Hjälp, är det virus i datorn?

[Laston]

Hej! Nej det tror jag inte utan du har nog nåt otrevligt som stoppar dessa verktyg från att köras,men vi provar 2 andra o ser om dessa går bättre då!

 

1.Spara TDSSKiller på Skrivbordet:

http://support.kaspersky.com/downloads/utils/tdsskiller.zip

 

Högerklicka och välj Extrahera alla. Kom ihåg var du packar upp filen.

Stäng av dina vanliga program, men du kan lämna antivirusprogram och liknande igång.

Kör programmet TDSSKiller.exe som finns i mappen där du packade upp filerna.

 

Klicka på Start Scan.

 

Om några hot hittas så välj Cure och klicka på Continue. Om inte Cure finns så välj Skip. Välj INTE Delete. Eventuellt behöver datorn startas om.

 

Klistra in innehållet i loggen som du hittar i C:\ med namnet TDSSKiller följt av version och tidpunkt.

 

2.Spara Rootkit Unhooker på skrivbordet.

http://www.rootkit.c...KUnhookerLE.EXE

Dubbelklicka på programmet för att starta det (i Vista och Windows 7 högerklicka och välj Kör som administratör).

Välj fliken Report och klicka på Scan

Bocka för Drivers, Stealth och avbocka de andra valen.

Tryck på OK

Vänta tills skannern är klar och då väljer du File - Save Report. Spara rapporten på Skrivbordet eller på något annat ställe där du hittar igen den. Klicka på Close

 

Öppna den sparade rapporten i Anteckningar. Klistra in innehållet i ditt svar.

 

Notera om det kommer upp en varning "Rootkit Unhooker has detected a parasite..." så ignorera den bara.

 

Mvh Laston

[Din_Parla]

Rootkit länken fungerar inte...

 

// Annika

[Laston]

Ok då tar vi denna istället då

 

RootRepeal

 

Hämta hem RootRepeal.exe från nedanstående länk:

=> RootRepeal.exe

 

1: Spara RootRepeal till ditt skrivbord (Mycket viktigt att den sparas till skrivbordet)

 

2: Dubbelklicka på RootRepeal iconen på ditt skrivbord för att starta verktyget

(För Vista/Windows 7 => Högerklicka på verktyget och välj => Kör som Admin)

 

3: Klicka på Report-fliken

4: klicka Scan

 

5: I dialogrutan som dyker upp bocka för alla sju alternativen och Klicka på Ok-knappen

6: Bocka för din systemdisk (brukar normalt vara C: ) => klicka Ok-knappen

7: RootRepeal kommer nu att söka igenom ditt system (C: ). Detta kommer att ta en stund så låt den få jobba klart.

 

8: När genomsökningen är klar klicka på Save Report. Spara textfilen du får upp till ditt skrivbord med namnet RootRepeal.txt

9: Kopiera/Klistra in RootRepeal.txt hit till din tråd.

 

OBS:

Kopiera INTE in loggan (textfilen) som bifogad fil ej heller inom code-taggar eller annat.

Kopiera/klistra in loggan DIREKT i ditt inlägg.

[Din_Parla]

Går inte att öppna filen tdsskiller och försökte installera winzip men det går inte heller.

 

Kan jag köra RootRepeal så länge eller måste man köra tdsskiller först?

 

// Annika

[Laston]

Kör RootRepeal först då

[Din_Parla]

rootrepeal loggen:

 

ROOTREPEAL © AD, 2007-2009

==================================================

Scan Start Time: 2011/02/03 20:26

Program Version: Version 1.3.5.0

Windows Version: Windows XP SP3

==================================================

 

Drivers

-------------------

Name: dump_atapi.sys

Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys

Address: 0xF0A23000 Size: 98304 File Visible: No Signed: -

Status: -

 

Name: dump_WMILIB.SYS

Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS

Address: 0xF7B34000 Size: 8192 File Visible: No Signed: -

Status: -

 

Name: PsSdk30.drv

Image Path: C:\WINDOWS\system32\Drivers\PsSdk30.drv

Address: 0xB5B24000 Size: 36864 File Visible: No Signed: -

Status: -

 

Name: rootrepeal.sys

Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys

Address: 0xF5EA0000 Size: 49152 File Visible: No Signed: -

Status: -

 

Hidden/Locked Files

-------------------

Path: C:\hiberfil.sys

Status: Locked to the Windows API!

 

Path: C:\Documents and Settings\Andy\Lokala inställningar\Application Data\Microsoft\Messenger\comeonengland1@hotmail.com\SharingMetadata\ablondie82@hotmail.com\DFSR\Staging\CS{FAAB0EDE-7FBF-5CCB-B234-BCEDE8A632EC}\38\6238-{~1.FRX:{59828bbb-3f72-4c1b-a420-b51ad66eb5d3}.XPRESS

Status: Visible to the Windows API, but not on disk.

 

SSDT

-------------------

#: 025 Function Name: NtClose

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf2fd96b8

 

#: 041 Function Name: NtCreateKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf2fd9574

 

#: 065 Function Name: NtDeleteValueKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf2fd9a52

 

#: 068 Function Name: NtDuplicateObject

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf2fd914c

 

#: 119 Function Name: NtOpenKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf2fd964e

 

#: 122 Function Name: NtOpenProcess

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf2fd908c

 

#: 128 Function Name: NtOpenThread

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf2fd90f0

 

#: 177 Function Name: NtQueryValueKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf2fd976e

 

#: 204 Function Name: NtRestoreKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf2fd972e

 

#: 247 Function Name: NtSetValueKey

Status: Hooked by "C:\WINDOWS\System32\Drivers\aswSP.SYS" at address 0xf2fd98ae

 

Hidden Services

-------------------

Service Name: cxru171d

Image Path: C:\WINDOWS\system32\drivers\cxru171d.sys

 

==EOF==

 

 

[Laston]

Gå till nedanstående sida:

http://www.virustotal.com/

 

1: Kopiera/Klistra in ett av följande filnamn i text-fältet bredvid Bläddra-knappen

(ELLER använd Bläddra-knappen och navigera dig fram enligt nedanstående sökväg/sökvägar)

 

C:\WINDOWS\system32\Drivers\PsSdk30.drv

 

2: Klicka på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd).

3: Klistra in resultatet från de olika antivirusprogrammen (inkl. filstorlek) här till din tråd (dock ej Övrig information)

 

 

Skriv ut nedanstående eller kopiera det till ett textdokument och spara det till skrivbordet:

Läs/Följ instruktionerna mycket noga:

 

Hämta hem Avenger från nedanstående länk:

http://swandog46.geekstogo.com/avenger.exe

 

1: Spara ner den till skrivbordet

2: Klicka på Kod => MARKERA ALLT i nedanstående Kodbox (texten ändrar färg) => Ställ dig i Textboxen => Högerklicka => välj Kopiera

 

Files to delete:
C:\WINDOWS\system32\drivers\cxru171d.sys

 

3: Starta Avenger genom att dubbelklicka på den.

(För Vista-användare: Högerklicka och välj Kör som Administratör:)

Skärmdumpen är klickbar för större format:

4: I den stora textboxen klistrar du nu in texten som du kopierade från ovanstående kodbox.

5: Kontrollera att varje filnamn står på endast en rad och inte har delats upp på två rader.

6: Bocka i rutan Scan for rootkits om den inte redan är ibockad.

7: Klicka på Execute för att starta det.

8: Datorn startar nu om (Kan eventuellt starta om två gånger).

9: Efter en liten stund så dyker en text-logga upp, om inte så finns den att hitta här => (C:\avenger.txt).

10: Kopiera och Klistra in Avenger-loggan hit till din tråd.

 

Mvh Laston

[Din_Parla]

får meddelande om att det inte går att hitta C:\WINDOWS\system32\Drivers\PsSdk30.drv

 

 

[Laston]

Hmm ok kör avenger först då

[Din_Parla]

//////////////////////////////////////////

Avenger Pre-Processor log

//////////////////////////////////////////

 

Platform: Windows XP (build 2600, Service Pack 3)

Thu Feb 03 21:21:42 2011

 

21:21:42: Error: Invalid script. A valid script must begin with a command directive.

Aborting execution!

 

 

//////////////////////////////////////////

 

 

Logfile of The Avenger Version 2.0, © by Swandog46

http://swandog46.geekstogo.com

 

Platform: Windows XP

 

*******************

 

Script file opened successfully.

Script file read successfully.

 

Backups directory opened successfully at C:\Avenger

 

*******************

 

Beginning to process script file:

 

Rootkit scan active.

No rootkits found!

 

File "C:\WINDOWS\system32\drivers\cxru171d.sys" deleted successfully.

 

Completed script processing.

 

*******************

 

Finished! Terminate.

 

 

 

[Laston]

Ok prova att köra ComboFix nu då

[Din_Parla]

ComboFix 11-01-31.02 - Andy 2011-02-03 23:14:31.1.1 - x86

Körs från: C:\Documents and Settings\Andy\Skrivbord\ComboFix.exe

AV: avast! antivirus 4.8.1368 [VPS 110203-2] *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

* Skapade en ny återställningspunkt

.

 

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

C:\DOCUME~1\Andy\LOKALA~1\Temp\jna63593.dll

C:\Documents and Settings\All Users\Application Data\.wtav

C:\Documents and Settings\Andy\Application Data\Privacy Center

C:\Documents and Settings\Andy\Application Data\Privacy Center\dbases\cg.dat

C:\Documents and Settings\Andy\Application Data\Privacy Center\dbases\mw.dat

C:\Documents and Settings\Andy\Application Data\Privacy Center\dbases\rd.dat

C:\Documents and Settings\Andy\Application Data\Privacy Center\dbases\sc.dat

C:\Documents and Settings\Andy\Application Data\Privacy Center\dbases\sm.dat

C:\Documents and Settings\Andy\Application Data\Privacy Center\dbases\sp.dat

C:\Documents and Settings\Andy\Application Data\Privacy Center\keys\cg.key

C:\Documents and Settings\Andy\Application Data\Privacy Center\keys\rd.key

C:\Documents and Settings\Andy\Application Data\Privacy Center\keys\sc.key

C:\Documents and Settings\Andy\Application Data\Privacy Center\keys\sp.key

C:\Documents and Settings\Andy\Application Data\Privacy Center\temp\settings.ini

C:\Documents and Settings\Andy\Application Data\Privacy Center\temp\spfilter

C:\Documents and Settings\Andy\Application Data\SpywareBot

C:\Documents and Settings\Andy\Application Data\SpywareBot\Log\log_2007_05_05_15_29_20.log

C:\Documents and Settings\Andy\Application Data\SpywareBot\Log\log_2007_05_05_15_29_29.log

C:\Documents and Settings\Andy\Application Data\SpywareBot\Settings\CustomScan.stg

C:\Documents and Settings\Andy\Application Data\SpywareBot\Settings\IgnoreList.stg

C:\Documents and Settings\Andy\Application Data\SpywareBot\Settings\ScanInfo.stg

C:\Documents and Settings\Andy\Application Data\SpywareBot\Settings\ScanResults.stg

C:\Documents and Settings\Andy\Application Data\SpywareBot\Settings\SelectedFolders.stg

C:\Documents and Settings\Andy\Application Data\SpywareBot\Settings\Settings.stg

C:\Documents and Settings\Andy\Lokala inställningar\Temp\jna63593.dll

C:\Documents and Settings\Niklas\Cookies\niklas@www.managerzone[2].txt

C:\Documents and Settings\Niklas\Cookies\niklas@www.managerzone[3].txt

C:\Program\Privacy center

 

.

(((((((((((((((((((((((( Filer Skapade från 2011-01-03 till 2011-02-03 ))))))))))))))))))))))))))))))

.

 

2011-02-03 18:58:46 . 2011-02-03 18:58:46 -------- d-----w- C:\Documents and Settings\All Users\Application Data\WinZipSE

2011-01-28 21:05:12 . 2010-11-02 15:17:02 40960 ------w- C:\WINDOWS\system32\dllcache\ndproxy.sys

2011-01-28 21:03:44 . 2010-10-11 14:59:30 45568 ------w- C:\WINDOWS\system32\dllcache\wab.exe

2011-01-27 18:26:23 . 2011-01-27 18:27:50 -------- d-----w- C:\Documents and Settings\Administratör

2011-01-27 18:03:01 . 2011-01-27 18:03:01 -------- d-----w- C:\Documents and Settings\Andy\Application Data\Malwarebytes

2011-01-27 18:02:46 . 2010-12-20 17:09:00 38224 ----a-w- C:\WINDOWS\system32\drivers\mbamswissarmy.sys

2011-01-27 18:02:40 . 2011-01-27 18:02:40 -------- d-----w- C:\Documents and Settings\All Users\Application Data\Malwarebytes

2011-01-27 18:02:33 . 2010-12-20 17:08:40 20952 ----a-w- C:\WINDOWS\system32\drivers\mbam.sys

2011-01-27 18:02:32 . 2011-01-27 18:02:54 -------- d-----w- C:\Program\Malwarebytes' Anti-Malware

2011-01-18 17:04:41 . 2011-01-18 17:04:41 -------- d-----w- C:\2ab099a5d2eed8d9783878

2011-01-12 19:33:31 . 2009-11-24 23:48:57 23120 ----a-w- C:\WINDOWS\system32\drivers\aswRdr.sys

2011-01-12 19:33:28 . 2009-11-24 23:49:07 48560 ----a-w- C:\WINDOWS\system32\drivers\aswTdi.sys

2011-01-12 19:33:27 . 2009-11-24 23:47:54 27408 ----a-w- C:\WINDOWS\system32\drivers\aavmker4.sys

2011-01-12 19:33:20 . 2009-11-24 23:47:28 97480 ----a-w- C:\WINDOWS\system32\AvastSS.scr

2011-01-12 19:33:12 . 2009-11-24 23:50:00 20560 ----a-w- C:\WINDOWS\system32\drivers\aswFsBlk.sys

2011-01-12 19:33:11 . 2009-11-24 23:50:12 114768 ----a-w- C:\WINDOWS\system32\drivers\aswSP.sys

2011-01-12 19:33:10 . 2009-11-24 23:50:59 94160 ----a-w- C:\WINDOWS\system32\drivers\aswmon2.sys

2011-01-12 19:33:09 . 2009-11-24 23:51:09 93424 ----a-w- C:\WINDOWS\system32\drivers\aswmon.sys

2011-01-12 19:30:08 . 2009-11-24 23:54:29 1280480 ----a-w- C:\WINDOWS\system32\aswBoot.exe

2011-01-12 16:45:54 . 2011-01-12 16:45:54 -------- d-sh--w- C:\Documents and Settings\NetworkService\IETldCache

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-11-18 18:15:44 . 2004-09-14 08:50:31 81920 ----a-w- C:\WINDOWS\system32\isign32.dll

2010-11-09 14:52:37 . 2004-09-14 08:33:31 249856 ----a-w- C:\WINDOWS\system32\odbc32.dll

2010-11-06 00:22:40 . 2004-09-14 08:33:47 916480 ----a-w- C:\WINDOWS\system32\wininet.dll

2010-11-06 00:22:39 . 2004-09-14 08:33:19 43520 ----a-w- C:\WINDOWS\system32\licmgr10.dll

2010-11-06 00:22:39 . 2004-09-14 08:33:17 1469440 ----a-w- C:\WINDOWS\system32\inetcpl.cpl

.

 

 

 

 

[Cecilia]

Du fick nog inte med hela ComboFix-loggen.

[Laston]

Hej! Som Cecilia skriver så är inte hela ComboFix loggan postad,gör det!

Uppdatera sen Malwarebytes och skanna med den,posta loggan!

 

Mvh Laston

[Din_Parla]

Okej konstigt för jag kopierade allt som kom upp. men scannar en gång till och klistrar in loggen.

 

// Annika

[Din_Parla]

ComboFix 11-02-09.05 - Andy 2011-02-10 16:59:43.2.1 - x86

Körs från: c:\documents and settings\Andy\Skrivbord\ComboFix.exe

AV: avast! antivirus 4.8.1368 [VPS 110209-1] *Disabled/Updated* {7591DB91-41F0-48A3-B128-1A293FD8233D}

* Skapade en ny återställningspunkt

.

 

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\docume~1\Andy\LOKALA~1\Temp\jna54325.dll

c:\documents and settings\Andy\Lokala inställningar\Temp\jna54325.dll

.

---- Föregående körning -------

.

c:\docume~1\Andy\LOKALA~1\Temp\jna63593.dll

c:\documents and settings\All Users\Application Data\.wtav

c:\documents and settings\Andy\Application Data\Privacy Center\dbases\cg.dat

c:\documents and settings\Andy\Application Data\Privacy Center\dbases\mw.dat

c:\documents and settings\Andy\Application Data\Privacy Center\dbases\rd.dat

c:\documents and settings\Andy\Application Data\Privacy Center\dbases\sc.dat

c:\documents and settings\Andy\Application Data\Privacy Center\dbases\sm.dat

c:\documents and settings\Andy\Application Data\Privacy Center\dbases\sp.dat

c:\documents and settings\Andy\Application Data\Privacy Center\keys\cg.key

c:\documents and settings\Andy\Application Data\Privacy Center\keys\rd.key

c:\documents and settings\Andy\Application Data\Privacy Center\keys\sc.key

c:\documents and settings\Andy\Application Data\Privacy Center\keys\sp.key

c:\documents and settings\Andy\Application Data\Privacy Center\temp\settings.ini

c:\documents and settings\Andy\Application Data\Privacy Center\temp\spfilter

c:\documents and settings\Andy\Application Data\SpywareBot\Log\log_2007_05_05_15_29_20.log

c:\documents and settings\Andy\Application Data\SpywareBot\Log\log_2007_05_05_15_29_29.log

c:\documents and settings\Andy\Application Data\SpywareBot\Settings\CustomScan.stg

c:\documents and settings\Andy\Application Data\SpywareBot\Settings\IgnoreList.stg

c:\documents and settings\Andy\Application Data\SpywareBot\Settings\ScanInfo.stg

c:\documents and settings\Andy\Application Data\SpywareBot\Settings\ScanResults.stg

c:\documents and settings\Andy\Application Data\SpywareBot\Settings\SelectedFolders.stg

c:\documents and settings\Andy\Application Data\SpywareBot\Settings\Settings.stg

c:\documents and settings\Andy\Lokala inställningar\Temp\jna63593.dll

c:\documents and settings\Niklas\Cookies\niklas@www.managerzone[2].txt

c:\documents and settings\Niklas\Cookies\niklas@www.managerzone[3].txt

 

.

(((((((((((((((((((((((( Filer Skapade från 2011-01-10 till 2011-02-10 ))))))))))))))))))))))))))))))

.

 

2011-02-09 05:55 . 2011-02-09 05:55 -------- d-----w- c:\documents and settings\Andy\Application Data\Personal

2011-02-09 05:54 . 2011-02-09 05:54 -------- d-----w- c:\program\Personal

2011-02-03 18:58 . 2011-02-03 18:58 -------- d-----w- c:\documents and settings\All Users\Application Data\WinZipSE

2011-01-28 21:05 . 2010-11-02 15:17 40960 ------w- c:\windows\system32\dllcache\ndproxy.sys

2011-01-28 21:03 . 2010-10-11 14:59 45568 ------w- c:\windows\system32\dllcache\wab.exe

2011-01-27 18:26 . 2011-01-27 18:27 -------- d-----w- c:\documents and settings\Administratör

2011-01-27 18:03 . 2011-01-27 18:03 -------- d-----w- c:\documents and settings\Andy\Application Data\Malwarebytes

2011-01-27 18:02 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-01-27 18:02 . 2011-01-27 18:02 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2011-01-27 18:02 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-01-27 18:02 . 2011-01-27 18:02 -------- d-----w- c:\program\Malwarebytes' Anti-Malware

2011-01-21 14:44 . 2011-01-21 14:44 439808 ------w- c:\windows\system32\dllcache\shimgvw.dll

2011-01-18 17:04 . 2011-01-18 17:04 -------- d-----w- C:\2ab099a5d2eed8d9783878

2011-01-12 19:33 . 2009-11-24 23:48 23120 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2011-01-12 19:33 . 2009-11-24 23:49 48560 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2011-01-12 19:33 . 2009-11-24 23:47 27408 ----a-w- c:\windows\system32\drivers\aavmker4.sys

2011-01-12 19:33 . 2009-11-24 23:47 97480 ----a-w- c:\windows\system32\AvastSS.scr

2011-01-12 19:33 . 2009-11-24 23:50 20560 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2011-01-12 19:33 . 2009-11-24 23:50 114768 ----a-w- c:\windows\system32\drivers\aswSP.sys

2011-01-12 19:33 . 2009-11-24 23:50 94160 ----a-w- c:\windows\system32\drivers\aswmon2.sys

2011-01-12 19:33 . 2009-11-24 23:51 93424 ----a-w- c:\windows\system32\drivers\aswmon.sys

2011-01-12 19:30 . 2009-11-24 23:54 1280480 ----a-w- c:\windows\system32\aswBoot.exe

2011-01-12 16:45 . 2011-01-12 16:45 -------- d-sh--w- c:\documents and settings\NetworkService\IETldCache

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-01-21 14:44 . 2004-09-14 08:33 439808 ----a-w- c:\windows\system32\shimgvw.dll

2011-01-07 14:09 . 2004-09-14 08:33 290048 ----a-w- c:\windows\system32\atmfd.dll

2010-12-31 14:04 . 2004-09-14 08:33 1854976 ----a-w- c:\windows\system32\win32k.sys

2010-12-22 12:34 . 2004-09-14 08:33 301568 ----a-w- c:\windows\system32\kerberos.dll

2010-12-20 23:52 . 2004-09-14 08:33 916480 ----a-w- c:\windows\system32\wininet.dll

2010-12-20 23:52 . 2004-09-14 08:33 43520 ----a-w- c:\windows\system32\licmgr10.dll

2010-12-20 23:52 . 2004-09-14 08:33 1469440 ----a-w- c:\windows\system32\inetcpl.cpl

2010-12-20 17:25 . 2004-09-14 08:33 730624 ----a-w- c:\windows\system32\lsasrv.dll

2010-12-20 12:55 . 2004-09-14 08:33 385024 ----a-w- c:\windows\system32\html.iec

2010-12-09 15:15 . 2004-09-14 08:33 722944 ----a-w- c:\windows\system32\ntdll.dll

2010-12-09 15:14 . 2004-09-14 08:33 2193536 ----a-w- c:\windows\system32\ntoskrnl.exe

2010-12-09 15:13 . 2004-08-03 23:24 2070144 ----a-w- c:\windows\system32\ntkrnlpa.exe

2010-12-09 14:30 . 2004-09-14 08:33 33280 ----a-w- c:\windows\system32\csrsrv.dll

2010-11-18 18:15 . 2004-09-14 08:50 81920 ----a-w- c:\windows\system32\isign32.dll

.

 

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks]

"{00000000-6E41-4FD3-8538-502F5495E5FC}"= "c:\program\Ask.com\GenericAskToolbar.dll" [2010-06-17 1233288]

 

[HKEY_CLASSES_ROOT\clsid\{00000000-6e41-4fd3-8538-502f5495e5fc}]

 

[HKEY_LOCAL_MACHINE\~\Browser Helper Objects\{D4027C7F-154A-4066-A1AD-4243D8127440}]

2010-06-17 09:02 1233288 ----a-w- c:\program\Ask.com\GenericAskToolbar.dll

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Toolbar]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program\Ask.com\GenericAskToolbar.dll" [2010-06-17 1233288]

 

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]

[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

 

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Toolbar\Webbrowser]

"{D4027C7F-154A-4066-A1AD-4243D8127440}"= "c:\program\Ask.com\GenericAskToolbar.dll" [2010-06-17 1233288]

 

[HKEY_CLASSES_ROOT\clsid\{d4027c7f-154a-4066-a1ad-4243d8127440}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd.1]

[HKEY_CLASSES_ROOT\TypeLib\{2996F0E7-292B-4CAE-893F-47B8B1C05B56}]

[HKEY_CLASSES_ROOT\GenericAskToolbar.ToolbarWnd]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"BitTorrent DNA"="c:\program\DNA\btdna.exe" [2009-10-15 323392]

"Skype"="c:\program\Skype\\Phone\Skype.exe" [2010-04-06 26102056]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2006-11-17 577536]

"TkBellExe"="c:\program\Delade filer\Real\Update_OB\realsched.exe" [2005-08-29 180269]

"QuickTime Task"="c:\program\QuickTime\qttask.exe" [2005-08-29 98304]

"Adobe Reader Speed Launcher"="c:\program\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-09-23 35760]

"Adobe ARM"="c:\program\Delade filer\Adobe\ARM\1.0\AdobeARM.exe" [2010-09-20 932288]

"avast!"="c:\program\ALWILS~1\Avast4\ashDisp.exe" [2009-11-24 81000]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

 

c:\documents and settings\Andy\Start-meny\Program\Autostart\

Laneye.lnk - c:\program\LANeye\Laneye.exe [2011-1-30 3384832]

LimeWire On Startup.lnk - c:\documents and settings\Andy\Skrivbord\Till Pappa\LimeWire\LimeWire.exe [2010-9-30 503808]

 

c:\documents and settings\All Users\Start-meny\Program\Autostart\

BankID s„kerhetsprogram.lnk - c:\program\Personal\bin\Personal.exe [2011-2-9 1086288]

ZyXEL G-202 Wireless Adapter Utility.lnk - c:\program\ZyXEL\ZyXEL G-202 Wireless Adapter Utility\ZyXEL G-202.exe [2010-10-31 10878976]

 

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Adobe Reader Speed Launch.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\Adobe Reader Speed Launch.lnk

backup=c:\windows\pss\Adobe Reader Speed Launch.lnkCommon Startup

 

[HKLM\~\startupfolder\C:^Documents and Settings^Andy^Start-meny^Program^Autostart^Skype with Doro212.lnk]

path=c:\documents and settings\Andy\Start-meny\Program\Autostart\Skype with Doro212.lnk

backup=c:\windows\pss\Skype with Doro212.lnkStartup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\TkBellExe]

2005-08-29 17:09 180269 ----a-w- c:\program\Delade filer\Real\Update_OB\realsched.exe

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program\\Messenger\\msmsgs.exe"=

"c:\\StubInstaller.exe"=

"c:\\Program\\Real\\RealPlayer\\realplay.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\WINDOWS\\system32\\dpnsvr.exe"=

"c:\\WINDOWS\\system32\\dxdiag.exe"=

"c:\\Program\\DNA\\btdna.exe"=

"c:\\Program\\BitTorrent\\bittorrent.exe"=

"c:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Documents and Settings\\Andy\\Skrivbord\\Till Pappa\\LimeWire\\LimeWire.exe"=

"c:\\Program\\Skype\\Phone\\Skype.exe"=

 

R2 gupdate;Tjänsten Google Update (gupdate);c:\program\Google\Update\GoogleUpdate.exe [2010-10-31 136176]

R3 cxru171d;Virtual Bus for Microsoft ACPI-Compliant System; [x]

R3 DFBCFDBA;DFBCFDBA; [x]

S1 aswSP;avast! Self Protection; [x]

S2 aswFsBlk;aswFsBlk;c:\windows\system32\DRIVERS\aswFsBlk.sys [2009-11-24 20560]

S2 LANeyeSRV_NetworkService;LANeyeSRV;c:\program\LANeye\sys\LANeyeSRV.exe [2011-01-30 587264]

S3 PsSdk30;PsSdk30;c:\windows\system32\Drivers\PsSdk30.drv [x]

 

.

Innehållet i mappen 'Schemalagda aktiviteter':

 

2011-02-10 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program\Google\Update\GoogleUpdate.exe [2010-10-31 18:12]

 

2011-02-10 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job

- c:\program\Google\Update\GoogleUpdate.exe [2010-10-31 18:12]

 

2005-12-26 c:\windows\Tasks\Påminnelse om registrering 1.job

- c:\windows\system32\OOBE\oobebaln.exe [2004-09-14 16:05]

 

2011-02-10 c:\windows\Tasks\Scheduled Update for Ask Toolbar.job

- c:\program\Ask.com\UpdateTask.exe [2010-06-30 20:35]

.

.

------- Extra genomsökning -------

.

uStart Page = hxxp://www.burnleyfootballclub.com/

uSearchURL,(Default) = hxxp://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR

IE: Google Sidewiki... - c:\program\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_950DF09FAB501E03.dll/cmsidewiki.html

DPF: {78ABDC59-D8E7-44D3-9A76-9A0918C52B4A} - hxxp://dl.uc.sina.com/cab/downloader.cab

.

- - - - FÖRÄLDRALÖSA POSTER SOM TAGITS BORT - - - -

 

AddRemove-LiveUpdate - c:\program\Symantec\LiveUpdate\LSETUP.EXE

 

 

 

**************************************************************************

 

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-02-10 17:16

Windows 5.1.2600 Service Pack 3 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

scan completed successfully

hidden files: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\PsSdk30]

"ImagePath"="\??\c:\windows\system32\Drivers\PsSdk30.drv"

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

 

- - - - - - - > 'explorer.exe'(412)

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Andra processer som körs ------------------------

.

c:\program\Alwil Software\Avast4\aswUpdSv.exe

c:\program\Alwil Software\Avast4\ashServ.exe

c:\windows\system32\slserv.exe

c:\windows\SOUNDMAN.EXE

c:\program\Alwil Software\Avast4\ashMaiSv.exe

.

**************************************************************************

.

Sluttid: 2011-02-10 17:52:06 - datorn startades om.

ComboFix-quarantined-files.txt 2011-02-10 16:52

 

Före genomsökningen: 27 651 518 464 byte ledigt

Efter genomsökningen: 27 654 713 344 byte ledigt

 

- - End Of File - - A913E142EE91A6D743DBFCDDE3FA8D9F

 

 

[Laston]

Hej! Ok verkar finnas otrevligheter kvar!

 

Spara TDSSKiller på Skrivbordet:

http://support.kaspersky.com/downloads/utils/tdsskiller.zip

 

Högerklicka och välj Extrahera alla. Kom ihåg var du packar upp filen.

Stäng av dina vanliga program, men du kan lämna antivirusprogram och liknande igång.

Kör programmet TDSSKiller.exe som finns i mappen där du packade upp filerna.

 

Klicka på Start Scan.

 

Om några hot hittas så välj Cure och klicka på Continue. Om inte Cure finns så välj Skip. Välj INTE Delete. Eventuellt behöver datorn startas om.

 

Klistra in innehållet i loggen som du hittar i C:\ med namnet TDSSKiller följt av version och tidpunkt.

 

 

Mvh Laston

[Din_Parla]

Ska väl köra Malwarebyte först? Eller?

 

// Annika

[Din_Parla]

Det gick ju inte att öppna TDSSKiller behövde winzip och det gick inte att installera för att det är nåt fel med Windows Installer....

Vad gör jag??

 

// Annika

[Laston]

Ok uppdatera Malwarebytes och skanna först kör sen TFC!

 

Spara TFC av OldTimer på Skrivbordet.

http://oldtimer.geekstogo.com/TFC.exe

 

Stäng alla program och fönster.

Kör TFC (om du har Vista eller Windows 7 så högerklicka på filen och välj Kör som administratör).

Klicka på Start-knappen för att starta städningen.

Det kan ta några minuter och låt datorn vara ifred under tiden.

 

När det är klart är det meningen att datorn ska startas om automatiskt. Om den inte gör det så startar du om datorn själv.

 

Mvh Laston

[Din_Parla]

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Databasversion: 5733

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

 

2011-02-10 20:10:52

mbam-log-2011-02-10 (20-10-52).txt

 

Skanningstyp: Snabbskanning

Antal skannade objekt: 157581

Förfluten tid: 55 minut(er), 27 sekund(er)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 1

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 1

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

HKEY_CURRENT_USER\SOFTWARE\SpywareBot (Rogue.SpywareBot) -> Quarantined and deleted successfully.

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

c:\documents and settings\Andy\skrivbord\eXplorer.exe (Heuristics.Reserved.Word.Exploit) -> Quarantined and deleted successfully.

 

 

[Din_Parla]

Har kört TFC nu... Datorn startades om..... Vad ska jag hitta på nu?

 

// Annika

[Laston]

Ok kan du installera om windows installer o se om du sen kan få in winzip o sen köra TDSS Killer?

Windows Installer:

http://www.microsoft.com/downloads/info.aspx?na=46&SrcFamilyId=5A58B56F-60B6-4412-95B9-54D056D6F9F4&SrcDisplayLang=en&u=http%3a%2f%2fdownload.microsoft.com%2fdownload%2f2%2f6%2f1%2f261fca42-22c0-4f91-9451-0e0f2e08356d%2fWindowsXP-KB942288-v3-x86.exe

[Din_Parla]

Får upp felmeddelandet "Filen c:\windows\system32\msiexec.exe är öppen elle används av ett annat program. Stäng alla andra program och klicka sedan på försök igen."

 

Men har inga andra program igång.

 

// Annika

[Cecilia]

Är du säker på att du inte kan högerklicka på zip-filen och välja Extrahera alla?