Kan inte komma in på Windows Update mm. Virus?

20 december, 2010

Du behöver inte känna dig korkad, det är så lätt att man har olika benämningar på sånt som finns i Windows.

GMER visar en hel del så mbr.exe behöver du inte köra för närvarande.

Kopiera alla rader i rutan:

Killall::
Rootkit::
C:\WINDOWS\system32\tehwfq.dll
C:\WINDOWS\system32\qfcgjevx
C:\WINDOWS\system32\drivers\qfcgjevx
Driver::
obgutsro 
Netsvc::
obgutsro 
Registry::
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]
"9777:TCP"=-
FCopy::
c:\windows\ServicePackFiles\i386\atapi.sys|c:\windows\system32\drivers\atapi.sys

och klistra in i Anteckningar. Kontrollera att det ser exakt likadant ut, t ex när det gäller radbrytningar.

Spara filen på Skrivbordet med namnet CFScript.

Förbered datorn på samma sätt som tidigare för ComboFix.

Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.

Klistra in loggen som kommer ut.

Starta om datorn och kör Gmer och klistra in dess logg.

21 december, 2010

Det kom upp en ruta som sa att ComboFix var för gammalt och köärdes i någon form av reducerat läge. Här är loggen:

ComboFix 10-12-14.07 - Mikael Pettersson 2010-12-21 20:08:46.7.1 - x86

Microsoft Windows XP Home Edition 5.1.2600.2.1252.46.1053.18.1535.1196 [GMT 1:00]

Körs från: c:\documents and settings\Mikael Pettersson\Skrivbord\ComboFix.exe

Använda kommandoväxlar :: c:\documents and settings\Mikael Pettersson\Skrivbord\CFScript.txt

.

- REDUCERAD FUNKTIONALITETSMOD -

.

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

--------------- FCopy ---------------

c:\windows\ServicePackFiles\i386\atapi.sys --> c:\windows\system32\drivers\atapi.sys

.

(((((((((((((((((((((((( Filer Skapade från 2010-11-21 till 2010-12-21 ))))))))))))))))))))))))))))))

.

Inga nya filer har skapats under denna tid.

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-11-12 17:53 . 2010-08-22 12:34 472808 ----a-w- c:\windows\system32\deployJava1.dll

2010-11-12 15:34 . 2007-05-12 15:02 73728 ----a-w- c:\windows\system32\javacpl.cpl

.

------- Sigcheck -------

[7] 2004-08-04 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\ERDNT\cache\atapi.sys

[7] 2004-08-04 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\ServicePackFiles\i386\atapi.sys

[7] 2004-08-04 . CDFE4411A69C224BD1D11B2DA92DAC51 . 95360 . . [5.1.2600.2180] . . c:\windows\system32\dllcache\atapi.sys

[-] 2004-08-04 05:59 . !HASH: COULD NOT OPEN FILE !!!!! . 95360 . . [------] . . c:\windows\system32\drivers\atapi.sys

[7] 2002-08-29 . 95B858761A00E1D4F81F79A0DA019ACA . 86912 . . [5.1.2600.1106] . . c:\windows\$NtServicePackUninstall$\atapi.sys

[-] 2002-01-30 . 48BC2767CEEC6E8B0E15B0289F18232E . 86912 . . [5.1.2600.28] . . c:\windows\system32\ReinstallBackups\0004\DriverFiles\i386\atapi.sys

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"diagent"="c:\program\Creative\SBLive\Diagnostics\diagent.exe" [2002-04-03 135264]

"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]

"HPDJ Taskbar Utility"="c:\windows\system32\spool\drivers\w32x86\3\hpztsb04.exe" [2001-12-07 196608]

"QuickTime Task"="c:\program\QuickTime\qttask.exe" [2005-09-17 98304]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\System32\CTFMON.EXE" [2004-08-04 15360]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\RunOnce]

"SRUUninstall"="c:\windows\system32\msiexec.exe" [2005-03-21 78848]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Start-meny^Program^Autostart^Adobe Gamma Loader.lnk]

path=c:\documents and settings\All Users.WINDOWS\Start-meny\Program\Autostart\Adobe Gamma Loader.lnk

backup=c:\windows\pss\Adobe Gamma Loader.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Start-meny^Program^Autostart^Adobe Reader Speed Launch.lnk]

path=c:\documents and settings\All Users.WINDOWS\Start-meny\Program\Autostart\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Start-meny^Program^Autostart^Microsoft Office.lnk]

path=c:\documents and settings\All Users.WINDOWS\Start-meny\Program\Autostart\Microsoft Office.lnk

backup=c:\windows\pss\Microsoft Office.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Start-meny^Program^Autostart^SmartTrust CSP Certificate Utility.lnk]

path=c:\documents and settings\All Users.WINDOWS\Start-meny\Program\Autostart\SmartTrust CSP Certificate Utility.lnk

backup=c:\windows\pss\SmartTrust CSP Certificate Utility.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users.WINDOWS^Start-meny^Program^Autostart^WordQCRS.lnk]

path=c:\documents and settings\All Users.WINDOWS\Start-meny\Program\Autostart\WordQCRS.lnk

backup=c:\windows\pss\WordQCRS.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^Mikael Pettersson^Start-meny^Program^Autostart^No-IP DUC.lnk]

path=c:\documents and settings\Mikael Pettersson\Start-meny\Program\Autostart\No-IP DUC.lnk

backup=c:\windows\pss\No-IP DUC.lnkStartup

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DellTouch]

2002-01-16 22:49 163840 ----a-w- c:\windows\MMKeybd.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NeroFilterCheck]

2001-07-09 09:50 155648 ----a-w- c:\windows\system32\NeroCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

2005-09-17 21:28 98304 ----a-w- c:\program\QuickTime\qttask.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegKillElbyCheck]

2002-11-02 06:33 45056 ----a-w- c:\program\Elaborate Bytes\DVD Region Killer\ElbyCheck.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RegKillTray]

2002-11-27 21:11 49152 ----a-w- c:\program\Elaborate Bytes\DVD Region Killer\RegKillTray.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Tweak UI]

2003-03-25 04:49 106544 ----a-r- c:\windows\system32\tweakui.cpl

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\updateMgr]

2006-03-30 14:45 313472 ----a-w- c:\program\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\USIUDF_Eject_Monitor]

2004-05-28 03:50 81920 ------w- c:\program\Delade filer\Ulead Systems\DVD\USISrv.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\WordQ carat flag]

2004-02-06 05:00 24576 ----a-w- c:\program\WordQ\WordQcrs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program\\Messenger\\msmsgs.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"26263:TCP"= 26263:TCP:BitComet 26263 TCP

"26263:UDP"= 26263:UDP:BitComet 26263 UDP

R0 a347bus;a347bus;c:\windows\system32\drivers\a347bus.sys [2005-10-25 160640]

R0 a347scsi;a347scsi;c:\windows\system32\drivers\a347scsi.sys [2005-10-25 5248]

R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [2004-10-25 155136]

R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [2004-10-25 5248]

R1 Asapi;Asapi;c:\windows\system32\drivers\asapi.sys [2003-05-07 11264]

R1 ATMhelpr;ATMhelpr;c:\windows\system32\drivers\ATMHELPR.SYS [2003-03-22 4064]

R2 Nhksrv;Netropa NHK Server;c:\windows\Nhksrv.exe [2002-11-12 28672]

R3 EraserUtilRebootDrv;EraserUtilRebootDrv;c:\program\Delade filer\Symantec Shared\EENGINE\EraserUtilRebootDrv.sys [2008-03-11 109616]

R3 Msikbd2k;DellTouch;c:\windows\system32\drivers\Msikbd2k.sys [2002-11-12 6656]

R3 RegKill;RegKill;c:\windows\system32\drivers\RegKill.sys [2002-11-27 6400]

S0 ElbyVCD;ElbyVCD;c:\windows\system32\DRIVERS\ElbyVCD.sys --> c:\windows\system32\DRIVERS\ElbyVCD.sys [?]

S2 Ca533av;Icatch(IV) Video Camera Device;c:\windows\system32\drivers\Ca533av.sys [2010-06-21 515803]

S2 obgutsro;Universal Update;c:\windows\system32\svchost.exe -k netsvcs [2002-07-01 14336]

S3 Amps2prt;A4Tech PS/2 Port Mouse Driver;c:\windows\system32\drivers\Amps2prt.sys [2004-01-12 9728]

S3 Axtmvflt;Axesstel USB Filter Service;c:\windows\system32\drivers\Axtmvflt.sys [2010-06-03 3456]

S3 Axtmvmdm;Axesstel USB Modem;c:\windows\system32\drivers\Axtmvmdm.sys [2010-06-03 40064]

S3 Axtmvprt;Axesstel Diagnostic Port;c:\windows\system32\drivers\Axtmvprt.sys [2010-06-03 38784]

S3 QCEmerald;Logitech QuickCam Web;c:\windows\system32\drivers\OVCE.sys [2003-01-17 31872]

S3 TodosScReader;Driver for Todos Argosmini Usb;c:\windows\system32\drivers\amusb.sys [2003-04-23 82464]

.

------- Extra genomsökning -------

.

uStart Page = hxxp://ccp.crystone.net/

IE: Download all links using BitComet - c:\program\BitComet\BitComet.exe/AddAllLink.htm

IE: Download all videos using BitComet - c:\program\BitComet\BitComet.exe/AddVideo.htm

IE: Download link using &BitComet - c:\program\BitComet\BitComet.exe/AddLink.htm

IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\Office10\EXCEL.EXE/3000

IE: {{641F4F4E-6C91-4159-869E-9F5CE6F0F64E} - c:\program\MultiPoker\MultiPoker.exe

IE: {{B4B52284-A248-4c51-9F7C-F0A0C67FCC9D} - c:\program\PartyGaming\PartyCasino\RunCasino.exe

IE: {{EFFF8D47-D060-4108-B761-E8EC86622E56} - c:\documents and settings\All Users.WINDOWS\Start-meny\Program\Absolute Poker\Absolute Poker.lnk

DPF: Microsoft XML Parser for Java - file://c:\windows\Java\classes\xmldso.cab

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-12-21 20:12

Windows 5.1.2600 Service Pack 2 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

[HKEY_LOCAL_MACHINE\System\ControlSet003\Services\obgutsro]

"ServiceDll"="c:\windows\system32\tehwfq.dll"

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

- - - - - - - > 'explorer.exe'(1304)

c:\windows\system32\ieframe.dll

c:\windows\system32\webcheck.dll

.

------------------------ Andra processer som körs ------------------------

.

c:\windows\System32\SCardSvr.exe

c:\windows\System32\Ati2evxx.exe

c:\windows\System32\CTsvcCDA.exe

c:\program\Java\jre6\bin\jqs.exe

c:\program\Delade filer\Ulead Systems\DVD\ULCDRSvr.exe

c:\windows\system32\wdfmgr.exe

c:\windows\System32\MsPMSPSv.exe

.

**************************************************************************

.

Sluttid: 2010-12-21 20:19:05 - datorn startades om.

ComboFix-quarantined-files.txt 2010-12-21 19:18

ComboFix2.txt 2010-12-18 19:45

ComboFix3.txt 2010-12-18 15:00

ComboFix4.txt 2010-12-17 17:48

ComboFix5.txt 2010-12-21 19:08

Före genomsökningen: 94 710 833 152 byte ledigt

Efter genomsökningen: 94 718 074 880 byte ledigt

- - End Of File - - BAF483C87E8ADA000904C7FA17658F49

21 december, 2010

Ta bort den ComboFix du har och hämta senaste versionen med hjälp av samma länk som tidigare. Kör om enligt inlägg 51.

23 december, 2010

Jag har problem att ladda ner ComboFix denna gång. Det går jättelångsamt och låser sig vid ca 33% varje gång

23 december, 2010

Har du möjlighet att ladda ner filen på en annan dator och föra över den med hjälp av USB-minne, extern hårddisk, CD etc?

23 december, 2010

Ja, det skulle vara om jag kan göra det ifrån biblioteket i så fall.. Hoppas de har cd brännare på deras datorer bara.

Men nu verkar det (peppar peppar) som om det kan vara 10e gången gillt! Ännu tickar nedladdningen på som den ska.. återkommer med resultatet.

23 december, 2010

Jjippi, det gick!

Här är CombiFix loggen:

ComboFix 10-12-23.01 - Mikael Pettersson 2010-12-23 19:29:42.8.1 - x86

Microsoft Windows XP Home Edition 5.1.2600.2.1252.46.1053.18.1535.1181 [GMT 1:00]

Körs från: c:\documents and settings\Mikael Pettersson\Skrivbord\ComboFix.exe

Använda kommandoväxlar :: c:\documents and settings\Mikael Pettersson\Skrivbord\CFScript.txt

* Skapade en ny återställningspunkt

.

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

--------------- FCopy ---------------

c:\windows\ServicePackFiles\i386\atapi.sys --> c:\windows\system32\drivers\atapi.sys

.

((((((((((((((((((((((((((((((((((((((( Drivrutiner/Tjänster )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_OBGUTSRO

-------\Service_obgutsro

(((((((((((((((((((((((( Filer Skapade från 2010-11-23 till 2010-12-23 ))))))))))))))))))))))))))))))

.

2010-12-22 18:44 . 2010-12-22 18:44 -------- d-----w- c:\documents and settings\All Users.WINDOWS\Application Data\ArcSoft