Skit i burken...

[Ultra]

Hej,

 

Har en dator som vi inte använder så mycket men nu har den helt fått spel och det kommer hela tiden upp fönster med virusvarningar osv. Det är något som heter "XP Internet Security 2011 Firewall Alert" som hela tiden vill att man ska godkänna att köra programmet och jag antar att det är nåt fuffens.

 

Startar jag internet så kommer bara programmets egna sida upp så det går inte att gå ut på nätet. Det går inte heller att starta MBAM men jag har kört DDS.scr, här kommer loggarna:

 

 

.

DDS (Ver_11-03-05.01) - NTFSx86

Run by Verkstan at 11:24:41,53 on 2011-03-07

Internet Explorer: 7.0.5730.13

Microsoft Windows XP Professional 5.1.2600.3.1252.46.1053.18.511.261 [GMT 1:00]

.

.

============== Running Processes ===============

.

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\Personal\bin\Personal.exe

C:\Program\NORTON~1\navapw32.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

svchost.exe

C:\Program\Delade filer\Autodata Limited Shared\Service\ADCDLicSvc.exe

C:\WINDOWS\System32\svchost.exe -k HTTPFilter

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

C:\Program\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\Program\Windows Media Player\WMPNSCFG.exe

C:\Documents and Settings\Verkstan\Skrivbord\dds (2).scr

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://www.leta.se/

BHO: Adobe PDF Reader Link Helper: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program\adobe\acrobat 7.0\activex\AcroIEHelper.dll

BHO: CNavExtBho Class: {bdf3e430-b101-42ad-a544-fadc6b084872} - c:\program\norton antivirus\NavShExt.dll

TB: Norton AntiVirus: {42cdd1bf-3ffb-4238-8ad1-7859df00b1d6} - c:\program\norton antivirus\NavShExt.dll

uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe

uRun: [updateMgr] "c:\program\adobe\acrobat 7.0\reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

uRun: [WMPNSCFG] c:\program\windows media player\WMPNSCFG.exe

mRun: [soundMan] SOUNDMAN.EXE

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [nwiz] nwiz.exe /install

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [NAV Agent] c:\program\norton~1\navapw32.exe

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\docume~1\verkstan\start-~1\program\autost~1\allian~1.lnk - \\bokföring\allians\data\AlliansPathfinder.exe

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\adobeg~1.lnk - c:\program\delade filer\adobe\calibration\Adobe Gamma Loader.exe

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\adober~1.lnk - c:\program\adobe\acrobat 7.0\reader\reader_sl.exe

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\micros~1.lnk - c:\program\microsoft office\office10\OSA.EXE

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\personal.lnk - c:\program\personal\bin\Personal.exe

IE: E&xportera till Microsoft Excel - c:\program\micros~2\office10\EXCEL.EXE/3000

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program\messenger\msmsgs.exe

DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://go.microsoft.com/fwlink/?linkid=39204

DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124959871312

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - c:\program\delade filer\microsoft shared\web folders\PKMCDO.DLL

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

IFEO: image file execution options - svchost.exe

Hosts: 74.125.45.100 4-open-davinci.com

Hosts: 74.125.45.100 securitysoftwarepayments.com

Hosts: 74.125.45.100 privatesecuredpayments.com

Hosts: 74.125.45.100 secure.privatesecuredpayments.com

Hosts: 74.125.45.100 getantivirusplusnow.com

.

Note: multiple HOSTS entries found. Please refer to Attach.txt

.

============= SERVICES / DRIVERS ===============

.

R2 navapsvc;Norton AntiVirus Auto Protect Service;c:\program\norton antivirus\Navapsvc.exe [2001-8-16 115792]

R3 NAVAP;NAVAP;c:\windows\system32\drivers\NAVAP.SYS [2001-8-3 182896]

R3 NAVENG;NAVENG;c:\program\delade~1\symant~1\virusd~1\20081217.003\NAVENG.Sys [2008-12-18 89104]

R3 NAVEX15;NAVEX15;c:\program\delade~1\symant~1\virusd~1\20081217.003\NavEx15.Sys [2008-12-18 876112]

S2 SBService;ScriptBlocking Service;c:\program\delade~1\symant~1\script~1\SBServ.exe [2001-8-13 54408]

S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2010-8-16 38224]

.

=============== Created Last 30 ================

.

2011-03-06 08:04:35 323584 --sha-w- c:\docume~1\verkstan\lokala~1\applic~1\pcv.exe

.

==================== Find3M ====================

.

2011-01-21 14:44:07 439808 ----a-w- c:\windows\system32\shimgvw.dll

2011-01-07 14:09:02 290048 ----a-w- c:\windows\system32\atmfd.dll

2010-12-31 14:04:15 1854976 ----a-w- c:\windows\system32\win32k.sys

2010-12-22 12:34:22 301568 ----a-w- c:\windows\system32\kerberos.dll

2010-12-20 23:06:58 832512 ----a-w- c:\windows\system32\wininet.dll

2010-12-20 23:06:57 78336 ----a-w- c:\windows\system32\ieencode.dll

2010-12-20 23:06:57 1830912 ------w- c:\windows\system32\inetcpl.cpl

2010-12-20 23:06:56 17408 ------w- c:\windows\system32\corpol.dll

2010-12-20 17:25:55 730624 ----a-w- c:\windows\system32\lsasrv.dll

2010-12-20 12:55:36 389120 ------w- c:\windows\system32\html.iec

2010-12-09 15:15:15 722944 ----a-w- c:\windows\system32\ntdll.dll

2010-12-09 15:14:02 2193536 ----a-w- c:\windows\system32\ntoskrnl.exe

2010-12-09 15:13:54 2070144 ----a-w- c:\windows\system32\ntkrnlpa.exe

2010-12-09 14:30:25 33280 ----a-w- c:\windows\system32\csrsrv.dll

.

============= FINISH: 11:25:24,34 ===============

[Cecilia]

Spara RKill av Grinler på Skrivbordet, för över det med hjälp av USB-minne eller liknande från en dator med fungerande internet-anslutning (eller se om internet fungerar om du startar datorn i felsäkert läge med nätverk). Ladda ner det från :

http://download.bleepingcomputer.com/grinler/iExplore.exe

Filen är RKill men heter inte RKill för att lura det skadliga programmet.

 

Stäng av antivirusprogrammet och liknande säkerhetsprogram om du har några.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

 

Starta Rkill genom att dubbelklicka på den.

Det blir ett svart fönster/ruta en stund om programmet lyckades köra.

Upprepa körningen av RKill några gånger tills du inte ser till det falska programmet (max 10 gånger).

 

Om du får ett meddelande om att RKill är skadligt så bry dig inte om det. Det är det skadliga programmet som inte vill bli stoppat. Lämna kvar varningen på skärmen och kör RKill en gång till.

 

Om du startar om datorn får du köra RKill igen.

 

Se om du nu kan köra MBAM.

[Ultra]

Hejsan,

 

Jag körde RKill ett par gånger sen MBAM och här kommer loggen. Nu verkar datorn fungera igen.

 

 

 

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Databasversion: 5979

 

Windows 5.1.2600 Service Pack 3

Internet Explorer 7.0.5730.13

 

2011-03-07 12:30:37

mbam-log-2011-03-07 (12-30-37).txt

 

Skanningstyp: Snabbskanning

Antal skannade objekt: 144903

Förfluten tid: 2 minut(er), 15 sekund(er)

 

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

 

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

(Inga illasinnade poster hittades)

 

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

(Inga illasinnade poster hittades)

[Cecilia]

Kör DDS igen och klistra in båda loggarna så får vi se om det syns något mer där.

[Ultra]

.

DDS (Ver_11-03-05.01) - NTFSx86

Run by Verkstan at 10:49:42,25 on 2011-03-08

Internet Explorer: 7.0.5730.13

Microsoft Windows XP Professional 5.1.2600.3.1252.46.1053.18.511.205 [GMT 1:00]

.

.

============== Running Processes ===============

.

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\System32\svchost.exe -k netsvcs

svchost.exe

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\SOUNDMAN.EXE

C:\Program\Personal\bin\Personal.exe

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\ctfmon.exe

svchost.exe

C:\Program\Delade filer\Autodata Limited Shared\Service\ADCDLicSvc.exe

C:\WINDOWS\System32\svchost.exe -k HTTPFilter

C:\Program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

C:\Program\Norton AntiVirus\navapsvc.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\Program\Windows Media Player\WMPNSCFG.exe

C:\WINDOWS\explorer.exe

C:\Documents and Settings\Verkstan\Skrivbord\dds (2).scr

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://www.leta.se/

BHO: Adobe PDF Reader Link Helper: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program\adobe\acrobat 7.0\activex\AcroIEHelper.dll

BHO: CNavExtBho Class: {bdf3e430-b101-42ad-a544-fadc6b084872} - c:\program\norton antivirus\NavShExt.dll

TB: Norton AntiVirus: {42cdd1bf-3ffb-4238-8ad1-7859df00b1d6} - c:\program\norton antivirus\NavShExt.dll

uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe

uRun: [updateMgr] "c:\program\adobe\acrobat 7.0\reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1

uRun: [WMPNSCFG] c:\program\windows media player\WMPNSCFG.exe

mRun: [soundMan] SOUNDMAN.EXE

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [nwiz] nwiz.exe /install

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [NAV Agent] c:\program\norton~1\navapw32.exe

mRunOnce: [Malwarebytes' Anti-Malware] c:\program\malwarebytes' anti-malware\mbamgui.exe /install /silent

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\docume~1\verkstan\start-~1\program\autost~1\allian~1.lnk - \\bokföring\allians\data\AlliansPathfinder.exe

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\adobeg~1.lnk - c:\program\delade filer\adobe\calibration\Adobe Gamma Loader.exe

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\adober~1.lnk - c:\program\adobe\acrobat 7.0\reader\reader_sl.exe

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\micros~1.lnk - c:\program\microsoft office\office10\OSA.EXE

StartupFolder: c:\docume~1\alluse~1\start-~1\program\autost~1\personal.lnk - c:\program\personal\bin\Personal.exe

IE: E&xportera till Microsoft Excel - c:\program\micros~2\office10\EXCEL.EXE/3000

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program\messenger\msmsgs.exe

DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://go.microsoft.com/fwlink/?linkid=39204

DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1124959871312

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload.macromedia.com/pub/shockwave/cabs/flash/swflash.cab

Handler: cdo - {CD00020A-8B95-11D1-82DB-00C04FB1625D} - c:\program\delade filer\microsoft shared\web folders\PKMCDO.DLL

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

IFEO: image file execution options - svchost.exe

Hosts: 74.125.45.100 4-open-davinci.com

Hosts: 74.125.45.100 securitysoftwarepayments.com

Hosts: 74.125.45.100 privatesecuredpayments.com

Hosts: 74.125.45.100 secure.privatesecuredpayments.com

Hosts: 74.125.45.100 getantivirusplusnow.com

.

Note: multiple HOSTS entries found. Please refer to Attach.txt

.

============= SERVICES / DRIVERS ===============

.

R2 navapsvc;Norton AntiVirus Auto Protect Service;c:\program\norton antivirus\Navapsvc.exe [2001-8-16 115792]

R3 NAVAP;NAVAP;c:\windows\system32\drivers\NAVAP.SYS [2001-8-3 182896]

R3 NAVENG;NAVENG;c:\program\delade~1\symant~1\virusd~1\20081217.003\NAVENG.Sys [2008-12-18 89104]

R3 NAVEX15;NAVEX15;c:\program\delade~1\symant~1\virusd~1\20081217.003\NavEx15.Sys [2008-12-18 876112]

S2 SBService;ScriptBlocking Service;c:\program\delade~1\symant~1\script~1\SBServ.exe [2001-8-13 54408]

.

=============== Created Last 30 ================

.

2011-03-06 08:04:35 323584 --sha-w- c:\docume~1\verkstan\lokala~1\applic~1\pcv.exe

.

==================== Find3M ====================

.

2011-01-21 14:44:07 439808 ----a-w- c:\windows\system32\shimgvw.dll

2011-01-07 14:09:02 290048 ----a-w- c:\windows\system32\atmfd.dll

2010-12-31 14:04:15 1854976 ----a-w- c:\windows\system32\win32k.sys

2010-12-22 12:34:22 301568 ----a-w- c:\windows\system32\kerberos.dll

2010-12-20 23:06:58 832512 ----a-w- c:\windows\system32\wininet.dll

2010-12-20 23:06:57 78336 ----a-w- c:\windows\system32\ieencode.dll

2010-12-20 23:06:57 1830912 ------w- c:\windows\system32\inetcpl.cpl

2010-12-20 23:06:56 17408 ------w- c:\windows\system32\corpol.dll

2010-12-20 17:25:55 730624 ----a-w- c:\windows\system32\lsasrv.dll

2010-12-20 12:55:36 389120 ------w- c:\windows\system32\html.iec

2010-12-09 15:15:15 722944 ----a-w- c:\windows\system32\ntdll.dll

2010-12-09 15:14:02 2193536 ----a-w- c:\windows\system32\ntoskrnl.exe

2010-12-09 15:13:54 2070144 ----a-w- c:\windows\system32\ntkrnlpa.exe

2010-12-09 14:30:25 33280 ----a-w- c:\windows\system32\csrsrv.dll

.

============= FINISH: 10:50:11,64 ===============

Attach.txt

[Cecilia]

Inte riktigt bra än.

 

Fixa hosts-filen med FixIt-knappen på sidan http://support.microsoft.com/kb/972034

Starta sedan om datorn.

 

"Norton AntiVirus 2002" ger urdåligt skydd mot dagens skadliga program.

 

På sidan http://www.virustotal.com klickar du på Bläddra -knappen och klistrar in följande filnamn i rutan, klicka på Öppna och sedan på Skicka Fil. Vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in länken till resultatet här.

c:\docume~1\verkstan\lokala~1\applic~1\pcv.exe

 

Kör MBAM en gång till (kom ihåg att uppdatera först). Om något hittas klistra in loggen.

 

Om MBAM inte hittar något så gör du följande:

 

Spara ComboFix på Skrivbordet: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram, men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara Ja.

Mer detaljerad vägledning finns på http://www.bleepingcomputer.com/combofix/se/hur-combofix-ska-anvandas

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när det körs eftersom så det kan hänga upp sig då.

 

När ComboFix är färdig ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

[Ultra]

Mors,

 

VirusTotal-länken:

 

http://www.virustotal.com/file-scan/report.html?id=c6cac3ac0a980495d4f64f547a8abd0cb55eb2e30407de67003e85c9f014e8ba-1299774640

[Cecilia]

Den såg inte kul ut den filen.

 

Hur går det med MBAM och ComboFix?

[Euro]

OK, jag har alltid undrat vad ni ser i alla loggar och listor och beundrar verkligen det du/ni håller på med och är väldigt tacksam för all hjälp man får här. Nu behöver du ju kanske inte undervisa mig men jag är ändå lite nyfiken vad man får ut av tex. VirusTotal-körningen.

 

MBAM visade inget och jag körde igång ComboFix efter dina instruktioner och kom så långt att det stod att den höll på att göra en logg eller något sånt där. Nästa gång jag tittade till datorn så hade den stängt av sig! Jag startade datorn men hann inte göra något mer, jag fortsätter imorrn.

 

Tack så länge.

[Cecilia]

På virustotal kontrolleras filen mot ca 40 antivirusprogram och liknande. Det är ett sätt att få reda på om en okänd fil är skadlig eller inte.

 

Du kan se om loggen finns som C:\ComboFix.txt. Om inte så kör om ComboFix.

[Ultra]

Hej,

 

Fick köra ComboFix ett par gånger innan jag fick det att funka, här kommer loggen:

 

 

ComboFix 11-03-10.03 - Verkstan 2011-03-11 12:08:31.4.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.46.1053.18.511.363 [GMT 1:00]

Körs från: c:\documents and settings\Verkstan\Skrivbord\ComboFix.exe

.

.

(((((((((((((((((((((((( Filer Skapade från 2011-02-11 till 2011-03-11 ))))))))))))))))))))))))))))))

.

.

2011-03-11 10:54 . 2011-03-11 10:56 -------- d-----w- C:\467477f3d72474450a095e2aefbbd4

2011-03-06 08:04 . 2011-03-06 08:04 323584 --sha-w- c:\documents and settings\Verkstan\Lokala inställningar\Application Data\pcv.exe

2011-02-09 13:54 . 2011-02-09 13:54 270848 -c----w- c:\windows\system32\dllcache\sbe.dll

2011-02-09 13:54 . 2011-02-09 13:54 186880 -c----w- c:\windows\system32\dllcache\encdec.dll

.

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-02-09 13:54 . 2004-08-04 19:00 270848 ----a-w- c:\windows\system32\sbe.dll

2011-02-09 13:54 . 2004-08-04 19:00 186880 ----a-w- c:\windows\system32\encdec.dll

2011-02-02 07:58 . 2005-08-25 15:20 2067456 ----a-w- c:\windows\system32\mstscax.dll

2011-01-27 11:57 . 2005-08-25 15:20 677888 ----a-w- c:\windows\system32\mstsc.exe

2011-01-21 14:44 . 2004-08-04 19:00 439808 ----a-w- c:\windows\system32\shimgvw.dll

2011-01-07 14:09 . 2004-08-04 19:00 290048 ----a-w- c:\windows\system32\atmfd.dll

2010-12-31 14:04 . 2004-08-04 19:00 1854976 ----a-w- c:\windows\system32\win32k.sys

2010-12-22 12:34 . 2004-08-04 19:00 301568 ----a-w- c:\windows\system32\kerberos.dll

2010-12-20 23:06 . 2004-08-04 19:00 832512 ----a-w- c:\windows\system32\wininet.dll

2010-12-20 23:06 . 2004-08-04 19:00 78336 ----a-w- c:\windows\system32\ieencode.dll

2010-12-20 23:06 . 2004-08-04 19:00 1830912 ------w- c:\windows\system32\inetcpl.cpl

2010-12-20 23:06 . 2004-08-04 19:00 17408 ------w- c:\windows\system32\corpol.dll

2010-12-20 17:25 . 2004-08-04 19:00 730624 ----a-w- c:\windows\system32\lsasrv.dll

2010-12-20 17:09 . 2010-08-16 11:47 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-12-20 17:08 . 2010-08-16 11:47 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-12-20 12:55 . 2004-08-04 19:00 389120 ------w- c:\windows\system32\html.iec

.

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"updateMgr"="c:\program\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

"WMPNSCFG"="c:\program\Windows Media Player\WMPNSCFG.exe" [2006-11-15 204288]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2005-08-17 90112]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-20 7110656]

"nwiz"="nwiz.exe" [2005-07-20 1519616]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-07-20 86016]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\documents and settings\Verkstan\Start-meny\Program\Autostart\

Alliansserver.lnk - \\Bokf”ring\allians\Data\AlliansPathfinder.exe [2005-3-1 396288]

.

c:\documents and settings\All Users\Start-meny\Program\Autostart\

Adobe Gamma Loader.exe.lnk - c:\program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe [2005-11-19 113664]

Adobe Reader Speed Launch.lnk - c:\program\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

Microsoft Office.lnk - c:\program\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

Personal.lnk - c:\program\Personal\bin\Personal.exe [2010-3-10 939920]

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\msiexec.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program\\Messenger\\msmsgs.exe"=

.

.

.

------- Extra genomsökning -------

.

uStart Page = hxxp://www.leta.se/

IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\Office10\EXCEL.EXE/3000

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-03-11 12:12

Windows 5.1.2600 Service Pack 3 NTFS

.

scanning hidden processes ...

.

scanning hidden autostart entries ...

.

scanning hidden files ...

.

scan completed successfully

hidden files: 0

.

**************************************************************************

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe,-101"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10n_ActiveX.exe"

.

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

.

- - - - - - - > 'explorer.exe'(3988)

c:\program\DELADE~1\MICROS~1\WEBCOM~1\10\OWC10.DLL

c:\program\Delade filer\Microsoft Shared\Web Components\10\1053\OWCI10.DLL

c:\windows\system32\msimtf.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Sluttid: 2011-03-11 12:14:06

ComboFix-quarantined-files.txt 2011-03-11 11:13

.

Före genomsökningen: 33 871 212 544 byte ledigt

Efter genomsökningen: 33 865 789 440 byte ledigt

.

- - End Of File - - 067487AE42D37A61C7C2BEDB041C385E

[Cecilia]

Kopiera alla rader i rutan:

Killall::
File::
c:\documents and settings\Verkstan\Lokala inställningar\Application Data\pcv.exe
RegLock::
[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

och klistra in i Anteckningar. Kontrollera att det ser exakt likadant ut, t ex när det gäller radbrytningar.

Spara filen på Skrivbordet med namnet CFScript.

 

Förbered datorn på samma sätt som tidigare för ComboFix.

Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.

Klistra in loggen som kommer ut.

 

Hur fungerar datorn nu?

[Ultra]

Hej igen,

 

Noga med radbrytningarna säger du men ska det vara en mitt i "Application Data" och även i den andra raden?

[Cecilia]

Se till att "Automatisk radbyte" i Anteckningars Format-meny är avslagen.

Det ska vara fem rader.

[Ultra]

Sorry att det har tagit lite tid, det kom sjukdom och lite annat emellan, men här kommer ComboFix-loggen:

 

 

ComboFix 11-03-21.02 - Verkstan 2011-03-22 10:42:56.5.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.46.1053.18.511.248 [GMT 1:00]

Körs från: c:\documents and settings\Verkstan\Skrivbord\ComboFix.exe

Använda kommandoväxlar :: c:\documents and settings\Verkstan\Skrivbord\CFScript.txt

* Skapade en ny återställningspunkt

.

FILE ::

"c:\documents and settings\Verkstan\Lokala inställningar\Application Data\pcv.exe"

.

.

(((((((((((((((((((((((( Filer Skapade från 2011-02-22 till 2011-03-22 ))))))))))))))))))))))))))))))

.

.

2011-03-11 10:54 . 2011-03-11 10:56 -------- d-----w- C:\467477f3d72474450a095e2aefbbd4

2011-03-06 08:04 . 2011-03-06 08:04 323584 --sha-w- c:\documents and settings\Verkstan\Lokala inställningar\Application Data\pcv.exe

.

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-02-09 13:54 . 2004-08-04 19:00 270848 ----a-w- c:\windows\system32\sbe.dll

2011-02-09 13:54 . 2004-08-04 19:00 186880 ----a-w- c:\windows\system32\encdec.dll

2011-02-02 07:58 . 2005-08-25 15:20 2067456 ----a-w- c:\windows\system32\mstscax.dll

2011-01-27 11:57 . 2005-08-25 15:20 677888 ----a-w- c:\windows\system32\mstsc.exe

2011-01-21 14:44 . 2004-08-04 19:00 439808 ----a-w- c:\windows\system32\shimgvw.dll

2011-01-07 14:09 . 2004-08-04 19:00 290048 ----a-w- c:\windows\system32\atmfd.dll

2010-12-31 14:04 . 2004-08-04 19:00 1854976 ----a-w- c:\windows\system32\win32k.sys

2010-12-22 12:34 . 2004-08-04 19:00 301568 ----a-w- c:\windows\system32\kerberos.dll

.

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"updateMgr"="c:\program\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

"WMPNSCFG"="c:\program\Windows Media Player\WMPNSCFG.exe" [2006-11-15 204288]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2005-08-17 90112]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-20 7110656]

"nwiz"="nwiz.exe" [2005-07-20 1519616]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-07-20 86016]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\documents and settings\Verkstan\Start-meny\Program\Autostart\

Alliansserver.lnk - \\Bokf”ring\allians\Data\AlliansPathfinder.exe [2005-3-1 396288]

.

c:\documents and settings\All Users\Start-meny\Program\Autostart\

Adobe Gamma Loader.exe.lnk - c:\program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe [2005-11-19 113664]

Adobe Reader Speed Launch.lnk - c:\program\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

Microsoft Office.lnk - c:\program\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

Personal.lnk - c:\program\Personal\bin\Personal.exe [2010-3-10 939920]

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\msiexec.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program\\Messenger\\msmsgs.exe"=

.

.

.

------- Extra genomsökning -------

.

uStart Page = hxxp://www.leta.se/

IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\Office10\EXCEL.EXE/3000

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-03-22 10:48

Windows 5.1.2600 Service Pack 3 NTFS

.

scanning hidden processes ...

.

scanning hidden autostart entries ...

.

scanning hidden files ...

.

scan completed successfully

hidden files: 0

.

**************************************************************************

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

.

- - - - - - - > 'explorer.exe'(2456)

c:\windows\system32\msimtf.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Andra processer som körs ------------------------

.

c:\windows\SOUNDMAN.EXE

c:\windows\system32\RUNDLL32.EXE

c:\program\Delade filer\Autodata Limited Shared\Service\ADCDLicSvc.exe

c:\program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

c:\windows\system32\nvsvc32.exe

c:\program\Windows Media Player\WMPNetwk.exe

.

**************************************************************************

.

Sluttid: 2011-03-22 10:50:29 - datorn startades om.

ComboFix-quarantined-files.txt 2011-03-22 09:50

ComboFix2.txt 2011-03-11 11:14

.

Före genomsökningen: 33 829 093 376 byte ledigt

Efter genomsökningen: 33 832 214 528 byte ledigt

.

- - End Of File - - 9504F392DDD75A3AC7C56FF29EF86050

[Cecilia]

Spara TDSSKiller på Skrivbordet:

http://support.kaspersky.com/downloads/utils/tdsskiller.zip

 

Högerklicka och välj Extrahera alla. Kom ihåg var du packar upp filen.

Stäng av dina vanliga program, men du kan lämna antivirusprogram och liknande igång.

Kör programmet TDSSKiller.exe som finns i mappen där du packade upp filerna.

 

Klicka på Start Scan.

 

Om några hot hittas så välj Cure och klicka på Continue. Om inte Cure finns så välj Skip. Välj INTE Quarantine eller Delete. Eventuellt behöver datorn startas om.

 

Klistra in innehållet i loggen som du hittar i C:\ med namnet TDSSKiller följt av version och tidpunkt.

[Ultra]

Det verkade inte finnas nåt, här kommer loggen:

 

 

2011/03/23 14:53:52.0656 0424 TDSS rootkit removing tool 2.4.21.0 Mar 10 2011 12:26:28

2011/03/23 14:53:52.0906 0424 ================================================================================

2011/03/23 14:53:52.0906 0424 SystemInfo:

2011/03/23 14:53:52.0906 0424

2011/03/23 14:53:52.0906 0424 OS Version: 5.1.2600 ServicePack: 3.0

2011/03/23 14:53:52.0906 0424 Product type: Workstation

2011/03/23 14:53:52.0906 0424 ComputerName: MASKIN

2011/03/23 14:53:52.0906 0424 UserName: Verkstan

2011/03/23 14:53:52.0906 0424 Windows directory: C:\WINDOWS

2011/03/23 14:53:52.0906 0424 System windows directory: C:\WINDOWS

2011/03/23 14:53:52.0906 0424 Processor architecture: Intel x86

2011/03/23 14:53:52.0906 0424 Number of processors: 1

2011/03/23 14:53:52.0906 0424 Page size: 0x1000

2011/03/23 14:53:52.0906 0424 Boot type: Normal boot

2011/03/23 14:53:52.0906 0424 ================================================================================

2011/03/23 14:53:53.0109 0424 Initialize success

2011/03/23 14:54:05.0046 0264 ================================================================================

2011/03/23 14:54:05.0046 0264 Scan started

2011/03/23 14:54:05.0046 0264 Mode: Manual;

2011/03/23 14:54:05.0046 0264 ================================================================================

2011/03/23 14:54:05.0281 0264 abp480n5 (6abb91494fe6c59089b9336452ab2ea3) C:\WINDOWS\system32\DRIVERS\ABP480N5.SYS

2011/03/23 14:54:05.0359 0264 ACPI (48547e29772befe3c554ff5e4855bf51) C:\WINDOWS\system32\DRIVERS\ACPI.sys

2011/03/23 14:54:05.0421 0264 ACPIEC (decedc736cef3c0fff6e981b31e73a61) C:\WINDOWS\system32\drivers\ACPIEC.sys

2011/03/23 14:54:05.0484 0264 adpu160m (9a11864873da202c996558b2106b0bbc) C:\WINDOWS\system32\DRIVERS\adpu160m.sys

2011/03/23 14:54:05.0562 0264 aec (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys

2011/03/23 14:54:05.0656 0264 AFD (7e775010ef291da96ad17ca4b17137d7) C:\WINDOWS\System32\drivers\afd.sys

2011/03/23 14:54:05.0718 0264 agpCPQ (03a7e0922acfe1b07d5db2eeb0773063) C:\WINDOWS\system32\DRIVERS\agpCPQ.sys

2011/03/23 14:54:05.0781 0264 Aha154x (c23ea9b5f46c7f7910db3eab648ff013) C:\WINDOWS\system32\DRIVERS\aha154x.sys

2011/03/23 14:54:05.0843 0264 aic78u2 (19dd0fb48b0c18892f70e2e7d61a1529) C:\WINDOWS\system32\DRIVERS\aic78u2.sys

2011/03/23 14:54:05.0906 0264 aic78xx (b7fe594a7468aa0132deb03fb8e34326) C:\WINDOWS\system32\DRIVERS\aic78xx.sys

2011/03/23 14:54:06.0078 0264 ALCXWDM (92ae420be14b0d97d14dac4aba22a702) C:\WINDOWS\system32\drivers\ALCXWDM.SYS

2011/03/23 14:54:06.0234 0264 AliIde (1140ab9938809700b46bb88e46d72a96) C:\WINDOWS\system32\DRIVERS\aliide.sys

2011/03/23 14:54:06.0296 0264 alim1541 (cb08aed0de2dd889a8a820cd8082d83c) C:\WINDOWS\system32\DRIVERS\alim1541.sys

2011/03/23 14:54:06.0359 0264 amdagp (95b4fb835e28aa1336ceeb07fd5b9398) C:\WINDOWS\system32\DRIVERS\amdagp.sys

2011/03/23 14:54:06.0421 0264 AmdK7 (f17ea853ea39f5d7f49ff2bc35517fff) C:\WINDOWS\system32\DRIVERS\amdk7.sys

2011/03/23 14:54:06.0468 0264 amsint (79f5add8d24bd6893f2903a3e2f3fad6) C:\WINDOWS\system32\DRIVERS\amsint.sys

2011/03/23 14:54:06.0531 0264 asc (62d318e9a0c8fc9b780008e724283707) C:\WINDOWS\system32\DRIVERS\asc.sys

2011/03/23 14:54:06.0593 0264 asc3350p (69eb0cc7714b32896ccbfd5edcbea447) C:\WINDOWS\system32\DRIVERS\asc3350p.sys

2011/03/23 14:54:06.0640 0264 asc3550 (5d8de112aa0254b907861e9e9c31d597) C:\WINDOWS\system32\DRIVERS\asc3550.sys

2011/03/23 14:54:06.0750 0264 AsyncMac (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys

2011/03/23 14:54:06.0828 0264 atapi (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys

2011/03/23 14:54:06.0968 0264 Atmarpc (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys

2011/03/23 14:54:07.0046 0264 audstub (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys

2011/03/23 14:54:07.0156 0264 Beep (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys

2011/03/23 14:54:07.0296 0264 cbidf (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\DRIVERS\cbidf2k.sys

2011/03/23 14:54:07.0343 0264 cbidf2k (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys

2011/03/23 14:54:07.0406 0264 cd20xrnt (f3ec03299634490e97bbce94cd2954c7) C:\WINDOWS\system32\DRIVERS\cd20xrnt.sys

2011/03/23 14:54:07.0468 0264 Cdaudio (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys

2011/03/23 14:54:07.0531 0264 Cdfs (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys

2011/03/23 14:54:07.0609 0264 Cdrom (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys

2011/03/23 14:54:07.0750 0264 CmdIde (4c36a458153f8d7329e96192e653cb01) C:\WINDOWS\system32\DRIVERS\cmdide.sys

2011/03/23 14:54:07.0859 0264 Cpqarray (3ee529119eed34cd212a215e8c40d4b6) C:\WINDOWS\system32\DRIVERS\cpqarray.sys

2011/03/23 14:54:07.0937 0264 dac2w2k (e550e7418984b65a78299d248f0a7f36) C:\WINDOWS\system32\DRIVERS\dac2w2k.sys

2011/03/23 14:54:07.0984 0264 dac960nt (683789caa3864eb46125ae86ff677d34) C:\WINDOWS\system32\DRIVERS\dac960nt.sys

2011/03/23 14:54:08.0062 0264 Disk (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys

2011/03/23 14:54:08.0171 0264 dmboot (80008bd0c19d97b0b3f4d1d9cbf190a8) C:\WINDOWS\system32\drivers\dmboot.sys

2011/03/23 14:54:08.0265 0264 dmio (41862731f82be80f0cfba5d0da36b683) C:\WINDOWS\system32\drivers\dmio.sys

2011/03/23 14:54:08.0343 0264 dmload (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys

2011/03/23 14:54:08.0421 0264 DMusic (8a208dfcf89792a484e76c40e5f50b45) C:\WINDOWS\system32\drivers\DMusic.sys

2011/03/23 14:54:08.0515 0264 dpti2o (40f3b93b4e5b0126f2f5c0a7a5e22660) C:\WINDOWS\system32\DRIVERS\dpti2o.sys

2011/03/23 14:54:08.0562 0264 drmkaud (8f5fcff8e8848afac920905fbd9d33c8) C:\WINDOWS\system32\drivers\drmkaud.sys

2011/03/23 14:54:08.0625 0264 EL90XBC (6e883bf518296a40959131c2304af714) C:\WINDOWS\system32\DRIVERS\el90xbc5.sys

2011/03/23 14:54:08.0718 0264 Fastfat (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys

2011/03/23 14:54:08.0796 0264 Fdc (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\DRIVERS\fdc.sys

2011/03/23 14:54:08.0843 0264 FETNDISB (a583bc166495b07f704533754ce29cbd) C:\WINDOWS\system32\DRIVERS\fetnd5b.sys

2011/03/23 14:54:08.0906 0264 Fips (b66ddb75642f6722468707840c67a394) C:\WINDOWS\system32\drivers\Fips.sys

2011/03/23 14:54:08.0953 0264 Flpydisk (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\DRIVERS\flpydisk.sys

2011/03/23 14:54:09.0000 0264 FltMgr (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys

2011/03/23 14:54:09.0046 0264 Fs_Rec (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys

2011/03/23 14:54:09.0109 0264 Ftdisk (45fc410cfe68ff036ad232a141e69c19) C:\WINDOWS\system32\DRIVERS\ftdisk.sys

2011/03/23 14:54:09.0203 0264 Gpc (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys

2011/03/23 14:54:09.0296 0264 hardlock (c818b973110a1c9f7763dd39bffd0fd3) C:\WINDOWS\system32\drivers\hardlock.sys

2011/03/23 14:54:09.0359 0264 Haspnt (2dd25f060dc9f79b5cdf33d90ed93669) C:\WINDOWS\system32\drivers\Haspnt.sys

2011/03/23 14:54:09.0484 0264 HidUsb (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys

2011/03/23 14:54:09.0562 0264 hpn (b028377dea0546a5fcfba928a8aefae0) C:\WINDOWS\system32\DRIVERS\hpn.sys

2011/03/23 14:54:09.0640 0264 HTTP (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys

2011/03/23 14:54:09.0718 0264 i2omgmt (9368670bd426ebea5e8b18a62416ec28) C:\WINDOWS\system32\drivers\i2omgmt.sys

2011/03/23 14:54:09.0781 0264 i2omp (f10863bf1ccc290babd1a09188ae49e0) C:\WINDOWS\system32\DRIVERS\i2omp.sys

2011/03/23 14:54:09.0843 0264 i8042prt (82e56cd09b2ce1edec3fba9111c7ee3a) C:\WINDOWS\system32\DRIVERS\i8042prt.sys

2011/03/23 14:54:09.0906 0264 Imapi (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys

2011/03/23 14:54:10.0000 0264 ini910u (4a40e045faee58631fd8d91afc620719) C:\WINDOWS\system32\DRIVERS\ini910u.sys

2011/03/23 14:54:10.0078 0264 IntelIde (3012ee13f357a99361ad8b0d93e13c45) C:\WINDOWS\system32\DRIVERS\intelide.sys

2011/03/23 14:54:10.0171 0264 intelppm (02431778e84a525d29929d14bab71d53) C:\WINDOWS\system32\DRIVERS\intelppm.sys

2011/03/23 14:54:10.0234 0264 Ip6Fw (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys

2011/03/23 14:54:10.0328 0264 IpFilterDriver (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys

2011/03/23 14:54:10.0406 0264 IpInIp (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys

2011/03/23 14:54:10.0484 0264 IpNat (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys

2011/03/23 14:54:10.0546 0264 IPSec (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys

2011/03/23 14:54:10.0625 0264 IRENUM (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys

2011/03/23 14:54:10.0687 0264 isapnp (48f97c77daf8811598cfae21368eacb6) C:\WINDOWS\system32\DRIVERS\isapnp.sys

2011/03/23 14:54:10.0734 0264 Kbdclass (d655ca94c8e2e0223c1bc28bcd95723a) C:\WINDOWS\system32\DRIVERS\kbdclass.sys

2011/03/23 14:54:10.0812 0264 kbdhid (e1e28876fe7602b0a1d040354de35c06) C:\WINDOWS\system32\DRIVERS\kbdhid.sys

2011/03/23 14:54:10.0890 0264 kmixer (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys

2011/03/23 14:54:10.0968 0264 KSecDD (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys

2011/03/23 14:54:11.0171 0264 mnmdd (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys

2011/03/23 14:54:11.0250 0264 Modem (42ce19726d9c410dff75d3ff1cc79db2) C:\WINDOWS\system32\drivers\Modem.sys

2011/03/23 14:54:11.0312 0264 Mouclass (e0c4c36573bcf0c0d2a1578caa791f7d) C:\WINDOWS\system32\DRIVERS\mouclass.sys

2011/03/23 14:54:11.0390 0264 mouhid (98e474ecf11f1db62fb072157a95ea83) C:\WINDOWS\system32\DRIVERS\mouhid.sys

2011/03/23 14:54:11.0437 0264 MountMgr (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys

2011/03/23 14:54:11.0500 0264 mraid35x (3f4bb95e5a44f3be34824e8e7caf0737) C:\WINDOWS\system32\DRIVERS\mraid35x.sys

2011/03/23 14:54:11.0578 0264 MRxDAV (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys

2011/03/23 14:54:11.0671 0264 MRxSmb (f3aefb11abc521122b67095044169e98) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys

2011/03/23 14:54:11.0765 0264 Msfs (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys

2011/03/23 14:54:11.0843 0264 MSKSSRV (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys

2011/03/23 14:54:11.0921 0264 MSPCLOCK (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys

2011/03/23 14:54:11.0968 0264 MSPQM (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys

2011/03/23 14:54:12.0031 0264 mssmbios (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys

2011/03/23 14:54:12.0078 0264 Mup (2f625d11385b1a94360bfc70aaefdee1) C:\WINDOWS\system32\drivers\Mup.sys

2011/03/23 14:54:12.0140 0264 NDIS (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys

2011/03/23 14:54:12.0203 0264 NdisTapi (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys

2011/03/23 14:54:12.0281 0264 Ndisuio (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys

2011/03/23 14:54:12.0343 0264 NdisWan (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys

2011/03/23 14:54:12.0421 0264 NDProxy (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys

2011/03/23 14:54:12.0468 0264 NetBIOS (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys

2011/03/23 14:54:12.0531 0264 NetBT (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys

2011/03/23 14:54:12.0656 0264 Npfs (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys

2011/03/23 14:54:12.0734 0264 Ntfs (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys

2011/03/23 14:54:12.0828 0264 Null (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys

2011/03/23 14:54:12.0984 0264 nv (7fe3f1721856365c882dae13f3600223) C:\WINDOWS\system32\DRIVERS\nv4_mini.sys

2011/03/23 14:54:13.0140 0264 NwlnkFlt (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys

2011/03/23 14:54:13.0187 0264 NwlnkFwd (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys

2011/03/23 14:54:13.0281 0264 Parport (19e28ed86e7244d76fda792c2810188e) C:\WINDOWS\system32\DRIVERS\parport.sys

2011/03/23 14:54:13.0343 0264 PartMgr (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys

2011/03/23 14:54:13.0421 0264 ParVdm (5cf71e14a108c492c1fb07543d579af5) C:\WINDOWS\system32\drivers\ParVdm.sys

2011/03/23 14:54:13.0468 0264 PCI (8a185f0112cf5b42ff1aaff31b8b3091) C:\WINDOWS\system32\DRIVERS\pci.sys

2011/03/23 14:54:13.0593 0264 PCIIde (239de4275ee40fdf9912761467025244) C:\WINDOWS\system32\DRIVERS\pciide.sys

2011/03/23 14:54:13.0671 0264 Pcmcia (904053aa6e251c77cf85371ce644cfd7) C:\WINDOWS\system32\drivers\Pcmcia.sys

2011/03/23 14:54:13.0921 0264 perc2 (6c14b9c19ba84f73d3a86dba11133101) C:\WINDOWS\system32\DRIVERS\perc2.sys

2011/03/23 14:54:13.0953 0264 perc2hib (f50f7c27f131afe7beba13e14a3b9416) C:\WINDOWS\system32\DRIVERS\perc2hib.sys

2011/03/23 14:54:14.0125 0264 PptpMiniport (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys

2011/03/23 14:54:14.0171 0264 PSched (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys

2011/03/23 14:54:14.0218 0264 Ptilink (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys

2011/03/23 14:54:14.0265 0264 ql1080 (0a63fb54039eb5662433caba3b26dba7) C:\WINDOWS\system32\DRIVERS\ql1080.sys

2011/03/23 14:54:14.0328 0264 Ql10wnt (6503449e1d43a0ff0201ad5cb1b8c706) C:\WINDOWS\system32\DRIVERS\ql10wnt.sys

2011/03/23 14:54:14.0375 0264 ql12160 (156ed0ef20c15114ca097a34a30d8a01) C:\WINDOWS\system32\DRIVERS\ql12160.sys

2011/03/23 14:54:14.0453 0264 ql1240 (70f016bebde6d29e864c1230a07cc5e6) C:\WINDOWS\system32\DRIVERS\ql1240.sys

2011/03/23 14:54:14.0500 0264 ql1280 (907f0aeea6bc451011611e732bd31fcf) C:\WINDOWS\system32\DRIVERS\ql1280.sys

2011/03/23 14:54:14.0562 0264 RasAcd (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys

2011/03/23 14:54:14.0625 0264 Rasl2tp (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys

2011/03/23 14:54:14.0687 0264 RasPppoe (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys

2011/03/23 14:54:14.0750 0264 Raspti (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys

2011/03/23 14:54:14.0812 0264 Rdbss (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys

2011/03/23 14:54:14.0875 0264 RDPCDD (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys

2011/03/23 14:54:14.0968 0264 rdpdr (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys

2011/03/23 14:54:15.0046 0264 RDPWD (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys

2011/03/23 14:54:15.0125 0264 redbook (97130d37842819fa39fd5f1e90a5d676) C:\WINDOWS\system32\DRIVERS\redbook.sys

2011/03/23 14:54:15.0421 0264 Secdrv (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys

2011/03/23 14:54:15.0546 0264 Sentinel (da17773297995d1135dfd1aceef07d58) C:\WINDOWS\System32\Drivers\SENTINEL.SYS

2011/03/23 14:54:15.0609 0264 Serenum (0f29512ccd6bead730039fb4bd2c85ce) C:\WINDOWS\system32\DRIVERS\serenum.sys

2011/03/23 14:54:15.0687 0264 Serial (f7d35464062edc08909e568bcd8ae77d) C:\WINDOWS\system32\DRIVERS\serial.sys

2011/03/23 14:54:15.0750 0264 Sfloppy (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys

2011/03/23 14:54:15.0890 0264 Sntnlusb (cff0eb1647b02e074be154dc03e02928) C:\WINDOWS\System32\Drivers\SNTNLUSB.SYS

2011/03/23 14:54:15.0953 0264 Sparrow (83c0f71f86d3bdaf915685f3d568b20e) C:\WINDOWS\system32\DRIVERS\sparrow.sys

2011/03/23 14:54:16.0031 0264 splitter (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys

2011/03/23 14:54:16.0109 0264 sr (1193ef00869f6367367e6e7cb96be325) C:\WINDOWS\system32\DRIVERS\sr.sys

2011/03/23 14:54:16.0218 0264 Srv (0f6aefad3641a657e18081f52d0c15af) C:\WINDOWS\system32\DRIVERS\srv.sys

2011/03/23 14:54:16.0328 0264 swenum (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys

2011/03/23 14:54:16.0406 0264 swmidi (8ce882bcc6cf8a62f2b2323d95cb3d01) C:\WINDOWS\system32\drivers\swmidi.sys

2011/03/23 14:54:16.0500 0264 symc810 (1ff3217614018630d0a6758630fc698c) C:\WINDOWS\system32\DRIVERS\symc810.sys

2011/03/23 14:54:16.0562 0264 symc8xx (070e001d95cf725186ef8b20335f933c) C:\WINDOWS\system32\DRIVERS\symc8xx.sys

2011/03/23 14:54:16.0609 0264 sym_hi (80ac1c4abbe2df3b738bf15517a51f2c) C:\WINDOWS\system32\DRIVERS\sym_hi.sys

2011/03/23 14:54:16.0671 0264 sym_u3 (bf4fab949a382a8e105f46ebb4937058) C:\WINDOWS\system32\DRIVERS\sym_u3.sys

2011/03/23 14:54:16.0718 0264 sysaudio (8b83f3ed0f1688b4958f77cd6d2bf290) C:\WINDOWS\system32\drivers\sysaudio.sys

2011/03/23 14:54:16.0843 0264 Tcpip (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys

2011/03/23 14:54:16.0906 0264 TDPIPE (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys

2011/03/23 14:54:17.0000 0264 TDTCP (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys

2011/03/23 14:54:17.0078 0264 TermDD (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys

2011/03/23 14:54:17.0203 0264 TosIde (67b0bb00b577d37e54497e5fdfcaadc0) C:\WINDOWS\system32\DRIVERS\toside.sys

2011/03/23 14:54:17.0296 0264 uagp35 (d85938f272d1bcf3db3a31fc0a048928) C:\WINDOWS\system32\DRIVERS\uagp35.sys

2011/03/23 14:54:17.0359 0264 Udfs (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys

2011/03/23 14:54:17.0406 0264 ultra (1b698a51cd528d8da4ffaed66dfc51b9) C:\WINDOWS\system32\DRIVERS\ultra.sys

2011/03/23 14:54:17.0468 0264 Update (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys

2011/03/23 14:54:17.0593 0264 usbccgp (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys

2011/03/23 14:54:17.0671 0264 usbehci (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys

2011/03/23 14:54:17.0718 0264 usbhub (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys

2011/03/23 14:54:17.0812 0264 usbscan (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys

2011/03/23 14:54:17.0859 0264 USBSTOR (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS

2011/03/23 14:54:17.0906 0264 usbuhci (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys

2011/03/23 14:54:17.0968 0264 VgaSave (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys

2011/03/23 14:54:18.0031 0264 viaagp (754292ce5848b3738281b4f3607eaef4) C:\WINDOWS\system32\DRIVERS\viaagp.sys

2011/03/23 14:54:18.0125 0264 ViaIde (3b3efcda263b8ac14fdf9cbdd0791b2e) C:\WINDOWS\system32\DRIVERS\viaide.sys

2011/03/23 14:54:18.0187 0264 viamraid (65864aba65eee06ea586009301834e43) C:\WINDOWS\system32\DRIVERS\VIAMRAID.SYS

2011/03/23 14:54:18.0250 0264 VolSnap (57187ec04878147e1f4f2d9224b12205) C:\WINDOWS\system32\drivers\VolSnap.sys

2011/03/23 14:54:18.0359 0264 Wanarp (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys

2011/03/23 14:54:18.0515 0264 wdmaud (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys

2011/03/23 14:54:18.0828 0264 WudfPf (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys

2011/03/23 14:54:18.0906 0264 WudfRd (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys

2011/03/23 14:54:19.0093 0264 ================================================================================

2011/03/23 14:54:19.0093 0264 Scan finished

2011/03/23 14:54:19.0093 0264 ================================================================================

2011/03/23 14:54:38.0562 3668 Deinitialize success

[Cecilia]

Då gör vi ett nytt försök med ComboFix.

 

Kopiera alla rader i rutan:

Killall::
Rootkit::
c:\documents and settings\Verkstan\Lokala inställningar\Application Data\pcv.exe

och klistra in i Anteckningar. Kontrollera att det ser exakt likadant ut, t ex när det gäller radbrytningar.

Spara filen på Skrivbordet med namnet CFScript.

 

Förbered datorn på samma sätt som tidigare för ComboFix.

Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt.

Klistra in loggen som kommer ut.

[Ultra]

Hej,

 

Den här gången startade den om mitt i ComboFix-körningen. Här kommer loggen:

 

 

ComboFix 11-03-23.05 - Verkstan 2011-03-24 13:23:06.6.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.46.1053.18.511.262 [GMT 1:00]

Körs från: c:\documents and settings\Verkstan\Skrivbord\ComboFix.exe

Använda kommandoväxlar :: c:\documents and settings\Verkstan\Skrivbord\CFScript.txt

.

.

(((((((((((((((((((((((( Filer Skapade från 2011-02-24 till 2011-03-24 ))))))))))))))))))))))))))))))

.

.

2011-03-11 10:54 . 2011-03-11 10:56 -------- d-----w- C:\467477f3d72474450a095e2aefbbd4

2011-03-06 08:04 . 2011-03-06 08:04 323584 --sha-w- c:\documents and settings\Verkstan\Lokala inställningar\Application Data\pcv.exe

.

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-02-09 13:54 . 2004-08-04 19:00 270848 ----a-w- c:\windows\system32\sbe.dll

2011-02-09 13:54 . 2004-08-04 19:00 186880 ----a-w- c:\windows\system32\encdec.dll

2011-02-02 07:58 . 2005-08-25 15:20 2067456 ----a-w- c:\windows\system32\mstscax.dll

2011-01-27 11:57 . 2005-08-25 15:20 677888 ----a-w- c:\windows\system32\mstsc.exe

2011-01-21 14:44 . 2004-08-04 19:00 439808 ----a-w- c:\windows\system32\shimgvw.dll

2011-01-07 14:09 . 2004-08-04 19:00 290048 ----a-w- c:\windows\system32\atmfd.dll

2010-12-31 14:04 . 2004-08-04 19:00 1854976 ----a-w- c:\windows\system32\win32k.sys

.

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"updateMgr"="c:\program\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

"WMPNSCFG"="c:\program\Windows Media Player\WMPNSCFG.exe" [2006-11-15 204288]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2005-08-17 90112]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-20 7110656]

"nwiz"="nwiz.exe" [2005-07-20 1519616]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-07-20 86016]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\documents and settings\Verkstan\Start-meny\Program\Autostart\

Alliansserver.lnk - \\Bokf”ring\allians\Data\AlliansPathfinder.exe [2005-3-1 396288]

.

c:\documents and settings\All Users\Start-meny\Program\Autostart\

Adobe Gamma Loader.exe.lnk - c:\program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe [2005-11-19 113664]

Adobe Reader Speed Launch.lnk - c:\program\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

Microsoft Office.lnk - c:\program\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

Personal.lnk - c:\program\Personal\bin\Personal.exe [2010-3-10 939920]

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\msiexec.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program\\Messenger\\msmsgs.exe"=

.

.

.

------- Extra genomsökning -------

.

uStart Page = hxxp://www.leta.se/

IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\Office10\EXCEL.EXE/3000

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-03-24 13:28

Windows 5.1.2600 Service Pack 3 NTFS

.

scanning hidden processes ...

.

scanning hidden autostart entries ...

.

scanning hidden files ...

.

scan completed successfully

hidden files: 0

.

**************************************************************************

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

.

- - - - - - - > 'explorer.exe'(2424)

c:\windows\system32\msimtf.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Andra processer som körs ------------------------

.

c:\windows\SOUNDMAN.EXE

c:\windows\system32\RUNDLL32.EXE

c:\program\Delade filer\Autodata Limited Shared\Service\ADCDLicSvc.exe

c:\program\Delade filer\Microsoft Shared\VS7Debug\mdm.exe

c:\windows\system32\nvsvc32.exe

c:\program\Windows Media Player\WMPNetwk.exe

.

**************************************************************************

.

Sluttid: 2011-03-24 13:30:48 - datorn startades om.

ComboFix-quarantined-files.txt 2011-03-24 12:30

ComboFix2.txt 2011-03-22 09:50

ComboFix3.txt 2011-03-11 11:14

.

Före genomsökningen: 34 062 897 152 byte ledigt

Efter genomsökningen: 34 060 054 528 byte ledigt

.

- - End Of File - - 80468F38A28771461A82EC21760DAB37

[Cecilia]

Det hjälpte inte heller, filen är fortfarande kvar. Vi ser om SUPERAntiSpyware kan hitta och ta hand om filen, om inte får vi göra på ett annat sätt. Ladda hem och installera gratisversionen SUPERAntiSpyware Free Edition:

http://www.superantispyware.com/download.html

Starta programmet och se till att det uppdaterar sig.

Avsluta programmet när uppdateringen är klar.

 

Starta om datorn i felsäkert läge (tryck F8 upprepade gånger under uppstarten och välj felsäkert läge i menyn).

 

Starta SUPERAntiSpyware och klicka på Scan your Computer.

Bocka för alla hårddiskar (fixed drive/disk).

Välj Perform complete scan

Nästa/Next

 

När skanningen är klar som kommer det upp en sammanfattning, tryck på OK

Nästa/Next

Utför eller liknande

Ett fönster med Quarantine and removal Complete kommer upp

OK

Utför eller liknande

Avsluta programmet.

 

Jag vet inte om ovanstående beskrivning fortfarande stämmer, men förhoppningsvis är det fortfarande rätt likt.

 

Starta om i normalt läge.

 

Starta SUPERAntiSpyware, tryck på Preferences, välj fliken Statistics/Logs.

Dubbelklicka på den nyaste SUPERAntiSpyware Scan Log så att loggen kommer upp i Anteckningar.

Klistra in loggen i ditt svar.

[Ultra]

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 03/25/2011 at 10:48 AM

 

Application Version : 4.50.1002

 

Core Rules Database Version : 6673

Trace Rules Database Version: 4485

 

Scan type : Quick Scan

Total Scan Time : 00:06:43

 

Memory items scanned : 213

Memory threats detected : 0

Registry items scanned : 1598

Registry threats detected : 0

File items scanned : 6115

File threats detected : 26

 

Adware.Tracking Cookie

C:\Documents and Settings\Verkstan\Cookies\verkstan@tradedoubler[2].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@eas8.emediate[2].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@adsby.webtraffic[1].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@adtech[1].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@mediaplex[1].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@atdmt[1].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@xiti[1].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@ad.yieldmanager[1].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@apmebf[1].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@adserver.adtechus[1].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@content.yieldmanager[1].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@content.yieldmanager[3].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@adform[1].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@d.dmcpmtrack[2].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@imrworldwide[2].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@track.adform[2].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@adinterax[2].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@doubleclick[1].txt

adtech.panthercustomer.com [ C:\Documents and Settings\Verkstan\Application Data\Macromedia\Flash Player\#SharedObjects\PZ3V5ALF ]

aka-cdn-ns.adtech.de [ C:\Documents and Settings\Verkstan\Application Data\Macromedia\Flash Player\#SharedObjects\PZ3V5ALF ]

bannerfarm.ace.advertising.com [ C:\Documents and Settings\Verkstan\Application Data\Macromedia\Flash Player\#SharedObjects\PZ3V5ALF ]

cdn5.specificclick.net [ C:\Documents and Settings\Verkstan\Application Data\Macromedia\Flash Player\#SharedObjects\PZ3V5ALF ]

macromedia.com [ C:\Documents and Settings\Verkstan\Application Data\Macromedia\Flash Player\#SharedObjects\PZ3V5ALF ]

secure-us.imrworldwide.com [ C:\Documents and Settings\Verkstan\Application Data\Macromedia\Flash Player\#SharedObjects\PZ3V5ALF ]

track.adform.net [ C:\Documents and Settings\Verkstan\Application Data\Macromedia\Flash Player\#SharedObjects\PZ3V5ALF ]

 

Trojan.Agent/Gen-FakeAlert[steam]

C:\DOCUMENTS AND SETTINGS\VERKSTAN\LOKALA INSTäLLNINGAR\APPLICATION DATA\PCV.EXE

[Cecilia]

Det ser ut som att programmet åtminstone hittade den skadliga filen. Starta om datorn och kör SUPERAntiSpyware igen så får vi se om filen är borta för gott eller återkommer.

[Ultra]

Hej,

 

Jag har kört i "vanligt" läge inte felsäkert den här gången, är det OK?

 

 

 

SUPERAntiSpyware Scan Log

http://www.superantispyware.com

 

Generated 03/30/2011 at 03:45 PM

 

Application Version : 4.50.1002

 

Core Rules Database Version : 6673

Trace Rules Database Version: 4485

 

Scan type : Quick Scan

Total Scan Time : 00:06:18

 

Memory items scanned : 363

Memory threats detected : 0

Registry items scanned : 1611

Registry threats detected : 0

File items scanned : 6136

File threats detected : 10

 

Adware.Tracking Cookie

C:\Documents and Settings\Verkstan\Cookies\verkstan@tradedoubler[1].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@eas8.emediate[1].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@adsby.webtraffic[1].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@adtech[1].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@atdmt[1].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@adform[1].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@imrworldwide[2].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@track.adform[2].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@adinterax[1].txt

C:\Documents and Settings\Verkstan\Cookies\verkstan@doubleclick[2].txt

[Cecilia]

Om det fungerar med skanningar i normalt läge så är det bättre än felsäkert läge.

 

Det ser ju bra ut och filen är borta för gott. Kör ComboFix och DDS på samma sätt som tidigare (normalt läge om möjligt) och klistra in de nya loggarna. ComboFix kommer troligen att fråga om det är okej att den laddar ner en nyare version och det är förstås bra om den kan göra det.

[Ultra]

ComboFix:

 

 

ComboFix 11-03-30.02 - Verkstan 2011-03-31 15:04:31.7.1 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.46.1053.18.511.259 [GMT 2:00]

Körs från: c:\documents and settings\Verkstan\Skrivbord\ComboFix.exe

.

.

(((((((((((((((((((((((( Filer Skapade från 2011-02-28 till 2011-03-31 ))))))))))))))))))))))))))))))

.

.

2011-03-25 09:34 . 2011-03-25 09:34 -------- d-----w- c:\documents and settings\Verkstan\Application Data\SUPERAntiSpyware.com

2011-03-25 09:34 . 2011-03-25 09:34 -------- d-----w- c:\documents and settings\All Users\Application Data\SUPERAntiSpyware.com

2011-03-25 09:34 . 2011-03-25 09:34 -------- d-----w- c:\program\SUPERAntiSpyware

2011-03-11 10:54 . 2011-03-11 10:56 -------- d-----w- C:\467477f3d72474450a095e2aefbbd4

.

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-02-09 13:54 . 2004-08-04 19:00 270848 ----a-w- c:\windows\system32\sbe.dll

2011-02-09 13:54 . 2004-08-04 19:00 186880 ----a-w- c:\windows\system32\encdec.dll

2011-02-02 07:58 . 2005-08-25 15:20 2067456 ----a-w- c:\windows\system32\mstscax.dll

2011-01-27 11:57 . 2005-08-25 15:20 677888 ----a-w- c:\windows\system32\mstsc.exe

2011-01-21 14:44 . 2004-08-04 19:00 439808 ----a-w- c:\windows\system32\shimgvw.dll

2011-01-07 14:09 . 2004-08-04 19:00 290048 ----a-w- c:\windows\system32\atmfd.dll

2010-12-31 14:04 . 2004-08-04 19:00 1854976 ----a-w- c:\windows\system32\win32k.sys

.

.

((((((((((((((((((((((((((((( SnapShot@2011-03-11_11.12.26 )))))))))))))))))))))))))))))))))))))))))

.

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"updateMgr"="c:\program\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 313472]

"WMPNSCFG"="c:\program\Windows Media Player\WMPNSCFG.exe" [2006-11-15 204288]

"SUPERAntiSpyware"="c:\program\SUPERAntiSpyware\SUPERAntiSpyware.exe" [2011-03-16 2423752]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"SoundMan"="SOUNDMAN.EXE" [2005-08-17 90112]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2005-07-20 7110656]

"nwiz"="nwiz.exe" [2005-07-20 1519616]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2005-07-20 86016]

.

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

.

c:\documents and settings\Verkstan\Start-meny\Program\Autostart\

Alliansserver.lnk - \\Bokf”ring\allians\Data\AlliansPathfinder.exe [2005-3-1 396288]

.

c:\documents and settings\All Users\Start-meny\Program\Autostart\

Adobe Gamma Loader.exe.lnk - c:\program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe [2005-11-19 113664]

Adobe Reader Speed Launch.lnk - c:\program\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2005-9-23 29696]

Microsoft Office.lnk - c:\program\Microsoft Office\Office10\OSA.EXE [2001-2-13 83360]

Personal.lnk - c:\program\Personal\bin\Personal.exe [2010-3-10 939920]

.

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}"= "c:\program\SUPERAntiSpyware\SASSEH.DLL" [2008-05-13 77824]

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]

2009-09-03 22:21 548352 ----a-w- c:\program\SUPERAntiSpyware\SASWINLO.DLL

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusOverride"=dword:00000001

.

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\msiexec.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program\\Messenger\\msmsgs.exe"=

.

R1 SASDIFSV;SASDIFSV;c:\program\SUPERAntiSpyware\sasdifsv.sys [2010-02-17 12872]

R1 SASKUTIL;SASKUTIL;c:\program\SUPERAntiSpyware\SASKUTIL.SYS [2010-05-10 67656]

.

.

------- Extra genomsökning -------

.

uStart Page = hxxp://www.leta.se/

IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\Office10\EXCEL.EXE/3000

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-03-31 15:08

Windows 5.1.2600 Service Pack 3 NTFS

.

scanning hidden processes ...

.

scanning hidden autostart entries ...

.

scanning hidden files ...

.

scan completed successfully

hidden files: 0

.

**************************************************************************

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

.

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

.

- - - - - - - > 'winlogon.exe'(644)

c:\program\SUPERAntiSpyware\SASWINLO.DLL

.

- - - - - - - > 'explorer.exe'(3944)

c:\windows\system32\msimtf.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

Sluttid: 2011-03-31 15:10:14

ComboFix-quarantined-files.txt 2011-03-31 13:10

ComboFix2.txt 2011-03-24 12:30

ComboFix3.txt 2011-03-22 09:50

ComboFix4.txt 2011-03-11 11:14

.

Före genomsökningen: 20 774 105 088 byte ledigt

Efter genomsökningen: 20 791 074 816 byte ledigt

.

- - End Of File - - 115C934E6AC20229CAC6F994928B66B6