Hur får jag bort generic 5164110 och generic 5159914

[Mats H]

Hej,

vi tar oss en titt på Norman ännu en gång!

Följande:

Det är en rest kvar av Norman i säkerhetscentret:

AV: Norman Virus Control ver. 5.90 *Enabled/Updated* {EB9EFB40-AE72-4C43-B204-0FCD0E92D5F1}

Du kan få bort det på följande vis:

 

Start - Kör

Skriv in

wbemtest

och tryck sedan på OK

När programmet kommer upp så gör du som i det här bildspelet med fem bilder:

http://img.photobucket.com/albums/v666/sUBs/Delete_AV_From_WMI.gif

Det vill säga:

Connect

root\SecurityCenter

Query

SELECT * FROM AntivirusProduct

Apply

Markera numret som hör ihop med Norman enligt ovanstående rad.

Delete

Starta om datorn

 

Återkommer med mer om hur vi fortsätter med filerna du testade på Virustotal.

Mvh

Mats H

[Mats H]

Hej,

dessa filer:

c:\windows\ctxfix.exe

c:\windows\system32\ntbackup.exe

c:\windows\system32\OLD16.tmp

c:\windows\system32\OLD1C.tmp

c:\windows\system32\dllcache\ntbackup.exe

c:\windows\system32\Restore\OLD19.tmp

har samband med ett spel, Counterstrike, ett hackat sådant!

Är det en medveten installation eller?

Är det länge sedan det installerades?

Mvh

Mats H

[lanns]

Hej,

vi tar oss en titt på Norman ännu en gång!

Följande:

Det är en rest kvar av Norman i säkerhetscentret:

AV: Norman Virus Control ver. 5.90 *Enabled/Updated* {EB9EFB40-AE72-4C43-B204-0FCD0E92D5F1}

Du kan få bort det på följande vis:

 

Start - Kör

Skriv in

wbemtest

och tryck sedan på OK

När programmet kommer upp så gör du som i det här bildspelet med fem bilder:

http://img.photobuck...AV_From_WMI.gif

Det vill säga:

Connect

root\SecurityCenter

Query

SELECT * FROM AntivirusProduct

Apply

Markera numret som hör ihop med Norman enligt ovanstående rad.

Delete

Starta om datorn

 

Återkommer med mer om hur vi fortsätter med filerna du testade på Virustotal.

Mvh

Mats H

 

 

Gick inget vidare det där...

Får ett felmeddelande: Ogiltig fråga

Kollat stavning å allt men det vill inte funka.

[lanns]

Hej,

dessa filer:

c:\windows\ctxfix.exe

c:\windows\system32\ntbackup.exe

c:\windows\system32\OLD16.tmp

c:\windows\system32\OLD1C.tmp

c:\windows\system32\dllcache\ntbackup.exe

c:\windows\system32\Restore\OLD19.tmp

har samband med ett spel, Counterstrike, ett hackat sådant!

Är det en medveten installation eller?

Är det länge sedan det installerades?

Mvh

Mats H

 

Hmmm....

Kollade med sonen och han tror sig ha installerat det en gång i tiden när han forfarande bodde hemma å hade trasig dator, minst 3 år sen.

[Mats H]

Hej,

prova följande:

Öppna anteckningar, klistra in följade text:

@echo off

net stop winmgmt

rd /S /Q %systemroot%\system32\wbem\Repository

net start winmgmt

exit

 

Välj, Spara som, använd valet Alla filformat, delrep.bat på skrivbordet.

Kör och starta om datorn.

 

Mvh

Mats H

[lanns]

Hej,

prova följande:

Öppna anteckningar, klistra in följade text:

@echo off

net stop winmgmt

rd /S /Q %systemroot%\system32\wbem\Repository

net start winmgmt

exit

 

Välj, Spara som, använd valet Alla filformat, delrep.bat på skrivbordet.

Kör och starta om datorn.

 

Mvh

Mats H

 

Okej, klart, vad ska hände eller har hänt LottaL

[Mats H]

Hej,

har du någon förändring med Norman nu?

Mvh

Mats H

[lanns]

Hej,

har du någon förändring med Norman nu?

Mvh

Mats H

 

 

Jo nu ser det ut som om det bara finns ett virusprogram. Testade genom att stänga av f-secur å enligt säkerhetscenter fanns nu inget v-progam. Förra gången fick jag meddelande om att minst ett v-program var igång. Så nu är Norman putsväck

[Mats H]

Hej,

bra att det blev ordning på det bekymret.

Du kan manuellt ta bort följande filer: Delete kommandot.

Låt dem ligga kvar i Papperskorgen tills vidare.

c:\windows\ctxfix.exe

c:\windows\system32\ntbackup.exe

c:\windows\system32\OLD16.tmp

c:\windows\system32\OLD1C.tmp

c:\windows\system32\dllcache\ntbackup.exe

c:\windows\system32\Restore\OLD19.tmp

 

Mvh

Mats H

[lanns]

Hej,

bra att det blev ordning på det bekymret.

Du kan manuellt ta bort följande filer: Delete kommandot.

Låt dem ligga kvar i Papperskorgen tills vidare.

c:\windows\ctxfix.exe

c:\windows\system32\ntbackup.exe

c:\windows\system32\OLD16.tmp

c:\windows\system32\OLD1C.tmp

c:\windows\system32\dllcache\ntbackup.exe

c:\windows\system32\Restore\OLD19.tmp

 

Mvh

Mats H

 

 

Så, nu har jag förflyttat ovanstående filer till papperskorgen.

Väntar nu med spänning på vad som ske här näst

[Mats H]

Hej,

ta bort det tidigare Combofix programmet, Detta det så att det hamnar i Papperskorgen.

 

Så ska vi hämta ett nytt.

Spara ComboFix på Skrivbordet:

http://download.blee...Bs/ComboFix.exe

 

Ladda ned filen CFScript.txt, och spara den på skrivbordet och dra den in i Combofixikonen.

[attachment=11409:CFScript.txt

 

Övriga instruktioner om Combofix som tidigare.

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingc...opic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

 

När den är färdig så ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

 

Mvh

Mats H

[lanns]

Hej,

ta bort det tidigare Combofix programmet, Detta det så att det hamnar i Papperskorgen.

 

Så ska vi hämta ett nytt.

Spara ComboFix på Skrivbordet:

http://download.blee...Bs/ComboFix.exe

 

Ladda ned filen CFScript.txt, och spara den på skrivbordet och dra den in i Combofixikonen.

CFScript.txtLadda ned filen CFScript.txt, och spara den på skrivbordet och dra den in i Combofixikonen.

CFScript.txtLadda ner filen är inget problem men att dra den in i Comboboxiconen. Den hamnar ovanpå istället för i. Är det så du menar eller?

 

LottaL

[Mats H]

Hej,

vi provar igen!

Spara bifogad fil, ett script till Combofix, på skrivbordet. (Ej öppna).

Dra det med musen till Combofix ikonen, och kör.

Posta din logg sedan i din tråd här.

Mvh

Mats H

[lanns]

Hej,

vi provar igen!

Spara bifogad fil, ett script till Combofix, på skrivbordet. (Ej öppna).

Dra det med musen till Combofix ikonen, och kör.

Posta din logg sedan i din tråd här.

Mvh

Mats H

 

 

Alltså jag känner mig lite bakom flötet här.

Jag har gjort precis som du skriver.

Script ikonen hamnar ovan på combofixikonen, är det så det ska vara?

Vad gör jag sen? Dubbelklickar jag på ikonerna öppnas den översta dvs scriptet. Men du skriver "kör" menar du nått annat då?

jag måste fått hjärnsläpp för jag fattar noll

[Cecilia]

Det är meningen att när du släpper ikonen med CFScript ovanpå ComboFix-ikonen ska ComboFix börja köra. Se bilden http://users.telenet.be/bluepatchy/miekiemoes/images/CFScript.gif

Är det så du gör men ComboFix börjar inte köra?

[lanns]

Det är meningen att när du släpper ikonen med CFScript ovanpå ComboFix-ikonen ska ComboFix börja köra. Se bilden http://users.telenet...es/CFScript.gif

Är det så du gör men ComboFix börjar inte köra?

 

 

Just precis så gör jag men ComboFix gör ingenting!

 

En undran: Ska jag stänga ner internet uppkopplingen när jag kör ComboFix?

 

LottaL

[Cecilia]

Det viktiga är att du stänger av antivirusprogram och andra program när du kör ComboFix.

 

Pröva med det här:

Start - Alla program - Tillbehör - Kommandotolken

Skriv in (kopiera och klistra):

 

"C:\Documents and Settings\Lotta Smedberg\Skrivbord\combofix.exe" /"C:\Documents and Settings\Lotta Smedberg\Skrivbord\CFScript.txt"

 

Innan du trycker på Enter-tangenten efter den raden stänger du av alla program. Om du får något felmeddelande så berätta det och skriv av exakt (kopiera och klistra).

[lanns]

Go' kväll!

Här är loggen från körningen med ComboFix

 

ComboFix 11-01-10.07 - Lotta Smedberg 2011-01-11 20:49:22.2.1 - x86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.46.1053.18.1022.617 [GMT 1:00]

Körs från: c:\documents and settings\Lotta Smedberg\Skrivbord\ComboFix.exe

Använda kommandoväxlar :: /c:\documents and settings\Lotta Smedberg\Skrivbord\CFScript.txt

AV: Telia Säker Surf 9.01 *Disabled/Updated* {E7512ED5-4245-4B4D-AF3A-382D3F313F15}

FW: Telia Säker Surf 9.01 *Enabled* {D4747503-0346-49EB-9262-997542F79BF4}

.

 

(((((((((((((((((((((((( Filer Skapade från 2010-12-11 till 2011-01-11 ))))))))))))))))))))))))))))))

.

 

2011-01-11 13:20 . 2010-11-10 04:33 6273872 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\{0810F4AB-9163-434F-8A6B-A526DFDA9C37}\mpengine.dll

2011-01-09 12:50 . 2011-01-09 12:50 -------- d-----w- c:\windows\system32\wbem\Repository

2011-01-06 13:21 . 2011-01-06 13:21 -------- d-----w- c:\program\ESET

2011-01-06 13:06 . 2011-01-06 13:06 83806056 ----a-w- c:\program\Delade filer\Windows Live\.cache\wlc4A3.tmp

2011-01-06 12:21 . 2011-01-06 12:21 -------- d-----w- c:\documents and settings\Lotta Smedberg\Application Data\Malwarebytes

2011-01-06 12:21 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-01-06 12:20 . 2011-01-06 12:20 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2011-01-06 12:20 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-01-06 12:20 . 2011-01-06 12:21 -------- d-----w- c:\program\Malwarebytes' Anti-Malware

2011-01-05 17:18 . 2011-01-05 17:18 -------- d-----w- c:\documents and settings\LocalService\Lokala inställningar\Application Data\Google

2011-01-05 15:20 . 2011-01-05 16:59 -------- d-----w- c:\documents and settings\All Users\Application Data\Autorun Eater

2010-12-14 20:59 . 2010-11-02 15:17 40960 -c----w- c:\windows\system32\dllcache\ndproxy.sys

2010-12-14 20:58 . 2010-10-11 14:59 45568 -c----w- c:\windows\system32\dllcache\wab.exe

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-12-16 08:40 . 2009-08-31 17:24 42664 ----a-w- c:\windows\system32\drivers\fsbts.sys

2010-11-18 18:15 . 2006-01-17 19:09 81920 ----a-w- c:\windows\system32\isign32.dll

2010-11-17 04:50 . 2010-04-24 17:25 323584 ----a-w- c:\windows\system32\AUDIOGENIE2.DLL

2010-11-10 04:33 . 2007-10-15 21:17 6273872 ----a-w- c:\documents and settings\All Users\Application Data\Microsoft\Windows Defender\Definition Updates\Backup\mpengine.dll

2010-11-06 00:22 . 2004-08-04 19:00 916480 ----a-w- c:\windows\system32\wininet.dll

2010-11-06 00:22 . 2004-08-04 19:00 43520 ----a-w- c:\windows\system32\licmgr10.dll

2010-11-06 00:22 . 2004-08-04 19:00 1469440 ------w- c:\windows\system32\inetcpl.cpl

2010-11-03 12:27 . 2004-08-04 19:00 385024 ----a-w- c:\windows\system32\html.iec

2010-11-02 15:17 . 2004-08-04 12:00 40960 ----a-w- c:\windows\system32\drivers\ndproxy.sys

2010-10-28 13:09 . 2004-08-04 19:00 290048 ----a-w- c:\windows\system32\atmfd.dll

2010-10-26 14:00 . 2004-08-04 19:00 1853312 ----a-w- c:\windows\system32\win32k.sys

2010-10-19 09:41 . 2009-10-02 16:46 222080 ------w- c:\windows\system32\MpSigStub.exe

.

 

((((((((((((((((((((((((((((( SnapShot@2011-01-08_19.20.54 )))))))))))))))))))))))))))))))))))))))))

.

+ 2011-01-11 12:35 . 2011-01-11 12:35 16384 c:\windows\Temp\Perflib_Perfdata_640.dat

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"msnmsgr"="c:\program\Windows Live\Messenger\msnmsgr.exe" [2010-04-16 3872080]

"HuaWeiEVDO.exe"="c:\program\Huawei technologies\Mobile Connect\Mobile Connect.exe" [2007-08-16 921600]

"WMPNSCFG"="c:\program\Windows Media Player\WMPNSCFG.exe" [2006-11-15 204288]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2006-01-11 577536]

"nwiz"="nwiz.exe" [2006-08-11 1519616]

"HPHUPD08"="c:\program\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe" [2005-06-01 49152]

"F-Secure Manager"="c:\program\Telia\Telias sakerhetstjanster\Common\FSM32.EXE" [2009-08-05 199264]

"F-Secure TNB"="c:\program\Telia\Telias sakerhetstjanster\FSGUI\TNBUtil.exe" [2009-08-05 2349664]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-08-11 7630848]

"QuickTime Task"="c:\program\QuickTime\qttask.exe" [2010-03-18 421888]

"SunJavaUpdateSched"="c:\program\Delade filer\Java\Java Update\jusched.exe" [2010-05-14 248552]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"DWQueuedReporting"="c:\program\DELADE~1\MICROS~1\DW\dwtrig20.exe" [2007-02-25 437160]

 

c:\documents and settings\All Users\Start-meny\Program\Autostart\

BankID s„kerhetsprogram.lnk - c:\program\Personal\bin\Personal.exe [2009-12-30 939920]

 

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program\Windows Desktop Search\MSNLNamespaceMgr.dll" [2006-03-13 233472]

 

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\WinDefend]

@="Service"

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program\\Windows Media Player\\wmplayer.exe"=

"c:\\Program\\Spotify\\spotify.exe"=

"c:\\Program\\Bonjour\\mDNSResponder.exe"=

"c:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=

 

R0 fsbts;fsbts;c:\windows\system32\drivers\fsbts.sys [2009-08-31 42664]

R0 FSFW;F-Secure Firewall Driver;c:\windows\system32\drivers\fsdfw.sys [2007-11-24 80000]

R0 sptd;sptd;c:\windows\system32\drivers\sptd.sys [2006-11-08 611064]

R1 F-Secure HIPS;F-Secure HIPS Driver;c:\program\Telia\Telias sakerhetstjanster\HIPS\drivers\fshs.sys [2009-08-31 68064]

R3 F-Secure Gatekeeper;F-Secure Gatekeeper;c:\program\Telia\Telias sakerhetstjanster\Anti-Virus\minifilter\fsgk.sys [2007-11-24 130728]

S2 WinDefend;Windows Defender;c:\program\Windows Defender\MsMpEng.exe [2006-11-03 13592]

S3 FSORSPClient;F-Secure ORSP Client;c:\program\Telia\Telias sakerhetstjanster\ORSP Client\fsorsp.exe [2009-08-31 63992]

S4 F-Secure Filter;F-Secure File System Filter;c:\program\Telia\Telias sakerhetstjanster\Anti-Virus\win2k\fsfilter.sys [2007-11-24 39776]

S4 F-Secure Recognizer;F-Secure File System Recognizer;c:\program\Telia\Telias sakerhetstjanster\Anti-Virus\win2k\fsrec.sys [2007-11-24 25184]

.

Innehållet i mappen 'Schemalagda aktiviteter':

 

2011-01-05 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

 

2011-01-11 c:\windows\Tasks\Scheduled scanning task.job

- c:\program\Telia\TELIAS~1\ANTI-V~1\fsav.exe [2007-11-24 15:56]

 

2011-01-11 c:\windows\Tasks\User_Feed_Synchronization-{BB278F2F-BBD9-44FB-8F0D-92187A91CE82}.job

- c:\windows\system32\msfeedssync.exe [2006-10-17 02:31]

.

.

------- Extra genomsökning -------

.

uStart Page = hxxp://platsbanken.arbetsformedlingen.se/Standard/Start/Start.aspx

uInternet Connection Wizard,ShellNext = iexplore

uSearchURL,(Default) = hxxp://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR

IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\OFFICE11\EXCEL.EXE/3000

IE: Google Sidewiki...

LSP: c:\program\Telia\Telias sakerhetstjanster\FSPS\program\FSLSP.DLL

Trusted Zone: live.com\safety

Trusted Zone: microsoft.com\www.update

DPF: CabBuilder - hxxp://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab

DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} - hxxp://www.o2c.de/download/o2cplayer.cab

.

- - - - FÖRÄLDRALÖSA POSTER SOM TAGITS BORT - - - -

 

HKLM-Run-CTXFIXH - c:\windows\ctxfix.exe

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-01-11 20:53

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

 

[HKEY_USERS\S-1-5-21-3944148200-3295423543-3870991102-1007\Software\Microsoft\SystemCertificates\AddressBook*]

@Allowed: (Read) (RestrictedCode)

@Allowed: (Read) (RestrictedCode)

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe,-101"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10l_ActiveX.exe"

 

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

 

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

 

[HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\Ø•€|ÿÿÿÿ•€|ù•6~*]

"D140211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL"

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

 

- - - - - - - > 'winlogon.exe'(528)

c:\program\telia\telias sakerhetstjanster\hips\fshook32.dll

c:\program\Telia\Telias sakerhetstjanster\FWES\Program\fsdc32.dll

 

- - - - - - - > 'lsass.exe'(584)

c:\program\Telia\Telias sakerhetstjanster\FSPS\program\FSLSP.DLL

c:\program\telia\telias sakerhetstjanster\hips\fshook32.dll

c:\program\Telia\Telias sakerhetstjanster\FWES\Program\fsdc32.dll

 

- - - - - - - > 'explorer.exe'(3940)

c:\program\WINDOW~2\wmpband.dll

c:\windows\system32\webcheck.dll

c:\program\Telia\Telias sakerhetstjanster\FSPS\program\FSLSP.DLL

c:\program\telia\telias sakerhetstjanster\scanner-interface\fsgkiapi.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

 

- - - - - - - > 'csrss.exe'(504)

c:\program\Telia\Telias sakerhetstjanster\FWES\Program\fsdc32.dll

.

Sluttid: 2011-01-11 20:55:22

ComboFix-quarantined-files.txt 2011-01-11 19:55

ComboFix2.txt 2011-01-08 19:22

 

Före genomsökningen: 210 811 031 552 byte ledigt

Efter genomsökningen: 210 895 818 752 byte ledigt

 

- - End Of File - - BA62F2B35ADE1CB5B01779C14FA9726A

 

 

 

[Mats H]

Hej,

har du startat om datorn?

Hur verkar det fungera nu?

 

Mvh

Mats H

 

PS!

Tack till Cecilia för sina förklarande "Starta Combofix med Script" hjälp!

Jag har nog blivit "ringrostig"!

[lanns]

Hej,

har du startat om datorn?

Hur verkar det fungera nu?

 

Mvh

Mats H

 

PS!

Tack till Cecilia för sina förklarande "Starta Combofix med Script" hjälp!

Jag har nog blivit "ringrostig"!

 

 

Go' kväll!

Jo jag har start om datorn. Inga varningar om virus eller annat har dykt upp ännu.

Kollade windows mappen och de två virus som legat där å lurat är borta.

När jag den senaste tiden valt alternativet visa dolda filer och mappar i utforskaren så har detta alternativ avmarkerat sig själv när jag stängt ner mappen. Ja tom utan att jag stängt mappen. Nu låg mitt val kvar vilket jag tolkar som att datorn fungerar mer som den ska. Har jag fel då eller?

 

Ja, det var tur att Cecilia ryckte in där med en förklaring! Annars hade jag nog fortfarande suttit här å kliat mig i huvudet

 

LottaL

[Mats H]

Hej,

bra att datorn verkar "normal".

Då återstår lite uppstädande och avinstallerande samt uppdateringar.

 

Vi börjar med att installera Hijack This.

Hittas här:

HijackThis - Trend Micro USA

 

Installera och kör "Do a System Scan and Save a Logfile".

Klistra in loggen här i din tråd.

Mvh

Mats H

[lanns]

Hej!

Fick denna varning från F-secure, (såg i historiken att samma varning kom igår oxå).

 

Viruset kunde inte tas bort

Objektet kunde inte rensas

Trojan.Generic.5164110

Fil:C:\system Volume Information\_restore{470375B2-F42E-4317-BE13-96BFB7559DBA}\RP896\A0081648.exe

 

Har inte börjat med "städandet" ännu men snart så ska det bli av.

Återkommer med resultat under kvällen.

[Mats H]

Hej,

ser ut som en återställningspunkt, den kommer vi att ta bort i slutrundan.

Mvh

Mats H

[lanns]

Hej,

bra att datorn verkar "normal".

Då återstår lite uppstädande och avinstallerande samt uppdateringar.

 

Vi börjar med att installera Hijack This.

Hittas här:

HijackThis - Trend Micro USA

 

Installera och kör "Do a System Scan and Save a Logfile".

Klistra in loggen här i din tråd.

Mvh

Mats H

 

Loggen från Hijack

Logfile of Trend Micro HijackThis v2.0.4

Scan saved at 12:25:37, on 2011-01-13

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Windows Defender\MsMpEng.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Delade filer\Apple\Mobile Device Support\AppleMobileDeviceService.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

C:\Program\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\FSGK32.EXE

C:\Program\Telia\Telias sakerhetstjanster\Common\FSHDLL32.EXE

C:\WINDOWS\System32\svchost.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\CDBurnerXP\NMSAccessU.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\HPZipm12.exe

C:\Program\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\WINDOWS\system32\UStorSrv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\Telia\Telias sakerhetstjanster\Common\FSM32.EXE

C:\Program\Delade filer\Java\Java Update\jusched.exe

C:\Program\Windows Live\Messenger\msnmsgr.exe

C:\Program\Huawei technologies\Mobile Connect\Mobile Connect.exe

C:\Program\Windows Media Player\WMPNSCFG.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Personal\bin\Personal.exe

C:\Program\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fssm32.exe

C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsav32.exe

C:\Program\Windows Desktop Search\WindowsSearchIndexer.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Windows Live\Contacts\wlcomm.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\system32\msiexec.exe

C:\Program\Trend Micro\HiJackThis\HiJackThis.exe

 

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://platsbanken.arbetsformedlingen.se/Standard/Start/Start.aspx

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: dsWebAllowBHO Class - {2F85D76C-0569-466F-A488-493E6BD0E955} - C:\Program\Windows Desktop Search\dsWebAllow.dll

O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O4 - HKLM\..\Run: [soundMan] SOUNDMAN.EXE

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [HPHUPD08] C:\Program\HP\Digital Imaging\{33D6CC28-9F75-4d1b-A11D-98895B3A3729}\hphupd08.exe

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\Telia\Telias sakerhetstjanster\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program\Telia\Telias sakerhetstjanster\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program\Delade filer\Java\Java Update\jusched.exe"

O4 - HKCU\..\Run: [msnmsgr] "C:\Program\Windows Live\Messenger\msnmsgr.exe" /background

O4 - HKCU\..\Run: [HuaWeiEVDO.exe] "C:\Program\Huawei technologies\Mobile Connect\Mobile Connect.exe"

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [DWQueuedReporting] "C:\Program\DELADE~1\MICROS~1\DW\dwtrig20.exe" -t (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe (User 'Default user')

O4 - Global Startup: BankID säkerhetsprogram.lnk = C:\Program\Personal\bin\Personal.exe

O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\Program\MICROS~2\OFFICE11\EXCEL.EXE/3000

O9 - Extra button: Blogga detta - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra 'Tools' menuitem: &Blogga detta i Windows Live Writer - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program\Windows Live\Writer\WriterBrowserExtension.dll

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: CabBuilder - http://kiw.imgag.com/imgag/kiw/toolbar/download/InstallerControl.cab

O16 - DPF: {02BF25D5-8C17-4B23-BC80-D3488ABDDC6B} (QuickTime Object) - http://appldnld.apple.com.edgesuite.net/content.info.apple.com/QuickTime/qtactivex/qtplugin.cab

O16 - DPF: {0B79F48A-E8D6-11DB-9283-E25056D89593} (F-Secure Online Scanner 3.1) - http://support.f-secure.com/ols/fscax.cab

O16 - DPF: {0CCA191D-13A6-4E29-B746-314DEE697D83} (Facebook Photo Uploader 5 Control) - http://upload.facebook.com/controls/2008.10.10_v5.5.8/FacebookPhotoUploader5.cab

O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://by20fd.bay20.hotmail.msn.com/resources/MsnPUpld.cab

O16 - DPF: {55027008-315F-4F45-BBC3-8BE119764741} (Slide Image Uploader Control) - http://static.slide.com/uploader/SlideImageUploader.cab

O16 - DPF: {5ED80217-570B-4DA9-BF44-BE107C0EC166} (Windows Live Safety Center Base Module) - http://cdn.scan.onecare.live.com/resource/download/scanner/wlscbase6770.cab

O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1137500644531

O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} (OnlineScanner Control) - http://download.eset.com/special/eos/OnlineScanner.cab

O16 - DPF: {7FC1B346-83E6-4774-8D20-1A6B09B0E737} (Windows Live Photo Upload Control) - http://cid-bac47d38bbded17a.spaces.live.com/PhotoUpload/MsnPUpld.cab

O16 - DPF: {B1953AD6-C50E-11D3-B020-00A0C9251384} (O2C-Player (ELECO Software GmbH)) - http://www.o2c.de/download/o2cplayer.cab

O16 - DPF: {CF40ACC5-E1BB-4AFF-AC72-04C2F616BCA7} - http://www.adobe.com/products/acrobat/nos/gp.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O16 - DPF: {EDFCB7CB-942C-4822-AF14-F0B687409848} (Image Uploader Control) - https://sakerlagring.telia.se/User/Files/Cabs/ImageUploader4.cab

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\AppleMobileDeviceService.exe

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - Unknown owner - C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

O23 - Service: FSMA - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\ORSP Client\fsorsp.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: NMSAccess - Unknown owner - C:\Program\CDBurnerXP\NMSAccessU.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Pml Driver HPZ12 - HP - C:\WINDOWS\system32\HPZipm12.exe

O23 - Service: UStorage Server Service - OTi - C:\WINDOWS\system32\UStorSrv.exe

 

--

End of file - 9857 bytes

 

 

 

 

 

[Cecilia]

Skanna med HijackThis och bocka för:

 

O2 - BHO: (no name) - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - (no file)

O3 - Toolbar: (no name) - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - (no file)

O16 - DPF: CabBuilder - http://kiw.imgag.com...llerControl.cab

 

Avsluta alla andra program.

Tryck Fix checked.

 

Starta om datorn.

 

Sedan vet jag inte vad Mats har tänkt sig för övrigt så du får vänta tills han är tillbaka ikväll.