Ukash-viruset - felsäkert läge låst

[Eorl]

Hej! Jag har drabbats av det här viruset där en bild med påstådd information från rikspolisstyrelsen täcker skärmen och försöker tvinga mig betala med Ukash. Ja, ni vet. Jag förstår om det är irriterande att jag startar en ny tråd, men nätet svämmar över av information om det här och jag vill lägga så lite tid och energi som möjligt på den här rackaren. Lösningen på problemet verkar dessutom vara olika från fall till fall, har jag uppfattat av det jag läst hittills.

 

 

Mitt läge är så här:

Windows 7

Kan inte starta i felsäkert läge.

Har två inloggningar. En gästinloggning och så den som jag använder normalt (administratörskontot). Viruset finns på min vanliga inloggning medan det funkar felfritt att logga in på gästkontot.

 

Jag vill helst slippa installera om datorn men vill framför allt komma åt filerna som finns på mitt normala konto, då en del av filerna inte finns sparade på annat utrymme.

 

... att jag blivit utsatt för viruset talar väl sitt tydliga språk. Mina datakunskaper är inte digra. Då fick jag det sagt

 

Tack på förhand!

 

 

 

 

[Cecilia]

Hej!

 

Här i Eforum föredrar vi en ny tråd för varje dator, och då särskilt när det gäller infekterade datorer, för att det inte ska bli rörigt.

 

Ladda ner Farbar Recovery Scan Tool (FRST) och spara på ett USB-minne.

För 64-bitars Windows: http://download.bleepingcomputer.com/farbar/FRST64.exe

För 32-bitars Windows: http://download.bleepingcomputer.com/farbar/FRST.exe

Helst på en annan dator är den infekterade.

 

Sedan ska du starta om datorn och utan att starta hela Windows få igång en Kommandotolk. Det finns två alternativ att göra detta. Vilket du ska använda beror på om du har en installationsskiva för Windows 7 resp. Vista.

 

Alternativ 1 utan Windows-skiva

 

När datorn startar börjar du trycka på F8-tangenten upprepade gånger till sidan "Avancerade startalternativ" visas med en meny.

I menyn använder du piltangenterna för att välja "Reparera datorn".

Välj rätt tangentbord och klicka på "Nästa".

Välj vilket operativsystem du vill reparera. Om där finns flera så ska du välja det som är det infekterade Windows. Klicka på "Nästa".

Välj ditt användarkonto och klicka på "Nästa".

 

Alternativ 2 med Windows-skiva

 

Stoppa i installationsskivan.

Starta datorn.

När det kommer upp en fråga om du vill starta datorn från installationsskivan så tryck på någon tangent.

Om frågan inte kommer upp utan datorn startas från hårddisken som vanligt, behöver du ändra en BIOS-inställning för att starta från skivan.

När menyn på installationsskivan kommer upp klicka på "Reparera datorn".

Välj rätt tangentbord och klicka på "Nästa".

Välj vilket operativsystem du vill reparera. Om där finns flera så ska du välja det som är det infekterade Windows. Klicka på "Nästa".

Välj ditt användarkonto och klicka på "Nästa".

 

För båda alternativen

Nu visas menyn "Alternativ för systemåterställning".

Den börjar med "Startreparation" och avslutas med "Kommandotolk".

 

Välj "Kommandotolk".

Skriv in:

notepad

Tryck på Enter-tangenten.

 

Programmet Anteckningar startas.

Välj: Arkiv - Öppna

Välj: Dator

Leta upp ditt USB-minne och skriv upp vilken enhetsbokstav det har, t ex g:.

Stäng Anteckningar.

 

I Kommandotolken skriver du in:

32-bitars Windows: g:\frst.exe

64-bitars Windows: g:\frst64.exe

men ersätt g med enhetsbokstaven USB-minnet har.

 

Programmet FRST börjar köra.

Läs villkoren för programmet.

Klicka på Yes för att acceptera.

Klicka på Scan-knappen.

När det är klart kommer det att ha skapats en log FRST.txt på USB-minnet.

Kopiera innehållet i loggen och klistra in i ditt svar.

[Eorl]

Tack för svaret!

 

Så här lyder loggen:

 

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 13-03-2013 (ATTENTION: FRST version is 6 days old)

 

 

Ran by SYSTEM at 19-03-2013 17:28:53

Running from H:\

Windows 7 Home Premium (X64) OS Language: Danish

The current controlset is ControlSet001

 

==================== Registry (Whitelisted) ===================

 

HKLM\...\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup [16327712 2009-06-26] (NVIDIA Corporation)

HKLM-x32\...\Run: [hpsysdrv] c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe [62768 2008-11-20] (Hewlett-Packard)

HKLM-x32\...\Run: [HP Remote Solution] %ProgramFiles%\Hewlett-Packard\HP Remote Solution\HP_Remote_Solution.exe [656896 2009-05-26] ()

HKLM-x32\...\Run: [HP Software Update] c:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe [54576 2008-12-08] (Hewlett-Packard)

HKLM-x32\...\Run: [] [x]

HKLM-x32\...\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe [60464 2009-06-22] (EasyBits Software AS)

HKLM-x32\...\Run: [updatePRCShortCut] "C:\Program Files (x86)\Hewlett-Packard\Recovery\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\Hewlett-Packard\Recovery" UpdateWithCreateOnce "Software\CyberLink\PowerRecover" [222504 2009-05-19] (CyberLink Corp.)

HKLM-x32\...\Run: [AVG9_TRAY] C:\PROGRA~2\AVG\AVG9\avgtray.exe [2077536 2012-01-26] (AVG Technologies CZ, s.r.o.)

HKLM-x32\...\Run: [VoddlerNet Manager] C:\Program Files (x86)\Voddler\service\VNetManager.exe [676040 2011-02-09] ()

HKLM-x32\...\Run: [TkBellExe] "c:\program files (x86)\real\realplayer\Update\realsched.exe" -osboot [274608 2010-11-28] (RealNetworks, Inc.)

HKLM-x32\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [41208 2012-12-19] (Adobe Systems Incorporated)

HKLM-x32\...\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [946352 2012-12-02] (Adobe Systems Incorporated)

HKLM-x32\...\Run: [sunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" [254696 2012-01-18] (Sun Microsystems, Inc.)

HKLM-x32\...\Run: [EEventManager] "C:\Program Files (x86)\Epson Software\Event Manager\EEventManager.exe" [1058912 2012-04-02] (SEIKO EPSON CORPORATION)

HKU\Default\...\Run: [HPADVISOR] [x]

HKU\Default User\...\Run: [HPADVISOR] [x]

HKU\Gäst\...\Run: [HPADVISOR] C:\Program Files (x86)\Hewlett-Packard\HP Advisor\HPAdvisor.exe autorun=AUTORUN [1689144 2010-06-29] (Hewlett-Packard)

HKU\Gäst\...\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [x]

HKU\Gäst\...\Policies\system: [DisableLockWorkstation] 0

HKU\Gäst\...\Policies\system: [DisableChangePassword] 0

HKU\Mediamarkt\...\Run: [HPADVISOR] C:\Program Files (x86)\Hewlett-Packard\HP Advisor\HPAdvisor.exe view=DOCKVIEW [1689144 2010-06-29] (Hewlett-Packard)

HKU\Mediamarkt\...\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background [3872080 2010-04-16] (Microsoft Corporation)

HKU\Mediamarkt\...\Run: [sony PC Companion] "C:\Program Files (x86)\Sony Ericsson\Sony Ericsson PC Companion\PCCompanion.exe" /Background [x]

HKU\Mediamarkt\...\Run: [spotify Web Helper] "C:\Users\Mediamarkt\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [1199576 2013-03-14] (Spotify Ltd)

HKU\Mediamarkt\...\Run: [EPLTarget\P0000000000000000] C:\Windows\system32\spool\DRIVERS\x64\3\E_IATIJBE.EXE /EPT "EPLTarget\P0000000000000000" /M "XP-700 Series" [283232 2012-02-28] (SEIKO EPSON CORPORATION)

HKU\Mediamarkt\...\Winlogon: [shell] explorer.exe,C:\Users\Mediamarkt\AppData\Roaming\skype.dat [102400 2011-11-16] ()

Tcpip\Parameters: [DhcpNameServer] 192.168.0.1

AppInit_DLLs: avgrssta.dll

Startup: C:\ProgramData\Start Menu\Programs\Startup\BankID säkerhetsprogram.lnk

ShortcutTarget: BankID säkerhetsprogram.lnk -> C:\Program Files (x86)\Personal\bin\Personal.exe (Technology Nexus AB)

Startup: C:\ProgramData\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk

ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files (x86)\McAfee Security Scan\3.0.318\SSScheduler.exe (McAfee, Inc.)

Startup: C:\Users\Mediamarkt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Dropbox.lnk

ShortcutTarget: Dropbox.lnk -> (No File)

Startup: C:\Users\Mediamarkt\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\Skärmurklipp och start för OneNote 2007.lnk

ShortcutTarget: Skärmurklipp och start för OneNote 2007.lnk -> C:\Program Files (x86)\Microsoft Office\Office12\ONENOTEM.EXE (Microsoft Corporation)

 

==================== Services (Whitelisted) ===================

 

2 ABBYY.Licensing.FineReader.Sprint.9.0; "C:\Program Files (x86)\Common Files\ABBYY\FineReaderSprint\9.00\Licensing\NetworkLicenseServer.exe" -service [759048 2009-05-14] (ABBYY)

3 AVG Security Toolbar Service; C:\Program Files (x86)\AVG\AVG9\Toolbar\ToolbarBroker.exe [167264 2011-11-10] ()

2 avg9emc; "C:\Program Files (x86)\AVG\AVG9\avgemc.exe" [921952 2010-07-21] (AVG Technologies CZ, s.r.o.)

2 avg9wd; "C:\Program Files (x86)\AVG\AVG9\avgwdsvc.exe" [308136 2010-07-15] (AVG Technologies CZ, s.r.o.)

2 EpsonScanSvc; C:\Windows\system32\EscSvc64.exe [135824 2011-12-11] (Seiko Epson Corporation)

3 McComponentHostService; "C:\Program Files (x86)\McAfee Security Scan\3.0.318\McCHSvc.exe" [235216 2013-02-05] (McAfee, Inc.)

2 VoddlerNet; C:\Program Files (x86)\Voddler\service\voddler.exe [1039640 2011-02-09] (Voddler)

 

==================== Drivers (Whitelisted) =====================

 

1 AvgLdx64; C:\Windows\System32\Drivers\AvgLdx64.sys [282976 2013-01-15] (AVG Technologies CZ, s.r.o.)

1 AvgMfx64; C:\Windows\System32\Drivers\AvgMfx64.sys [35664 2011-09-12] (AVG Technologies CZ, s.r.o.)

1 AvgTdiA; C:\Windows\System32\Drivers\AvgTdiA.sys [317520 2011-05-05] (AVG Technologies CZ, s.r.o.)

3 seehcri; C:\Windows\System32\Drivers\seehcri.sys [34032 2011-01-21] (Sony Ericsson Mobile Communications)

3 Tdsshbecr; C:\Windows\System32\DRIVERS\shbecr.sys [50176 2008-09-22] (Todos Data System AB)

 

==================== NetSvcs (Whitelisted) ====================

 

 

==================== One Month Created Files and Folders ========

 

2013-03-19 17:28 - 2013-03-19 17:28 - 00000000 ____D C:\FRST

2013-03-19 04:19 - 2013-03-19 04:19 - 00000000 ____D C:\Users\Gäst\AppData\Roaming\Personal

2013-03-19 04:19 - 2013-03-19 04:19 - 00000000 ____D C:\Users\Gäst\AppData\Roaming\Epson

2013-03-19 04:03 - 2013-03-19 05:03 - 00000004 ____A C:\Users\Mediamarkt\AppData\Roaming\skype.ini

2013-03-13 13:57 - 2013-02-01 22:38 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb

2013-03-13 13:56 - 2013-02-01 23:31 - 17815040 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll

2013-03-13 13:56 - 2013-02-01 22:58 - 10925568 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll

2013-03-13 13:56 - 2013-02-01 22:57 - 02312704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll

2013-03-13 13:56 - 2013-02-01 22:48 - 01346048 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll

2013-03-13 13:56 - 2013-02-01 22:47 - 01494528 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl

2013-03-13 13:56 - 2013-02-01 22:47 - 01392128 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll

2013-03-13 13:56 - 2013-02-01 22:46 - 00237056 ____A (Microsoft Corporation) C:\Windows\System32\url.dll

2013-03-13 13:56 - 2013-02-01 22:43 - 00085504 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll

2013-03-13 13:56 - 2013-02-01 22:42 - 00816640 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll

2013-03-13 13:56 - 2013-02-01 22:42 - 00173056 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe

2013-03-13 13:56 - 2013-02-01 22:41 - 00599040 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll

2013-03-13 13:56 - 2013-02-01 22:40 - 00729088 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll

2013-03-13 13:56 - 2013-02-01 22:39 - 02147840 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll

2013-03-13 13:56 - 2013-02-01 22:38 - 00096768 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll

2013-03-13 13:56 - 2013-02-01 22:34 - 00248320 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll

2013-03-13 13:56 - 2013-02-01 20:09 - 12321792 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll

2013-03-13 13:56 - 2013-02-01 19:42 - 09738240 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll

2013-03-13 13:56 - 2013-02-01 19:38 - 01800704 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll

2013-03-13 13:56 - 2013-02-01 19:31 - 01103872 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll

2013-03-13 13:56 - 2013-02-01 19:30 - 01427968 ____A (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl

2013-03-13 13:56 - 2013-02-01 19:30 - 01129472 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll

2013-03-13 13:56 - 2013-02-01 19:29 - 00231936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\url.dll

2013-03-13 13:56 - 2013-02-01 19:27 - 00065024 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll

2013-03-13 13:56 - 2013-02-01 19:26 - 00717824 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll

2013-03-13 13:56 - 2013-02-01 19:26 - 00420864 ____A (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll

2013-03-13 13:56 - 2013-02-01 19:26 - 00142848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe

2013-03-13 13:56 - 2013-02-01 19:25 - 00607744 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll

2013-03-13 13:56 - 2013-02-01 19:23 - 02382848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb

2013-03-13 13:56 - 2013-02-01 19:23 - 01796096 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll

2013-03-13 13:56 - 2013-02-01 19:23 - 00073216 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll

2013-03-13 13:56 - 2013-02-01 19:20 - 00176640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll

2013-03-13 13:54 - 2013-03-13 13:54 - 00000000 ____D C:\Program Files\Microsoft Silverlight

2013-03-13 13:54 - 2013-03-13 13:54 - 00000000 ____D C:\Program Files (x86)\Microsoft Silverlight

2013-02-21 09:50 - 2013-02-21 09:50 - 00009181 ____A C:\Users\Mediamarkt\Desktop\HIK-statistik.xlsx

 

==================== One Month Modified Files and Folders =======

 

2013-03-19 08:22 - 2009-07-13 20:45 - 00015792 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0

2013-03-19 08:22 - 2009-07-13 20:45 - 00015792 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0

2013-03-19 08:20 - 2009-07-13 21:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT

2013-03-19 08:20 - 2009-07-13 20:51 - 00157502 ____A C:\Windows\setupact.log

2013-03-19 06:09 - 2009-09-30 13:25 - 01850506 ____A C:\Windows\WindowsUpdate.log

2013-03-19 05:44 - 2012-09-08 01:21 - 00000868 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job

2013-03-19 05:31 - 2010-01-27 09:52 - 00000994 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job

2013-03-19 05:03 - 2013-03-19 04:03 - 00000004 ____A C:\Users\Mediamarkt\AppData\Roaming\skype.ini

2013-03-19 04:57 - 2012-03-15 14:41 - 00000000 ___RD C:\Users\Mediamarkt\Dropbox

2013-03-19 04:57 - 2012-03-15 14:39 - 00000000 ____D C:\Users\Mediamarkt\AppData\Roaming\Dropbox

2013-03-19 04:57 - 2009-12-18 12:06 - 00000000 ____D C:\Users\Mediamarkt\Tracing

2013-03-19 04:56 - 2013-01-15 04:02 - 00000354 ____A C:\Windows\Tasks\ROC_JAN2013_TB_rmv.job

2013-03-19 04:56 - 2010-03-22 08:56 - 00000000 ____D C:\Voddler

2013-03-19 04:56 - 2010-01-27 09:52 - 00000990 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job

2013-03-19 04:19 - 2013-03-19 04:19 - 00000000 ____D C:\Users\Gäst\AppData\Roaming\Personal

2013-03-19 04:19 - 2013-03-19 04:19 - 00000000 ____D C:\Users\Gäst\AppData\Roaming\Epson

2013-03-19 00:59 - 2010-02-06 11:04 - 00000000 ____D C:\Windows\System32\Drivers\Avg

2013-03-18 11:36 - 2009-12-13 15:19 - 00000000 ____D C:\Users\Mediamarkt\AppData\Roaming\Spotify

2013-03-14 16:34 - 2010-03-19 12:11 - 00002149 ____A C:\Users\Public\Desktop\Google Chrome.lnk

2013-03-14 13:26 - 2009-12-13 15:19 - 00000000 ____D C:\Users\Mediamarkt\AppData\Local\Spotify

2013-03-14 04:46 - 2012-09-08 01:21 - 00693976 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe

2013-03-14 04:46 - 2011-06-13 07:14 - 00073432 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl

2013-03-13 13:59 - 2009-12-07 10:09 - 72013344 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe

2013-03-13 13:54 - 2013-03-13 13:54 - 00000000 ____D C:\Program Files\Microsoft Silverlight

2013-03-13 13:54 - 2013-03-13 13:54 - 00000000 ____D C:\Program Files (x86)\Microsoft Silverlight

2013-03-13 11:20 - 2011-11-03 08:22 - 00000000 ____A C:\Windows\System32\HP_ActiveX_Patch_NOT_DETECTED.txt

2013-03-13 11:20 - 2009-12-19 02:47 - 00000052 ____A C:\Windows\SysWOW64\DOErrors.log

2013-03-13 11:18 - 2009-12-19 02:45 - 00000000 ____D C:\Users\Mediamarkt\AppData\Roaming\HpUpdate

2013-03-13 11:18 - 2009-12-19 02:45 - 00000000 ____D C:\Users\Mediamarkt\AppData\Roaming\HP Support Assistant

2013-03-11 11:28 - 2009-10-01 03:58 - 00617232 ____A C:\Windows\System32\perfh01D.dat

2013-03-11 11:28 - 2009-10-01 03:58 - 00120596 ____A C:\Windows\System32\perfc01D.dat

2013-03-11 11:28 - 2009-07-13 21:13 - 01442452 ____A C:\Windows\System32\PerfStringBackup.INI

2013-03-07 08:31 - 2013-01-09 05:54 - 00000352 ____A C:\Windows\Tasks\HPCeeScheduleForMediamarkt.job

2013-03-06 13:23 - 2009-12-20 02:44 - 00000000 ____D C:\Users\Mediamarkt\Documents\Margitta

2013-03-04 13:25 - 2009-07-13 21:32 - 00000000 ____D C:\Windows\System32\FxsTmp

2013-03-02 10:12 - 2011-11-17 11:31 - 00000493 ____A C:\Users\Mediamarkt\Desktop\Chokladfabriker.website

2013-02-27 10:07 - 2009-12-18 15:33 - 00000000 ____D C:\Users\Mediamarkt\AppData\Roaming\U3

2013-02-23 13:52 - 2009-12-20 03:52 - 00000000 ____D C:\Users\Mediamarkt\Documents\Kajsa

2013-02-21 09:50 - 2013-02-21 09:50 - 00009181 ____A C:\Users\Mediamarkt\Desktop\HIK-statistik.xlsx

2013-02-21 09:31 - 2012-02-17 13:41 - 00001980 ____A C:\Users\Public\Desktop\Adobe Reader 9.lnk

2013-02-17 03:11 - 2013-01-23 12:14 - 00010979 ____A C:\Users\Mediamarkt\Desktop\SAIK.xlsx

 

 

==================== Known DLLs (Whitelisted) =================

 

 

==================== Bamital & volsnap Check =================

 

C:\Windows\System32\winlogon.exe => MD5 is legit

C:\Windows\System32\wininit.exe => MD5 is legit

C:\Windows\SysWOW64\wininit.exe => MD5 is legit

C:\Windows\explorer.exe => MD5 is legit

C:\Windows\SysWOW64\explorer.exe => MD5 is legit

C:\Windows\System32\svchost.exe => MD5 is legit

C:\Windows\SysWOW64\svchost.exe => MD5 is legit

C:\Windows\System32\services.exe => MD5 is legit

C:\Windows\System32\User32.dll => MD5 is legit

C:\Windows\SysWOW64\User32.dll => MD5 is legit

C:\Windows\System32\userinit.exe => MD5 is legit

C:\Windows\SysWOW64\userinit.exe => MD5 is legit

C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

 

==================== EXE ASSOCIATION =====================

 

HKLM\...\.exe: exefile => OK

HKLM\...\exefile\DefaultIcon: %1 => OK

HKLM\...\exefile\open\command: "%1" %* => OK

 

==================== Restore Points =========================

 

Restore point made on: 2013-02-04 13:32:33

Restore point made on: 2013-02-12 09:34:38

Restore point made on: 2013-02-14 14:26:56

Restore point made on: 2013-02-22 15:06:52

Restore point made on: 2013-02-24 09:59:48

Restore point made on: 2013-03-03 11:10:31

Restore point made on: 2013-03-12 07:01:32

Restore point made on: 2013-03-13 13:53:33

 

==================== Memory info ===========================

 

Percentage of memory in use: 19%

Total physical RAM: 4095.24 MB

Available physical RAM: 3308.83 MB

Total Pagefile: 4093.39 MB

Available Pagefile: 3296.86 MB

Total Virtual: 8192 MB

Available Virtual: 8191.9 MB

 

==================== Partitions =============================

 

1 Drive c: (COMPAQ) (Fixed) (Total:284.27 GB) (Free:142.07 GB) NTFS

2 Drive e: (FACTORY_IMAGE) (Fixed) (Total:13.72 GB) (Free:2.44 GB) NTFS ==>[system with boot components (obtained from reading drive)]

5 Drive h: (DENILSON) (Removable) (Total:15.1 GB) (Free:0.08 GB) FAT32

6 Drive x: (Boot) (Fixed) (Total:0.08 GB) (Free:0.07 GB) NTFS

7 Drive y: (SYSTEM) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[system with boot components (obtained from reading drive)]

 

Disk nr Status Storlek Ledigt Dyn Gpt

-------- ------------- ------- ------- --- ---

Disk nr 0 Online 298 G B 0 B

Disk nr 1 Media saknas 0 B 0 B

Disk nr 2 Online 15 G B 0 B

 

 

Partitions of Disk 0:

===============

 

Disk 0 „r nu den valda disken.

 

Disk-ID: 1549F232

 

Partitionsnr Typ Storlek Start

------------- ---------------- ------- -------

Partitionsnr 1 Prim„r 100 M 1024 K

Partitionsnr 2 Prim„r 284 G 101 M

Partitionsnr 3 Prim„r 13 G 284 G

 

==================================================================================

 

Disk: 0

Disk 0 „r nu den valda disken.

 

Partition 1 „r nu den valda partitionen.

 

Partition 1

Typ : 07

Dold : Nej

Aktiv : Ja

Offset i byte: 1048576

 

Volymnr Enh Etikett Fils. Typ Storlek Status Info

---------- --- ----------- ----- ---------- ------- --------- --------

* Volymnr 1 Y SYSTEM NTFS Partition 100 M Felfri

 

=========================================================

 

Disk: 0

Disk 0 „r nu den valda disken.

 

Partition 2 „r nu den valda partitionen.

 

Partition 2

Typ : 07

Dold : Nej

Aktiv : Nej

Offset i byte: 105906176

 

Volymnr Enh Etikett Fils. Typ Storlek Status Info

---------- --- ----------- ----- ---------- ------- --------- --------

* Volymnr 2 C COMPAQ NTFS Partition 284 G Felfri

 

=========================================================

 

Disk: 0

Disk 0 „r nu den valda disken.

 

Partition 3 „r nu den valda partitionen.

 

Partition 3

Typ : 07

Dold : Nej

Aktiv : Nej

Offset i byte: 305334845440

 

Volymnr Enh Etikett Fils. Typ Storlek Status Info

---------- --- ----------- ----- ---------- ------- --------- --------

* Volymnr 3 E FACTORY_IMA NTFS Partition 13 G Felfri

 

=========================================================

 

Partitions of Disk 2:

===============

 

Disk 2 „r nu den valda disken.

 

Disk-ID: C3072E18

 

Partitionsnr Typ Storlek Start

------------- ---------------- ------- -------

Partitionsnr 1 Prim„r 15 G 16 K

 

==================================================================================

 

Disk: 2

Disk 2 „r nu den valda disken.

 

Partition 1 „r nu den valda partitionen.

 

Partition 1

Typ : 0C

Dold : Nej

Aktiv : Ja

Offset i byte: 16384

 

Volymnr Enh Etikett Fils. Typ Storlek Status Info

---------- --- ----------- ----- ---------- ------- --------- --------

* Volymnr 5 H DENILSON FAT32 Flyttbar 15 G Felfri

 

=========================================================

============================== MBR Partition Table ==================

 

==============================

Partitions of Disk 0:

===============

Disk ID: 1549F232

 

Partition 1:

=========

Hex: 8020210007DF130C0008000000200300

Active: YES

Type: 07 (NTFS)

Size: 100 MB

 

Partition 2:

=========

Hex: 00DF140C07FEFFFF0028030000888823

Active: NO

Type: 07 (NTFS)

Size: 284 GB

 

Partition 3:

=========

Hex: 00FEFFFF07FEFFFF00B08B230030B701

Active: NO

Type: 07 (NTFS)

Size: 14 GB

 

==============================

Partitions of Disk 2:

===============

Disk ID: C3072E18

 

Partition 1:

=========

Hex: 800101000C8B20F920000000E0BFE301

Active: YES

Type: 0C

Size: 15 GB

 

 

Last Boot: 2013-03-15 08:29

 

==================== End Of Log =============================

[Cecilia]

Bara trevligt att kunna hjälpa till

 

1.

Helst på en annan dator

Starta Anteckningar.

Kopiera alla rader i rutan:

HKU\Mediamarkt\...\Winlogon: [shell] explorer.exe,C:\Users\Mediamarkt\AppData\Roaming\skype.dat [102400 2011-11-16] ()
2013-03-19 04:03 - 2013-03-19 05:03 - 00000004 ____A C:\Users\Mediamarkt\AppData\Roaming\skype.ini

och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.

Spara filen på USB-minnet med namnet fixlist.txt.

 

På den infekterade datorn från "Alternativ för systemåterställning"

Starta FRST64 på samma sätt som sist.

Klicka på knappen Fix.

Vänta tills programmet är klart.

 

Programmet skapar en logg Fixlog.txt på USB-minnet.

Klistra in innehållet i den i ditt svar.

 

Pröva sedan att starta den infekterade datorn och logga in på ditt vanliga konto.

 

2.

Om det går bra följ anvisningarna i tråden Till dig med virus eller andra skadliga program i datorn så gott det går för fortsatt rensning. Dator är alltså inte nödvändigtvis ren bara för att man inte märker av meddelandet från trojanen.

 

3.

Se //eforum.idg.se/topic/340726-har-du-drabbats-av-sakerhetshal-i-java-flash-eller-reader/ för polistrojanen kommer in genom säkerhetshål t ex i gamla Java-versioner. Dessutom vill polisen att man polisanmäler dessa händelser.

[Eorl]

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 13-03-2013

Ran by SYSTEM at 2013-03-19 18:36:28 Run:1

Running from H:\

 

==============================================

 

HKEY_USERS\Mediamarkt\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell Value deleted successfully.

C:\Users\Mediamarkt\AppData\Roaming\skype.ini moved successfully.

 

==== End of Fixlog ====

 

 

 

 

Det var resultatet av fixloggen. Det var inga problem att starta datorn sedan, och en virussökning med AVG hittade ingenting, så jag betraktar datorn som virusfri nu. Tack för hjälpen!

 

Därmot är jag lite fundersam över hur det gick till när jag fick viruset. Jag har klarat mig bra väldigt länge genom att inte godkänna programaktiviteter när jag inte känner igen programmen/vet vad de gör, och undvika alltför suspekta sidor. Däremot har jag använt Internet Explorer som webbläsare på datorn, och om IE har man ju hört en del dåligt på sistone.

 

 

[Cecilia]

Min erfarenhet av denna trojan är att datorn inte nödvändigtvis är ren för att antivirusprogrammet inte upptäcker något (det upptäckte ju inget när trojanen kom in i datorn) och man inte får upp meddelandet. Jag föreslår därför att du följer punkt 2 i mitt förra inlägg. Loggarna från DDS hjälper också till med att ta reda på vilken väg som trojanen kom in. Så vitt jag vet finns det inga kända säkerhetshål i IE för tillfället.