Hej. har haft ett virus problem

[Micke-89]

Hej.

 

 

Jo, jag har fixat kompisens dator nu och lägger nu ut en logg här.

 

Har gjort virussökning med nod32 live scan och verkar ha tillfälligt fått bort otyget.

 

Nu ska vi se om de funkade eller om de behövs mer.

 

DDS (Ver_11-03-05.01) - NTFS_AMD64

Run by Kenny at 17:45:02,91 on 2011-05-15

Internet Explorer: 8.0.7600.16385 BrowserJavaVersion: 1.6.0_22

Microsoft Windows 7 Home Premium 6.1.7600.0.1252.46.1053.18.4094.2552 [GMT 2:00]

.

AV: avast! Antivirus *Enabled/Updated* {C37D8F93-0602-E43C-40AA-47DAD597F308}

SP: avast! Antivirus *Enabled/Updated* {781C6E77-2038-EBB2-7A1A-7CA8AE10B9B5}

SP: Windows Defender *Enabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

============== Running Processes ===============

.

C:\Windows\system32\wininit.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe -k DcomLaunch

C:\Windows\system32\nvvsvc.exe

C:\Windows\system32\svchost.exe -k RPCSS

C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted

C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted

C:\Windows\system32\svchost.exe -k netsvcs

C:\Windows\system32\svchost.exe -k LocalService

C:\Windows\system32\svchost.exe -k NetworkService

C:\Windows\system32\nvvsvc.exe

C:\Program Files\Alwil Software\Avast5\AvastSvc.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\taskhost.exe

C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork

C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcAppFlt.exe

C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE

C:\Program Files\NVIDIA Corporation\NetworkAccessManager\bin32\nSvcIp.exe

C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe

C:\Windows\system32\WUDFHost.exe

C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted

C:\Program Files\Alwil Software\Avast5\AvastUI.exe

C:\Windows\system32\SearchIndexer.exe

C:\Program Files\Windows Media Player\wmpnetwk.exe

C:\Windows\System32\svchost.exe -k LocalServicePeerNet

C:\Windows\system32\DllHost.exe

C:\Windows\System32\svchost.exe -k secsvcs

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files (x86)\Mozilla Firefox\firefox.exe

C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe

C:\Windows\system32\SearchProtocolHost.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Windows\system32\DllHost.exe

C:\Windows\system32\DllHost.exe

C:\Users\Kenny\Downloads\dds.scr

C:\Windows\system32\conhost.exe

C:\Windows\system32\wbem\wmiprvse.exe

.

============== Pseudo HJT Report ===============

.

uStart Page = hxxp://www.google.se/webhp?rls=ig

mWinlogon: Userinit=userinit.exe,

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

BHO: Spybot-S&D IE Protection: {53707962-6f74-2d53-2644-206d7942484f} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll

BHO: Windows Live ID Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll

uRun: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background

uRun: [spybotSD TeaTimer] C:\Program Files (x86)\Spybot - Search & Destroy\TeaTimer.exe

uRun: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

uRun: [uTorrent] "C:\Program Files (x86)\uTorrent\uTorrent.exe"

uRun: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun

uRun: [badoo Desktop] "C:\ProgramData\Badoo\Badoo Desktop\1.2.22.828\Badoo.Desktop.exe"

mRun: [KBD] C:\Program Files (x86)\Hewlett-Packard\KBD\KbdStub.EXE

mRun: [avast5] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui

mRun: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 10.0\Reader\Reader_sl.exe"

mRun: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

mRun: [sunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"

StartupFolder: C:\Users\Kenny\AppData\Roaming\MICROS~1\Windows\STARTM~1\Programs\Startup\OPENOF~1.LNK - C:\Program Files (x86)\OpenOffice.org 3\program\quickstart.exe

mPolicies-explorer: NoActiveDesktop = 1 (0x1)

mPolicies-explorer: NoActiveDesktopChanges = 1 (0x1)

mPolicies-system: ConsentPromptBehaviorAdmin = 5 (0x5)

mPolicies-system: ConsentPromptBehaviorUser = 3 (0x3)

mPolicies-system: EnableUIADesktopToggle = 0 (0x0)

IE: {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~2\SPYBOT~1\SDHelper.dll

DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0022-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_22-windows-i586.cab

DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

{9030D464-4C02-4ABF-8ECC-5164760863C6}

mRunOnce-x64: [NCInstallQueue] rundll32 netman.dll,ProcessQueue

Hosts: 127.0.0.1 www.spywareinfo.com

.

================= FIREFOX ===================

.

FF - ProfilePath - C:\Users\Kenny\AppData\Roaming\Mozilla\Firefox\Profiles\wyk94qbi.default\

FF - plugin: C:\Program Files (x86)\Google\Google Earth\plugin\npgeplugin.dll

FF - plugin: C:\Program Files (x86)\Google\Update\1.3.21.53\npGoogleUpdate3.dll

FF - plugin: C:\Program Files (x86)\Java\jre6\bin\new_plugin\npdeployJava1.dll

FF - plugin: c:\Program Files (x86)\Microsoft Silverlight\4.0.60310.0\npctrlui.dll

FF - plugin: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll

FF - plugin: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll

FF - plugin: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32.dll

.

============= SERVICES / DRIVERS ===============

.

R1 aswSP;aswSP;C:\Windows\System32\drivers\aswSP.sys [2010-12-3 273488]

R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;C:\Windows\System32\drivers\dtsoftbus01.sys [2011-3-6 254528]

R1 vwififlt;Virtual WiFi Filter Driver;C:\Windows\System32\drivers\vwififlt.sys [2009-7-14 59904]

R2 aswFsBlk;aswFsBlk;C:\Windows\System32\drivers\aswFsBlk.sys [2010-12-3 20560]

R2 aswMonFlt;aswMonFlt;C:\Windows\System32\drivers\aswMonFlt.sys [2010-12-3 62032]

R2 avast! Antivirus;avast! Antivirus;C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [2011-1-15 40384]

R2 SBSDWSCService;SBSD Security Center Service;C:\Program Files (x86)\Spybot - Search & Destroy\SDWinSec.exe [2010-11-30 1153368]

R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2010-7-9 248936]

R3 HCW85BDA;Hauppauge WinTV 885 Video Capture;C:\Windows\System32\drivers\HCW85BDA.sys [2009-6-10 1192448]

R3 netr7364;USB Wireless 802.11 b/g Adaptor Driver for Vista;C:\Windows\System32\drivers\netr7364.sys [2009-6-10 707072]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]

S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-3-18 138576]

S2 gupdate;Google Update Service (gupdate);C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2010-11-15 136176]

S3 gupdatem;Tjänsten Google Update (gupdatem);C:\Program Files (x86)\Google\Update\GoogleUpdate.exe [2010-11-15 136176]

S3 WatAdminSvc;Aktiveringsteknologier för Windows-tjänst;C:\Windows\System32\Wat\WatAdminSvc.exe [2010-10-10 1255736]

.

=============== Created Last 30 ================

.

2074-05-07 16:38:48 203576 ------w- C:\Program Files (x86)\Microsoft Games\Age of Empires III\autopatcher2.exe

2011-05-15 14:40:31 -------- d-----w- C:\Program Files (x86)\ESET

2011-05-15 14:24:00 -------- d-----w- C:\Users\Kenny\AppData\Roaming\f-secure

2011-05-14 21:46:12 -------- d-----w- C:\PROGRA~3\pJ01804PcNcB01804

2011-05-14 11:06:45 -------- d-----w- C:\Users\Kenny\AppData\Local\{8B77E5DE-7FFD-47B0-B8DF-7310E4107FB5}

2011-05-13 21:36:06 8802128 ----a-w- C:\PROGRA~3\Microsoft\Windows Defender\Definition Updates\{A7566C8C-D903-47B9-BDD6-6A26F9AF693C}\mpengine.dll

2011-05-13 18:09:07 -------- d-----w- C:\Users\Kenny\AppData\Local\Gas Powered Games

2011-05-13 18:02:44 -------- d-----w- C:\temp

2011-05-13 18:02:20 -------- d-----w- C:\PROGRA~3\Media Center Programs

2011-05-13 16:44:25 142336 ----a-w- C:\Windows\System32\poqexec.exe

2011-05-13 16:44:25 123904 ----a-w- C:\Windows\SysWow64\poqexec.exe

2011-05-13 16:27:43 -------- d-----w- C:\Users\Kenny\AppData\Local\{A5667C80-BB79-4CD9-9DA5-D72A56D1B656}

2011-05-13 16:08:31 -------- d-----w- C:\Users\Kenny\AppData\Local\{3AC21144-4056-4C53-AF84-57B1DFDBBB30}

2011-05-12 20:16:45 -------- d-----w- C:\Users\Kenny\AppData\Local\{E64DD9C7-8982-4293-A895-99D139CA3A44}

2011-05-11 19:32:42 5509504 ----a-w- C:\Windows\System32\ntoskrnl.exe

2011-05-11 19:32:42 3957632 ----a-w- C:\Windows\SysWow64\ntkrnlpa.exe

2011-05-11 19:32:41 3901824 ----a-w- C:\Windows\SysWow64\ntoskrnl.exe

2011-05-11 19:28:14 -------- d-----w- C:\Users\Kenny\AppData\Local\{94A392B0-1D0D-40C1-AB8D-F7FE6395A7A0}

2011-05-11 19:17:32 -------- d-----w- C:\Users\Kenny\AppData\Local\{F017A89A-8DDA-4569-9478-890529E7C1CF}

2011-05-10 10:47:58 -------- d-----w- C:\Users\Kenny\AppData\Local\{B1AC6D2F-253E-4B98-80A2-30AC0B7CDA1F}

2011-05-09 20:15:20 -------- d-----w- C:\Users\Kenny\AppData\Local\{33ABF026-E946-453B-A63E-194D9692B60D}

2011-05-08 13:44:07 -------- d-----w- C:\Users\Kenny\AppData\Local\{9A7F79B7-290F-4507-A024-EBC065203420}

2011-05-07 12:39:04 -------- d-----w- C:\Users\Kenny\AppData\Local\{D0FE2216-E6B5-44FB-80CD-B1215BEADEBC}

2011-05-06 16:57:10 -------- d-----w- C:\Users\Kenny\AppData\Local\{EAD80932-D58E-4E5B-AE0C-10303B4AC1CD}

2011-05-05 14:25:46 -------- d-----w- C:\Users\Kenny\AppData\Local\{91E73932-985D-4867-8689-AAB7E01092A2}

2011-05-04 16:02:20 -------- d-----w- C:\Users\Kenny\AppData\Local\{2C894E39-4F9B-4BB4-8574-01600D415563}

2011-05-03 19:30:01 -------- d-----w- C:\Users\Kenny\AppData\Local\{351F9EB4-1503-45BA-9FA7-1476FD8A606C}

2011-05-02 20:29:08 -------- d-----w- C:\Users\Kenny\AppData\Local\{90F5F046-B810-4233-BFD9-3125442C6264}

2011-05-01 21:05:27 -------- d-----w- C:\Users\Kenny\AppData\Local\{86B2EB24-1E70-4EAB-B77B-2F53E73289C6}

2011-04-30 18:13:58 -------- d-----w- C:\Users\Kenny\AppData\Local\{EFB97713-6AE7-42F4-B8E2-2A879D7F72F6}

2011-04-29 20:35:06 -------- d-----w- C:\Users\Kenny\AppData\Local\{45325B15-01D5-40AB-8846-34ACEF900C35}

2011-04-28 20:25:35 -------- d-----w- C:\Users\Kenny\AppData\Local\{FC63F8D3-C5F8-4994-A631-79B097A631DD}

2011-04-27 20:21:00 2870272 ----a-w- C:\Windows\explorer.exe

2011-04-27 20:21:00 2614784 ----a-w- C:\Windows\SysWow64\explorer.exe

2011-04-27 20:16:14 -------- d-----w- C:\Users\Kenny\AppData\Local\{093BCF45-5F63-4BD3-8DD4-7C319A65354F}

2011-04-26 20:28:32 -------- d-----w- C:\Users\Kenny\AppData\Local\{3AE69DAF-8BD0-4B4D-8664-E66FD95B1E56}

2011-04-25 21:10:10 -------- d-----w- C:\Users\Kenny\AppData\Local\{C4FD11FC-9DAA-4D7D-B039-FB9821C97732}

2011-04-24 21:29:44 -------- d-----w- C:\Users\Kenny\AppData\Local\{4667A8A9-006F-4E17-A5C1-66A7FAFEC5B6}

2011-04-23 20:44:40 -------- d-----w- C:\Users\Kenny\AppData\Local\{722B2851-D146-470A-96B6-07E8BF62A581}

2011-04-22 20:52:43 159080 ----a-w- C:\PROGRA~3\Microsoft\Windows\Sqm\Manifest\Sqm10138.bin

2011-04-22 20:33:26 -------- d-----w- C:\Users\Kenny\AppData\Local\{96F15AED-C782-4FD5-8C3C-3C19DA47D943}

2011-04-21 17:40:41 -------- d-----w- C:\Users\Kenny\AppData\Local\{B2FC8919-DCE3-4B8B-B885-8005E15DAFF6}

2011-04-21 17:39:34 -------- d-----w- C:\Users\Kenny\AppData\Local\{86416643-44CA-4F3F-9685-84D7AF4D0E07}

2011-04-21 17:33:06 -------- d-----w- C:\PROGRA~3\Age of Empires 3

2011-04-21 15:48:26 -------- d-----w- C:\Users\Kenny\AppData\Local\{0D36A1E5-910D-44E4-BCD8-65CEA81CD4A1}

2011-04-21 15:36:23 -------- d-----w- C:\Users\Kenny\AppData\Local\{FBCD4A5B-3F77-4D48-927B-841A62509C39}

2011-04-21 15:30:09 -------- d-----w- C:\Users\Kenny\AppData\Local\{12261439-9D2D-420B-95DA-5A1DF6CF10CF}

2011-04-21 15:25:14 -------- d-----w- C:\Users\Kenny\AppData\Local\{7D0B8D2F-1999-489C-B31F-465769BF5FBE}

2011-04-20 20:49:53 -------- d-----w- C:\Users\Kenny\AppData\Local\{B09AD3C9-77E3-43CA-B363-DAEF58A73E00}

2011-04-19 19:34:45 -------- d-----w- C:\Users\Kenny\AppData\Local\{598C89F5-C379-4CA9-835C-917DB1EEB415}

2011-04-18 20:57:14 -------- d-----w- C:\Users\Kenny\AppData\Local\{6AAF565C-EDE1-43E4-B2CE-1ECED08E3DF1}

2011-04-17 21:05:22 -------- d-----w- C:\Users\Kenny\AppData\Local\{66573366-D3F3-412A-B2C4-208F1D81AE82}

2011-04-16 22:43:42 -------- d-----w- C:\Users\Kenny\AppData\Local\{988816CD-1371-4C53-B681-61271D081DBC}

2011-04-15 16:31:41 476160 ----a-w- C:\Windows\System32\XpsGdiConverter.dll

2011-04-15 16:31:41 288256 ----a-w- C:\Windows\SysWow64\XpsGdiConverter.dll

2011-04-15 15:48:33 -------- d-----w- C:\Users\Kenny\AppData\Local\{CD3B3E0F-25B6-4B50-AEDC-B6C35E5C3F0C}

.

==================== Find3M ====================

.

2011-05-15 13:41:35 472808 ----a-w- C:\Windows\SysWow64\deployJava1.dll

2011-03-12 12:03:46 662528 ----a-w- C:\Windows\System32\XpsPrint.dll

2011-03-12 11:31:58 442880 ----a-w- C:\Windows\SysWow64\XpsPrint.dll

2011-03-11 06:23:13 187264 ----a-w- C:\Windows\System32\drivers\storport.sys

2011-03-11 06:23:06 166272 ----a-w- C:\Windows\System32\drivers\nvstor.sys

2011-03-11 06:23:06 1657216 ----a-w- C:\Windows\System32\drivers\ntfs.sys

2011-03-11 06:23:06 148352 ----a-w- C:\Windows\System32\drivers\nvraid.sys

2011-03-11 06:23:00 410496 ----a-w- C:\Windows\System32\drivers\iaStorV.sys

2011-03-11 06:22:41 107904 ----a-w- C:\Windows\System32\drivers\amdsata.sys

2011-03-11 06:22:40 27008 ----a-w- C:\Windows\System32\drivers\amdxata.sys

2011-03-11 06:19:26 1395712 ----a-w- C:\Windows\System32\mfc42.dll

2011-03-11 06:19:26 1359872 ----a-w- C:\Windows\System32\mfc42u.dll

2011-03-11 06:18:20 2566144 ----a-w- C:\Windows\System32\esent.dll

2011-03-11 06:15:54 96768 ----a-w- C:\Windows\System32\fsutil.exe

2011-03-11 05:40:24 1164288 ----a-w- C:\Windows\SysWow64\mfc42u.dll

2011-03-11 05:40:24 1137664 ----a-w- C:\Windows\SysWow64\mfc42.dll

2011-03-11 05:39:35 1686016 ----a-w- C:\Windows\SysWow64\esent.dll

2011-03-11 05:37:34 74240 ----a-w- C:\Windows\SysWow64\fsutil.exe

2011-03-08 06:14:30 976896 ----a-w- C:\Windows\System32\inetcomm.dll

2011-03-08 05:38:13 740864 ----a-w- C:\Windows\SysWow64\inetcomm.dll

2011-03-06 20:57:06 254528 ----a-w- C:\Windows\System32\drivers\dtsoftbus01.sys

2011-03-04 06:17:25 135168 ----a-w- C:\Windows\apppatch\AppPatch64\AcXtrnal.dll

2011-03-04 06:17:24 347648 ----a-w- C:\Windows\apppatch\AppPatch64\AcLayers.dll

2011-03-03 06:17:10 182272 ----a-w- C:\Windows\System32\dnsrslvr.dll

2011-03-03 06:14:38 30208 ----a-w- C:\Windows\System32\dnscacheugc.exe

2011-03-03 05:27:30 28672 ----a-w- C:\Windows\SysWow64\dnscacheugc.exe

2011-03-03 03:58:32 3133440 ----a-w- C:\Windows\System32\win32k.sys

2011-02-24 06:29:15 1197056 ----a-w- C:\Windows\System32\wininet.dll

2011-02-24 06:24:57 57856 ----a-w- C:\Windows\System32\licmgr10.dll

2011-02-24 05:32:44 981504 ----a-w- C:\Windows\SysWow64\wininet.dll

2011-02-24 05:30:16 44544 ----a-w- C:\Windows\SysWow64\licmgr10.dll

2011-02-24 05:05:13 482816 ----a-w- C:\Windows\System32\html.iec

2011-02-24 04:24:04 1638912 ----a-w- C:\Windows\System32\mshtml.tlb

2011-02-24 04:23:48 386048 ----a-w- C:\Windows\SysWow64\html.iec

2011-02-24 03:50:26 1638912 ----a-w- C:\Windows\SysWow64\mshtml.tlb

2011-02-23 05:16:28 461312 ----a-w- C:\Windows\System32\drivers\srv.sys

2011-02-23 05:16:01 401920 ----a-w- C:\Windows\System32\drivers\srv2.sys

2011-02-23 05:15:50 161792 ----a-w- C:\Windows\System32\drivers\srvnet.sys

2011-02-23 05:15:27 157696 ----a-w- C:\Windows\System32\drivers\mrxsmb.sys

2011-02-23 05:15:14 286720 ----a-w- C:\Windows\System32\drivers\mrxsmb10.sys

2011-02-23 05:15:13 126464 ----a-w- C:\Windows\System32\drivers\mrxsmb20.sys

2011-02-23 05:15:06 90624 ----a-w- C:\Windows\System32\drivers\bowser.sys

2011-02-19 06:37:44 1135104 ----a-w- C:\Windows\System32\FntCache.dll

2011-02-19 06:37:10 1540608 ----a-w- C:\Windows\System32\DWrite.dll

2011-02-19 06:36:49 902656 ----a-w- C:\Windows\System32\d2d1.dll

2011-02-19 06:36:13 46080 ----a-w- C:\Windows\System32\atmlib.dll

2011-02-19 05:32:48 1074176 ----a-w- C:\Windows\SysWow64\DWrite.dll

2011-02-19 05:32:35 739840 ----a-w- C:\Windows\SysWow64\d2d1.dll

2011-02-19 05:32:08 34304 ----a-w- C:\Windows\SysWow64\atmlib.dll

2011-02-19 04:13:39 367104 ----a-w- C:\Windows\System32\atmfd.dll

2011-02-19 03:37:02 294912 ----a-w- C:\Windows\SysWow64\atmfd.dll

2011-02-18 06:37:05 612352 ----a-w- C:\Windows\System32\vbscript.dll

2011-02-18 06:33:50 31232 ----a-w- C:\Windows\System32\prevhost.exe

2011-02-18 05:36:26 428032 ----a-w- C:\Windows\SysWow64\vbscript.dll

2011-02-18 05:33:29 31232 ----a-w- C:\Windows\SysWow64\prevhost.exe

.

============= FINISH: 17:45:47,17 ===============

Attach.txt

[Brynäsarn]

Ser i loggen att det finns en gammal javaversion som har säkerhetshål,avinstallera

den och hämta senaste här http://www.java.com/sv/

[Micke-89]

Ser i loggen att det finns en gammal javaversion som har säkerhetshål,avinstallera

den och hämta senaste här http://www.java.com/sv/

 

fixar det. finns det några mer problem. T.ex som att viruset inte är helt borta.

[Cecilia]

Vad finns i denna mapp?

C:\PROGRA~3\pJ01804PcNcB01804

där ~3 står för ett antal godtyckliga tecken, dvs mappen kan vara Program, Program Files, ProgramData med mera.

 

På sidan http://www.virustotal.com klickar du på Bläddra -knappen och klistrar in ett av följande filnamn i rutan, klicka på Öppna och sedan på Skicka Fil. Vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in länken till resultatet här. Upprepa med nästa filnamn.

C:\Windows\System32\poqexec.exe

C:\Windows\SysWow64\poqexec.exe

 

Klistra in loggfilen C:\Program\Eset\Eset Online Scanner\log.txt i ditt svar.

[Micke-89]

Vad finns i denna mapp?

C:\PROGRA~3\pJ01804PcNcB01804

där ~3 står för ett antal godtyckliga tecken, dvs mappen kan vara Program, Program Files, ProgramData med mera.

 

På sidan http://www.virustotal.com klickar du på Bläddra -knappen och klistrar in ett av följande filnamn i rutan, klicka på Öppna och sedan på Skicka Fil. Vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in länken till resultatet här. Upprepa med nästa filnamn.

C:\Windows\System32\poqexec.exe

C:\Windows\SysWow64\poqexec.exe

 

Klistra in loggfilen C:\Program\Eset\Eset Online Scanner\log.txt i ditt svar.

 

 

Eset loggen är borta.

 

och de övriga

 

File name:

poqexec.exe

Submission date:

2011-05-15 18:26:48 (UTC)

Current status:

finished

Result:

0 /36 (0.0%)

 

File name:

poqexec.exe

Submission date:

2011-05-15 18:26:34 (UTC)

Current status:

finished

Result:

0 /43 (0.0%)

 

detta troligtvis något som tillhört viruset:

File name:

pJ01804PcNcB01804

Submission date:

2011-05-15 18:30:30 (UTC)

Current status:

finished

Result:

0 /43 (0.0%)

 

vad ska jag göra nu? Tror faktiskt java är uppdaterat. Hittar inte den gamla versionen dock.

[Brynäsarn]

Eset loggen är borta.

 

och de övriga

 

File name:

poqexec.exe

Submission date:

2011-05-15 18:26:48 (UTC)

Current status:

finished

Result:

0 /36 (0.0%)

 

File name:

poqexec.exe

Submission date:

2011-05-15 18:26:34 (UTC)

Current status:

finished

Result:

0 /43 (0.0%)

 

detta troligtvis något som tillhört viruset:

File name:

pJ01804PcNcB01804

Submission date:

2011-05-15 18:30:30 (UTC)

Current status:

finished

Result:

0 /43 (0.0%)

 

vad ska jag göra nu? Tror faktiskt java är uppdaterat. Hittar inte den gamla versionen dock.

 

Senaste javaversionen heter Java 6 Update 25

[Cecilia]

Ja, du kan nog ta bort mappen C:\PROGRA~3\pJ01804PcNcB01804.

 

I Attach-loggen finns:

Java™ 6 Update 22

som alltså är gammal.

 

Ladda ner Malwarebytes Anti-Malware (MBAM) från en av dessa länkar:

http://www.malwarebytes.org/mbam-download.php

http://majorgeeks.com/downloadget.php?id=5756&file=15&evp=693ee0b20204960edfd909666f809b26

http://dw.com.com/redir?edId=3&siteId=4&oId=3000-8022_4-10804572&ontId=8022_4&spi=b4a0904e0f02b40bf2ae9ce030ef5c99&lop=link&tag=tdw_dltext&ltype=dl_dlnow&pid=11375988&mfgId=6290020&merId=6290020&pguid=XI3P-goPjFwAACI-g4wAAAA4&destUrl=http%3A%2F%2Fdownload.cnet.com%2F3001-8022_4-10804572.html%3Fspi%3Db4a0904e0f02b40bf2ae9ce030ef5c99

http://fileforum.betanews.com/detail/Malwarebytes-AntiMalware/1186760019/1

Dubbelklicka på mbam-setup för att installera programmet.

 

Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Klicka på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj Utför snabb skanning och klicka på Skanna.

Skanningen tar ett tag.

När den är klar så klicka på OK och sedan Visa resultat.

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.

Kopiera loggen och klistra in den i ditt svar.

[Micke-89]

Ja, du kan nog ta bort mappen C:\PROGRA~3\pJ01804PcNcB01804.

 

I Attach-loggen finns:

Java 6 Update 22

som alltså är gammal.

 

Ladda ner Malwarebytes Anti-Malware (MBAM) från en av dessa länkar:

http://www.malwarebytes.org/mbam-download.php

http://majorgeeks.com/downloadget.php?id=5756&file=15&evp=693ee0b20204960edfd909666f809b26

http://dw.com.com/redir?edId=3&siteId=4&oId=3000-8022_4-10804572&ontId=8022_4&spi=b4a0904e0f02b40bf2ae9ce030ef5c99&lop=link&tag=tdw_dltext&ltype=dl_dlnow&pid=11375988&mfgId=6290020&merId=6290020&pguid=XI3P-goPjFwAACI-g4wAAAA4&destUrl=http%3A%2F%2Fdownload.cnet.com%2F3001-8022_4-10804572.html%3Fspi%3Db4a0904e0f02b40bf2ae9ce030ef5c99

http://fileforum.betanews.com/detail/Malwarebytes-AntiMalware/1186760019/1

Dubbelklicka på mbam-setup för att installera programmet.

 

Se till i slutet av installationen att det är bockar för:

Uppdatera Malwarebytes' Anti-Malware

Starta Malwarebytes' Anti-Malware

Klicka på Slutför

Om det finns någon uppdatering så kommer den att laddas ner och installeras.

 

När programmet startar så välj Utför snabb skanning och klicka på Skanna.

Skanningen tar ett tag.

När den är klar så klicka på OK och sedan Visa resultat.

Bocka för allt och tryck sedan Ta bort markerade.

När borttagningen är klar så öppnar Anteckningar med en logg.

 

Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det.

Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång.

Om programmet inte kommer igång efter omstarten så starta det.

 

Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM.

Kopiera loggen och klistra in den i ditt svar.

 

 

Kan säga att Malwarebytes' Anti-Malware visade inga virus.

 

Är inte vid den datorn nu. Men fixar bort mappen då.

 

Konstigt att de är en gammal version. Jag laddade ju ändå ner den nyaste(trodde jag i alla fall).

[Cecilia]

Bra att MBAM kom ut ren

 

Se om du hittar Esets logg i någon av följande mappar, för det vore bra att veta vad datorn drabbades av:

C:\Program Files (x86)\ESET

C:\Program (x86)\ESET

[Micke-89]

Bra att MBAM kom ut ren

 

Se om du hittar Esets logg i någon av följande mappar, för det vore bra att veta vad datorn drabbades av:

C:\Program Files (x86)\ESET

C:\Program (x86)\ESET

 

Tyvärr tror jag den loggen försvann. Jag bockade i att den skulle ta bort sig själv från datorn. I program filers finns den inte bara själva nod32 scannern kvar. Men kan leta vidare på datorn.

[Cecilia]

Jag kan inte se något skadligt i loggarna men det finns ju skadliga program som inte syns i DDS-loggar och det är ju lite svårt att veta om det finns något behov av att söka med fler program när man inte vet vad för något skadligt som har funnits i datorn. Vad var symptomen som gjorde att ni valde att köra Esets online-skanner?

[Micke-89]

Jag kan inte se något skadligt i loggarna men det finns ju skadliga program som inte syns i DDS-loggar och det är ju lite svårt att veta om det finns något behov av att söka med fler program när man inte vet vad för något skadligt som har funnits i datorn. Vad var symptomen som gjorde att ni valde att köra Esets online-skanner?

 

 

Falskt antivirus program poppade upp med datorn tror de hette MS security och hade ett stort blått hänglås som en symbol. Kan säga med att den ändrade till fel tema och gjorde datorn dum när man skulle se bilder och hela tiden krävde att man åtgärdade problem.Jo, den gjorde så spel inte kunde köras på datorn häller.

[Cecilia]

Kvarstår något problem?

 

Då kan vi kolla lite mer:

Spara ComboFix på Skrivbordet: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram, men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara Ja.

Mer detaljerad vägledning finns på http://www.bleepingcomputer.com/combofix/se/hur-combofix-ska-anvandas

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när det körs eftersom så det kan hänga upp sig då.

 

När ComboFix är färdig ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

[Micke-89]

Kvarstår något problem?

 

Då kan vi kolla lite mer:

Spara ComboFix på Skrivbordet: http://download.bleepingcomputer.com/sUBs/ComboFix.exe

 

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram, men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara Ja.

Mer detaljerad vägledning finns på http://www.bleepingcomputer.com/combofix/se/hur-combofix-ska-anvandas

 

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när det körs eftersom så det kan hänga upp sig då.

 

När ComboFix är färdig ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

 

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

 

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

 

 

Vad jag har hört av han så har han inget problem nu.

 

Ska jag kolla mer? eller räcker det.

[ePlay]

tror att din dator är ren. men låt Cecilia skriva till dig om hur man rengör datorn efter att den har blivit infekterad

[Cecilia]

Såg det ut som detta falska program?

http://www.bleepingcomputer.com/virus-removal/remove-fake-microsoft-security-essentials-alert

Det ska ju MBAM klara av så om inte det hittar något bör datorn vara ren.

[Micke-89]

Såg det ut som detta falska program?

http://www.bleepingcomputer.com/virus-removal/remove-fake-microsoft-security-essentials-alert

Det ska ju MBAM klara av så om inte det hittar något bör datorn vara ren.

 

 

Nä. inte så.

 

Ser mer ut så här: Min länk

 

Men ta mig katten de är nog det med Fast verkar implementera sig väldigt dåligt med win7.

 

Byter bakgrundsbild som den gjorde i klippet (fast den var dock bara blå då) och temat blir blått med.

 

Förlåt men jag är lite glömsk av mig.

[Cecilia]

"System Tool"?

http://www.bleepingcomputer.com/virus-removal/remove-system-tool

Gör det som står i punkt 22 och 23 för säkerhets skull.

[Micke-89]

"System Tool"?

http://www.bleepingcomputer.com/virus-removal/remove-system-tool

Gör det som står i punkt 22 och 23 för säkerhets skull.

 

Jupp:) så hette de tydligen har ett exakt lika dant hänglås och ser ut på samma sätt.

 

Nu får jag öva på engelska då

 

Ska fixa det.

 

Lägger in en edit This infection will also change the background of your Windows desktop to display the following over-the-top, and almost insensible, warning:

 

De verkar defensivt vara syndaren.

22 till 23 alltså

[Cecilia]

Säg till om det är något problem med att förstå engelskan.

 

Därefter är det dags för en slutstädning.

[Micke-89]

Säg till om det är något problem med att förstå engelskan.

 

Därefter är det dags för en slutstädning.

 

Fixat nu. var inte så svårt.

 

Ska jag kolla datorn igen eller börja rensningen?

[Cecilia]

Nu återstår bara en sista städomgång:

 

1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade.

Börja med att skapa en ny systemåterställningspunkt:

XP:

Start - Program- Tillbehör - Systemverktyg - Systemåterställning

Välj att skapa en ny återställningspunkt och tryck på Nästa.

Vista och Windows 7:

Högerklick på Datorn - Egenskaper - Systemskydd

Tryck på Skapa.

 

Ta sedan bort alla gamla systemåterställningspunkter genom att köra diskrensningsprogrammet.

Högerklicka på C: i Den här datorn/Utforskaren och välj Egenskaper.

På fliken Allmänt finns det en knapp som heter Diskrensning. Välj den.

Efter några minuter kommer programmet upp och då väljer du en flik som heter Fler alternativ eller något likande. Tryck på den Rensa-knapp som tar bort alla systemåterställningspunkter utom den senaste.

 

2. Ta bort DDS och eventuella loggar.

 

3. Spara TFC (Temporary File Cleaner) av OldTimer på Skrivbordet.

http://oldtimer.geekstogo.com/TFC.exe

 

Stäng alla program och fönster.

Kör TFC (om du har Vista eller Windows 7 så högerklicka på filen och välj Kör som administratör).

Klicka på Start-knappen för att starta städningen.

Det kan ta några minuter och låt datorn vara ifred under tiden.

 

När det är klart är det meningen att datorn ska startas om automatiskt. Om den inte gör det så startar du om datorn själv. Ta bort TFC-filen.

 

4. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.

http://mnin.blogspot.com/2009/02/why-i-enjoyed-tiggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.

 

5. Förbättra skyddet i datorn, se mina Råd för en säkrare dator: http://sites.google.com/site/ceblstockholm/home

Särskilt viktigt att låta Secunias program kontrollera om där finns gamla programversioner med säkerhetshål i datorn eftersom det ofta är genom dem som dessa skadliga program kommer in.