Windows Recovery Virus! Snälla hjälp mig få bort det!

[Flisans_]

Fick denna "Windows Recovery" program installerat efter att jag besökt spotify. Det är uppenbart att det är virus av nåt slag.

 

Kan inte se mina mappar eller program längre (?!)

 

Kan ni hjälpa mig att få bort detta, för den finns inte med på Lägg till/Ta bort program listan.

 

Tackar i förväg!!

 

Vill tillägga att jag är inne på safe mood, eftersom min dator inte startar upp normalt längre. Så att installera program verkar inte funka....

[Cecilia]

Går det att följa beskrivningen i tråden //eforum.idg.se/topic/218337-till-dig-med-virus-eller-andra-skadliga-program-i-datorn/ ?

Om inte får vi ta till andra knep.

[Flisans_]

Dessa två var vad jag fick fram:

 

[log]DDS (Ver_11-03-05.01) - NTFSx86 NETWORK

Run by Steffi at 12:55:41,35 on 2011-03-25

Internet Explorer: 7.0.6000.16982 BrowserJavaVersion: 1.6.0_21

Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.46.1053.18.2046.815 [GMT 1:00]

.

.

============== Running Processes ===============

.

C:\Windows\system32\wininit.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe -k DcomLaunch

C:\Windows\system32\svchost.exe -k rpcss

C:\Windows\System32\svchost.exe -k secsvcs

C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted

C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted

C:\Windows\system32\svchost.exe -k netsvcs

C:\Windows\system32\svchost.exe -k NetworkService

C:\Windows\system32\svchost.exe -k LocalService

C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork

C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted

C:\Windows\Explorer.EXE

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\Program Files\iTunes\iTunes.exe

C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceHelper.exe

C:\Program Files\Common Files\Apple\Apple Application Support\distnoted.exe

C:\Program Files\QuickTime\PictureViewer.exe

C:\Program Files\VideoLAN\VLC\vlc.exe

C:\Program Files\Adobe\Reader 8.0\Reader\AcroRd32.exe

C:\ProgramData\JgUJevQpNnePtDM.exe

C:\ProgramData\29089568.exe

C:\Users\Steffi\Downloads\dds.scr

C:\Windows\system32\wbem\wmiprvse.exe

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://format.packardbell.com/cgi-bin/redirect/?country=SE&range=AD&phase=8&key=IESTART

uInternet Settings,ProxyOverride = *.local

BHO: Länkhjälp till Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelper.dll

BHO: {1e8a6170-7264-4d0f-beae-d42a53123c75} - c:\program files\common files\symantec shared\coshared\browser\1.0\NppBho.dll

BHO: Windows Live inloggningshjälpen: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\program files\google\googletoolbar1.dll

BHO: CBrowserHelperObject Object: {ca6319c0-31b7-401e-a518-a07c3db8f777} - c:\program files\google\google_bae\BAE.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll

TB: &Google: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program files\google\googletoolbar1.dll

TB: Visa Norton-verktygsfältet: {90222687-f593-4738-b738-fbee9c7b26df} - c:\program files\common files\symantec shared\coshared\browser\1.0\UIBHO.dll

uRun: [sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun

uRun: [smpcSys] c:\program files\packard bell\setupmypc\SmpSys.exe

uRun: [msnmsgr] "c:\program files\windows live\messenger\msnmsgr.exe" /background

uRun: [JgUJevQpNnePtDM] c:\programdata\JgUJevQpNnePtDM.exe

mRun: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

mRun: [RtHDVCpl] RtHDVCpl.exe

mRun: [<NO NAME>]

mRun: [RoxWatchTray] "c:\program files\common files\roxio shared\9.0\sharedcom\RoxWatchTray9.exe"

mRun: [ccApp] "c:\program files\common files\symantec shared\ccApp.exe"

mRun: [iS CfgWiz] "c:\program files\common files\symantec shared\opc\{31011d49-d90c-4da0-878b-78d28ad507af}\cltUIStb.exe" /MODULE CfgWiz /GUID {BC8D3EAF-F864-4d4b-AB4D-B3D0C32E2840} /MODE CfgWiz /CMDLINE "REBOOT"

mRun: [osCheck] "c:\program files\norton internet security\osCheck.exe"

mRun: [Picasa Media Detector] c:\program files\picasa2\PicasaMediaDetector.exe

mRun: [toolbar_eula_launcher] c:\program files\packard bell\google_eula\EULALauncher.exe

mRun: [sunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"

mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"

mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime

mRun: [MSConfig] "c:\windows\system32\MSCONFIG.exe" /auto

mRun: [NvSvc] RUNDLL32.EXE c:\windows\system32\nvsvc.dll,nvsvcStart

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\bankid~1.lnk - c:\program files\personal\bin\Personal.exe

StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\mcafee~1.lnk - c:\program files\mcafee security scan\2.0.181\SSScheduler.exe

uPolicies-system: DisableTaskMgr = 1 (0x1)

mPolicies-system: DisableTaskMgr = 1 (0x1)

Trusted Zone: tv4play.se\www

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL

.

================= FIREFOX ===================

.

FF - ProfilePath - c:\users\steffi\appdata\roaming\mozilla\firefox\profiles\ba6lqhjm.default\

FF - component: c:\users\steffi\appdata\roaming\mozilla\firefox\profiles\ba6lqhjm.default\extensions\firesheep@codebutler.com\platform\winnt_x86-msvc\components\mozpopen.dll

FF - plugin: c:\program files\google\update\1.2.183.39\npGoogleOneClick8.dll

FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\program files\personal\bin\np_prsnl.dll

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\mozilla firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}

FF - Ext: Firesheep: firesheep@codebutler.com - %profile%\extensions\firesheep@codebutler.com

FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}

.

============= SERVICES / DRIVERS ===============

.

R3 3xHybrid;ASUSTek SAA713x PCI Card;c:\windows\system32\drivers\3xHybrid.sys [2007-7-13 816512]

R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [2007-7-13 13976]

S2 Automatisk LiveUpdate-schemaläggare;Automatisk LiveUpdate-schemaläggare;c:\program files\symantec\liveupdate\AluSchedulerSvc.exe [2007-7-13 194240]

S2 gupdate;Google Update Service (gupdate);c:\program files\google\update\GoogleUpdate.exe [2010-10-26 136176]

S2 SrvCDEject;SrvCDEject;c:\program files\packard bell\SrvCDEject.exe [2007-7-13 613376]

S3 IDSvix86;Symantec Intrusion Prevention Driver;c:\progra~2\symantec\defini~1\symcdata\idsdefs\20061025.029\IDSvix86.sys [2007-7-13 202872]

S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\mcafee security scan\2.0.181\McCHSvc.exe [2010-1-15 227232]

S3 Symantec Core LC;Symantec Core LC;c:\program files\common files\symantec shared\ccpd-lc\symlcsvc.exe [2007-7-13 1174152]

.

=============== Created Last 30 ================

.

2011-03-25 11:07:40 -------- d-----w- c:\program files\AVAST Software

2011-03-25 11:07:40 -------- d-----w- c:\progra~2\AVAST Software

2011-03-25 10:43:22 468480 ---ha-w- c:\progra~2\29089568.exe

2011-03-25 10:30:56 6144 ---ha-w- c:\windows\system32\beep.sys

2011-03-25 10:30:44 546816 ---ha-w- c:\progra~2\JgUJevQpNnePtDM.exe

2011-03-15 09:06:36 2565432 ---ha-w- c:\progra~2\microsoft\windows defender\definition updates\backup\mpengine.dll

2011-03-15 09:06:28 5943120 ---ha-w- c:\progra~2\microsoft\windows defender\definition updates\{86618963-ac27-4f85-bf5f-f610c47d3170}\mpengine.dll

2011-03-15 09:06:28 222080 ---h--w- c:\windows\system32\MpSigStub.exe

2011-03-02 15:29:25 -------- d--h--w- c:\program files\DAEMON Tools Pro

2011-03-02 15:29:12 -------- d--h--w- c:\users\steffi\appdata\roaming\DAEMON Tools Pro

2011-03-02 15:29:12 -------- d--h--w- c:\progra~2\DAEMON Tools Pro

.

==================== Find3M ====================

.

.

============= FINISH: 12:56:04,87 ===============

[/log]

 

[log].

UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.

IF REQUESTED, ZIP IT UP & ATTACH IT

.

DDS (Ver_11-03-05.01)

.

Microsoft® Windows Vista™ Home Premium

Boot Device: \Device\HarddiskVolume2

Install Date: 2010-09-13 17:35:22

System Uptime: 2011-03-25 09:55:16 (3 hours ago)

.

Motherboard: Packard Bell BV | | Cuba MS-7301

Processor: Intel® Core2 CPU 4400 @ 2.00GHz | Socket 775 | 1994/200mhz

.

==== Disk Partitions =========================

.

C: is FIXED (NTFS) - 458 GiB total, 332,974 GiB free.

D: is Removable

E: is Removable

F: is Removable

G: is Removable

H: is CDROM ()

.

==== Disabled Device Manager Items =============

.

==== System Restore Points ===================

.

RP34: 2011-02-24 12:07:26 - Schemalagd kontrollpunkt

RP35: 2011-02-28 12:12:41 - Schemalagd kontrollpunkt

RP36: 2011-03-15 10:06:01 - Windows Update

RP37: 2011-03-21 18:01:24 - Schemalagd kontrollpunkt

RP38: 2011-03-25 09:49:36 - Schemalagd kontrollpunkt

.

==== Installed Programs ======================

.

Adobe Flash Player 10 Plugin

Adobe Reader 8

Adobe Reader 8 - Svenska

Adobe Shockwave Player

AppCore

Apple Application Support

Apple Mobile Device Support

Apple Software Update

µTorrent

AV

BankID säkerhetsprogram 4.16.1

BitTorrent

Bonjour

Browser Address Error Redirector

ccCommon

Creator 9

Firefox

Flash Player 9 Internet Explorer

Google BAE

Google Desktop

Google Earth

Google Toolbar for Internet Explorer

GoogleToolbar

HDRegSW

iTunes

Java Auto Updater

Java 6 Update 21

LiveUpdate 3.2 (Symantec Corporation)

McAfee Security Scan Plus

Microsoft .NET Framework 1.1

Mozilla Firefox (3.6.16)

MSRedist

MSXML 4.0 SP2 (KB954430)

MSXML 4.0 SP2 (KB973688)

NIS2007

Norton AntiVirus

Norton Confidential Browser Component

Norton Confidential Web Protection Component

Norton Internet Security

Norton Internet Security (Symantec Corporation)

Norton Protection Center

NVIDIA Drivers

Packard Bell ImageWriter

Packard Bell LCD Test

Packard Bell Updator

Picasa2

QuickTime

Realtek HD Audio V6.0.1.5377

Realtek High Definition Audio Driver

Roxio Creator 9 LE

SetUp My PC

Shockwave player 10

Skype 2.5.2.151

Skype™ 5.0

SPBBC 32bit

Spotify

Symantec Real Time Storage Protection Component

SymNet

System Requirements Lab

Video NVIDIA v158.18

Windows Live inloggningsassistenten

Windows Live Upload Tool

WinRAR 4.00 beta 4 (32-bit)

VLC media player 1.1.4

X10 Hardware

.

==== End Of File ===========================

[/log]

[Cecilia]

Malwarebytes Anti-Malware (MBAM) brukar vara rätt bra på dessa falska program. Ladda ner från en av dessa länkar:

http://www.malwarebytes.org/mbam-download.php

http://majorgeeks.com/downloadget.php?id=5756&file=15&evp=693ee0b20204960edfd909666f809b26

http://dw.com.com/redir?edId=3&siteId=4&oId=3000-8022_4-10804572&ontId=8022_4&spi=b4a0904e0f02b40bf2ae9ce030ef5c99&lop=link&tag=tdw_dltext&ltype=dl_dlnow&pid=11375988&mfgId=6290020&merId=6290020&pguid=XI3P-goPjFwAACI-g4wAAAA4&destUrl=http%3A%2F%2Fdownload.cnet.com%2F3001-8022_4-10804572.html%3Fspi%3Db4a0904e0f02b40bf2ae9ce030ef5c99

http://fileforum.betanews.com/detail/Malwarebytes-AntiMalware/1186760019/1

Dubbelklicka på mbam-setup för att installera programmet. Det ska gå bra att göra det även i felsäkert läge.

 

Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Klicka på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj Utför snabb skanning och klicka på Skanna.

Skanningen tar ett tag.

När den är klar så klicka på OK och sedan Visa resultat.

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det till normalt läge.

Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.

Kopiera loggen och klistra in den i ditt svar.

 

Klistra också in en ny DDS-logg så får vi se vad som är kvar.

 

När du använder en knapp (logg-knapp) för att klistra in loggar händer det ibland att alla radbrytningar i loggen försvinner och den blir omöjlig att läsa. Om det inträffar får du redigera ditt inlägg och ta bort log-markeringarna runt loggen.

[Flisans_]

Så Cecilia, detta visade loggen när jag hade scannat färdigt och tagit bort de som var ikryssat. Nu kommer jag att starta om datorn och lägger upp resten sen.

 

[log]Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

 

Databasversion: 6166

 

Windows 6.0.6000 (Safe Mode)

Internet Explorer 7.0.6000.16982

 

2011-03-25 13:35:31

mbam-log-2011-03-25 (13-35-31).txt

 

Skanningstyp: Snabbskanning

Antal skannade objekt: 145298

Förfluten tid: 3 minut(er), 14 sekund(er)

 

Infekterade minnesprocesser: 2

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 1

Infekterade registerdataposter: 3

Infekterade mappar: 0

Infekterade filer: 6

 

Infekterade minnesprocesser:

c:\programdata\jgujevqpnneptdm.exe (Trojan.Downloader) -> 2368 -> Unloaded process successfully.

c:\programdata\29089568.exe (Rogue.FakeHDD) -> 3040 -> Unloaded process successfully.

 

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

 

Infekterade registernycklar:

(Inga illasinnade poster hittades)

 

Infekterade registervärden:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\JgUJevQpNnePtDM (Trojan.Downloader) -> Value: JgUJevQpNnePtDM -> Quarantined and deleted successfully.

 

Infekterade registerdataposter:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\ActiveDesktop\NoChangingWallPaper (PUM.Hijack.DisplayProperties) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr (PUM.Hijack.TaskManager) -> Bad: (1) Good: (0) -> Quarantined and deleted successfully.

 

Infekterade mappar:

(Inga illasinnade poster hittades)

 

Infekterade filer:

c:\programdata\jgujevqpnneptdm.exe (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\programdata\29089568.exe (Rogue.FakeHDD) -> Quarantined and deleted successfully.

c:\Users\Steffi\AppData\Local\Temp\-213E8.tmp (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully.

c:\Users\Steffi\AppData\Local\Temp\tmp6F8B.tmp (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\Users\Steffi\local settings\temporary internet files\Content.IE5\93COCXWJ\mst[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.

c:\Windows\System32\drivers\beep.sys (Fake.Beep.sys) -> Quarantined and deleted successfully.

[/log]

[Flisans_]

Mina mappar med alla bilder och program har försvunnit från skrivbordet verkar det som.. hittar dom inte ?

 

Här är DDS loggarna:

 

[log]DDS (Ver_11-03-05.01) - NTFSx86

Run by Steffi at 13:41:01,68 on 2011-03-25

Internet Explorer: 7.0.6000.16982 BrowserJavaVersion: 1.6.0_21

Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.46.1053.18.2046.1195 [GMT 1:00]

.

.

============== Running Processes ===============

.

C:\Windows\system32\wininit.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe -k DcomLaunch

C:\Windows\system32\svchost.exe -k rpcss

C:\Windows\System32\svchost.exe -k secsvcs

C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted

C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted

C:\Windows\system32\svchost.exe -k netsvcs

C:\Windows\system32\SLsvc.exe

C:\Windows\system32\svchost.exe -k LocalService

C:\Windows\system32\svchost.exe -k NetworkService

C:\Program Files\Common Files\Symantec Shared\ccSvcHst.exe

C:\Program Files\Common Files\Symantec Shared\AppCore\AppSvc32.exe

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Common Files\Apple\Mobile Device Support\AppleMobileDeviceService.exe

C:\Program Files\Symantec\LiveUpdate\ALUSchedulerSvc.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\Program Files\Packard bell\SAXO27\HIDSERVICE.EXE

C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted

C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatch9.exe

C:\Program Files\Packard Bell\SrvCDEject.exe

C:\Windows\system32\svchost.exe -k imgsvc

C:\Windows\System32\svchost.exe -k WerSvcGroup

C:\Windows\system32\SearchIndexer.exe

C:\PROGRA~1\COMMON~1\X10\Common\x10nets.exe

C:\Windows\system32\WUDFHost.exe

C:\Windows\system32\UI0Detect.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxMediaDB9.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Windows\RtHDVCpl.exe

C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe

C:\Program Files\Common Files\Symantec Shared\ccApp.exe

C:\Program Files\Picasa2\PicasaMediaDetector.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Windows\System32\rundll32.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Packard Bell\SetUpMyPC\SmpSys.exe

C:\Windows\System32\rundll32.exe

C:\Windows\system32\wbem\wmiprvse.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Common Files\Roxio Shared\9.0\SharedCOM\CPSHelpRunner.exe

C:\Program Files\Mozilla Firefox\firefox.exe

C:\Windows\system32\SearchProtocolHost.exe

C:\Program Files\Mozilla Firefox\plugin-container.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Windows\system32\DllHost.exe

C:\Windows\system32\DllHost.exe

C:\Users\Steffi\Downloads\dds(3).scr

C:\Windows\system32\conime.exe

C:\Windows\system32\wbem\wmiprvse.exe

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://format.packardbell.com/cgi-bin/redirect/?country=SE&range=AD&phase=8&key=IESTART

uInternet Settings,ProxyOverride = *.local

BHO: Länkhjälp till Adobe PDF Reader: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelper.dll

BHO: {1e8a6170-7264-4d0f-beae-d42a53123c75} - c:\program files\common files\symantec shared\coshared\browser\1.0\NppBho.dll

BHO: Windows Live inloggningshjälpen: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\program files\google\googletoolbar1.dll

BHO: CBrowserHelperObject Object: {ca6319c0-31b7-401e-a518-a07c3db8f777} - c:\program files\google\google_bae\BAE.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll

TB: &Google: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program files\google\googletoolbar1.dll

TB: Visa Norton-verktygsfältet: {90222687-f593-4738-b738-fbee9c7b26df} - c:\program files\common files\symantec shared\coshared\browser\1.0\UIBHO.dll

uRun: [sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun

uRun: [smpcSys] c:\program files\packard bell\setupmypc\SmpSys.exe

uRun: [msnmsgr] "c:\program files\windows live\messenger\msnmsgr.exe" /background

mRun: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

mRun: [RtHDVCpl] RtHDVCpl.exe

mRun: [<NO NAME>]

mRun: [RoxWatchTray] "c:\program files\common files\roxio shared\9.0\sharedcom\RoxWatchTray9.exe"

mRun: [ccApp] "c:\program files\common files\symantec shared\ccApp.exe"

mRun: [iS CfgWiz] "c:\program files\common files\symantec shared\opc\{31011d49-d90c-4da0-878b-78d28ad507af}\cltUIStb.exe" /MODULE CfgWiz /GUID {BC8D3EAF-F864-4d4b-AB4D-B3D0C32E2840} /MODE CfgWiz /CMDLINE "REBOOT"

mRun: [osCheck] "c:\program files\norton internet security\osCheck.exe"

mRun: [Picasa Media Detector] c:\program files\picasa2\PicasaMediaDetector.exe

mRun: [toolbar_eula_launcher] c:\program files\packard bell\google_eula\EULALauncher.exe

mRun: [sunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"

mRun: [iTunesHelper] "c:\program files\itunes\iTunesHelper.exe"

mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime

mRun: [MSConfig] "c:\windows\system32\MSCONFIG.exe" /auto

mRun: [NvSvc] RUNDLL32.EXE c:\windows\system32\nvsvc.dll,nvsvcStart

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [Malwarebytes' Anti-Malware (reboot)] "c:\program files\malwarebytes' anti-malware\mbam.exe" /runcleanupscript

StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\bankid~1.lnk - c:\program files\personal\bin\Personal.exe

StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\mcafee~1.lnk - c:\program files\mcafee security scan\2.0.181\SSScheduler.exe

Trusted Zone: tv4play.se\www

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_21-windows-i586.cab

Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\common~1\skype\SKYPE4~1.DLL

.

================= FIREFOX ===================

.

FF - ProfilePath - c:\users\steffi\appdata\roaming\mozilla\firefox\profiles\ba6lqhjm.default\

FF - component: c:\users\steffi\appdata\roaming\mozilla\firefox\profiles\ba6lqhjm.default\extensions\firesheep@codebutler.com\platform\winnt_x86-msvc\components\mozpopen.dll

FF - plugin: c:\program files\google\update\1.2.183.39\npGoogleOneClick8.dll

FF - plugin: c:\program files\java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\program files\personal\bin\np_prsnl.dll

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\mozilla firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}

FF - Ext: Firesheep: firesheep@codebutler.com - %profile%\extensions\firesheep@codebutler.com

FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}

.

============= SERVICES / DRIVERS ===============

.

R2 Automatisk LiveUpdate-schemaläggare;Automatisk LiveUpdate-schemaläggare;c:\program files\symantec\liveupdate\AluSchedulerSvc.exe [2007-7-13 194240]

R2 SrvCDEject;SrvCDEject;c:\program files\packard bell\SrvCDEject.exe [2007-7-13 613376]

R3 3xHybrid;ASUSTek SAA713x PCI Card;c:\windows\system32\drivers\3xHybrid.sys [2007-7-13 816512]

R3 X10Hid;X10 Hid Device;c:\windows\system32\drivers\x10hid.sys [2007-7-13 13976]

S2 gupdate;Google Update Service (gupdate);c:\program files\google\update\GoogleUpdate.exe [2010-10-26 136176]

S3 IDSvix86;Symantec Intrusion Prevention Driver;c:\progra~2\symantec\defini~1\symcdata\idsdefs\20061025.029\IDSvix86.sys [2007-7-13 202872]

S3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\mcafee security scan\2.0.181\McCHSvc.exe [2010-1-15 227232]

S3 Symantec Core LC;Symantec Core LC;c:\program files\common files\symantec shared\ccpd-lc\symlcsvc.exe [2007-7-13 1174152]

.

=============== Created Last 30 ================

.

2011-03-25 12:31:15 -------- d-----w- c:\users\steffi\appdata\roaming\Malwarebytes

2011-03-25 12:31:12 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-03-25 12:31:12 -------- d-----w- c:\progra~2\Malwarebytes

2011-03-25 12:31:09 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-03-25 12:31:09 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2011-03-25 11:07:40 -------- d-----w- c:\program files\AVAST Software

2011-03-25 11:07:40 -------- d-----w- c:\progra~2\AVAST Software

2011-03-25 10:30:56 6144 ---ha-w- c:\windows\system32\beep.sys

2011-03-15 09:06:36 2565432 ---ha-w- c:\progra~2\microsoft\windows defender\definition updates\backup\mpengine.dll

2011-03-15 09:06:28 5943120 ---ha-w- c:\progra~2\microsoft\windows defender\definition updates\{86618963-ac27-4f85-bf5f-f610c47d3170}\mpengine.dll

2011-03-15 09:06:28 222080 ---h--w- c:\windows\system32\MpSigStub.exe

2011-03-02 15:29:25 -------- d--h--w- c:\program files\DAEMON Tools Pro

2011-03-02 15:29:12 -------- d--h--w- c:\users\steffi\appdata\roaming\DAEMON Tools Pro

2011-03-02 15:29:12 -------- d--h--w- c:\progra~2\DAEMON Tools Pro

.

==================== Find3M ====================

.

.

============= FINISH: 13:41:50,63 ===============

[/log]

 

[log].

UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.

IF REQUESTED, ZIP IT UP & ATTACH IT

.

DDS (Ver_11-03-05.01)

.

Microsoft® Windows Vista™ Home Premium

Boot Device: \Device\HarddiskVolume2

Install Date: 2010-09-13 17:35:22

System Uptime: 2011-03-25 13:38:36 (0 hours ago)

.

Motherboard: Packard Bell BV | | Cuba MS-7301

Processor: Intel® Core2 CPU 4400 @ 2.00GHz | Socket 775 | 2000/200mhz

.

==== Disk Partitions =========================

.

C: is FIXED (NTFS) - 458 GiB total, 331,652 GiB free.

D: is Removable

E: is Removable

F: is Removable

G: is Removable

H: is CDROM ()

.

==== Disabled Device Manager Items =============

.

==== System Restore Points ===================

.

.

==== Installed Programs ======================

.

Adobe Flash Player 10 Plugin

Adobe Reader 8

Adobe Reader 8 - Svenska

Adobe Shockwave Player

AppCore

Apple Application Support

Apple Mobile Device Support

Apple Software Update

µTorrent

AV

BankID säkerhetsprogram 4.16.1

BitTorrent

Bonjour

Browser Address Error Redirector

ccCommon

Creator 9

Firefox

Flash Player 9 Internet Explorer

Google BAE

Google Desktop

Google Earth

Google Toolbar for Internet Explorer

GoogleToolbar

HDRegSW

iTunes

Java Auto Updater

Java 6 Update 21

LiveUpdate 3.2 (Symantec Corporation)

Malwarebytes' Anti-Malware

McAfee Security Scan Plus

Microsoft .NET Framework 1.1

Mozilla Firefox (3.6.16)

MSRedist

MSXML 4.0 SP2 (KB954430)

MSXML 4.0 SP2 (KB973688)

NIS2007

Norton AntiVirus

Norton Confidential Browser Component

Norton Confidential Web Protection Component

Norton Internet Security

Norton Internet Security (Symantec Corporation)

Norton Protection Center

NVIDIA Drivers

Packard Bell ImageWriter

Packard Bell LCD Test

Packard Bell Updator

Picasa2

QuickTime

Realtek HD Audio V6.0.1.5377

Realtek High Definition Audio Driver

Roxio Creator 9 LE

SetUp My PC

Shockwave player 10

Skype 2.5.2.151

Skype™ 5.0

SPBBC 32bit

Spotify

Symantec Real Time Storage Protection Component

SymNet

System Requirements Lab

Video NVIDIA v158.18

Windows Live inloggningsassistenten

Windows Live Upload Tool

WinRAR 4.00 beta 4 (32-bit)

VLC media player 1.1.4

X10 Hardware

.

==== End Of File ===========================

[/log]

[Flisans_]

Har även ett jätteirriterande pop-up fönster från "Betclic" som alltid poppar upp så fort jag startar Firefox...

 

och alla mina bilder och program är puts väck...

 

men dom där virusarna verkar vara borta nu iaf!

[Cecilia]

Försvann genvägar mm från skrivbordet i samband med att du körde MBAM?

Kolla i mappen c:\users\steffi\skrivbord om det saknade syns där.

 

c:\Users\Steffi\local settings\temporary internet files\Content.IE5\93COCXWJ\mst[1].exe (Trojan.Downloader) -> Quarantined and deleted successfully.

Detta visar att infektionen med stor sannolikhet kom från en webbsida, troligen därför att du har en dator som är full med säkerhetshål eftersom Vista saknar service pack och du har gamla programversioner. Installera inte service pack nu när datorn är infekterad men det är väldigt viktigt att du gör det på en gång när datorn väl är ren.

 

FF - Ext: Firesheep: firesheep@codebutler.com - %profile%\extensions\firesheep@codebutler.com

Se om Firefox blir bättre av att du avinstallerar Firesheep.

Sysslar du med sådant här? http://en.wikipedia.org/wiki/Firesheep

 

Kör Avast städprogram för att få bort resterna som är kvar av programmet (jag antar att du har avinstallerat det eftersom det inte verkar vara igång). Du måste också antingen uppgradera Norton till senaste versionen eller byta antivirusprogram för ett antivirusprogram som är 3-4 år gammalt ger alldeles för dåligt skydd mot dagens typer av skadliga program.

 

Spara ComboFix på Skrivbordet: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram, men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara Ja.

Mer detaljerad vägledning finns på http://www.bleepingcomputer.com/combofix/se/hur-combofix-ska-anvandas

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när det körs eftersom så det kan hänga upp sig då.

 

När ComboFix är färdig ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

[Cecilia]

Se nu skriver IDG om att det finns en skadlig annons på Spotify, men de skadliga filerna kommer in via säkerhetshål i datorn.

http://www.idg.se/2.1085/1.376333/trojan-sprids-pa-spotify

[Flisans_]

Du är väldigt duktig! Tacksam för hjälpen jag får här, denna datorn har jag fått ärva av min lillebror, har försökt att avinstallera firesheep för att jag inte vill ha det på min dator, men inte vetat hur för jag hittar inte den på lägg till/ta bort program.. du får gärna berätta hur man tar bort det!

 

Tack snälla.

 

Ja synd att sånt skit nu finns på spotify..

 

Ska följa alla steg du nu skrev så återkommer jag sen!

[Cecilia]

Firefox - Verktyg - Tillägg

På någon av flikarna där hittar du Firesheep och kan avinstallera eller åtminstone inaktivera det.

 

Du kanske ska fundera på en ominstallation av Windows så att du inte har kvar något skräp som din bror har lagt in.

[Flisans_]

Så nu har jag kört både avast och combofix, och alla mina mappar med bilder och program är tillbaka på skrivbordet igen

 

Men jag ser dock att en programikon som det står Windows Recovery finns på skrivbordet också.. Hmm.. nåt att bli orolig för?

 

Här är Combofix loggen:

 

[log]ComboFix 11-03-24.06 - Steffi 2011-03-25 16:31:02.1.2 - x86

Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.46.1053.18.2046.1383 [GMT 1:00]

Körs från: c:\users\Steffi\Desktop\ComboFix.exe

.

.

(((((((((((((((((((((((( Filer Skapade från 2011-02-25 till 2011-03-25 ))))))))))))))))))))))))))))))

.

.

2011-03-25 15:36 . 2011-03-25 15:36 -------- d-----w- c:\users\Default\AppData\Local\temp

2011-03-25 13:49 . 2011-02-23 14:54 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2011-03-25 13:49 . 2011-02-23 14:56 301528 ----a-w- c:\windows\system32\drivers\aswSP.sys

2011-03-25 13:49 . 2011-02-23 14:55 49240 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2011-03-25 13:49 . 2011-02-23 14:55 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2011-03-25 13:49 . 2011-02-23 14:56 371544 ----a-w- c:\windows\system32\drivers\aswSnx.sys

2011-03-25 13:49 . 2011-02-23 14:55 53592 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys

2011-03-25 13:48 . 2011-02-23 15:04 40648 ----a-w- c:\windows\avastSS.scr

2011-03-25 13:48 . 2011-02-23 15:04 190016 ----a-w- c:\windows\system32\aswBoot.exe

2011-03-25 12:45 . 2011-03-25 15:30 853954 ----a-w- c:\windows\system32\PerfStringBackup.TMP

2011-03-25 12:31 . 2011-03-25 12:31 -------- d-----w- c:\users\Steffi\AppData\Roaming\Malwarebytes

2011-03-25 12:31 . 2011-03-25 12:31 -------- d-----w- c:\programdata\Malwarebytes

2011-03-25 12:31 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-03-25 12:31 . 2011-03-25 12:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2011-03-25 12:31 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-03-25 11:07 . 2011-03-25 13:48 -------- d-----w- c:\programdata\AVAST Software

2011-03-25 11:07 . 2011-03-25 13:48 -------- d-----w- c:\program files\AVAST Software

2011-03-25 10:30 . 2006-11-02 08:51 6144 ---ha-w- c:\windows\system32\beep.sys

2011-03-15 09:06 . 2011-02-23 09:35 5943120 ---ha-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{86618963-AC27-4F85-BF5F-F610C47D3170}\mpengine.dll

2011-03-15 09:06 . 2011-02-02 17:11 222080 ---h--w- c:\windows\system32\MpSigStub.exe

2011-03-02 15:29 . 2011-03-12 11:33 -------- d--h--w- c:\program files\DAEMON Tools Pro

2011-03-02 15:29 . 2011-03-02 15:33 -------- d--h--w- c:\users\Steffi\AppData\Roaming\DAEMON Tools Pro

2011-03-02 15:29 . 2011-03-02 15:29 -------- d--h--w- c:\programdata\DAEMON Tools Pro

.

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

.

.

------- Sigcheck -------

.

[7] 2006-11-02 . AC3DD1708B22761EBD7CBE14DCC3B5D7 . 6144 . . [6.0.6000.16386] . . c:\windows\System32\beep.sys

.

c:\windows\System32\drivers\beep.sys ... saknas !!

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2011-02-23 15:04 122512 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-09-27 1232896]

"SmpcSys"="c:\program files\Packard Bell\SetUpMyPC\SmpSys.exe" [2007-05-03 1116728]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RtHDVCpl"="RtHDVCpl.exe" [2007-03-01 4390912]

"RoxWatchTray"="c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-11 232184]

"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2006-10-24 107112]

"IS CfgWiz"="c:\program files\Common Files\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\cltUIStb.exe" [2006-10-24 46728]

"osCheck"="c:\program files\Norton Internet Security\osCheck.exe" [2006-10-26 22696]

"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2007-02-21 366400]

"toolbar_eula_launcher"="c:\program files\Packard Bell\GOOGLE_EULA\EULALauncher.exe" [2007-02-20 28672]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-05-14 248552]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-01 421160]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]

"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-04-12 86016]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-12 81920]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-12 8429568]

"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]

"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-02-23 3451496]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

BankID s„kerhetsprogram.lnk - c:\program files\Personal\bin\Personal.exe [2010-11-2 1025936]

McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AudioEndpointBuilder]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Audiosrv]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HDAudBus]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MMCSS]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96C-E325-11CE-BFC1-08002BE10318}]

@="[6cFgE][s?û?d, ?ìdeô ??d gª?è ¢o?tr?l?è?š !!! !!! !]"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{640167b4-59b0-47a6-b335-a6b3c0695aea}]

@="Portable Media Devices"

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

.

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-10-26 136176]

R2 SrvCDEject;SrvCDEject;c:\program files\Packard Bell\SrvCDEject.exe [2006-07-25 613376]

R3 IDSvix86;Symantec Intrusion Prevention Driver;c:\progra~2\Symantec\DEFINI~1\SymcData\idsdefs\20061025.029\IDSvix86.sys [2006-10-20 202872]

R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]

S1 aswSnx;aswSnx; [x]

S1 aswSP;aswSP; [x]

S2 aswFsBlk;aswFsBlk; [x]

S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-02-23 53592]

S3 3xHybrid;ASUSTek SAA713x PCI Card;c:\windows\system32\DRIVERS\3xHybrid.sys [2006-11-15 816512]

S3 X10Hid;X10 Hid Device;c:\windows\system32\Drivers\x10hid.sys [2006-11-17 13976]

.

.

--- Övriga tjänster/drivrutiner i minnet ---

.

*NewlyCreated* - COMHOST

.

Innehållet i mappen 'Schemalagda aktiviteter':

.

2011-01-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-26 12:05]

.

2011-03-25 c:\windows\Tasks\Recovery DVD Creator.job

- c:\program files\Packard Bell\SetupMyPc\MCDCheck.exe [2007-07-13 16:34]

.

2011-03-25 c:\windows\Tasks\Utökad garanti.job

- c:\program files\Packard Bell\SetupmyPC\PBCarNot.exe [2007-07-13 16:38]

.

2010-10-15 c:\windows\Tasks\{B8C1A94C-CAE5-4A17-8B2B-885F74B3CA1D}.job

- c:\program files\mozilla firefox\firefox.exe [2007-07-13 10:05]

.

2010-10-15 c:\windows\Tasks\{C7E2C2B0-4967-4A75-B0F2-706E9ECE6D39}.job

- c:\program files\mozilla firefox\firefox.exe [2007-07-13 10:05]

.

.

------- Extra genomsökning -------

.

uStart Page = hxxp://format.packardbell.com/cgi-bin/redirect/?country=SE&range=AD&phase=8&key=IESTART

uInternet Settings,ProxyOverride = *.local

Trusted Zone: tv4play.se\www

FF - ProfilePath - c:\users\Steffi\AppData\Roaming\Mozilla\Firefox\Profiles\ba6lqhjm.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0021-ABCDEFFEDCBA}

FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}

FF - Ext: avast! WebRep: wrc@avast.com - c:\program files\AVAST Software\Avast\WebRep\FF

.

- - - - FÖRÄLDRALÖSA POSTER SOM TAGITS BORT - - - -

.

HKCU-Run-msnmsgr - c:\program files\Windows Live\Messenger\msnmsgr.exe

SafeBoot-drmkaud

SafeBoot-HdAudAddService

.

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-03-25 16:37

Windows 6.0.6000 NTFS

.

scanning hidden processes ...

.

scanning hidden autostart entries ...

.

scanning hidden files ...

.

.

C:\## aswSnx private storage

.

scan completed successfully

hidden files: 1

.

**************************************************************************

.

Sluttid: 2011-03-25 16:39:54

ComboFix-quarantined-files.txt 2011-03-25 15:39

.

Före genomsökningen: 357 378 560 000 byte ledigt

Efter genomsökningen: 358 408 404 992 byte ledigt

.

- - End Of File - - 3D86CE4D0C2C6FF7E84716856D525D0B

[/log]

[Brynäsarn]

Jag ser i DDS-loggen att det finns en gammal java-version med säkerhetshål,ta bort

den i Kontrollpanelen Program och funktioner,hämta och installera uppdaterad

Java http://www.java.com/sv/ när din dator är ren.

[Cecilia]

Tack för alla poäng!

 

Men jag ser dock att en programikon som det står Windows Recovery finns på skrivbordet också.. Hmm.. nåt att bli orolig för?

Kan du ta bort den?

 

Spara SystemLook på Skrivbordet från en av dessa länkar:

http://jpshortstuff.247fixes.com/SystemLook.exe

http://images.malwareremoval.com/jpshortstuff/SystemLook.exe

 

Dubbelklicka på SystemLook-filen för att köra den.

 

Kopiera alla rader i rutan

:filefind 
beep.*
:file
c:\windows\System32\beep.sys

och klistra in i det stora textfältet i SýstemLook.

Tryck på knappen Look för att starta sökningen.

När det är klart så kommer Anteckningar upp med en logg, och den klistrar du in här. Om loggen inte kommer upp så finns den som SystemLook.txt på Skrivbordet.

[Flisans_]

Tack för alla poäng!

 

Kan du ta bort den?

 

Spara SystemLook på Skrivbordet från en av dessa länkar:

http://jpshortstuff.247fixes.com/SystemLook.exe

http://images.malwareremoval.com/jpshortstuff/SystemLook.exe

 

Dubbelklicka på SystemLook-filen för att köra den.

 

Kopiera alla rader i rutan

:filefind 
beep.*
:file
c:\windows\System32\beep.sys

och klistra in i det stora textfältet i SýstemLook.

Tryck på knappen Look för att starta sökningen.

När det är klart så kommer Anteckningar upp med en logg, och den klistrar du in här. Om loggen inte kommer upp så finns den som SystemLook.txt på Skrivbordet.

 

 

 

Ok här kommer den Cecilia:

 

[log]SystemLook 04.09.10 by jpshortstuff

Log created at 20:24 on 25/03/2011 by Steffi

Administrator - Elevation successful

 

========== filefind ==========

 

Searching for "beep.*"

C:\Windows\System32\beep.sys --a---- 6144 bytes [10:30 25/03/2011] [08:51 02/11/2006] AC3DD1708B22761EBD7CBE14DCC3B5D7

 

========== file ==========

 

c:\windows\System32\beep.sys - File found and opened.

MD5: AC3DD1708B22761EBD7CBE14DCC3B5D7

Created at 10:30 on 25/03/2011

Modified at 08:51 on 02/11/2006

Size: 6144 bytes

Attributes: --a----

FileDescription: BEEP Driver

FileVersion: 6.0.6000.16386 (vista_rtm.061101-2205)

ProductVersion: 6.0.6000.16386

OriginalFilename: beep.sys

InternalName: beep.sys

ProductName: Microsoft® Windows® Operating System

CompanyName: Microsoft Corporation

LegalCopyright: © Microsoft Corporation. All rights reserved.

 

-= EOF =-[/log]

[Flisans_]

Jag ser i DDS-loggen att det finns en gammal java-version med säkerhetshål,ta bort

den i Kontrollpanelen Program och funktioner,hämta och installera uppdaterad

Java http://www.java.com/sv/ när din dator är ren.

 

 

Tack Brynäsarn ska fixa det på en gång!

[Cecilia]

Du verkar sakna en fil och som tur är har jag också Vista. Ladda ner filen http://www.speedyshare.com/files/27603494/beep.sys och placera filen i mappen c:\windows\System32\drivers.

 

Ta bort den beep.sys som ligger i mappen c:\windows\System32.

 

Starta om datorn och kör ComboFix igen, samt klistra in loggen.

[Flisans_]

Hej igen!

 

ok tog bort och ersatte filen och startade om + körde en ny combofix:

 

[log]ComboFix 11-03-25.01 - Steffi 2011-03-26 13:56:41.2.2 - x86

Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.46.1053.18.2046.1177 [GMT 1:00]

Körs från: c:\users\Steffi\Desktop\ComboFix.exe

.

.

(((((((((((((((((((((((( Filer Skapade från 2011-02-26 till 2011-03-26 ))))))))))))))))))))))))))))))

.

.

2011-03-26 13:03 . 2011-03-26 13:03 -------- d-----w- c:\users\Default\AppData\Local\temp

2011-03-26 09:09 . 2011-03-26 09:09 378368 ----a-w- c:\windows\system32\winhttp.dll

2011-03-26 09:09 . 2011-03-26 09:09 268800 ----a-w- c:\windows\system32\es.dll

2011-03-25 16:18 . 2011-03-15 04:05 6792528 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{49F20E20-47CE-469C-BC60-1548655B2D21}\mpengine.dll

2011-03-25 13:49 . 2011-02-23 14:54 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2011-03-25 13:49 . 2011-02-23 14:56 301528 ----a-w- c:\windows\system32\drivers\aswSP.sys

2011-03-25 13:49 . 2011-02-23 14:55 49240 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2011-03-25 13:49 . 2011-02-23 14:55 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2011-03-25 13:49 . 2011-02-23 14:56 371544 ----a-w- c:\windows\system32\drivers\aswSnx.sys

2011-03-25 13:49 . 2011-02-23 14:55 53592 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys

2011-03-25 13:48 . 2011-02-23 15:04 40648 ----a-w- c:\windows\avastSS.scr

2011-03-25 13:48 . 2011-02-23 15:04 190016 ----a-w- c:\windows\system32\aswBoot.exe

2011-03-25 12:31 . 2011-03-25 12:31 -------- d-----w- c:\users\Steffi\AppData\Roaming\Malwarebytes

2011-03-25 12:31 . 2011-03-25 12:31 -------- d-----w- c:\programdata\Malwarebytes

2011-03-25 12:31 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-03-25 12:31 . 2011-03-25 12:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2011-03-25 12:31 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-03-25 11:07 . 2011-03-25 13:48 -------- d-----w- c:\programdata\AVAST Software

2011-03-25 11:07 . 2011-03-25 13:48 -------- d-----w- c:\program files\AVAST Software

2011-03-25 10:30 . 2011-03-26 12:46 6144 ----a-w- c:\windows\system32\beep.sys

2011-03-15 09:06 . 2011-02-02 17:11 222080 ------w- c:\windows\system32\MpSigStub.exe

2011-03-02 15:29 . 2011-03-12 11:33 -------- d-----w- c:\program files\DAEMON Tools Pro

2011-03-02 15:29 . 2011-03-02 15:33 -------- d-----w- c:\users\Steffi\AppData\Roaming\DAEMON Tools Pro

2011-03-02 15:29 . 2011-03-02 15:29 -------- d-----w- c:\programdata\DAEMON Tools Pro

.

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-03-26 09:08 . 2011-03-26 09:08 40960 ----a-w- c:\windows\system32\drivers\sv-SE\http.sys.mui

2011-03-25 19:40 . 2010-09-13 15:58 472808 ----a-w- c:\windows\system32\deployJava1.dll

.

.

------- Sigcheck -------

.

[-] 2011-03-26 . 67E506B75BD5326A3EC7B70BD014DFB6 . 6144 . . [6.0.6001.18000] . . c:\windows\System32\beep.sys

.

c:\windows\System32\drivers\beep.sys ... saknas !!

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2011-02-23 15:04 122512 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-09-27 1232896]

"SmpcSys"="c:\program files\Packard Bell\SetUpMyPC\SmpSys.exe" [2007-05-03 1116728]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RtHDVCpl"="RtHDVCpl.exe" [2007-03-01 4390912]

"RoxWatchTray"="c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-11 232184]

"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2006-10-24 107112]

"IS CfgWiz"="c:\program files\Common Files\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\cltUIStb.exe" [2006-10-24 46728]

"osCheck"="c:\program files\Norton Internet Security\osCheck.exe" [2006-10-26 22696]

"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2007-02-21 366400]

"toolbar_eula_launcher"="c:\program files\Packard Bell\GOOGLE_EULA\EULALauncher.exe" [2007-02-20 28672]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-01 421160]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]

"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-04-12 86016]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-12 81920]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-12 8429568]

"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]

"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-02-23 3451496]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

BankID s„kerhetsprogram.lnk - c:\program files\Personal\bin\Personal.exe [2010-11-2 1025936]

McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AudioEndpointBuilder]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Audiosrv]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HDAudBus]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MMCSS]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96C-E325-11CE-BFC1-08002BE10318}]

@="[6cFgE][s?û?d, ?ìdeô ??d gª?è ¢o?tr?l?è?š !!! !!! !]"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{640167b4-59b0-47a6-b335-a6b3c0695aea}]

@="Portable Media Devices"

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

.

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-10-26 136176]

R2 SrvCDEject;SrvCDEject;c:\program files\Packard Bell\SrvCDEject.exe [2006-07-25 613376]

R3 IDSvix86;Symantec Intrusion Prevention Driver;c:\progra~2\Symantec\DEFINI~1\SymcData\idsdefs\20061025.029\IDSvix86.sys [2006-10-20 202872]

R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]

S1 aswSnx;aswSnx; [x]

S1 aswSP;aswSP; [x]

S2 aswFsBlk;aswFsBlk; [x]

S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-02-23 53592]

S3 3xHybrid;ASUSTek SAA713x PCI Card;c:\windows\system32\DRIVERS\3xHybrid.sys [2006-11-15 816512]

S3 X10Hid;X10 Hid Device;c:\windows\system32\Drivers\x10hid.sys [2006-11-17 13976]

.

.

--- Övriga tjänster/drivrutiner i minnet ---

.

*NewlyCreated* - COMHOST

.

Innehållet i mappen 'Schemalagda aktiviteter':

.

2011-01-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-26 12:05]

.

2011-03-26 c:\windows\Tasks\Recovery DVD Creator.job

- c:\program files\Packard Bell\SetupMyPc\MCDCheck.exe [2007-07-13 16:34]

.

2011-03-26 c:\windows\Tasks\Utökad garanti.job

- c:\program files\Packard Bell\SetupmyPC\PBCarNot.exe [2007-07-13 16:38]

.

2010-10-15 c:\windows\Tasks\{B8C1A94C-CAE5-4A17-8B2B-885F74B3CA1D}.job

- c:\program files\mozilla firefox\firefox.exe [2007-07-13 10:05]

.

2010-10-15 c:\windows\Tasks\{C7E2C2B0-4967-4A75-B0F2-706E9ECE6D39}.job

- c:\program files\mozilla firefox\firefox.exe [2007-07-13 10:05]

.

.

------- Extra genomsökning -------

.

uStart Page = hxxp://format.packardbell.com/cgi-bin/redirect/?country=SE&range=AD&phase=8&key=IESTART

uInternet Settings,ProxyOverride = *.local

Trusted Zone: tv4play.se\www

FF - ProfilePath - c:\users\Steffi\AppData\Roaming\Mozilla\Firefox\Profiles\ba6lqhjm.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}

FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-03-26 14:03

Windows 6.0.6000 NTFS

.

scanning hidden processes ...

.

scanning hidden autostart entries ...

.

scanning hidden files ...

.

.

c:\windows\TEMP\TMP0000005B8A92EC2A03324442 524288 bytes

C:\## aswSnx private storage

.

scan completed successfully

hidden files: 2

.

**************************************************************************

.

Sluttid: 2011-03-26 14:05:07

ComboFix-quarantined-files.txt 2011-03-26 13:05

ComboFix2.txt 2011-03-25 15:39

.

Före genomsökningen: 353 487 724 544 byte ledigt

Efter genomsökningen: 353 466 118 144 byte ledigt

.

- - End Of File - - 57B2CBA66E57A48541859E7D2D6482C4

[/log]

[Cecilia]

Den nedladdade filen skulle placeras i en annan mapp än filen du tog bort. Flytta filen till c:\windows\System32\drivers.

[Flisans_]

Ok nu så :

 

 

[log]ComboFix 11-03-25.04 - Steffi 2011-03-26 17:15:27.3.2 - x86

Microsoft® Windows Vista™ Home Premium 6.0.6000.0.1252.46.1053.18.2046.1309 [GMT 1:00]

Körs från: c:\users\Steffi\Desktop\ComboFix.exe

.

.

(((((((((((((((((((((((( Filer Skapade från 2011-02-26 till 2011-03-26 ))))))))))))))))))))))))))))))

.

.

2011-03-26 16:20 . 2011-03-26 16:20 -------- d-----w- c:\users\Default\AppData\Local\temp

2011-03-26 16:07 . 2011-03-26 16:07 6144 ----a-w- c:\windows\system32\drivers\beep.sys

2011-03-26 09:09 . 2011-03-26 09:09 378368 ----a-w- c:\windows\system32\winhttp.dll

2011-03-26 09:09 . 2011-03-26 09:09 268800 ----a-w- c:\windows\system32\es.dll

2011-03-25 16:18 . 2011-03-15 04:05 6792528 ----a-w- c:\programdata\Microsoft\Windows Defender\Definition Updates\{49F20E20-47CE-469C-BC60-1548655B2D21}\mpengine.dll

2011-03-25 13:49 . 2011-02-23 14:54 19544 ----a-w- c:\windows\system32\drivers\aswFsBlk.sys

2011-03-25 13:49 . 2011-02-23 14:56 301528 ----a-w- c:\windows\system32\drivers\aswSP.sys

2011-03-25 13:49 . 2011-02-23 14:55 49240 ----a-w- c:\windows\system32\drivers\aswTdi.sys

2011-03-25 13:49 . 2011-02-23 14:55 25432 ----a-w- c:\windows\system32\drivers\aswRdr.sys

2011-03-25 13:49 . 2011-02-23 14:56 371544 ----a-w- c:\windows\system32\drivers\aswSnx.sys

2011-03-25 13:49 . 2011-02-23 14:55 53592 ----a-w- c:\windows\system32\drivers\aswMonFlt.sys

2011-03-25 13:48 . 2011-02-23 15:04 40648 ----a-w- c:\windows\avastSS.scr

2011-03-25 13:48 . 2011-02-23 15:04 190016 ----a-w- c:\windows\system32\aswBoot.exe

2011-03-25 12:31 . 2011-03-25 12:31 -------- d-----w- c:\users\Steffi\AppData\Roaming\Malwarebytes

2011-03-25 12:31 . 2011-03-25 12:31 -------- d-----w- c:\programdata\Malwarebytes

2011-03-25 12:31 . 2010-12-20 17:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2011-03-25 12:31 . 2011-03-25 12:31 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2011-03-25 12:31 . 2010-12-20 17:08 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2011-03-25 11:07 . 2011-03-25 13:48 -------- d-----w- c:\programdata\AVAST Software

2011-03-25 11:07 . 2011-03-25 13:48 -------- d-----w- c:\program files\AVAST Software

2011-03-15 09:06 . 2011-02-02 17:11 222080 ------w- c:\windows\system32\MpSigStub.exe

2011-03-02 15:29 . 2011-03-12 11:33 -------- d-----w- c:\program files\DAEMON Tools Pro

2011-03-02 15:29 . 2011-03-02 15:33 -------- d-----w- c:\users\Steffi\AppData\Roaming\DAEMON Tools Pro

2011-03-02 15:29 . 2011-03-02 15:29 -------- d-----w- c:\programdata\DAEMON Tools Pro

.

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2011-03-26 09:08 . 2011-03-26 09:08 40960 ----a-w- c:\windows\system32\drivers\sv-SE\http.sys.mui

2011-03-25 19:40 . 2010-09-13 15:58 472808 ----a-w- c:\windows\system32\deployJava1.dll

.

.

------- Sigcheck -------

.

[-] 2011-03-26 . 67E506B75BD5326A3EC7B70BD014DFB6 . 6144 . . [6.0.6001.18000] . . c:\windows\System32\drivers\beep.sys

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

.

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\explorer\shelliconoverlayidentifiers\00avast]

@="{472083B0-C522-11CF-8763-00608CC02F24}"

[HKEY_CLASSES_ROOT\CLSID\{472083B0-C522-11CF-8763-00608CC02F24}]

2011-02-23 15:04 122512 ----a-w- c:\program files\AVAST Software\Avast\ashShell.dll

.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Sidebar"="c:\program files\Windows Sidebar\sidebar.exe" [2010-09-27 1232896]

"SmpcSys"="c:\program files\Packard Bell\SetUpMyPC\SmpSys.exe" [2007-05-03 1116728]

.

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"RtHDVCpl"="RtHDVCpl.exe" [2007-03-01 4390912]

"RoxWatchTray"="c:\program files\Common Files\Roxio Shared\9.0\SharedCOM\RoxWatchTray9.exe" [2007-01-11 232184]

"ccApp"="c:\program files\Common Files\Symantec Shared\ccApp.exe" [2006-10-24 107112]

"IS CfgWiz"="c:\program files\Common Files\Symantec Shared\OPC\{31011D49-D90C-4da0-878B-78D28AD507AF}\cltUIStb.exe" [2006-10-24 46728]

"osCheck"="c:\program files\Norton Internet Security\osCheck.exe" [2006-10-26 22696]

"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2007-02-21 366400]

"toolbar_eula_launcher"="c:\program files\Packard Bell\GOOGLE_EULA\EULALauncher.exe" [2007-02-20 28672]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2010-09-01 421160]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-09-08 421888]

"NvSvc"="c:\windows\system32\nvsvc.dll" [2007-04-12 86016]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2007-04-12 81920]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2007-04-12 8429568]

"Malwarebytes' Anti-Malware (reboot)"="c:\program files\Malwarebytes' Anti-Malware\mbam.exe" [2010-12-20 963976]

"avast"="c:\program files\AVAST Software\Avast\avastUI.exe" [2011-02-23 3451496]

.

c:\programdata\Microsoft\Windows\Start Menu\Programs\Startup\

BankID s„kerhetsprogram.lnk - c:\program files\Personal\bin\Personal.exe [2010-11-2 1025936]

McAfee Security Scan Plus.lnk - c:\program files\McAfee Security Scan\2.0.181\SSScheduler.exe [2010-1-15 255536]

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\AudioEndpointBuilder]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Audiosrv]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\HDAudBus]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MMCSS]

@="Service"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E96C-E325-11CE-BFC1-08002BE10318}]

@="[6cFgE][s?û?d, ?ìdeô ??d gª?è ¢o?tr?l?è?š !!! !!! !]"

.

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{640167b4-59b0-47a6-b335-a6b3c0695aea}]

@="Portable Media Devices"

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

.

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

.

R2 gupdate;Google Update Service (gupdate);c:\program files\Google\Update\GoogleUpdate.exe [2010-10-26 136176]

R2 SrvCDEject;SrvCDEject;c:\program files\Packard Bell\SrvCDEject.exe [2006-07-25 613376]

R3 IDSvix86;Symantec Intrusion Prevention Driver;c:\progra~2\Symantec\DEFINI~1\SymcData\idsdefs\20061025.029\IDSvix86.sys [2006-10-20 202872]

R3 McComponentHostService;McAfee Security Scan Component Host Service;c:\program files\McAfee Security Scan\2.0.181\McCHSvc.exe [2010-01-15 227232]

S1 aswSnx;aswSnx; [x]

S1 aswSP;aswSP; [x]

S2 aswFsBlk;aswFsBlk; [x]

S2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2011-02-23 53592]

S3 3xHybrid;ASUSTek SAA713x PCI Card;c:\windows\system32\DRIVERS\3xHybrid.sys [2006-11-15 816512]

S3 X10Hid;X10 Hid Device;c:\windows\system32\Drivers\x10hid.sys [2006-11-17 13976]

.

.

--- Övriga tjänster/drivrutiner i minnet ---

.

*NewlyCreated* - COMHOST

.

Innehållet i mappen 'Schemalagda aktiviteter':

.

2011-01-09 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job

- c:\program files\Google\Update\GoogleUpdate.exe [2010-10-26 12:05]

.

2011-03-26 c:\windows\Tasks\Recovery DVD Creator.job

- c:\program files\Packard Bell\SetupMyPc\MCDCheck.exe [2007-07-13 16:34]

.

2011-03-26 c:\windows\Tasks\Utökad garanti.job

- c:\program files\Packard Bell\SetupmyPC\PBCarNot.exe [2007-07-13 16:38]

.

2010-10-15 c:\windows\Tasks\{B8C1A94C-CAE5-4A17-8B2B-885F74B3CA1D}.job

- c:\program files\mozilla firefox\firefox.exe [2007-07-13 10:05]

.

2010-10-15 c:\windows\Tasks\{C7E2C2B0-4967-4A75-B0F2-706E9ECE6D39}.job

- c:\program files\mozilla firefox\firefox.exe [2007-07-13 10:05]

.

.

------- Extra genomsökning -------

.

uStart Page = hxxp://format.packardbell.com/cgi-bin/redirect/?country=SE&range=AD&phase=8&key=IESTART

uInternet Settings,ProxyOverride = *.local

Trusted Zone: tv4play.se\www

FF - ProfilePath - c:\users\Steffi\AppData\Roaming\Mozilla\Firefox\Profiles\ba6lqhjm.default\

FF - Ext: Default: {972ce4c6-7e08-4474-a285-3208198ce6fd} - c:\program files\Mozilla Firefox\extensions\{972ce4c6-7e08-4474-a285-3208198ce6fd}

FF - Ext: Java Console: {CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA} - c:\program files\Mozilla Firefox\extensions\{CAFEEFAC-0016-0000-0024-ABCDEFFEDCBA}

FF - Ext: NoScript: {73a6fe31-595d-460b-a920-fcc0f8843232} - %profile%\extensions\{73a6fe31-595d-460b-a920-fcc0f8843232}

.

.

**************************************************************************

.

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2011-03-26 17:20

Windows 6.0.6000 NTFS

.

scanning hidden processes ...

.

scanning hidden autostart entries ...

.

scanning hidden files ...

.

.

C:\## aswSnx private storage

.

scan completed successfully

hidden files: 1

.

**************************************************************************

.

Sluttid: 2011-03-26 17:22:11

ComboFix-quarantined-files.txt 2011-03-26 16:22

ComboFix2.txt 2011-03-26 13:05

ComboFix3.txt 2011-03-25 15:39

.

Före genomsökningen: 353 259 208 704 byte ledigt

Efter genomsökningen: 353 237 204 992 byte ledigt

.

- - End Of File - - 7B15BCE346D2CB875E85DBFAFD457411

[/log]

[Cecilia]

Är allt bra med datorn nu? I så fall är det dags för en slutstädning.

 

Har du tänkt att avinstallera Norton och i stället använda Avast?

[Flisans_]

Ja nu funkar datorn fint!

 

Det blir Avast för mig hädanefter, hittar inte "uninstall" för norton dock, räcker det med att jag bara tar bort program-mappen tro?

[Cecilia]

Nej, att bara ta bort program-mappen är inte bra.

 

Nu har det ju hänt lite sedan du körde DDS men enligt Attach-loggen så borde följande gå att avinstallera:

Norton AntiVirus

Norton Confidential Browser Component

Norton Confidential Web Protection Component

Norton Internet Security

Norton Internet Security (Symantec Corporation)

Norton Protection Center

Symantec Real Time Storage Protection Component

SymNet

 

Nu återstår bara en sista städomgång:

 

1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade.

Börja med att skapa en ny systemåterställningspunkt:

XP:

Start - Program- Tillbehör - Systemverktyg - Systemåterställning

Välj att skapa en ny återställningspunkt och tryck på Nästa.

Vista och Windows 7:

Högerklick på Datorn - Egenskaper - Systemskydd

Tryck på Skapa.

 

Ta sedan bort alla gamla systemåterställningspunkter genom att köra diskrensningsprogrammet.

Högerklicka på C: i Den här datorn/Utforskaren och välj Egenskaper.

På fliken Allmänt finns det en knapp som heter Diskrensning. Välj den.

Efter några minuter kommer programmet upp och då väljer du en flik som heter Fler alternativ eller något likande. Tryck på den Rensa-knapp som tar bort alla systemåterställningspunkter utom den senaste.

 

2a. Tryck Windows-tangenten + R

Kopiera och klistra in denna rad:

ComboFix /Uninstall

 

Observera att det är ett mellanrum före /

Klicka på OK.

 

2b. Ladda ner avinstallationsprogrammet OTC till Skrivbordet.

http://oldtimer.geekstogo.com/OTC.exe

Dubbelklicka på filen för att starta programmet.

Tryck på knappen CleanUp! och ComboFix m.fl. rensningsprogram kommer att avinstalleras efter en omstart av datorn. Om något sådant program är kvar efter det så fråga hur du ska ta bort det. Ta bort eventuella loggar.

 

3. Spara TFC (Temporary File Cleaner) av OldTimer på Skrivbordet.

http://oldtimer.geekstogo.com/TFC.exe

 

Stäng alla program och fönster.

Kör TFC (om du har Vista eller Windows 7 så högerklicka på filen och välj Kör som administratör).

Klicka på Start-knappen för att starta städningen.

Det kan ta några minuter och låt datorn vara ifred under tiden.

 

När det är klart är det meningen att datorn ska startas om automatiskt. Om den inte gör det så startar du om datorn själv. Ta bort TFC-filen.

 

4. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.

http://mnin.blogspot.com/2009/02/why-i-enjoyed-tiggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.

 

5. Förbättra skyddet i datorn, se mina Råd för en säkrare dator: http://sites.google.com/site/ceblstockholm/home

[Flisans_]

En liten fråga bara, kommer mina bilder och det försvinna iom systemåterställning?

[Cecilia]

Systemåterställningsfunktionen ska aldrig röra dina egna filer, men i det här fallet ska du inte ens göra en systemåterställning utan bara se till att det inte går att göra en systemåterställning till en tidigare tidpunkt än nu ikväll. Du kan läsa om systemåterställningen t ex på sidorna:

http://windows.microsoft.com/sv-SE/windows-vista/What-is-System-Restore

http://windows.microsoft.com/sv-SE/windows-vista/System-Restore-frequently-asked-questions

 

När du har avinstallerat så mycket du kan av Norton kan du dessutom köra Symantecs Removal Tool för att ta bort sådant som inte försvann vid avinstallationen:

http://us.norton.com/support/kb/web_view.jsp?wv_type=public_web&docurl=20090910004050EN Step 2