers\Sieupdfu.sys

2010/11/25 17:10:03.0843 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys

2010/11/25 17:10:03.0984 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys

2010/11/25 17:10:04.0062 sr (1193ef00869f6367367e6e7cb96be325) C:\WINDOWS\system32\DRIVERS\sr.sys

2010/11/25 17:10:04.0140 SRTSP (ec5c3c6260f4019b03dfaa03ec8cbf6a) C:\WINDOWS\System32\Drivers\NIS\1108000.005\SRTSP.SYS

2010/11/25 17:10:04.0218 SRTSPX (55d5c37ed41231e3ac2063d16df50840) C:\WINDOWS\system32\drivers\NIS\1108000.005\SRTSPX.SYS

2010/11/25 17:10:04.0296 Srv (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys

2010/11/25 17:10:04.0390 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys

2010/11/25 17:10:04.0453 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys

2010/11/25 17:10:04.0515 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys

2010/11/25 17:10:04.0671 SymDS (56890bf9d9204b93042089d4b45ae671) C:\WINDOWS\system32\drivers\NIS\1108000.005\SYMDS.SYS

2010/11/25 17:10:04.0781 SymEFA (1c91df5188150510a6f0cf78f7d94b69) C:\WINDOWS\system32\drivers\NIS\1108000.005\SYMEFA.SYS

2010/11/25 17:10:04.0859 SymEvent (961b48b86f94d4cc8ceb483f8aa89374) C:\WINDOWS\system32\Drivers\SYMEVENT.SYS

2010/11/25 17:10:04.0937 SymIRON (dc80fbf0a348e54853ef82eed4e11e35) C:\WINDOWS\system32\drivers\NIS\1108000.005\Ironx86.SYS

2010/11/25 17:10:05.0015 SYMTDI (41aad61f87ca8e3b5d0f7fe7fba0797d) C:\WINDOWS\System32\Drivers\NIS\1108000.005\SYMTDI.SYS

2010/11/25 17:10:05.0140 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys

2010/11/25 17:10:05.0218 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys

2010/11/25 17:10:05.0296 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys

2010/11/25 17:10:05.0359 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys

2010/11/25 17:10:05.0421 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys

2010/11/25 17:10:05.0515 TodosAgmII (507ccd9dcb532c2596cfba6801e0e71c) C:\WINDOWS\system32\Drivers\AgmIIusb.sys

2010/11/25 17:10:05.0609 TTDec (b5a137cb34dd8950d91e688c641e097f) C:\WINDOWS\system32\DRIVERS\ATINTTXX.sys

2010/11/25 17:10:05.0671 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys

2010/11/25 17:10:05.0765 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys

2010/11/25 17:10:05.0875 usbaudio (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys

2010/11/25 17:10:06.0000 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys

2010/11/25 17:10:06.0125 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys

2010/11/25 17:10:06.0187 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys

2010/11/25 17:10:06.0234 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys

2010/11/25 17:10:06.0296 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys

2010/11/25 17:10:06.0375 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys

2010/11/25 17:10:06.0421 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

2010/11/25 17:10:06.0484 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys

2010/11/25 17:10:06.0546 usbvideo (63bbfca7f390f4c49ed4b96bfb1633e0) C:\WINDOWS\system32\Drivers\usbvideo.sys

2010/11/25 17:10:06.0609 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys

2010/11/25 17:10:06.0687 viaagp (754292ce5848b3738281b4f3607eaef4) C:\WINDOWS\system32\DRIVERS\viaagp.sys

2010/11/25 17:10:06.0734 ViaIde (3b3efcda263b8ac14fdf9cbdd0791b2e) C:\WINDOWS\system32\DRIVERS\viaide.sys

2010/11/25 17:10:06.0796 VIAudio (819bf44085104be6527b86a88acf856b) C:\WINDOWS\system32\drivers\ac97via.sys

2010/11/25 17:10:06.0906 VolSnap (57187ec04878147e1f4f2d9224b12205) C:\WINDOWS\system32\drivers\VolSnap.sys

2010/11/25 17:10:07.0000 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys

2010/11/25 17:10:07.0093 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys

2010/11/25 17:10:07.0218 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS

2010/11/25 17:10:07.0281 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys

2010/11/25 17:10:07.0343 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys

2010/11/25 17:10:07.0515 ================================================================================

2010/11/25 17:10:07.0515 Scan finished

2010/11/25 17:10:07.0515 ================================================================================

2010/11/25 19:11:38.0031 ================================================================================

2010/11/25 19:11:38.0031 Scan started

2010/11/25 19:11:38.0031 Mode: Manual;

2010/11/25 19:11:38.0031 ================================================================================

2010/11/25 19:11:38.0828 3xHybrid (0345929356dd3b418cecbd1f2883dc0e) C:\WINDOWS\system32\DRIVERS\3xHybrid.sys

2010/11/25 19:11:38.0921 61883 (914a9709fc3bf419ad2f85547f2a4832) C:\WINDOWS\system32\DRIVERS\61883.sys

2010/11/25 19:11:39.0046 ACPI (48547e29772befe3c554ff5e4855bf51) C:\WINDOWS\system32\DRIVERS\ACPI.sys

2010/11/25 19:11:39.0109 ACPIEC (decedc736cef3c0fff6e981b31e73a61) C:\WINDOWS\system32\drivers\ACPIEC.sys

2010/11/25 19:11:39.0203 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys

2010/11/25 19:11:39.0265 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys

2010/11/25 19:11:39.0468 Arp1394 (b5b8a80875c1dededa8b02765642c32f) C:\WINDOWS\system32\DRIVERS\arp1394.sys

2010/11/25 19:11:39.0625 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys

2010/11/25 19:11:39.0687 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys

2010/11/25 19:11:39.0781 ati2mtaa (27bab72eae141d0ce39ec65c0fdeb2d6) C:\WINDOWS\system32\DRIVERS\ati2mtaa.sys

2010/11/25 19:11:39.0890 ati2mtag (c580b409fbe52a770a394eef63fb5161) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys

2010/11/25 19:11:39.0984 atinrvxx (9982aa116bf913fd2d719a165690b57c) C:\WINDOWS\system32\DRIVERS\atinrvxx.sys

2010/11/25 19:11:40.0046 ATITUNEP (c5e545bbb396439bdb618cabc0ed0984) C:\WINDOWS\system32\DRIVERS\atintuxx.sys

2010/11/25 19:11:40.0093 ATIXSAudio (e6e2935c08b73fa9a5dfe673cf6fd33d) C:\WINDOWS\system32\DRIVERS\atinxsxx.sys

2010/11/25 19:11:40.0156 Atkcfg (35961aa408009f2faf3330ddc5b0e480) C:\WINDOWS\system32\Drivers\atkcfg.sys

2010/11/25 19:11:40.0218 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys

2010/11/25 19:11:40.0265 ATTSCAP (a5a2de39e64759b42946c64da454c6c8) C:\WINDOWS\system32\drivers\attscap.sys

2010/11/25 19:11:40.0312 ATVCAP (1cb2947decfb7849bbb68f7383aaf07d) C:\WINDOWS\system32\drivers\atvcap.sys

2010/11/25 19:11:40.0359 ATXBAR (7b1dcad2c7e52b8987af4f9a8d286534) C:\WINDOWS\system32\drivers\ATXBAR.sys

2010/11/25 19:11:40.0421 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys

2010/11/25 19:11:40.0484 Avc (f8e6956a614f15a0860474c5e2a7de6b) C:\WINDOWS\system32\DRIVERS\avc.sys

2010/11/25 19:11:40.0546 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys

2010/11/25 19:11:40.0687 BHDrvx86 (80f390347c7754835a900349ba1e4b75) C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\BASHDefs\20101104.001\BHDrvx86.sys

2010/11/25 19:11:40.0781 Bridge (f934d1b230f84e1d19dd00ac5a7a83ed) C:\WINDOWS\system32\DRIVERS\bridge.sys

2010/11/25 19:11:40.0796 BridgeMP (f934d1b230f84e1d19dd00ac5a7a83ed) C:\WINDOWS\system32\DRIVERS\bridge.sys

2010/11/25 19:11:40.0921 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys

2010/11/25 19:11:41.0000 CCDECODE (0be5aef125be881c4f854c554f2b025c) C:\WINDOWS\system32\DRIVERS\CCDECODE.sys

2010/11/25 19:11:41.0078 ccHP (e941e709847fa00e0dd6d58d2b8fb5e1) C:\WINDOWS\system32\drivers\NIS\1108000.005\ccHPx86.sys

2010/11/25 19:11:41.0187 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys

2010/11/25 19:11:41.0234 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys

2010/11/25 19:11:41.0296 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys

2010/11/25 19:11:41.0375 Cinergy_HT_PCI_MKII (e55e0c3094bed534998e5ad88f9aacc2) C:\WINDOWS\system32\DRIVERS\Cinergy_HT_PCI_MKII.sys

2010/11/25 19:11:41.0484 cmpci (9d8443f0f2ddf56b161506268934e263) C:\WINDOWS\system32\drivers\cmpci.sys

2010/11/25 19:11:41.0640 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys

2010/11/25 19:11:41.0718 dmboot (80008bd0c19d97b0b3f4d1d9cbf190a8) C:\WINDOWS\system32\drivers\dmboot.sys

2010/11/25 19:11:41.0812 dmio (41862731f82be80f0cfba5d0da36b683) C:\WINDOWS\system32\DRIVERS\dmio.sys

2010/11/25 19:11:41.0875 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys

2010/11/25 19:11:41.0937 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys

2010/11/25 19:11:42.0031 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys

2010/11/25 19:11:42.0125 eeCtrl (089296aedb9b72b4916ac959752bdc89) C:\Program\Delade filer\Symantec Shared\EENGINE\eeCtrl.sys

2010/11/25 19:11:42.0203 EIO (6f41da43aa4806a7bdbb2f9a8b05023e) C:\WINDOWS\system32\drivers\EIO.sys

2010/11/25 19:11:42.0281 EraserUtilRebootDrv (850259334652d392e33ee3412562e583) C:\Program\Delade filer\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys

2010/11/25 19:11:42.0359 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys

2010/11/25 19:11:42.0421 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys

2010/11/25 19:11:42.0484 Fips (b66ddb75642f6722468707840c67a394) C:\WINDOWS\system32\drivers\Fips.sys

2010/11/25 19:11:42.0531 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys

2010/11/25 19:11:42.0593 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys

2010/11/25 19:11:42.0640 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys

2010/11/25 19:11:42.0703 Ftdisk (45fc410cfe68ff036ad232a141e69c19) C:\WINDOWS\system32\DRIVERS\ftdisk.sys

2010/11/25 19:11:42.0750 gameenum (065639773d8b03f33577f6cdaea21063) C:\WINDOWS\system32\DRIVERS\gameenum.sys

2010/11/25 19:11:42.0812 Gig5gu (9046b280953f046b2bc29da7a2cc74b6) C:\WINDOWS\system32\Drivers\gig5gu.sys

2010/11/25 19:11:42.0890 Gigsrf (cc6ceb19661b1e3a51dfe5e05540ffe6) C:\WINDOWS\system32\Drivers\gigsrf.sys

2010/11/25 19:11:42.0937 Gigtnc (e401d62f224aded29859cffde6071cce) C:\WINDOWS\system32\Drivers\gigtnc.sys

2010/11/25 19:11:43.0000 glidehid (6404abd3d7f05e16a1de550b6d282bab) C:\WINDOWS\system32\DRIVERS\glidehid.sys

2010/11/25 19:11:43.0078 glideps2 (fa66a3c2c34db1d3aea14136b69dd69e) C:\WINDOWS\system32\DRIVERS\glideps2.sys

2010/11/25 19:11:43.0125 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys

2010/11/25 19:11:43.0203 HDAudBus (573c7d0a32852b48f3058cfd8026f511) C:\WINDOWS\system32\DRIVERS\HDAudBus.sys

2010/11/25 19:11:43.0265 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys

2010/11/25 19:11:43.0359 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys

2010/11/25 19:11:43.0484 i8042prt (82e56cd09b2ce1edec3fba9111c7ee3a) C:\WINDOWS\system32\DRIVERS\i8042prt.sys

2010/11/25 19:11:43.0687 ialm (2aae7be67911f4aec9ad28e9cfb9096f) C:\WINDOWS\system32\DRIVERS\igxpmp32.sys

2010/11/25 19:11:43.0984 IDSxpx86 (74e8463447101ecf0165ddc7e5168b7e) C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\IPSDefs\20101124.002\IDSxpx86.sys

2010/11/25 19:11:44.0078 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys

2010/11/25 19:11:44.0281 intelppm (02431778e84a525d29929d14bab71d53) C:\WINDOWS\system32\DRIVERS\intelppm.sys

2010/11/25 19:11:44.0328 ip6fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys

2010/11/25 19:11:44.0406 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys

2010/11/25 19:11:44.0453 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys

2010/11/25 19:11:44.0515 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys

2010/11/25 19:11:44.0578 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys

2010/11/25 19:11:44.0625 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys

2010/11/25 19:11:44.0687 isapnp (48f97c77daf8811598cfae21368eacb6) C:\WINDOWS\system32\DRIVERS\isapnp.sys

2010/11/25 19:11:44.0750 Kbdclass (d655ca94c8e2e0223c1bc28bcd95723a) C:\WINDOWS\system32\DRIVERS\kbdclass.sys

2010/11/25 19:11:44.0812 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys

2010/11/25 19:11:44.0875 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys

2010/11/25 19:11:45.0031 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys

2010/11/25 19:11:45.0093 Modem (42ce19726d9c410dff75d3ff1cc79db2) C:\WINDOWS\system32\drivers\Modem.sys

2010/11/25 19:11:45.0140 Mouclass (e0c4c36573bcf0c0d2a1578caa791f7d) C:\WINDOWS\system32\DRIVERS\mouclass.sys

2010/11/25 19:11:45.0203 mouhid (98e474ecf11f1db62fb072157a95ea83) C:\WINDOWS\system32\DRIVERS\mouhid.sys

2010/11/25 19:11:45.0250 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys

2010/11/25 19:11:45.0312 MPE (c0f8e0c2c3c0437cf37c6781896dc3ec) C:\WINDOWS\system32\DRIVERS\MPE.sys

2010/11/25 19:11:45.0406 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys

2010/11/25 19:11:45.0468 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys

2010/11/25 19:11:45.0531 MSDV (1477849772712bac69c144dcf2c9ce81) C:\WINDOWS\system32\DRIVERS\msdv.sys

2010/11/25 19:11:45.0593 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys

2010/11/25 19:11:45.0640 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys

2010/11/25 19:11:45.0687 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys

2010/11/25 19:11:45.0750 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys

2010/11/25 19:11:45.0812 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys

2010/11/25 19:11:45.0859 MSTEE (e53736a9e30c45fa9e7b5eac55056d1d) C:\WINDOWS\system32\drivers\MSTEE.sys

2010/11/25 19:11:45.0921 ms_mpu401 (ca3e22598f411199adc2dfee76cd0ae0) C:\WINDOWS\system32\drivers\msmpu401.sys

2010/11/25 19:11:45.0984 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys

2010/11/25 19:11:46.0046 MVDCODEC (a6c4bb3897a0b3ac8d175528385408ea) C:\WINDOWS\system32\DRIVERS\atinmdxx.sys

2010/11/25 19:11:46.0140 NABTSFEC (5b50f1b2a2ed47d560577b221da734db) C:\WINDOWS\system32\DRIVERS\NABTSFEC.sys

2010/11/25 19:11:46.0312 NAVENG (49d802531e5984cf1fe028c6c129b9d8) C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\VirusDefs\20101124.051\NAVENG.SYS

2010/11/25 19:11:46.0515 NAVEX15 (158676a5758c1fa519563b3e72fbf256) C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\VirusDefs\20101124.051\NAVEX15.SYS

2010/11/25 19:11:46.0640 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys

2010/11/25 19:11:46.0718 NdisIP (7ff1f1fd8609c149aa432f95a8163d97) C:\WINDOWS\system32\DRIVERS\NdisIP.sys

2010/11/25 19:11:46.0781 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys

2010/11/25 19:11:46.0828 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys

2010/11/25 19:11:46.0890 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys

2010/11/25 19:11:46.0953 NDProxy (6215023940cfd3702b46abc304e1d45a) C:\WINDOWS\system32\drivers\NDProxy.sys

2010/11/25 19:11:47.0031 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys

2010/11/25 19:11:47.0109 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys

2010/11/25 19:11:47.0187 NIC1394 (e9e47cfb2d461fa0fc75b7a74c6383ea) C:\WINDOWS\system32\DRIVERS\nic1394.sys

2010/11/25 19:11:47.0265 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys

2010/11/25 19:11:47.0328 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys

2010/11/25 19:11:47.0437 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys

2010/11/25 19:11:47.0515 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys

2010/11/25 19:11:47.0578 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys

2010/11/25 19:11:47.0656 NwlnkIpx (8b8b1be2dba4025da6786c645f77f123) C:\WINDOWS\system32\DRIVERS\nwlnkipx.sys

2010/11/25 19:11:47.0703 NwlnkNb (56d34a67c05e94e16377c60609741ff8) C:\WINDOWS\system32\DRIVERS\nwlnknb.sys

2010/11/25 19:11:47.0765 NwlnkSpx (c0bb7d1615e1acbdc99757f6ceaf8cf0) C:\WINDOWS\system32\DRIVERS\nwlnkspx.sys

2010/11/25 19:11:47.0828 ohci1394 (ca33832df41afb202ee7aeb05145922f) C:\WINDOWS\system32\DRIVERS\ohci1394.sys

2010/11/25 19:11:47.0890 P3 (ca61db88a7cd4624d02112af4d87a064) C:\WINDOWS\system32\DRIVERS\p3.sys

2010/11/25 19:11:47.0953 Parport (19e28ed86e7244d76fda792c2810188e) C:\WINDOWS\system32\DRIVERS\parport.sys

2010/11/25 19:11:48.0000 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys

2010/11/25 19:11:48.0062 ParVdm (5cf71e14a108c492c1fb07543d579af5) C:\WINDOWS\system32\drivers\ParVdm.sys

2010/11/25 19:11:48.0109 PCI (8a185f0112cf5b42ff1aaff31b8b3091) C:\WINDOWS\system32\DRIVERS\pci.sys

2010/11/25 19:11:48.0203 PCIIde (239de4275ee40fdf9912761467025244) C:\WINDOWS\system32\DRIVERS\pciide.sys

2010/11/25 19:11:48.0250 Pcmcia (904053aa6e251c77cf85371ce644cfd7) C:\WINDOWS\system32\drivers\Pcmcia.sys

2010/11/25 19:11:48.0328 pcouffin (02aaafb7ba137ce5ddabcdf8090954d9) C:\WINDOWS\system32\Drivers\pcouffin.sys

2010/11/25 19:11:48.0578 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys

2010/11/25 19:11:48.0625 Processor (992e4b2a91e6a2f3d21de89b9273353a) C:\WINDOWS\system32\DRIVERS\processr.sys

2010/11/25 19:11:48.0687 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys

2010/11/25 19:11:48.0890 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys

2010/11/25 19:11:48.0953 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys

2010/11/25 19:11:49.0000 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys

2010/11/25 19:11:49.0046 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys

2010/11/25 19:11:49.0093 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys

2010/11/25 19:11:49.0156 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys

2010/11/25 19:11:49.0218 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys

2010/11/25 19:11:49.0281 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys

2010/11/25 19:11:49.0328 redbook (97130d37842819fa39fd5f1e90a5d676) C:\WINDOWS\system32\DRIVERS\redbook.sys

2010/11/25 19:11:49.0500 RTLE8023xp (25be98c05808c57e4d8d26477dc12d39) C:\WINDOWS\system32\DRIVERS\Rtenicxp.sys

2010/11/25 19:11:49.0578 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys

2010/11/25 19:11:49.0640 serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys

2010/11/25 19:11:49.0687 Serial (f7d35464062edc08909e568bcd8ae77d) C:\WINDOWS\system32\DRIVERS\serial.sys

2010/11/25 19:11:49.0734 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys

2010/11/25 19:11:49.0796 siellif (a684ce1204c1375479b2eeb0ff85b774) C:\WINDOWS\system32\Drivers\siellif.sys

2010/11/25 19:11:49.0859 Sieupapp (e9a736736bdae666dc1c34cd4a26a584) C:\WINDOWS\system32\Drivers\Sieupapp.sys

2010/11/25 19:11:49.0921 Sieupdfu (d73c6171d6b2cda8b8bacbd82df7a1cb) C:\WINDOWS\system32\Drivers\Sieupdfu.sys

2010/11/25 19:11:50.0015 SLIP (866d538ebe33709a5c9f5c62b73b7d14) C:\WINDOWS\system32\DRIVERS\SLIP.sys

2010/11/25 19:11:50.0109 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys

2010/11/25 19:11:50.0171 sr (1193ef00869f6367367e6e7cb96be325) C:\WINDOWS\system32\DRIVERS\sr.sys

2010/11/25 19:11:50.0250 SRTSP (ec5c3c6260f4019b03dfaa03ec8cbf6a) C:\WINDOWS\System32\Drivers\NIS\1108000.005\SRTSP.SYS

2010/11/25 19:11:50.0343 SRTSPX (55d5c37ed41231e3ac2063d16df50840) C:\WINDOWS\system32\drivers\NIS\1108000.005\SRTSPX.SYS

2010/11/25 19:11:50.0406 Srv (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys

2010/11/25 19:11:50.0500 streamip (77813007ba6265c4b6098187e6ed79d2) C:\WINDOWS\system32\DRIVERS\StreamIP.sys

2010/11/25 19:11:50.0546 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys

2010/11/25 19:11:50.0609 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys

2010/11/25 19:11:50.0734 SymDS (56890bf9d9204b93042089d4b45ae671) C:\WINDOWS\system32\drivers\NIS\1108000.005\SYMDS.SYS

2010/11/25 19:11:51.0281 SymEFA (1c91df5188150510a6f0cf78f7d94b69) C:\WINDOWS\system32\drivers\NIS\1108000.005\SYMEFA.SYS

2010/11/25 19:11:51.0390 SymEvent (961b48b86f94d4cc8ceb483f8aa89374) C:\WINDOWS\system32\Drivers\SYMEVENT.SYS

2010/11/25 19:11:51.0453 SymIRON (dc80fbf0a348e54853ef82eed4e11e35) C:\WINDOWS\system32\drivers\NIS\1108000.005\Ironx86.SYS

2010/11/25 19:11:51.0546 SYMTDI (41aad61f87ca8e3b5d0f7fe7fba0797d) C:\WINDOWS\System32\Drivers\NIS\1108000.005\SYMTDI.SYS

2010/11/25 19:11:51.0687 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys

2010/11/25 19:11:51.0750 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys

2010/11/25 19:11:51.0828 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys

2010/11/25 19:11:51.0875 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys

2010/11/25 19:11:51.0937 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys

2010/11/25 19:11:52.0000 TodosAgmII (507ccd9dcb532c2596cfba6801e0e71c) C:\WINDOWS\system32\Drivers\AgmIIusb.sys

2010/11/25 19:11:52.0093 TTDec (b5a137cb34dd8950d91e688c641e097f) C:\WINDOWS\system32\DRIVERS\ATINTTXX.sys

2010/11/25 19:11:52.0156 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys

2010/11/25 19:11:52.0250 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys

2010/11/25 19:11:52.0375 usbaudio (e919708db44ed8543a7c017953148330) C:\WINDOWS\system32\drivers\usbaudio.sys

2010/11/25 19:11:52.0437 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys

2010/11/25 19:11:52.0531 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys

2010/11/25 19:11:52.0593 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys

2010/11/25 19:11:52.0656 usbohci (0daecce65366ea32b162f85f07c6753b) C:\WINDOWS\system32\DRIVERS\usbohci.sys

2010/11/25 19:11:52.0718 usbprint (a717c8721046828520c9edf31288fc00) C:\WINDOWS\system32\DRIVERS\usbprint.sys

2010/11/25 19:11:52.0781 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys

2010/11/25 19:11:52.0859 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

2010/11/25 19:11:52.0921 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys

2010/11/25 19:11:52.0984 usbvideo (63bbfca7f390f4c49ed4b96bfb1633e0) C:\WINDOWS\system32\Drivers\usbvideo.sys

2010/11/25 19:11:53.0062 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys

2010/11/25 19:11:53.0125 viaagp (754292ce5848b3738281b4f3607eaef4) C:\WINDOWS\system32\DRIVERS\viaagp.sys

2010/11/25 19:11:53.0187 ViaIde (3b3efcda263b8ac14fdf9cbdd0791b2e) C:\WINDOWS\system32\DRIVERS\viaide.sys

2010/11/25 19:11:53.0265 VIAudio (819bf44085104be6527b86a88acf856b) C:\WINDOWS\system32\drivers\ac97via.sys

2010/11/25 19:11:53.0375 VolSnap (57187ec04878147e1f4f2d9224b12205) C:\WINDOWS\system32\drivers\VolSnap.sys

2010/11/25 19:11:53.0484 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys

2010/11/25 19:11:53.0609 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys

2010/11/25 19:11:53.0734 WSTCODEC (c98b39829c2bbd34e454150633c62c78) C:\WINDOWS\system32\DRIVERS\WSTCODEC.SYS

2010/11/25 19:11:53.0812 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys

2010/11/25 19:11:53.0859 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys

2010/11/25 19:11:54.0015 ================================================================================

2010/11/25 19:11:54.0015 Scan finished

2010/11/25 19:11:54.0015 ================================================================================

[/log]

 

 

Sedan laddade jag hem och körde PCTools SpywareDoctor, en genomsökning. resultatet bifogar jag som html-fil. Det säger nog dig mer än mig, även om en och annan post verkar mer än misstänkt...

 

/Kalle

SpyWare Doctor.htm

Link to comment
Share on other sites

Först en massa cookies som aldrig är farliga för datorn, sen toolbars som du redan försökt avinstallera, ActiveX-komponent, toolbar igen, ComboFix och slutligen TDSSKiller. Inget nytt eller anmärkningsvärt vad jag kan se.

 

Eftersom det är många program som har svårt att köra försöker vi med ett program som körs från en CD-skiva. Ladda ner OTLPE.iso och bränn den till en CD-skiva som en avbild/image/iso.

Vet du hur man gör det? Om inte så fråga och berätta vad du har för bränningsprogram.

 

Vet du hur du får datorn att starta från en CD-skiva i stället för från en hårddisk? Om inte så fråga.

 

När datorn har startat från CD-skivan visas REATOGO-X-PE skrivbord.

Dubbelklicka på ikonen OTLPE.

När du får frågan "Do you wish to load the remote registry", välj Yes.

När du får frågan "Do you wish to load remote user profile(s) for scanning", välj Yes.

Se till att "Automatically Load All Remaining Users" är vald och tryck OK.

Programmet OTL startar.

 

Ändra inställningen Drivers till Non-Microsoft.

Tryck på Run Scan för att starta genomsökningen.

När skanningen är klar så kommer loggfilen OTL.txt att sparas i mappen C:\_OTL\MovedFiles.

 

Starta om datorn från hårddisken och klistra in loggfilen OTL.txt i ditt svar

Link to comment
Share on other sites

Din länk OTLPE.iso ger följande resultat:

 

404 Not Found

The resource requested could not be found on this server! Powered By LiteSpeed Web Server

LiteSpeed Technologies is not responsible for administration and contents of this web site!

 

(Det ska jäklas...)

 

Har du möjligen underlaget i form av innehållet i skivan (d v s TS-video o s v) så kan jag bränna genom Nero...

 

/Kalle

Link to comment
Share on other sites

Har du möjligen underlaget i form av innehållet i skivan (d v s TS-video o s v) så kan jag bränna genom Nero...

Link to comment
Share on other sites

OldTimer har tydligen ändrat sedan jag rekommenderade OTLPE sist.

 

Spara http://oldtimer.geekstogo.com/OTLPEStd.exe på Skrivbordet.

Stoppa in en tom CD-skiva i datorn.

Starta det nedladdade programmet och det kommer automatiskt att bränna OTLPE på CD-skivan.

 

När man sedan startar datorn från CD-skivan verkar det vara sig rätt likt.

Link to comment
Share on other sites

Gick bra ladda hem OldTimer !

 

När du får frågan "Do you wish to load the remote registry", välj Yes. Kom inte upp!

När du får frågan "Do you wish to load remote user profile(s) for scanning", välj Yes OK

 

Inställningen Drivers alternativ var "None

 

OTL.txt sparades direkt under C och kommer här:

 

[log]OTL logfile created on: 11/26/2010 9:39:43 AM - Run

OTLPE by OldTimer - Version 3.1.43.0 Folder = X:\Programs\OTLPE

Microsoft Windows XP Service Pack 3 (Version = 5.1.2600) - Type = SYSTEM

Internet Explorer (Version = 8.0.6001.18702)

Locale: 0000041D | Country: Sverige | Language: SVE | Date Format: yyyy-MM-dd

 

3.00 Gb Total Physical Memory | 3.00 Gb Available Physical Memory | 92.00% Memory free

3.00 Gb Paging File | 3.00 Gb Available in Paging File | 98.00% Paging File free

Paging file location(s): C:\pagefile.sys 1524 3048 [binary data]

 

%SystemDrive% = C: | %SystemRoot% = C:\WINDOWS | %ProgramFiles% = C:\Program

Drive C: | 74.52 Gb Total Space | 61.19 Gb Free Space | 82.11% Space Free | Partition Type: NTFS

Drive D: | 372.61 Gb Total Space | 366.47 Gb Free Space | 98.35% Space Free | Partition Type: NTFS

Drive X: | 282.52 Mb Total Space | 0.00 Mb Free Space | 0.00% Space Free | Partition Type: CDFS

 

Computer Name: REATOGO | User Name: SYSTEM

Boot Mode: Normal | Scan Mode: All users

Company Name Whitelist: Off | Skip Microsoft Files: Off | No Company Name Whitelist: On | File Age = 30 Days

Using ControlSet: ControlSet003

 

========== Win32 Services (SafeList) ==========

 

SRV - File not found [Auto] -- C:\WINDOWS\System32\mousenh32.exe -- (winbackupdumper-id19v1RkZc3WzM)

SRV - File not found [Auto] -- E:\FPT\NetDrive\wdService.exe -- (WebDriveService)

SRV - File not found [Disabled] -- C:\WINDOWS\System32\hidserv.dll -- (HidServ)

SRV - File not found [Auto] -- C:\Program\Symantec\LiveUpdate\ALUSchedulerSvc.exe -- (Automatisk LiveUpdate-schemaläggare)

SRV - File not found [Disabled] -- C:\Program\Delade filer\Acronis\Schedule2\schedul2.exe -- (AcrSch2Svc)

SRV - File not found [Disabled] -- C:\WINDOWS\System32\wirepots.exe -- (acrosysbackup_exv1RkZc3WzM)

SRV - [2010/09/29 10:00:56 | 001,145,304 | ---- | M] (PC Tools) [On_Demand] -- C:\Program\PC Tools Security\pctsSvc.exe -- (sdCoreService)

SRV - [2010/03/15 08:02:36 | 000,366,840 | ---- | M] (PC Tools) [On_Demand] -- C:\Program\PC Tools Security\pctsAuxs.exe -- (sdAuxService)

SRV - [2010/02/25 19:21:50 | 000,126,392 | R--- | M] (Symantec Corporation) [Auto] -- C:\Program\Norton Internet Security\Engine\17.8.0.5\ccSvcHst.exe -- (NIS)

SRV - [2009/03/03 05:19:28 | 000,691,200 | ---- | M] (FileZilla Project) [Auto] -- C:\Program\FileZilla Server\FileZilla Server.exe -- (FileZilla Server)

SRV - [2008/04/08 14:56:08 | 000,061,440 | ---- | M] () [Auto] -- C:\Program\DynDNS Updater\DynUpSvc.exe -- (DynDNS Updater)

SRV - [2008/04/04 07:56:18 | 001,123,608 | ---- | M] (Diskeeper Corporation) [Auto] -- C:\Program\Diskeeper Corporation\Diskeeper\DkService.exe -- (Diskeeper)

SRV - [2008/01/17 17:37:26 | 000,024,635 | ---- | M] (Apache Software Foundation) [Auto] -- C:\Program\Apache2.2\bin\httpd.exe -- (Apache2.2)

SRV - [2005/04/03 18:41:10 | 000,069,632 | ---- | M] (Macrovision Corporation) [On_Demand] -- C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe -- (IDriverT)

 

 

========== Standard Registry (SafeList) ==========

 

 

========== Internet Explorer ==========

 

 

 

IE - HKU\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\Administratör_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage'>http://securityresponse.symantec.com/avcenter/fix_homepage'>http://securityresponse.symantec.com/avcenter/fix_homepage

IE - HKU\Administratör_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\Karl-Erik_Karlsson_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.conduit.com?SearchSource=10&ctid=CT2088752

IE - HKU\Karl-Erik_Karlsson_ON_C\..\URLSearchHook: {472734EA-242A-422b-ADF8-83D1E48CC825} - Reg Error: Key error. File not found

IE - HKU\Karl-Erik_Karlsson_ON_C\..\URLSearchHook: {6dabbda0-1da5-4a2f-bc89-2ae084c572fa} - C:\Program\ToggleSW\tbTog0.dll (Conduit Ltd.)

IE - HKU\Karl-Erik_Karlsson_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\LocalService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage

IE - HKU\LocalService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

IE - HKU\NetworkService_ON_C\Software\Microsoft\Internet Explorer\Main,Start Page = http://securityresponse.symantec.com/avcenter/fix_homepage

IE - HKU\NetworkService_ON_C\Software\Microsoft\Windows\CurrentVersion\Internet Settings: "ProxyEnable" = 0

 

 

FF - HKLM\software\mozilla\Firefox\Extensions\\{BBDA0591-3099-440a-AA10-41764D9DB4DB}: C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\IPSFFPlgn\ [2010/05/25 17:21:45 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Firefox\Extensions\\{2D3F3651-74B9-4795-BDEC-6DA2F431CB62}: C:\Documents and Settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\coFFPlgn\ [2010/01/19 02:44:26 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Components: C:\Program\Mozilla Firefox\components [2010/11/22 12:15:51 | 000,000,000 | ---D | M]

FF - HKLM\software\mozilla\Mozilla Firefox 3.6.12\extensions\\Plugins: C:\Program\Mozilla Firefox\plugins [2010/11/22 12:15:51 | 000,000,000 | ---D | M]

 

[2010/11/24 04:49:42 | 000,000,000 | ---D | M] -- C:\Program\Mozilla Firefox\extensions

[2010/10/27 00:41:17 | 000,001,470 | ---- | M] () -- C:\Program\Mozilla Firefox\searchplugins\allaannonser-sv-SE.xml

[2010/10/27 00:41:17 | 000,002,670 | ---- | M] () -- C:\Program\Mozilla Firefox\searchplugins\prisjakt-sv-SE.xml

[2010/10/27 00:41:17 | 000,000,948 | ---- | M] () -- C:\Program\Mozilla Firefox\searchplugins\tyda-sv-SE.xml

[2010/10/27 00:41:17 | 000,001,174 | ---- | M] () -- C:\Program\Mozilla Firefox\searchplugins\wikipedia-sv-SE.xml

[2010/10/27 00:41:17 | 000,000,951 | ---- | M] () -- C:\Program\Mozilla Firefox\searchplugins\yahoo-sv-SE.xml

 

O1 HOSTS File: ([2010/11/25 03:15:20 | 000,000,027 | ---- | M]) - C:\WINDOWS\system32\drivers\etc\hosts

O1 - Hosts: 127.0.0.1 localhost

O2 - BHO: (Adobe PDF Reader Link Helper) - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll (Adobe Systems Incorporated)

O2 - BHO: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program\ConduitEngine\ConduitEngin0.dll (Conduit Ltd.)

O2 - BHO: (PCTools Site Guard) - {5C8B2A36-3DB1-42A4-A3CB-D426709BBFEB} - Reg Error: Value error. File not found

O2 - BHO: (Symantec NCO BHO) - {602ADB0E-4AFF-4217-8AA1-95DAC4DFA408} - C:\Program\Norton Internet Security\Engine\17.8.0.5\coieplg.dll (Symantec Corporation)

O2 - BHO: (Symantec Intrusion Prevention) - {6D53EC84-6AAE-4787-AEEE-F4628F01010C} - C:\Program\Norton Internet Security\Engine\17.8.0.5\ipsbho.dll (Symantec Corporation)

O2 - BHO: (ToggleSW Toolbar) - {6dabbda0-1da5-4a2f-bc89-2ae084c572fa} - C:\Program\ToggleSW\tbTog0.dll (Conduit Ltd.)

O2 - BHO: (Java Plug-In 2 SSV Helper) - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll File not found

O3 - HKLM\..\Toolbar: (Conduit Engine) - {30F9B915-B755-4826-820B-08FBA6BD249D} - C:\Program\ConduitEngine\ConduitEngin0.dll (Conduit Ltd.)

O3 - HKLM\..\Toolbar: (ToggleSW Toolbar) - {6dabbda0-1da5-4a2f-bc89-2ae084c572fa} - C:\Program\ToggleSW\tbTog0.dll (Conduit Ltd.)

O3 - HKLM\..\Toolbar: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program\Norton Internet Security\Engine\17.8.0.5\coieplg.dll (Symantec Corporation)

O3 - HKLM\..\Toolbar: (TerraTec Home Cinema) - {AD6E6555-FB2C-47D4-8339-3E2965509877} - C:\Program\TerraTec\TerraTec Home Cinema\ThcDeskBand.dll (TerraTec Electronic GmbH)

O3 - HKLM\..\Toolbar: (BitTorrent.To Toolbar) - {BFB5F154-9212-46F3-B547-AC6106030A54} - Reg Error: Value error. File not found

O3 - HKLM\..\Toolbar: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)

O3 - HKU\Karl-Erik_Karlsson_ON_C\..\Toolbar\ShellBrowser: (no name) - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - No CLSID value found.

O3 - HKU\Karl-Erik_Karlsson_ON_C\..\Toolbar\ShellBrowser: (Norton Toolbar) - {7FEBEFE3-6B19-4349-98D2-FFB09D4B49CA} - C:\Program\Norton Internet Security\Engine\17.8.0.5\coieplg.dll (Symantec Corporation)

O3 - HKU\Karl-Erik_Karlsson_ON_C\..\Toolbar\ShellBrowser: (BitTorrent.To Toolbar) - {BFB5F154-9212-46F3-B547-AC6106030A54} - Reg Error: Value error. File not found

O3 - HKU\Karl-Erik_Karlsson_ON_C\..\Toolbar\WebBrowser: (BitTorrent.To Toolbar) - {BFB5F154-9212-46F3-B547-AC6106030A54} - Reg Error: Value error. File not found

O3 - HKU\Karl-Erik_Karlsson_ON_C\..\Toolbar\WebBrowser: (Yahoo! Toolbar) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Program\Yahoo!\Companion\Installs\cpn\yt.dll (Yahoo! Inc.)

O4 - HKLM..\Run: [Adobe ARM] C:\Program\Delade filer\Adobe\ARM\1.0\AdobeARM.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [Adobe Reader Speed Launcher] C:\Program\Adobe\Reader 8.0\Reader\Reader_sl.exe (Adobe Systems Incorporated)

O4 - HKLM..\Run: [KernelFaultCheck] File not found

O4 - HKLM..\Run: [khiggesys] C:\WINDOWS\System32\wvtsts.dll ($t@t1c_V()1D)

O4 - HKU\.DEFAULT..\Run: [tutqrqsys] C:\WINDOWS\System32\wvtsts.dll ($t@t1c_V()1D)

O4 - HKU\Karl-Erik_Karlsson_ON_C..\Run: [Remote Control Editor] C:\Program\Delade filer\TerraTec\Remote\TTTVRC.exe (Elgato Systems)

O4 - HKU\Administratör_ON_C..\RunOnce: [NeroHomeFirstStart] C:\Program\Delade filer\Ahead\Lib\NMFirstStart.exe File not found

O4 - Startup: C:\Documents and Settings\All Users\Start-meny\Program\Autostart\DUC20.exe.lnk = C:\Program\No-IP\DUC20.exe (Vitalwerks LLC)

O4 - Startup: C:\Documents and Settings\All Users\Start-meny\Program\Autostart\DynDNS Updater Tray Icon.lnk = C:\Program\DynDNS Updater\DynTray.exe (Dynamic Network Services, Inc.)

O4 - Startup: C:\Documents and Settings\All Users\Start-meny\Program\Autostart\Monitor Apache Servers.lnk = C:\Program\Apache2.2\bin\ApacheMonitor.exe (Apache Software Foundation)

O4 - Startup: C:\Documents and Settings\All Users\Start-meny\Program\Autostart\Start.lnk = C:\Program\Apache2.2\bin\httpd.exe (Apache Software Foundation)

O6 - HKLM\Software\Policies\Microsoft\Internet Explorer\Restrictions present

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: HonorAutoRunSetting = 1

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O6 - HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O7 - HKU\.DEFAULT\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O7 - HKU\Administratör_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\Karl-Erik_Karlsson_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 323

O7 - HKU\Karl-Erik_Karlsson_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveAutoRun = 67108863

O7 - HKU\Karl-Erik_Karlsson_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDrives = 0

O7 - HKU\LocalService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O7 - HKU\NetworkService_ON_C\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer: NoDriveTypeAutoRun = 145

O9 - Extra Button: Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe File not found

O9 - Extra 'Tools' menuitem : Net2Phone - {4B30061A-5B39-11D3-80F8-0090276F843F} - C:\Program Files\Net2Phone\Net2fone.exe File not found

O10 - NameSpace_Catalog5\Catalog_Entries\000000000001 [] - C:\WINDOWS\system32\nwprovau.dll (Microsoft Corporation)

O10 - Protocol_Catalog9\Catalog_Entries\000000000001 - C:\Program\Delade filer\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)

O10 - Protocol_Catalog9\Catalog_Entries\000000000002 - C:\Program\Delade filer\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)

O10 - Protocol_Catalog9\Catalog_Entries\000000000003 - C:\Program\Delade filer\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)

O10 - Protocol_Catalog9\Catalog_Entries\000000000036 - C:\Program\Delade filer\PC Tools\Lsp\PCTLsp.dll (PC Tools Research Pty Ltd.)

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} http://by109fd.bay109.hotmail.msn.com/resources/MsnPUpld.cab (MSN Photo Upload Tool)

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} http://v5.windowsupdate.microsoft.com/v5consumer/V5Controls/en/x86/client/wuweb_site.cab?1094970742420 (WUWebControl Class)

O16 - DPF: {6A344D34-5231-452A-8A57-D064AC9B7862} https://webdl.symantec.com/activex/symdlmgr.cab (Symantec Download Manager)

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1209494601406 (MUWebControl Class)

O16 - DPF: {745395C8-D0E1-4227-8586-624CA9A10A8D} http://82.51.236.211//activex/AMC.cab (AxisMediaControl Class)

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} http://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab (Shockwave Flash Object)

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab (Reg Error: Key error.)

O16 - DPF: DirectAnimation Java Classes file://C:\WINDOWS\Java\classes\dajava.cab (Reg Error: Key error.)

O16 - DPF: Microsoft XML Parser for Java file://C:\WINDOWS\Java\classes\xmldso.cab (Reg Error: Key error.)

O17 - HKLM\System\CCS\Services\Tcpip\Parameters: DhcpNameServer = 192.168.0.1

O18 - Protocol\Handler\http\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program\Delade filer\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\http\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program\Delade filer\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program\Delade filer\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\https\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program\Delade filer\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\ipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program\Delade filer\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\0x00000001 {E1D2BF42-A96B-11d1-9C6B-0000F875AC61} - C:\Program\Delade filer\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O18 - Protocol\Handler\msdaipp\oledb {E1D2BF40-A96B-11d1-9C6B-0000F875AC61} - C:\Program\Delade filer\System\Ole DB\MSDAIPP.DLL (Microsoft Corporation)

O20 - HKLM Winlogon: Shell - (Explorer.exe) - C:\WINDOWS\explorer.exe (Microsoft Corporation)

O20 - Winlogon\Notify\igfxcui: DllName - igfxdev.dll - C:\WINDOWS\System32\igfxdev.dll (Intel Corporation)

O30 - LSA: Authentication Packages - (wvtsts.dll) - C:\WINDOWS\System32\wvtsts.dll ($t@t1c_V()1D)

O32 - HKLM CDRom: AutoRun - 1

O32 - AutoRun File - [2004/09/08 14:53:42 | 000,000,000 | ---- | M] () - C:\AUTOEXEC.BAT -- [ NTFS ]

O32 - AutoRun File - [2006/03/24 06:06:41 | 000,000,053 | R--- | M] () - X:\AUTORUN.INF -- [ CDFS ]

O34 - HKLM BootExecute: (autocheck autochk *) - File not found

O35 - HKLM\..comfile [open] -- "%1" %*

O35 - HKLM\..exefile [open] -- "%1" %*

O37 - HKLM\...com [@ = ComFile] -- "%1" %*

O37 - HKLM\...exe [@ = exefile] -- "%1" %*

 

========== Files/Folders - Created Within 30 Days ==========

 

[2010/11/25 13:46:37 | 000,656,320 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\pctEFA.sys

[2010/11/25 13:46:37 | 000,338,880 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\pctDS.sys

[2010/11/25 13:46:36 | 000,249,616 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\pctgntdi.sys

[2010/11/25 13:46:31 | 000,237,632 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\PCTCore.sys

[2010/11/25 13:46:31 | 000,159,936 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\PCTAppEvent.sys

[2010/11/25 13:46:22 | 000,123,712 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\pctplfw.sys

[2010/11/25 13:46:22 | 000,087,400 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\pctNdis-PacketFilter.sys

[2010/11/25 13:46:22 | 000,031,960 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\pctNdis-DNS.sys

[2010/11/25 13:46:19 | 000,070,536 | ---- | C] (PC Tools) -- C:\WINDOWS\System32\drivers\pctplsg.sys

[2010/11/25 13:46:00 | 000,000,000 | ---D | C] -- C:\Program\PC Tools Security

[2010/11/25 13:46:00 | 000,000,000 | ---D | C] -- C:\Program\Delade filer\PC Tools

[2010/11/25 13:46:00 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\PC Tools

[2010/11/25 08:45:06 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Karl-Erik Karlsson\Skrivbord\tdsskiller

[2010/11/25 08:40:53 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Karl-Erik Karlsson\Skrivbord\TrojanJakt

[2010/11/25 03:12:40 | 000,000,000 | ---D | C] -- C:\WINDOWS\temp

[2010/11/25 03:05:15 | 000,000,000 | --SD | C] -- C:\ComboFix

[2010/11/24 16:27:18 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\NetworkService\Cookies

[2010/11/24 14:58:26 | 000,038,224 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbamswissarmy.sys

[2010/11/24 14:58:23 | 000,020,952 | ---- | C] (Malwarebytes Corporation) -- C:\WINDOWS\System32\drivers\mbam.sys

[2010/11/24 14:58:23 | 000,000,000 | ---D | C] -- C:\Program\Malwarebytes' Anti-Malware

[2010/11/24 12:59:52 | 000,000,000 | RHSD | C] -- C:\cmdcons

[2010/11/24 12:57:28 | 000,212,480 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWXCACLS.exe

[2010/11/24 12:57:28 | 000,161,792 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWREG.exe

[2010/11/24 12:57:28 | 000,136,704 | ---- | C] (SteelWerX) -- C:\WINDOWS\SWSC.exe

[2010/11/24 12:57:28 | 000,031,232 | ---- | C] (NirSoft) -- C:\WINDOWS\NIRCMD.exe

[2010/11/24 12:36:48 | 000,000,000 | ---D | C] -- C:\WINDOWS\ERDNT

[2010/11/24 12:35:43 | 000,000,000 | ---D | C] -- C:\Qoobox

[2010/11/24 07:46:21 | 000,000,000 | -HSD | C] -- C:\Documents and Settings\Administratör\IETldCache

[2010/11/24 04:55:54 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\Malwarebytes

[2010/11/23 11:54:47 | 000,000,000 | ---D | C] -- C:\VundoFix Backups

[2010/11/22 12:16:41 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Karl-Erik Karlsson\Lokala inställningar\Application Data\ToggleSW

[2010/11/22 12:16:38 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Karl-Erik Karlsson\Lokala inställningar\Application Data\ConduitEngine

[2010/11/22 12:16:34 | 000,000,000 | ---D | C] -- C:\Program\ConduitEngine

[2010/11/22 12:16:28 | 000,000,000 | ---D | C] -- C:\Program\ToggleSW

[2010/11/22 12:16:28 | 000,000,000 | ---D | C] -- C:\Documents and Settings\Karl-Erik Karlsson\Lokala inställningar\Application Data\Temp

[2010/06/13 11:19:13 | 000,047,360 | ---- | C] (VSO Software) -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\pcouffin.sys

[2009/07/22 00:59:36 | 008,922,906 | ---- | C] (micro video soft Inc.) -- C:\Documents and Settings\Karl-Erik Karlsson\Micro Video Capture.exe

 

========== Files - Modified Within 30 Days ==========

 

[2010/11/26 03:26:43 | 000,002,048 | --S- | M] () -- C:\WINDOWS\bootstat.dat

[2010/11/26 00:38:37 | 000,000,336 | ---- | M] () -- C:\WINDOWS\tasks\TipsScanna.job

[2010/11/25 13:46:54 | 000,800,208 | ---- | M] () -- C:\WINDOWS\System32\drivers\Cat.DB

[2010/11/25 13:37:03 | 000,507,360 | ---- | M] () -- C:\Documents and Settings\Karl-Erik Karlsson\Skrivbord\sdsetup.exe

[2010/11/25 09:42:40 | 1598,029,824 | ---- | M] () -- C:\WINDOWS\MEMORY.DMP

[2010/11/25 08:44:19 | 001,224,671 | ---- | M] () -- C:\Documents and Settings\Karl-Erik Karlsson\Skrivbord\tdsskiller.zip

[2010/11/25 08:44:01 | 000,296,448 | ---- | M] () -- C:\Documents and Settings\Karl-Erik Karlsson\Skrivbord\95yo8oyz.exe

[2010/11/25 08:43:39 | 000,089,088 | ---- | M] () -- C:\Documents and Settings\Karl-Erik Karlsson\Skrivbord\mbr.exe

[2010/11/25 03:15:20 | 000,000,027 | ---- | M] () -- C:\WINDOWS\System32\drivers\etc\hosts

[2010/11/25 03:12:00 | 000,079,872 | -H-- | M] ($t@t1c_V()1D) -- C:\WINDOWS\System32\wvtsts.dll

[2010/11/24 13:00:03 | 000,000,327 | RHS- | M] () -- C:\boot.ini

[2010/11/22 12:15:54 | 000,001,564 | ---- | M] () -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk

[2010/11/22 01:53:39 | 000,433,076 | ---- | M] () -- C:\WINDOWS\System32\perfh01D.dat

[2010/11/22 01:53:39 | 000,079,110 | ---- | M] () -- C:\WINDOWS\System32\perfc01D.dat

[2010/11/22 01:53:38 | 000,427,830 | ---- | M] () -- C:\WINDOWS\System32\perfh009.dat

[2010/11/22 01:53:38 | 000,065,030 | ---- | M] () -- C:\WINDOWS\System32\perfc009.dat

[2010/11/22 01:51:30 | 000,002,206 | ---- | M] () -- C:\WINDOWS\System32\wpa.dbl

[2010/11/07 19:20:24 | 000,089,088 | ---- | M] () -- C:\WINDOWS\MBR.exe

 

========== Files Created - No Company Name ==========

 

[2010/11/25 13:46:40 | 000,800,208 | ---- | C] () -- C:\WINDOWS\System32\drivers\Cat.DB

[2010/11/25 13:39:38 | 000,507,360 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\Skrivbord\sdsetup.exe

[2010/11/25 08:44:18 | 001,224,671 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\Skrivbord\tdsskiller.zip

[2010/11/25 08:44:01 | 000,296,448 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\Skrivbord\95yo8oyz.exe

[2010/11/25 08:43:39 | 000,089,088 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\Skrivbord\mbr.exe

[2010/11/25 03:44:57 | 000,000,800 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\Skrivbord\Monitor Apache Servers.lnk

[2010/11/24 13:00:03 | 000,000,211 | ---- | C] () -- C:\Boot.bak

[2010/11/24 12:59:58 | 000,260,784 | RHS- | C] () -- C:\cmldr

[2010/11/24 12:57:28 | 000,256,512 | ---- | C] () -- C:\WINDOWS\PEV.exe

[2010/11/24 12:57:28 | 000,098,816 | ---- | C] () -- C:\WINDOWS\sed.exe

[2010/11/24 12:57:28 | 000,089,088 | ---- | C] () -- C:\WINDOWS\MBR.exe

[2010/11/24 12:57:28 | 000,080,412 | ---- | C] () -- C:\WINDOWS\grep.exe

[2010/11/24 12:57:28 | 000,068,096 | ---- | C] () -- C:\WINDOWS\zip.exe

[2010/11/22 12:15:54 | 000,001,564 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\Microsoft\Internet Explorer\Quick Launch\Mozilla Firefox.lnk

[2010/06/15 14:47:43 | 000,006,642 | ---- | C] () -- C:\WINDOWS\mgxoschk.ini

[2010/06/15 14:43:02 | 000,120,200 | ---- | C] () -- C:\WINDOWS\System32\DLLDEV32i.dll

[2010/06/14 13:45:02 | 000,524,288 | ---- | C] () -- C:\WINDOWS\System32\xvidcore.dll

[2010/06/14 13:45:02 | 000,139,264 | ---- | C] () -- C:\WINDOWS\System32\xvidvfw.dll

[2010/06/14 12:54:24 | 000,000,002 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\tenmy.ini

[2010/06/13 11:19:17 | 000,000,034 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\pcouffin.log

[2010/06/13 11:19:16 | 000,081,920 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\ezpinst.exe

[2010/06/13 11:19:16 | 000,007,176 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\pcouffin.cat

[2010/06/13 11:19:13 | 000,001,144 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\pcouffin.inf

[2010/06/09 09:56:12 | 000,425,984 | ---- | C] () -- C:\WINDOWS\System32\xvid.dll

[2010/06/09 09:52:38 | 000,363,520 | ---- | C] () -- C:\WINDOWS\System32\PsisDecd.dll

[2010/06/09 09:52:20 | 000,003,072 | ---- | C] () -- C:\WINDOWS\System32\34CoInstaller.dll

[2009/09/05 10:36:33 | 000,139,832 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\System-smst

[2008/05/15 07:21:14 | 001,233,306 | ---- | C] () -- C:\Program\wrar371sw.exe

[2008/04/29 11:20:32 | 000,204,800 | R--- | C] () -- C:\WINDOWS\System32\igfxCoIn_v4764.dll

[2008/04/16 13:46:13 | 000,000,010 | ---- | C] () -- C:\WINDOWS\WININIT.INI

[2007/10/22 07:58:26 | 000,000,467 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\spell.cfg

[2007/10/22 07:58:26 | 000,000,145 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\Karl-Erik Karlsson_sp.adl

[2007/06/12 02:45:38 | 000,027,648 | ---- | C] () -- C:\WINDOWS\System32\AVSredirect.dll

[2007/06/12 02:45:36 | 000,471,552 | ---- | C] () -- C:\WINDOWS\System32\Smab.dll

[2007/04/15 23:59:41 | 000,000,088 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\default.pls

[2006/12/16 01:34:03 | 000,036,937 | ---- | C] () -- C:\WINDOWS\System32\En.ini

[2006/12/16 01:33:55 | 000,000,017 | ---- | C] () -- C:\WINDOWS\System32\auto.ini

[2006/10/05 07:34:53 | 000,002,027 | ---- | C] () -- C:\WINDOWS\Webworks.ini

[2006/10/05 02:27:45 | 000,000,694 | ---- | C] () -- C:\WINDOWS\nicheMANDELBROTsaver.ini

[2006/06/09 04:12:22 | 000,003,839 | ---- | C] () -- C:\WINDOWS\Ascd_tmp.ini

[2006/06/09 04:12:18 | 000,005,824 | ---- | C] () -- C:\WINDOWS\System32\drivers\ASUSHWIO.SYS

[2005/12/01 05:15:35 | 000,000,147 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\Lokala inställningar\Application Data\fusioncache.dat

[2005/11/29 12:37:22 | 000,000,147 | ---- | C] () -- C:\WINDOWS\System32\AddPort.ini

[2005/11/29 12:37:21 | 000,003,429 | R--- | C] () -- C:\WINDOWS\System32\hptcpmon.ini

[2005/11/29 12:34:43 | 000,000,628 | ---- | C] () -- C:\WINDOWS\hpntwksetup.ini

[2005/09/27 08:26:01 | 000,221,184 | ---- | C] () -- C:\WINDOWS\System32\rfwdres.dll

[2005/09/27 08:26:01 | 000,032,768 | ---- | C] () -- C:\WINDOWS\System32\rfhres.dll

[2005/09/27 08:26:01 | 000,024,576 | ---- | C] () -- C:\WINDOWS\System32\rfshres.dll

[2005/09/27 08:26:01 | 000,020,480 | ---- | C] () -- C:\WINDOWS\System32\rfstrres.dll

[2005/09/27 08:26:00 | 000,503,808 | ---- | C] () -- C:\WINDOWS\System32\RFHelper.dll

[2005/09/27 08:26:00 | 000,126,976 | ---- | C] () -- C:\WINDOWS\System32\rfshext.dll

[2005/09/27 05:21:21 | 000,005,488 | ---- | C] () -- C:\WINDOWS\1st-ftp.ini

[2005/09/09 04:14:17 | 000,000,088 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\LuResult.txt

[2005/07/01 01:41:12 | 000,000,798 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\.plugin141_02.trace

[2005/04/27 02:11:59 | 000,000,047 | ---- | C] () -- C:\WINDOWS\entpack.ini

[2005/04/02 15:40:16 | 000,049,152 | ---- | C] () -- C:\WINDOWS\System32\OctaneARM.dll

[2004/11/04 06:31:11 | 000,000,108 | ---- | C] () -- C:\WINDOWS\setihome.ini

[2004/10/23 04:50:38 | 000,000,000 | ---- | C] () -- C:\WINDOWS\ATIMMC.INI

[2004/10/09 04:20:28 | 000,000,626 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\plugin130_01.trace

[2004/10/09 04:17:57 | 000,098,304 | ---- | C] () -- C:\WINDOWS\System32\N2PUtil.dll

[2004/10/09 04:17:46 | 000,000,470 | ---- | C] () -- C:\WINDOWS\net2fone.ini

[2004/09/26 03:39:45 | 000,000,185 | ---- | C] () -- C:\WINDOWS\mdm.ini

[2004/09/25 03:18:43 | 000,000,116 | ---- | C] () -- C:\WINDOWS\NeroDigital.ini

[2004/09/25 02:50:27 | 000,070,144 | ---- | C] () -- C:\Documents and Settings\Karl-Erik Karlsson\Lokala inställningar\Application Data\DCBC2A71-70D8-4DAN-EHR8-E0D61DEA3FDF.ini

[2004/09/14 00:31:13 | 000,000,025 | ---- | C] () -- C:\WINDOWS\CDE CX5400LANG2.ini

[2004/09/12 11:49:08 | 000,000,083 | ---- | C] () -- C:\WINDOWS\SmartTrust.ini

[2004/09/09 13:47:44 | 000,000,649 | ---- | C] () -- C:\WINDOWS\ODBC.INI

[2004/09/08 16:41:20 | 000,032,336 | ---- | C] () -- C:\WINDOWS\System32\drivers\atintuxx.sys

[2004/09/08 16:41:18 | 000,065,104 | ---- | C] () -- C:\WINDOWS\System32\drivers\atinrvxx.sys

[2004/09/08 16:41:14 | 000,032,592 | ---- | C] () -- C:\WINDOWS\System32\drivers\atinxsxx.sys

[2004/09/08 16:41:13 | 000,011,280 | ---- | C] () -- C:\WINDOWS\System32\drivers\atinmdxx.sys

[2004/09/08 16:41:12 | 000,020,960 | ---- | C] () -- C:\WINDOWS\System32\drivers\atinttxx.sys

[2004/09/08 16:38:31 | 000,004,293 | ---- | C] () -- C:\WINDOWS\ODBCINST.INI

[2004/08/04 00:29:29 | 000,032,848 | ---- | C] () -- C:\WINDOWS\System32\drivers\atinraxx.sys

[2004/08/04 00:29:29 | 000,011,760 | ---- | C] () -- C:\WINDOWS\System32\drivers\atinpdxx.sys

[2004/08/04 00:29:27 | 000,060,464 | ---- | C] () -- C:\WINDOWS\System32\drivers\atinbtxx.sys

[2002/03/21 07:51:52 | 000,503,808 | R--- | C] () -- C:\WINDOWS\System32\lt_xtrans.dll

[2002/03/21 07:51:52 | 000,286,720 | R--- | C] () -- C:\WINDOWS\System32\MrSIDD.dll

[2002/03/21 07:51:52 | 000,163,840 | R--- | C] () -- C:\WINDOWS\System32\lt_common.dll

[2002/03/21 07:51:52 | 000,126,976 | R--- | C] () -- C:\WINDOWS\System32\lt_trans.dll

[2002/03/21 07:51:52 | 000,069,632 | R--- | C] () -- C:\WINDOWS\System32\lt_meta.dll

[2002/03/21 07:51:52 | 000,053,248 | R--- | C] () -- C:\WINDOWS\System32\lt_encrypt.dll

[2002/03/21 07:51:52 | 000,020,480 | R--- | C] () -- C:\WINDOWS\System32\lt_messagetext.dll

[2002/03/20 16:01:06 | 000,006,688 | R--- | C] () -- C:\WINDOWS\System32\Digita.sys

[2002/03/20 16:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportUSB.dll

[2002/03/20 16:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportSerial.dll

[2002/03/20 16:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportIrDA.dll

[2002/03/20 16:00:20 | 000,049,152 | R--- | C] () -- C:\WINDOWS\System32\TransportIrCOMM.dll

[1996/04/03 14:33:26 | 000,005,248 | ---- | C] () -- C:\WINDOWS\System32\giveio.sys

 

========== LOP Check ==========

 

[2005/01/28 02:06:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\ACD Systems

[2007/10/24 09:10:04 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\Acronis

[2010/06/14 15:10:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\AVSMedia

[2007/01/16 09:16:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\ContentGuard

[2010/02/06 10:51:23 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\CoreFTP

[2007/06/11 01:10:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\Eltima Software

[2004/09/14 07:50:12 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\EPSON

[2009/11/23 10:30:39 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\FileZilla

[2007/10/22 10:06:49 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\hm

[2007/10/22 07:31:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\hmdmsdoc

[2007/10/22 07:31:55 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\hmtpl

[2008/04/18 05:46:31 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\Leadertech

[2010/06/15 14:47:34 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\MAGIX

[2010/02/13 10:39:35 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\ManyCam

[2005/08/11 08:05:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\Personal

[2010/06/18 11:50:02 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\TerraTec

[2010/06/14 12:53:47 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\Thinstall

[2005/09/01 07:26:28 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\Thunderbird

[2010/01/07 09:55:15 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\TiFiC

[2010/05/28 07:44:42 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\Uniblue

[2010/08/10 20:18:08 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\uTorrent

[2010/06/13 11:19:36 | 000,000,000 | ---D | M] -- C:\Documents and Settings\Karl-Erik Karlsson\Application Data\Vso

[2010/11/26 00:38:37 | 000,000,336 | ---- | M] () -- C:\WINDOWS\Tasks\TipsScanna.job

 

========== Purity Check ==========

 

 

< End of report >

[/log]

 

 

Mvh

 

/Kalle

Link to comment
Share on other sites

Tack för att du berättade på vilket sätt OTLPE var ändrad i denna version. :)

 

Kopiera alla rader i rutan:

Killall::
Rootkit::
C:\WINDOWS\System32\wvtsts.dll
Driver::
winbackupdumper-id19v1RkZc3WzM
acrosysbackup_exv1RkZc3WzM
DDS::
mRun: [khiggesys] rundll32.exe "wvtsts.dll",DllRegisterServer
dRun: [tutqrqsys] rundll32.exe "wvtsts.dll",DllRegisterServer
dRun: [pmlliidrv] rundll32.exe "efdbyx.dll",s

och klistra in i Anteckningar. Kontrollera att det ser exakt likadant ut, t ex när det gäller radbrytningar.

Spara filen på Skrivbordet med namnet CFScript.

 

Förbered datorn på samma sätt som tidigare för ComboFix.

Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.

Klistra in loggen som kommer ut.

Link to comment
Share on other sites

Gick in i felsäkert läge, efter att ha stängt ned NIS och internet.

 

ComboFix startade, meddelade att den försökte att skapa en återställningspunkt.

 

(Skulle den göra så ?)

 

Fortsatte och uppnådde utförda 50 Skeden

 

Avslutade förtjänstfullt med att starta om datorn och presentera loggen, enligt:

 

[log]ComboFix 10-11-23.05 - Karl-Erik Karlsson 2010-11-26 13:42:28.4.2 - x86 MINIMAL

Microsoft Windows XP Professional 5.1.2600.3.1252.46.1053.18.3063.2806 [GMT 1:00]

Körs från: c:\documents and settings\Karl-Erik Karlsson\Skrivbord\ComboFix.exe

Använda kommandoväxlar :: c:\documents and settings\Karl-Erik Karlsson\Skrivbord\CFScript

AV: Norton Internet Security *On-access scanning disabled* (Updated) {E10A9785-9598-4754-B552-92431C1C35F8}

FW: Norton Internet Security *enabled* {7C21A4C9-F61F-4AC4-B722-A6E19C16F220}

.

 

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\windows\system32\efdaxw.dll

c:\windows\system32\wvtsts.dll

.

---- Föregående körning -------

.

c:\windows\system32\wvtsts.dll

 

.

((((((((((((((((((((((((((((((((((((((( Drivrutiner/Tjänster )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

-------\Legacy_ACROSYSBACKUP_EXV1RKZC3WZM

-------\Legacy_WINBACKUPDUMPER-ID19V1RKZC3WZM

-------\Service_acrosysbackup_exv1RkZc3WzM

-------\Service_winbackupdumper-id19v1RkZc3WzM

 

 

(((((((((((((((((((((((( Filer Skapade från 2010-10-26 till 2010-11-26 ))))))))))))))))))))))))))))))

.

 

2010-11-24 19:58 . 2010-04-29 14:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-11-24 19:58 . 2010-11-24 19:58 -------- d-----w- c:\program\Malwarebytes' Anti-Malware

2010-11-24 19:58 . 2010-04-29 14:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-11-24 12:46 . 2010-11-24 12:46 -------- d-sh--w- c:\documents and settings\Administratör\IETldCache

2010-11-24 09:55 . 2010-11-24 09:55 -------- d-----w- c:\documents and settings\Karl-Erik Karlsson\Application Data\Malwarebytes

2010-11-24 09:55 . 2010-11-24 09:55 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-11-23 16:54 . 2010-11-23 16:54 -------- d-----w- C:\VundoFix Backups

2010-11-22 17:16 . 2010-11-22 18:21 -------- d-----w- c:\documents and settings\Karl-Erik Karlsson\Lokala inställningar\Application Data\ToggleSW

2010-11-22 17:16 . 2010-11-22 18:21 -------- d-----w- c:\documents and settings\Karl-Erik Karlsson\Lokala inställningar\Application Data\ConduitEngine

2010-11-22 17:16 . 2010-11-22 18:22 -------- d-----w- c:\program\ConduitEngine

2010-11-22 17:16 . 2010-11-22 18:22 -------- d-----w- c:\program\ToggleSW

2010-11-22 17:16 . 2010-11-22 17:16 -------- d-----w- c:\documents and settings\Karl-Erik Karlsson\Lokala inställningar\Application Data\Temp

2010-11-22 17:15 . 2010-10-27 06:23 25048 ----a-w- c:\program\Mozilla Firefox\components\browserdirprovider.dll

2010-11-22 17:15 . 2010-10-27 06:23 140248 ----a-w- c:\program\Mozilla Firefox\components\brwsrcmp.dll

2010-11-22 17:15 . 2010-10-27 06:23 719832 ----a-w- c:\program\Mozilla Firefox\mozcpp19.dll

2010-11-22 17:15 . 2010-10-27 06:23 16856 ----a-w- c:\program\Mozilla Firefox\plugin-container.exe

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-11-26 12:54 . 2010-06-14 17:54 79872 ---ha-w- c:\windows\system32\wvtsts.dll

2010-09-18 10:23 . 2001-09-28 12:00 974848 ----a-w- c:\windows\system32\mfc42u.dll

2010-09-18 06:53 . 2001-09-28 12:00 974848 ----a-w- c:\windows\system32\mfc42.dll

2010-09-18 06:53 . 2001-09-28 12:00 954368 ----a-w- c:\windows\system32\mfc40.dll

2010-09-18 06:53 . 2001-09-28 12:00 953856 ----a-w- c:\windows\system32\mfc40u.dll

2010-09-10 05:52 . 2006-06-23 11:30 916480 ----a-w- c:\windows\system32\wininet.dll

2010-09-10 05:52 . 2002-09-09 12:08 1469440 ------w- c:\windows\system32\inetcpl.cpl

2010-09-10 05:52 . 2002-09-09 12:07 43520 ----a-w- c:\windows\system32\licmgr10.dll

2010-09-01 11:52 . 2001-09-28 12:00 285824 ----a-w- c:\windows\system32\atmfd.dll

2010-09-01 07:57 . 2002-09-09 11:44 1852800 ----a-w- c:\windows\system32\win32k.sys

2008-05-15 12:21 . 2008-05-15 12:21 1233306 ----a-w- c:\program\wrar371sw.exe

.

 

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}"= "c:\program\ToggleSW\tbTog0.dll" [2010-10-18 3908192]

 

[HKEY_CLASSES_ROOT\clsid\{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{30F9B915-B755-4826-820B-08FBA6BD249D}]

2010-10-18 10:26 3908192 ----a-w- c:\program\ConduitEngine\ConduitEngin0.dll

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}]

2010-10-18 10:26 3908192 ----a-w- c:\program\ToggleSW\tbTog0.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}"= "c:\program\ToggleSW\tbTog0.dll" [2010-10-18 3908192]

"{30F9B915-B755-4826-820B-08FBA6BD249D}"= "c:\program\ConduitEngine\ConduitEngin0.dll" [2010-10-18 3908192]

 

[HKEY_CLASSES_ROOT\clsid\{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}]

 

[HKEY_CLASSES_ROOT\clsid\{30f9b915-b755-4826-820b-08fba6bd249d}]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Remote Control Editor"="c:\program\Delade filer\TerraTec\Remote\TTTVRC.exe" [2009-09-22 1528320]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Adobe Reader Speed Launcher"="c:\program\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2010-06-17 40368]

"Adobe ARM"="c:\program\Delade filer\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-21 932288]

"pmlkhfsys"="wvtsts.dll" [2010-11-26 79872]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2008-04-14 15360]

"tutqrqsys"="wvtsts.dll" [2010-11-26 79872]

 

c:\documents and settings\All Users\Start-meny\Program\Autostart\

DUC20.exe.lnk - c:\program\No-IP\DUC20.exe [2008-4-19 1172992]

DynDNS Updater Tray Icon.lnk - c:\program\DynDNS Updater\DynTray.exe [2008-4-8 65536]

Monitor Apache Servers.lnk - c:\program\Apache2.2\bin\ApacheMonitor.exe [2008-1-17 41041]

Start.lnk - c:\program\Apache2.2\bin\httpd.exe [2008-1-17 24635]

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"Norton Internet Security"=2 (0x2)

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"c:\\WINDOWS\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program\\uTorrent\\uTorrent.exe"=

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program\\TerraTec\\TerraTec Home Cinema\\tvtvSetup\\tvtv_Wizard.exe"=

"c:\\Program\\TerraTec\\TerraTec Home Cinema\\CinergyDvr.exe"=

"c:\\Program\\TerraTec\\TerraTec Home Cinema\\VersionCheck\\VersionCheck.exe"=

"c:\\Program\\TerraTec\\TerraTec Home Cinema\\InstTool.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"86:TCP"= 86:TCP:BroadCam Video Streaming Server Web Server

"4100:UDP"= 4100:UDP:uPNP Router Control Port

 

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2010-11-25 237632]

R0 pctDS;PC Tools Data Store;c:\windows\system32\drivers\pctDS.sys [2010-11-25 338880]

R0 pctEFA;PC Tools Extended File Attributes;c:\windows\system32\drivers\pctEFA.sys [2010-11-25 656320]

R0 SymDS;Symantec Data Store;c:\windows\system32\drivers\NIS\1108000.005\symds.sys [2010-09-21 328752]

R0 SymEFA;Symantec Extended File Attributes;c:\windows\system32\drivers\NIS\1108000.005\symefa.sys [2010-09-21 173104]

R1 BHDrvx86;BHDrvx86;c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\BASHDefs\20101104.001\BHDrvx86.sys [2010-11-04 691248]

R1 ccHP;Symantec Hash Provider;c:\windows\system32\drivers\NIS\1108000.005\cchpx86.sys [2010-09-21 501888]

R1 SymIRON;Symantec Iron Driver;c:\windows\system32\drivers\NIS\1108000.005\ironx86.sys [2010-09-21 116784]

R2 Apache2.2;Apache2.2;c:\program\Apache2.2\bin\httpd.exe [2008-01-17 24635]

R2 DynDNS Updater;DynDNS Updater;c:\program\DynDNS Updater\DynUpSvc.exe [2008-04-08 61440]

R2 NIS;Norton Internet Security;c:\program\Norton Internet Security\Engine\17.8.0.5\ccsvchst.exe [2010-09-21 126392]

R3 Cinergy_HT_PCI_MKII;Cinergy HT PCI (MKII) service;c:\windows\system32\drivers\Cinergy_HT_PCI_MKII.sys [2010-06-15 221184]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program\Delade filer\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2010-05-27 102448]

R3 IDSxpx86;IDSxpx86;c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\Definitions\IPSDefs\20101124.002\IDSXpx86.sys [2010-10-19 341880]

S2 ATTSCAP;AVerMedia, WDM MPEG-2 TS Capture (DVBT);c:\windows\system32\drivers\attscap.sys [2004-09-23 18048]

S2 ATVCAP;AVerMedia, DVB-T WDM Video Capture;c:\windows\system32\drivers\atvcap.sys [2004-09-23 56320]

S2 ATXBAR;AVerMedia, DVB-T WDM Crossbar;c:\windows\system32\drivers\atxbar.sys [2004-09-23 8576]

S2 Automatisk LiveUpdate-schemaläggare;Automatisk LiveUpdate-schemaläggare;"c:\program\Symantec\LiveUpdate\ALUSchedulerSvc.exe" --> c:\program\Symantec\LiveUpdate\ALUSchedulerSvc.exe [?]

S2 TTDec;ATI WDM Teletext Decoder;c:\windows\system32\drivers\atinttxx.sys [2004-09-08 20960]

S2 WebDriveFSD;WebDrive File System Driver;\??\e:\fpt\NetDrive\rffsd.sys --> e:\fpt\NetDrive\rffsd.sys [?]

S3 3xHybrid;Philips SAA713x PCI Card;c:\windows\system32\drivers\3xHybrid.sys [2010-06-09 554112]

S3 Atkcfg;Cordless Device Configuration;c:\windows\system32\drivers\atkcfg.sys [2006-07-07 46592]

S3 Gig5gu;Cordless Internet Access;c:\windows\system32\drivers\gig5gu.sys [2006-07-07 55680]

S3 Gigsrf;Cordless Device Line Access;c:\windows\system32\drivers\gigsrf.sys [2006-07-07 94592]

S3 Gigtnc;Cordless PC Control;c:\windows\system32\drivers\gigtnc.sys [2006-07-07 45440]

S3 glidehid;GlidePoint HID Touchpad Minidriver;c:\windows\system32\drivers\glidehid.sys [2005-09-30 33920]

S3 glideps2;GlidePoint PS/2 Touchpad Filter;c:\windows\system32\drivers\glideps2.sys [2005-09-30 12672]

S3 ManyCam;ManyCam Virtual Webcam, WDM Video Capture Driver;c:\windows\system32\DRIVERS\ManyCam.sys --> c:\windows\system32\DRIVERS\ManyCam.sys [?]

S3 sdAuxService;PC Tools Auxiliary Service;c:\program\PC Tools Security\pctsAuxs.exe [2010-11-25 366840]

S3 siellif;siellif;c:\windows\system32\drivers\siellif.sys [2005-03-01 113408]

S3 Sieupapp;Cordless Device Update;c:\windows\system32\drivers\sieupapp.sys [2006-07-07 32128]

S3 Sieupdfu;Cordless Device in update mode;c:\windows\system32\drivers\sieupdfu.sys [2006-07-07 32000]

S3 TodosAgmII;Driver for Todos Argosmini II USB;c:\windows\system32\drivers\AgmIIusb.sys [2004-11-23 22016]

S3 VMUVC;Vimicro Camera Service VMUVC;c:\windows\system32\Drivers\VMUVC.sys --> c:\windows\system32\Drivers\VMUVC.sys [?]

S3 vvftUVC;Vimicro Camera Filter Service VMUVC;c:\windows\system32\drivers\vvftUVC.sys --> c:\windows\system32\drivers\vvftUVC.sys [?]

S4 RFNP32;WebDrive Provider; [x]

.

Innehållet i mappen 'Schemalagda aktiviteter':

 

2010-11-26 c:\windows\Tasks\TipsScanna.job

- d:\wwwroot\Kalle\Tipset\TipsScanna.exe [2008-07-31 14:32]

.

.

------- Extra genomsökning -------

.

uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2088752

IE: E&xportera till Microsoft Excel - d:\program\MICROS~1\Office10\EXCEL.EXE/3000

LSP: c:\program\Delade filer\PC Tools\Lsp\PCTLsp.dll

DPF: DirectAnimation Java Classes - file://c:\windows\Java\classes\dajava.cab

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

FF - ProfilePath - c:\documents and settings\Karl-Erik Karlsson\Application Data\Mozilla\Firefox\Profiles\cg3qn3z1.default\

FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2088752&SearchSource=3&q={searchTerms}

FF - prefs.js: browser.search.selectedEngine - ToggleSW Customized Web Search

FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2088752&SearchSource=13

FF - prefs.js: network.proxy.type - 4

FF - component: c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\coFFPlgn\components\coFFPlgn.dll

FF - component: c:\documents and settings\All Users\Application Data\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\NIS_17.0.0.136\IPSFFPlgn\components\IPSFFPl.dll

FF - component: c:\documents and settings\Karl-Erik Karlsson\Application Data\Mozilla\Firefox\Profiles\cg3qn3z1.default\extensions\{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}\components\FFExternalAlert.dll

FF - component: c:\documents and settings\Karl-Erik Karlsson\Application Data\Mozilla\Firefox\Profiles\cg3qn3z1.default\extensions\{6dabbda0-1da5-4a2f-bc89-2ae084c572fa}\components\RadioWMPCore.dll

 

---- FIREFOX POLICY ----

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbaam7a8h", true);

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqz9s", true); // Traditional

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--fiqs8s", true); // Simplified

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--j6w193g", true);

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4ar", true);

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgberp4a5d4a87g", true);

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7c0a67fbc", true);

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--mgbqly7cvafr", true);

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kpry57d", true); // Traditional

c:\program\Mozilla Firefox\greprefs\all.js - pref("network.IDN.whitelist.xn--kprw13d", true); // Simplified

c:\program\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

c:\program\Mozilla Firefox\defaults\pref\firefox.js - pref("dom.ipc.plugins.enabled", false);

.

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-11-26 13:52

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\NIS]

"ImagePath"="\"c:\program\Norton Internet Security\Engine\17.8.0.5\ccSvcHst.exe\" /s \"NIS\" /m \"c:\program\Norton Internet Security\Engine\17.8.0.5\diMaster.dll\" /prefetch:1"

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

 

[HKEY_USERS\S-1-5-21-484763869-706699826-1060284298-1003\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

 

- - - - - - - > 'winlogon.exe'(420)

c:\windows\system32\RFNP32.DLL

c:\windows\system32\RFHelper.dll

c:\windows\system32\rfhres.dll

 

- - - - - - - > 'lsass.exe'(476)

c:\program\Delade filer\PC Tools\Lsp\PCTLsp.dll

 

- - - - - - - > 'explorer.exe'(2764)

c:\windows\system32\webcheck.dll

c:\program\Delade filer\PC Tools\Lsp\PCTLsp.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

 

- - - - - - - > 'csrss.exe'(396)

c:\windows\system32\wvtsts.dll

.

------------------------ Andra processer som körs ------------------------

.

c:\program\Diskeeper Corporation\Diskeeper\DkService.exe

c:\program\FileZilla Server\FileZilla Server.exe

c:\windows\System32\wbem\wmiapsrv.exe

.

**************************************************************************

.

Sluttid: 2010-11-26 13:58:35 - datorn startades om.

ComboFix-quarantined-files.txt 2010-11-26 12:58

ComboFix2.txt 2010-11-24 21:23

ComboFix3.txt 2010-11-24 18:18

 

Före genomsökningen: 65 823 047 680 byte ledigt

Efter genomsökningen: 65 833 644 032 byte ledigt

 

- - End Of File - - E210093EED6F2903D219D03D5FDF7899

[/log]

 

 

M v h

 

/Kalle

Link to comment
Share on other sites

Archived

This topic is now archived and is closed to further replies.




×
×
  • Create New...