hej
Malwarebytes har hitta rootkit dtss och den kan inte ta bort den hur gör jag för att få bort det
smari57
21 svar i den här tråden
#2
Mickilina
-
- Moderator
-
- 1 303 inlägg
Skrivet 25 september 2009 - 12:13
Hej smari57!
Menar du rootkit tdss?
Menar du rootkit tdss?
Stationär: Win XP Home ver 2002, SP3, Intel® Celeron® CPU 2.80GHz, Realtek AC97 Audio, RAM 1,5 GB, Samsung SP0812N 75 GB, WDC WD2500YS-01SHB0 240 GB, FIC P4M-865G
Laptop: Vista Home Premium x32, SP1, AMD Sempron SI-40 2,00 GHz, Ljudkort Sound Blaster Pro, RAM 2,0 GB, DDR II, Hårddisk -Typ SATA 5400 rpm -Storlek 160 GB, NVIDIA GeForce 8200M G
Laptop: Vista Home Premium x32, SP1, AMD Sempron SI-40 2,00 GHz, Ljudkort Sound Blaster Pro, RAM 2,0 GB, DDR II, Hårddisk -Typ SATA 5400 rpm -Storlek 160 GB, NVIDIA GeForce 8200M G
#3
smari57
-
- Medlem
-
- 81 inlägg
Skrivet 25 september 2009 - 12:19
Mickilina, den September 25, 2009, 20:13, skrev:
Hej smari57!
Menar du rootkit tdss?
Menar du rootkit tdss?
hej
jag det står så i programmet Malwarebytes' Anti-Malware och loggfilen ser ut så här
tacksam för all hjälp
Malwarebytes' Anti-Malware 1.41
Databasversion: 2857
Windows 5.1.2600 Service Pack 3
2009-09-25 13:13:16
mbam-log-2009-09-25 (13-13-16).txt
Skanningstyp: Snabb skanning
Antal skannade objekt: 86023
Förfluten tid: 6 minute(s), 4 second(s)
Infekterade minnesprocesser: 0
Infekterade minnesmoduler: 2
Infekterade registernycklar: 0
Infekterade registervärden: 0
Infekterade registerdataposter: 0
Infekterade mappar: 0
Infekterade filer: 2
Infekterade minnesprocesser:
(Inga illasinnade poster hittades)
Infekterade minnesmoduler:
\\?\globalroot\systemroot\system32\gasfkyxyecbcxl.dll (Rootkit.TDSS) -> Delete on reboot.
\\?\globalroot\systemroot\system32\gasfkybqbdvvfp.dll (Trojan.FakeAlert) -> Delete on reboot.
Infekterade registernycklar:
(Inga illasinnade poster hittades)
Infekterade registervärden:
(Inga illasinnade poster hittades)
Infekterade registerdataposter:
(Inga illasinnade poster hittades)
Infekterade mappar:
(Inga illasinnade poster hittades)
Infekterade filer:
\\?\globalroot\systemroot\system32\gasfkyxyecbcxl.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
\\?\globalroot\systemroot\system32\gasfkybqbdvvfp.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
Smari57
#4
Cecilia
-
- Hedersmedlem
-
- 3 431 inlägg
Skrivet 25 september 2009 - 12:23
Finns det kvar om du startar om datorn och söker med MBAM igen?
I så fall ladda ner ComboFix till Skrivbordet:
http://download.blee...Bs/ComboFix.exe
Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.
Hur? Se http://www.bleepingc...opic114351.html
Kör ComboFix och följ anvisningarna som visas.
Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.
VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.
När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.
Om du får problem med att komma ut på internet:
Kontrollpanelen - Nätverksanslutningar
högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.
Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.
I så fall ladda ner ComboFix till Skrivbordet:
http://download.blee...Bs/ComboFix.exe
Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.
Hur? Se http://www.bleepingc...opic114351.html
Kör ComboFix och följ anvisningarna som visas.
Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.
VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.
När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.
Om du får problem med att komma ut på internet:
Kontrollpanelen - Nätverksanslutningar
högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.
Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.
#5
smari57
-
- Medlem
-
- 81 inlägg
Skrivet 25 september 2009 - 12:27
hej
här kommer loggfilen
Malwarebytes' Anti-Malware 1.41
Databasversion: 2857
Windows 5.1.2600 Service Pack 3
2009-09-25 13:13:16
mbam-log-2009-09-25 (13-13-16).txt
Skanningstyp: Snabb skanning
Antal skannade objekt: 86023
Förfluten tid: 6 minute(s), 4 second(s)
Infekterade minnesprocesser: 0
Infekterade minnesmoduler: 2
Infekterade registernycklar: 0
Infekterade registervärden: 0
Infekterade registerdataposter: 0
Infekterade mappar: 0
Infekterade filer: 2
Infekterade minnesprocesser:
(Inga illasinnade poster hittades)
Infekterade minnesmoduler:
\\?\globalroot\systemroot\system32\gasfkyxyecbcxl.dll (Rootkit.TDSS) -> Delete on reboot.
\\?\globalroot\systemroot\system32\gasfkybqbdvvfp.dll (Trojan.FakeAlert) -> Delete on reboot.
Infekterade registernycklar:
(Inga illasinnade poster hittades)
Infekterade registervärden:
(Inga illasinnade poster hittades)
Infekterade registerdataposter:
(Inga illasinnade poster hittades)
Infekterade mappar:
(Inga illasinnade poster hittades)
Infekterade filer:
\\?\globalroot\systemroot\system32\gasfkyxyecbcxl.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
\\?\globalroot\systemroot\system32\gasfkybqbdvvfp.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
smari57
här kommer loggfilen
Malwarebytes' Anti-Malware 1.41
Databasversion: 2857
Windows 5.1.2600 Service Pack 3
2009-09-25 13:13:16
mbam-log-2009-09-25 (13-13-16).txt
Skanningstyp: Snabb skanning
Antal skannade objekt: 86023
Förfluten tid: 6 minute(s), 4 second(s)
Infekterade minnesprocesser: 0
Infekterade minnesmoduler: 2
Infekterade registernycklar: 0
Infekterade registervärden: 0
Infekterade registerdataposter: 0
Infekterade mappar: 0
Infekterade filer: 2
Infekterade minnesprocesser:
(Inga illasinnade poster hittades)
Infekterade minnesmoduler:
\\?\globalroot\systemroot\system32\gasfkyxyecbcxl.dll (Rootkit.TDSS) -> Delete on reboot.
\\?\globalroot\systemroot\system32\gasfkybqbdvvfp.dll (Trojan.FakeAlert) -> Delete on reboot.
Infekterade registernycklar:
(Inga illasinnade poster hittades)
Infekterade registervärden:
(Inga illasinnade poster hittades)
Infekterade registerdataposter:
(Inga illasinnade poster hittades)
Infekterade mappar:
(Inga illasinnade poster hittades)
Infekterade filer:
\\?\globalroot\systemroot\system32\gasfkyxyecbcxl.dll (Rootkit.TDSS) -> Quarantined and deleted successfully.
\\?\globalroot\systemroot\system32\gasfkybqbdvvfp.dll (Trojan.FakeAlert) -> Quarantined and deleted successfully.
smari57
#6
smari57
-
- Medlem
-
- 81 inlägg
Skrivet 25 september 2009 - 12:52
Cecilia, den September 25, 2009, 20:23, skrev:
Finns det kvar om du startar om datorn och söker med MBAM igen?
I så fall ladda ner ComboFix till Skrivbordet:
http://download.blee...Bs/ComboFix.exe
Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.
Hur? Se http://www.bleepingc...opic114351.html
Kör ComboFix och följ anvisningarna som visas.
Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.
VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.
När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.
Om du får problem med att komma ut på internet:
Kontrollpanelen - Nätverksanslutningar
högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.
Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.
I så fall ladda ner ComboFix till Skrivbordet:
http://download.blee...Bs/ComboFix.exe
Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.
Hur? Se http://www.bleepingc...opic114351.html
Kör ComboFix och följ anvisningarna som visas.
Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.
VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.
När den är färdig så ska en logg komma upp, bifoga den till ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.
Om du får problem med att komma ut på internet:
Kontrollpanelen - Nätverksanslutningar
högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.
Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.
Hej
här kommer loggfilen efter combo fix
ComboFix 09-09-24.01 - pabbi 2009-09-25 13:42.1.1 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.3.1252.46.1053.18.1023.720 [GMT 2:00]
Körs från: c:\documents and settings\pabbi\Skrivbord\ComboFix.exe
AV: AVG Anti-Virus Free *On-access scanning enabled* (Updated) {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))
.
c:\windows\system32\drivers\gasfkyaqgkxvns.sys
c:\windows\system32\gasfkybqbdvvfp.dll
c:\windows\system32\gasfkyomfwdflg.dat
c:\windows\system32\gasfkyqrnlvivx.dat
c:\windows\system32\gasfkyrvgviqrd.dll
c:\windows\system32\gasfkysfvxfmkh.dll
c:\windows\system32\gasfkyximqipyv.dat
c:\windows\system32\gasfkyxyecbcxl.dll
.
((((((((((((((((((((((((((((((((((((((( Drivrutiner/Tjänster )))))))))))))))))))))))))))))))))))))))))))))))))
.
-------\Service_gasfkyblalktlw
-------\Legacy_gasfkyblalktlw
(((((((((((((((((((((((( Filer Skapade från 2009-08-25 till 2009-09-25 ))))))))))))))))))))))))))))))
.
2009-09-25 10:56 . 2009-09-25 10:56 -------- d-sh--w- c:\windows\system32\config\systemprofile\IETldCache
2009-09-25 10:46 . 2009-09-25 10:46 54016 ----a-w- c:\windows\system32\drivers\wikvad.sys
2009-09-25 10:38 . 2009-09-25 10:38 -------- d-sh--w- c:\documents and settings\LocalService\IETldCache
2009-09-24 14:31 . 2009-09-24 14:31 499712 ----a-w- c:\windows\system32\msvcp71.dll
2009-09-24 14:31 . 2009-09-24 14:31 348160 ----a-w- c:\windows\system32\msvcr71.dll
2009-09-20 16:39 . 2009-09-20 16:39 -------- d-----w- c:\documents and settings\All Users\Application Data\Improving Memory with Four Seasons
2009-09-20 16:38 . 2009-09-20 16:38 -------- d-----w- c:\program\School of Phenomenal Memory
2009-09-17 17:32 . 2009-09-17 17:39 -------- d-----w- c:\documents and settings\pabbi\.jin
2009-09-15 16:30 . 2009-09-15 16:30 -------- d-----w- c:\program\FreshDevices
2009-09-10 14:28 . 2009-06-21 21:48 153088 -c----w- c:\windows\system32\dllcache\triedit.dll
2009-09-07 12:28 . 2005-08-16 10:23 38422 ----a-w- c:\windows\system32\drivers\StMp3Rec.sys
2009-09-07 12:08 . 2009-09-07 12:08 -------- d-----w- c:\program\CCleaner
2009-09-07 12:04 . 2009-09-07 16:07 -------- d-----w- c:\documents and settings\pabbi\Application Data\Creative
2009-09-06 18:03 . 2009-09-18 17:15 -------- d-----w- c:\documents and settings\pabbi\Application Data\dvdcss
2009-09-06 12:33 . 2009-09-06 12:33 -------- d-----w- c:\program\Coollector
2009-09-06 07:52 . 2009-09-06 07:52 -------- d-----w- c:\documents and settings\pabbi\dwhelper
2009-09-05 16:39 . 2008-11-20 19:19 9200 ------w- c:\windows\system32\drivers\cdralw2k.sys
2009-09-05 16:39 . 2008-11-20 19:19 9072 ------w- c:\windows\system32\drivers\cdr4_xp.sys
2009-09-05 16:39 . 2009-09-05 16:39 -------- d-----w- c:\windows\system32\IOSUBSYS
2009-09-05 16:39 . 2009-09-05 16:39 -------- d-----w- c:\program\Google
2009-09-04 14:55 . 2009-09-04 14:55 -------- d-----w- c:\documents and settings\pabbi\Application Data\ACAMPREF
2009-09-04 14:55 . 2009-09-04 14:55 -------- d-----w- c:\program\PDFtoMusic Pro
2009-09-04 14:49 . 2009-09-04 14:49 -------- d-----w- c:\program\Auslogics
2009-09-04 13:41 . 2009-09-24 16:48 -------- d-----w- c:\program\Opera
2009-09-03 08:07 . 2008-09-25 15:35 181120 ----a-w- c:\windows\system32\drivers\ext2fs.sys
2009-09-03 08:07 . 2008-08-28 20:45 51072 ----a-w- c:\windows\system32\drivers\ifsmount.sys
2009-09-03 08:07 . 2008-07-26 21:56 210432 ----a-w- c:\windows\system32\ifsdrives.dll
2009-08-31 14:04 . 2009-08-31 14:04 -------- d-----w- c:\program\Symantec
2009-08-31 13:30 . 2009-08-31 13:30 -------- d-----w- c:\documents and settings\pabbi\Application Data\Ashampoo
2009-08-31 13:29 . 2009-08-31 13:29 -------- d-----w- c:\documents and settings\All Users\Application Data\ashampoo
2009-08-31 13:29 . 2009-08-31 13:31 -------- d-----w- c:\program\Ashampoo
2009-08-31 12:48 . 2009-08-31 12:48 -------- d-----w- c:\program\uTorrent
2009-08-31 12:45 . 2009-08-31 14:22 -------- d-----w- c:\documents and settings\pabbi\Application Data\uTorrent
2009-08-30 10:04 . 2009-09-25 10:03 -------- d-----w- C:\$AVG8.VAULT$
2009-08-30 09:37 . 2009-08-30 09:37 -------- d-sh--w- c:\documents and settings\pabbi\PrivacIE
2009-08-30 09:34 . 2009-08-30 09:34 -------- d-sh--w- c:\documents and settings\pabbi\IETldCache
2009-08-30 09:32 . 2009-08-07 08:48 100352 -c----w- c:\windows\system32\dllcache\iecompat.dll
2009-08-30 09:31 . 2009-09-10 15:12 -------- d-----w- c:\windows\ie8updates
2009-08-30 09:31 . 2009-07-03 17:00 12800 -c----w- c:\windows\system32\dllcache\xpshims.dll
2009-08-30 09:31 . 2009-07-19 16:48 11067392 -c----w- c:\windows\system32\dllcache\ieframe.dll
2009-08-30 09:31 . 2009-07-03 17:00 594432 -c----w- c:\windows\system32\dllcache\msfeeds.dll
2009-08-30 09:31 . 2009-07-03 17:00 55296 -c----w- c:\windows\system32\dllcache\msfeedsbs.dll
2009-08-30 09:31 . 2009-07-03 17:00 1985536 -c----w- c:\windows\system32\dllcache\iertutil.dll
2009-08-30 09:31 . 2009-07-03 17:00 246272 -c----w- c:\windows\system32\dllcache\ieproxy.dll
2009-08-30 09:30 . 2009-08-30 09:31 -------- dc-h--w- c:\windows\ie8
2009-08-30 09:12 . 2009-09-16 11:21 -------- d-----w- C:\My Music
2009-08-30 09:10 . 2009-08-30 09:10 -------- d-----w- c:\program\Delade filer\xing shared
2009-08-30 09:06 . 2008-04-13 18:45 26368 -c--a-w- c:\windows\system32\dllcache\usbstor.sys
2009-08-30 08:20 . 2009-08-30 08:21 -------- d-----w- c:\program\Delade filer\Adobe
2009-08-29 17:10 . 2009-08-29 17:10 -------- d-----w- c:\documents and settings\pabbi\Application Data\Blitware
2009-08-29 16:02 . 2009-09-25 09:15 -------- d-----w- c:\documents and settings\pabbi\Application Data\vlc
2009-08-29 16:01 . 2009-08-29 16:01 -------- d-----w- c:\program\VideoLAN
2009-08-29 15:57 . 2009-08-29 15:57 -------- d-----w- c:\documents and settings\pabbi\Application Data\COWON
2009-08-29 15:57 . 2009-08-29 15:57 -------- d-----w- c:\program\Delade filer\COWON
2009-08-29 15:57 . 2009-09-16 11:25 -------- d-----w- c:\program\JetAudio
2009-08-29 15:56 . 2009-08-29 15:56 -------- d-----w- c:\documents and settings\pabbi\Application Data\InstallShield
2009-08-29 15:11 . 2009-08-29 15:11 -------- d-----w- c:\documents and settings\All Users\Application Data\ChessBase
2009-08-29 14:57 . 2009-08-29 14:57 11952 ----a-w- c:\windows\system32\avgrsstx.dll
2009-08-29 14:57 . 2009-08-29 14:57 108552 ----a-w- c:\windows\system32\drivers\avgtdix.sys
2009-08-29 14:57 . 2009-08-29 14:57 335240 ----a-w- c:\windows\system32\drivers\avgldx86.sys
2009-08-29 14:57 . 2009-08-29 14:57 27784 ----a-w- c:\windows\system32\drivers\avgmfx86.sys
2009-08-29 14:56 . 2009-09-25 09:00 -------- d-----w- c:\windows\system32\drivers\Avg
2009-08-29 14:55 . 2009-08-29 14:55 -------- d-----w- c:\program\AVG
2009-08-29 14:55 . 2009-08-29 14:55 -------- d-----w- c:\documents and settings\All Users\Application Data\avg8
2009-08-29 14:39 . 2009-08-29 14:39 -------- d-----w- c:\documents and settings\pabbi\Application Data\AVG8
2009-08-29 14:38 . 2009-08-29 15:11 -------- d-----w- c:\documents and settings\pabbi\Application Data\ChessBase
2009-08-29 14:38 . 2009-08-29 14:38 -------- d-----w- c:\program\Delade filer\ChessBase
2009-08-29 14:37 . 2009-08-29 14:38 -------- d-----w- c:\program\ChessBase
2009-08-29 14:36 . 2004-08-04 12:00 221184 ----a-w- c:\windows\system32\wmpns.dll
2009-08-29 14:24 . 2009-08-29 14:24 -------- d-----w- c:\windows\system32\sv-se
2009-08-29 14:24 . 2009-08-29 14:24 -------- d-----w- c:\windows\system32\sv
2009-08-29 14:24 . 2009-08-29 14:24 -------- d-----w- c:\windows\system32\bits
2009-08-29 14:24 . 2009-08-29 14:24 -------- d-----w- c:\windows\l2schemas
2009-08-29 14:22 . 2009-08-29 14:22 -------- d-----w- c:\windows\ServicePackFiles
2009-08-29 14:15 . 2009-08-29 14:15 -------- d-----w- c:\windows\EHome
2009-08-29 12:41 . 1999-12-13 07:01 44032 ------w- c:\windows\system32\CTSVCCDA.EXE
2009-08-29 12:41 . 1999-11-18 07:00 25088 ------w- c:\windows\system32\CTSVCCTL.EXE
2009-08-29 12:22 . 2006-10-05 22:17 53248 ------w- c:\windows\Ctregrun.exe
2009-08-29 12:21 . 2009-08-29 12:32 -------- d-----w- c:\documents and settings\All Users\Application Data\Creative
2009-08-29 12:20 . 2009-08-29 12:20 -------- d-----w- c:\program\Delade filer\Creative
2009-08-29 12:20 . 2009-09-07 15:54 -------- d--h--w- c:\program\Creative Installation Information
2009-08-29 12:20 . 2009-09-07 15:53 -------- d-----w- c:\program\Creative
2009-08-29 12:19 . 2009-09-07 15:37 -------- d--h--w- c:\program\InstallShield Installation Information
2009-08-29 12:19 . 2009-08-31 14:03 -------- d-----w- c:\program\Delade filer\InstallShield
2009-08-29 11:59 . 2009-08-29 11:59 -------- d-----w- c:\program\Jin
2009-08-29 11:57 . 2009-08-29 11:55 411368 ----a-w- c:\windows\system32\deploytk.dll
2009-08-29 11:54 . 2009-08-29 11:54 -------- d-----w- c:\program\Java
2009-08-29 11:45 . 2004-08-03 20:29 73216 ------w- c:\windows\system32\drivers\atintuxx.sys
2009-08-29 11:42 . 2009-08-29 11:59 -------- d-----w- c:\documents and settings\pabbi\Application Data\DVD Profiler
2009-08-29 11:41 . 2009-08-29 11:55 -------- d-----w- c:\program\DVD Profiler
2009-08-29 11:40 . 2009-08-29 11:40 -------- d-----w- c:\program\Windows Media Connect 2
2009-08-29 11:39 . 2009-09-20 18:04 -------- d-----w- c:\program\Arena
2009-08-29 11:39 . 2009-08-29 11:39 -------- d-----w- c:\windows\system32\drivers\UMDF
2009-08-29 11:39 . 2009-08-29 11:39 -------- d-----w- c:\windows\system32\LogFiles
2009-08-29 11:29 . 2009-08-29 11:34 -------- d-----w- c:\program\Ekonomi
2009-08-29 11:29 . 1998-06-17 22:00 102912 ----a-w- c:\windows\system32\VB6STKIT.DLL
2009-08-29 11:28 . 2008-08-14 10:04 138496 -c----w- c:\windows\system32\dllcache\afd.sys
2009-08-29 11:28 . 2008-06-20 17:49 247296 -c----w- c:\windows\system32\dllcache\mswsock.dll
2009-08-29 11:28 . 2008-06-20 17:49 147968 -c----w- c:\windows\system32\dllcache\dnsapi.dll
2009-08-29 11:28 . 2008-06-20 11:51 361600 -c----w- c:\windows\system32\dllcache\tcpip.sys
2009-08-29 11:28 . 2008-06-20 11:08 225856 -c----w- c:\windows\system32\dllcache\tcpip6.sys
2009-08-29 11:26 . 2009-08-29 11:26 -------- d-----w- c:\documents and settings\pabbi\Application Data\Malwarebytes
2009-08-29 11:26 . 2009-09-10 12:54 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys
2009-08-29 11:26 . 2009-09-16 11:18 -------- d-----w- c:\program\Malwarebytes' Anti-Malware
2009-08-29 11:26 . 2009-09-10 12:53 19160 ----a-w- c:\windows\system32\drivers\mbam.sys
2009-08-29 11:26 . 2009-08-29 11:26 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes
2009-08-29 11:25 . 2008-06-14 17:36 272128 -c----w- c:\windows\system32\dllcache\bthport.sys
2009-08-29 11:23 . 2008-05-08 14:02 203136 -c----w- c:\windows\system32\dllcache\rmcast.sys
2009-08-29 11:23 . 2008-12-11 10:57 333952 -c----w- c:\windows\system32\dllcache\srv.sys
2009-08-29 11:23 . 2009-07-10 13:31 1315328 -c----w- c:\windows\system32\dllcache\msoe.dll
2009-08-29 11:23 . 2008-04-11 19:06 691712 -c----w- c:\windows\system32\dllcache\inetcomm.dll
2009-08-29 11:23 . 2008-09-04 17:17 1106944 -c----w- c:\windows\system32\dllcache\msxml3.dll
2009-08-29 11:23 . 2008-04-21 21:16 217088 -c----w- c:\windows\system32\dllcache\wordpad.exe
2009-08-29 11:21 . 2009-02-06 10:10 227840 -c----w- c:\windows\system32\dllcache\wmiprvse.exe
2009-08-29 11:21 . 2009-02-09 11:27 2189824 -c----w- c:\windows\system32\dllcache\ntoskrnl.exe
2009-08-29 11:21 . 2009-03-06 14:24 284160 -c----w- c:\windows\system32\dllcache\pdh.dll
2009-08-29 11:21 . 2009-02-09 11:27 110592 -c----w- c:\windows\system32\dllcache\services.exe
2009-08-29 11:21 . 2009-02-09 10:56 401408 -c----w- c:\windows\system32\dllcache\rpcss.dll
2009-08-29 11:21 . 2009-02-09 10:56 473600 -c----w- c:\windows\system32\dllcache\fastprox.dll
2009-08-29 11:21 . 2009-02-09 10:56 681472 -c----w- c:\windows\system32\dllcache\advapi32.dll
2009-08-29 11:21 . 2009-06-25 08:27 730624 -c----w- c:\windows\system32\dllcache\lsasrv.dll
2009-08-29 11:21 . 2009-02-09 10:56 719360 -c----w- c:\windows\system32\dllcache\ntdll.dll
2009-08-29 11:21 . 2009-02-09 10:55 453120 -c----w- c:\windows\system32\dllcache\wmiprvsd.dll
2009-08-29 11:21 . 2009-02-09 11:27 2146304 -c----w- c:\windows\system32\dllcache\ntkrnlmp.exe
2009-08-29 11:21 . 2009-02-09 11:27 2024960 -c----w- c:\windows\system32\dllcache\ntkrpamp.exe
.
(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))
.
2009-09-25 09:15 . 2009-08-29 16:02 -------- d-----w- c:\documents and settings\pabbi\Application Data\vlc
2009-09-24 09:45 . 2004-08-04 12:00 47784 ----a-w- c:\windows\system32\perfc01D.dat
2009-09-24 09:45 . 2004-08-04 12:00 315006 ----a-w- c:\windows\system32\perfh01D.dat
2009-08-05 09:01 . 2004-08-04 12:00 205312 ----a-w- c:\windows\system32\mswebdvd.dll
2009-07-29 04:37 . 2004-08-04 12:00 81920 ----a-w- c:\windows\system32\fontsub.dll
2009-07-29 04:37 . 2004-08-04 12:00 119808 ----a-w- c:\windows\system32\t2embed.dll
2009-07-17 19:04 . 2004-08-04 12:00 58880 ----a-w- c:\windows\system32\atl.dll
2009-07-13 21:43 . 2004-08-04 12:00 286208 ----a-w- c:\windows\system32\wmpdxm.dll
2009-07-03 17:00 . 2004-08-04 12:00 915456 ----a-w- c:\windows\system32\wininet.dll
.
(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Not* Tomma poster & legitima standardposter visas inte.
REGEDIT4
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"MSConfig"="c:\windows\PCHealth\HelpCtr\Binaries\MSConfig.exe" [2008-04-14 170496]
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\avgrsstarter]
2009-08-29 14:57 11952 ----a-w- c:\windows\system32\avgrsstx.dll
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"%windir%\\Network Diagnostic\\xpnetdiag.exe"=
"c:\\Program\\Arena\\Timeseal.exe"=
"c:\\Program\\AVG\\AVG8\\avgemc.exe"=
"c:\\Program\\AVG\\AVG8\\avgupd.exe"=
"c:\\Program\\AVG\\AVG8\\avgnsx.exe"=
"c:\\Program\\Mozilla Firefox\\firefox.exe"=
"c:\\Program\\uTorrent\\uTorrent.exe"=
R1 AvgLdx86;AVG Free AVI Loader Driver x86;c:\windows\system32\drivers\avgldx86.sys [2009-08-29 335240]
R1 AvgTdiX;AVG Free8 Network Redirector;c:\windows\system32\drivers\avgtdix.sys [2009-08-29 108552]
R1 Ext2fs;Ext2fs;c:\windows\system32\drivers\ext2fs.sys [2009-09-03 181120]
R1 IfsMount;IfsMount;c:\windows\system32\drivers\ifsmount.sys [2009-09-03 51072]
R2 avg8emc;AVG Free8 E-mail Scanner;c:\program\AVG\AVG8\avgemc.exe [2009-08-29 908056]
R2 avg8wd;AVG Free8 WatchDog;c:\program\AVG\AVG8\avgwdsvc.exe [2009-08-29 297752]
R2 MBAMService;MBAMService;c:\program\Malwarebytes' Anti-Malware\mbamservice.exe [2009-08-29 269648]
R3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [2009-08-29 19160]
[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]
"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP
.
Innehållet i mappen 'Schemalagda aktiviteter':
.
.
------- Extra genomsökning -------
.
uStart Page = hxxp://www.google.se/
uDefault_Search_URL = hxxp://www.google.com/ie
uSearchURL,(Default) = hxxp://www.google.com/search?q=%s
IE: Add to Google Photos Screensa&ver - c:\windows\system32\GPhotos.scr/200
FF - ProfilePath - c:\documents and settings\pabbi\Application Data\Mozilla\Firefox\Profiles\tgcpeqgd.default\
FF - component: c:\program\AVG\AVG8\Firefox\components\avgssff.dll
FF - component: c:\program\Real\RealPlayer\browserrecord\firefox\ext\components\nprpffbrowserrecordext.dll
FF - plugin: c:\program\Google\Picasa3\npPicasa3.dll
---- FIREFOX POLICY ----
FF - user.js: general.useragent.extra.zencast - Creative ZENcast v2.00.13);user_pref(general.useragent.extra.zencast, c:\program\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");
.
**************************************************************************
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2009-09-25 13:48
Windows 5.1.2600 Service Pack 3 NTFS
scanning hidden processes ...
scanning hidden autostart entries ...
scanning hidden files ...
scan completed successfully
hidden files: 0
**************************************************************************
.
Sluttid: 2009-09-25 13:49
ComboFix-quarantined-files.txt 2009-09-25 11:49
Före genomsökningen: 37 455 028 224 byte ledigt
Efter genomsökningen: 37 984 645 120 byte ledigt
WindowsXP-KB310994-SP2-Home-BootDisk-SVE.exe
[boot loader]
timeout=2
default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Microsoft Windows XP Home Edition" /noexecute=optin /fastdetect
229 --- E O F --- 2009-09-10 15:16
smari57
#7
Cecilia
-
- Hedersmedlem
-
- 3 431 inlägg
Skrivet 25 september 2009 - 13:33
Då ska vi se.
Surfa till http://www.virustotal.com (fungerar bäst med Internet Explorer) klistra in följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här.
c:\windows\system32\drivers\wikvad.sys
Surfa till http://www.virustotal.com (fungerar bäst med Internet Explorer) klistra in följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här.
c:\windows\system32\drivers\wikvad.sys
#8
smari57
-
- Medlem
-
- 81 inlägg
Skrivet 25 september 2009 - 13:41
Cecilia, den September 25, 2009, 21:33, skrev:
Då ska vi se.
Surfa till http://www.virustotal.com (fungerar bäst med Internet Explorer) klistra in följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här.
c:\windows\system32\drivers\wikvad.sys
Surfa till http://www.virustotal.com (fungerar bäst med Internet Explorer) klistra in följande filnamn i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) här.
c:\windows\system32\drivers\wikvad.sys
Hej
är det denna fil du vill ha
a-squared 4.5.0.24 2009.09.17 -
AhnLab-V3 5.0.0.2 2009.09.17 -
AntiVir 7.9.1.19 2009.09.17 -
Antiy-AVL 2.0.3.7 2009.09.17 -
Authentium 5.1.2.4 2009.09.18 -
Avast 4.8.1351.0 2009.09.17 -
AVG 8.5.0.412 2009.09.17 -
BitDefender 7.2 2009.09.18 -
CAT-QuickHeal 10.00 2009.09.17 -
ClamAV 0.94.1 2009.09.17 -
Comodo 2353 2009.09.18 -
DrWeb 5.0.0.12182 2009.09.17 -
eSafe 7.0.17.0 2009.09.17 -
eTrust-Vet 31.6.6744 2009.09.17 -
F-Prot 4.5.1.85 2009.09.18 -
F-Secure 8.0.14470.0 2009.09.17 -
Fortinet 3.120.0.0 2009.09.17 -
GData 19 2009.09.17 -
Ikarus T3.1.1.72.0 2009.09.17 -
Jiangmin 11.0.800 2009.09.17 -
K7AntiVirus 7.10.847 2009.09.17 -
Kaspersky 7.0.0.125 2009.09.18 -
McAfee 5744 2009.09.17 -
McAfee+Artemis 5744 2009.09.17 -
McAfee-GW-Edition 6.8.5 2009.09.17 -
Microsoft 1.5005 2009.09.17 -
NOD32 4435 2009.09.17 -
Norman 6.01.09 2009.09.17 -
nProtect 2009.1.8.0 2009.09.17 -
Panda 10.0.2.2 2009.09.17 -
PCTools 4.4.2.0 2009.09.17 -
Prevx 3.0 2009.09.18 -
Rising 21.47.34.00 2009.09.17 -
Sophos 4.45.0 2009.09.17 -
Sunbelt 3.2.1858.2 2009.09.17 -
Symantec 1.4.4.12 2009.09.18 -
TheHacker 6.3.4.4.404 2009.09.15 -
TrendMicro 8.950.0.1094 2009.09.17 -
VBA32 3.12.10.10 2009.09.17 -
ViRobot 2009.9.17.1941 2009.09.17 -
VirusBuster 4.6.5.0 2009.09.17 -
Övrig information
File size: 54016 bytes
MD5 : e6d35f3aa51a65eb35c1f2340154a25e
SHA1 : aabbd57e20d2e7041f9e7abce6cfd8a53c366537
SHA256: 3da4f51682e7d42c5569f1fb1adc6295182962e36f748219e1d0c8f2389ba516
PEInfo: PE Structure information
( base data )
entrypointaddress.: 0xC505
timedatestamp.....: 0x4A9EE5B5 (Wed Sep 2 23:37:57 2009)
machinetype.......: 0x14C (Intel I386)
( 5 sections )
name viradd virsiz rawdsiz ntrpy md5
.text 0x480 0xBD9F 0xBE00 5.83 9474f39576a0e15bdbaa2ea3355f0a4a
.rdata 0xC280 0x126 0x180 3.78 375b710d9f213cfced30e9fdb29567e1
.data 0xC400 0xC0 0x100 0.33 786971ca2b109729eda604b44d6c72ad
INIT 0xC500 0x3C8 0x400 5.20 eea49a93a73afb6afc178455582133c6
.reloc 0xC900 0x9EC 0xA00 6.62 bddd5a40c508bfc84ec87de5f8e6a5d3
( 1 imports )
> ntoskrnl.exe: ZwWriteFile, RtlUpcaseUnicodeChar, ZwClose, ZwCreateFile, RtlInitUnicodeString, _wcsicmp, ZwQueryValueKey, ZwOpenKey, ZwDeleteKey, swprintf, ZwEnumerateKey, ExFreePoolWithTag, DbgPrint, ExAllocatePool, RtlPrefixUnicodeString, memcpy, RtlDeleteRegistryValue, ZwSetValueKey, RtlWriteRegistryValue, ZwEnumerateValueKey, ZwSetInformationFile, ZwQueryInformationFile, ZwQueryDirectoryFile, ZwOpenFile, KeTickCount, KeBugCheck, MmGetSystemRoutineAddress, ZwFlushKey, PsTerminateSystemThread, KeSetPriorityThread, KeGetCurrentThread, RtlCheckRegistryKey, KeDelayExecutionThread, ZwReadFile, PsCreateSystemThread, PsGetVersion, KeBugCheckEx
( 0 exports )
TrID : File type identification
Clipper DOS Executable (33.3%)
Generic Win/DOS Executable (33.0%)
DOS Executable Generic (33.0%)
VXD Driver (0.5%)
Autodesk FLIC Image File (extensions: flc, fli, cel) (0.1%)
ssdeep: 768:Bosx0q2ph6P2Jpz8ftoSUiJP7hYTCMrhwYKUzY4q:j076P2Jpz8ftBUMPaCMrhwY
PEiD : -
RDS : NSRL Reference Data Set
-
Smari57
#9
Cecilia
-
- Hedersmedlem
-
- 3 431 inlägg
Skrivet 25 september 2009 - 13:52
Det såg ju bra ut i och för sig, men den är totalt okänd när man googlar på den. Den kom in under fm idag, klockan 10:46. Vet du vad du gjorde då? Eller vet du hur och när du fick alla dessa skadliga filer i datorn?
#10
smari57
-
- Medlem
-
- 81 inlägg
Skrivet 25 september 2009 - 14:03
Cecilia, den September 25, 2009, 21:52, skrev:
Det såg ju bra ut i och för sig, men den är totalt okänd när man googlar på den. Den kom in under fm idag, klockan 10:46. Vet du vad du gjorde då? Eller vet du hur och när du fick alla dessa skadliga filer i datorn?
hej
det var någon fil som jag klickade på men nu hittar inte Malwarebytes' Anti-Malware några hot
så jag hoppas att den är ren nu
smari57
#11
Cecilia
-
- Hedersmedlem
-
- 3 431 inlägg
Skrivet 25 september 2009 - 14:10
Jag är i alla fall fundersam på filen. Kan det ha varit kring 10:46 som datorn blev infekterad?
#12
smari57
-
- Medlem
-
- 81 inlägg
Skrivet 25 september 2009 - 14:15
Cecilia, den September 25, 2009, 22:10, skrev:
Jag är i alla fall fundersam på filen. Kan det ha varit kring 10:46 som datorn blev infekterad?
hej
jag vet inte tiden med det var idag som det hände
smari57
#13
Cecilia
-
- Hedersmedlem
-
- 3 431 inlägg
Skrivet 25 september 2009 - 15:15
Okej, kolla om det här visar något. Ladda ner Gmer till C:\ från en av dessa sidor:
http://www.gmer.net/files.php välj Gmer application
http://www.majorgeek...GMER_d5198.html
Packa upp filen till Skrivbordet.
Dra ur internetanslutningen.
Stäng alla program, även antivirusprogram och brandvägg.
Starta programmet gmer.exe.
Om det kommer upp en fråga om "scan" så välj Nej/No. Spara loggen och klistra in i ditt svar. Gör inte mer.
Om frågan inte kommer så välj fliken Rootkit/Malware, kontrollera att allt är förbockat till höger utom Show All. Tryck på Scan. Låt datorn stå ifred medan Gmer håller på.
Tryck på Save och spara resultatet på Skrivbordet.
Sätt igång antivirusprogram och brandvägg innan du ansluter till internet.
Klistra in resultatet i ditt svar.
http://www.gmer.net/files.php välj Gmer application
http://www.majorgeek...GMER_d5198.html
Packa upp filen till Skrivbordet.
Dra ur internetanslutningen.
Stäng alla program, även antivirusprogram och brandvägg.
Starta programmet gmer.exe.
Om det kommer upp en fråga om "scan" så välj Nej/No. Spara loggen och klistra in i ditt svar. Gör inte mer.
Om frågan inte kommer så välj fliken Rootkit/Malware, kontrollera att allt är förbockat till höger utom Show All. Tryck på Scan. Låt datorn stå ifred medan Gmer håller på.
Tryck på Save och spara resultatet på Skrivbordet.
Sätt igång antivirusprogram och brandvägg innan du ansluter till internet.
Klistra in resultatet i ditt svar.
#14
smari57
-
- Medlem
-
- 81 inlägg
Skrivet 26 september 2009 - 16:05
Cecilia, den September 25, 2009, 23:15, skrev:
Okej, kolla om det här visar något. Ladda ner Gmer till C:\ från en av dessa sidor:
http://www.gmer.net/files.php välj Gmer application
http://www.majorgeek...GMER_d5198.html
Packa upp filen till Skrivbordet.
Dra ur internetanslutningen.
Stäng alla program, även antivirusprogram och brandvägg.
Starta programmet gmer.exe.
Om det kommer upp en fråga om "scan" så välj Nej/No. Spara loggen och klistra in i ditt svar. Gör inte mer.
Om frågan inte kommer så välj fliken Rootkit/Malware, kontrollera att allt är förbockat till höger utom Show All. Tryck på Scan. Låt datorn stå ifred medan Gmer håller på.
Tryck på Save och spara resultatet på Skrivbordet.
Sätt igång antivirusprogram och brandvägg innan du ansluter till internet.
Klistra in resultatet i ditt svar.
http://www.gmer.net/files.php välj Gmer application
http://www.majorgeek...GMER_d5198.html
Packa upp filen till Skrivbordet.
Dra ur internetanslutningen.
Stäng alla program, även antivirusprogram och brandvägg.
Starta programmet gmer.exe.
Om det kommer upp en fråga om "scan" så välj Nej/No. Spara loggen och klistra in i ditt svar. Gör inte mer.
Om frågan inte kommer så välj fliken Rootkit/Malware, kontrollera att allt är förbockat till höger utom Show All. Tryck på Scan. Låt datorn stå ifred medan Gmer håller på.
Tryck på Save och spara resultatet på Skrivbordet.
Sätt igång antivirusprogram och brandvägg innan du ansluter till internet.
Klistra in resultatet i ditt svar.
Hej
här kommer loggfil från Gmer
GMER 1.0.15.15087 - http://www.gmer.net
Rootkit quick scan 2009-09-26 17:04:05
Windows 5.1.2600 Service Pack 3
Running: wtjv5mdr.exe; Driver: C:\DOCUME~1\pabbi\LOKALA~1\Temp\fwrirpoc.sys
---- Devices - GMER 1.0.15 ----
AttachedDevice \Driver\Tcpip \Device\Ip avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Tcp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\Udp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
AttachedDevice \Driver\Tcpip \Device\RawIp avgtdix.sys (AVG Network connection watcher/AVG Technologies CZ, s.r.o.)
---- EOF - GMER 1.0.15 ----
smari57
#15
Cecilia
-
- Hedersmedlem
-
- 3 431 inlägg
Skrivet 26 september 2009 - 16:48
Japp, där är det något. Starta Gmer igen och efter snabbskanningen så välj fliken Services. Se om du kan hitta något som heter antingen wtjv5mdr eller fwrirpoc. I så fall högerklicka på det och välj Disable/Inaktivera och därefter starta om datorn. Kör Gmer igen och klistra in loggen.
Spara denna fil på Skrivbordet:
http://download.blee.../Win32kDiag.exe
Kör programmet.
När det är klart så skapas en loggfil Win32kDiag.txt på Skrivbordet. Klistra in den i ditt svar.
Spara denna fil på Skrivbordet:
http://download.blee.../Win32kDiag.exe
Kör programmet.
När det är klart så skapas en loggfil Win32kDiag.txt på Skrivbordet. Klistra in den i ditt svar.
#16
smari57
-
- Medlem
-
- 81 inlägg
Skrivet 26 september 2009 - 17:00
Cecilia, den September 27, 2009, 00:48, skrev:
Japp, där är det något. Starta Gmer igen och efter snabbskanningen så välj fliken Services. Se om du kan hitta något som heter antingen wtjv5mdr eller fwrirpoc. I så fall högerklicka på det och välj Disable/Inaktivera och därefter starta om datorn. Kör Gmer igen och klistra in loggen.
Spara denna fil på Skrivbordet:
http://download.blee.../Win32kDiag.exe
Kör programmet.
När det är klart så skapas en loggfil Win32kDiag.txt på Skrivbordet. Klistra in den i ditt svar.
Spara denna fil på Skrivbordet:
http://download.blee.../Win32kDiag.exe
Kör programmet.
När det är klart så skapas en loggfil Win32kDiag.txt på Skrivbordet. Klistra in den i ditt svar.
hej
hitta ingen filer som heter wtjv5mdr eller fwrirpoc.
Här kommer win32kdiag loggfil
smari57
Running from: C:\Documents and Settings\pabbi\Skrivbord\Win32kDiag.exe
Log file at : C:\Documents and Settings\pabbi\Skrivbord\Win32kDiag.txt
WARNING: Could not get backup privileges!
Searching 'C:\WINDOWS'...
Finished!
#17
Cecilia
-
- Hedersmedlem
-
- 3 431 inlägg
Skrivet 26 september 2009 - 17:32
Har du en XP-skiva med reparationskonsol på?
Uppdatera och kör MBAM. Nu när ComboFix har rensat bort en del så kanske MBAM har lättare att hitta lite mer.
Spara denna fil på Skrivbordet:
http://rootrepeal.go.../RootRepeal.zip
Packa upp zip-filen (extrahera) så att du får en programfil.
Starta RootRepeal.
Välj Report-fliken och tryck på Scan.
Bocka för alla sju valen och tryck sedan på Yes/Ja.
Välj C: och tryck Ok.
Det tar ett tag för RootRepeal att söka igenom C:.
När sökningen är klar så tryck på Save Report och spara den med namnet rootrepeal.log. Klistra in innehållet i rootrepeal.log.
Uppdatera och kör MBAM. Nu när ComboFix har rensat bort en del så kanske MBAM har lättare att hitta lite mer.
Spara denna fil på Skrivbordet:
http://rootrepeal.go.../RootRepeal.zip
Packa upp zip-filen (extrahera) så att du får en programfil.
Starta RootRepeal.
Välj Report-fliken och tryck på Scan.
Bocka för alla sju valen och tryck sedan på Yes/Ja.
Välj C: och tryck Ok.
Det tar ett tag för RootRepeal att söka igenom C:.
När sökningen är klar så tryck på Save Report och spara den med namnet rootrepeal.log. Klistra in innehållet i rootrepeal.log.
#18
smari57
-
- Medlem
-
- 81 inlägg
Skrivet 26 september 2009 - 17:49
Cecilia, den September 27, 2009, 01:32, skrev:
Har du en XP-skiva med reparationskonsol på?
Uppdatera och kör MBAM. Nu när ComboFix har rensat bort en del så kanske MBAM har lättare att hitta lite mer.
Spara denna fil på Skrivbordet:
http://rootrepeal.go.../RootRepeal.zip
Packa upp zip-filen (extrahera) så att du får en programfil.
Starta RootRepeal.
Välj Report-fliken och tryck på Scan.
Bocka för alla sju valen och tryck sedan på Yes/Ja.
Välj C: och tryck Ok.
Det tar ett tag för RootRepeal att söka igenom C:.
När sökningen är klar så tryck på Save Report och spara den med namnet rootrepeal.log. Klistra in innehållet i rootrepeal.log.
Uppdatera och kör MBAM. Nu när ComboFix har rensat bort en del så kanske MBAM har lättare att hitta lite mer.
Spara denna fil på Skrivbordet:
http://rootrepeal.go.../RootRepeal.zip
Packa upp zip-filen (extrahera) så att du får en programfil.
Starta RootRepeal.
Välj Report-fliken och tryck på Scan.
Bocka för alla sju valen och tryck sedan på Yes/Ja.
Välj C: och tryck Ok.
Det tar ett tag för RootRepeal att söka igenom C:.
När sökningen är klar så tryck på Save Report och spara den med namnet rootrepeal.log. Klistra in innehållet i rootrepeal.log.
här kommer rootreapeal log
ROOTREPEAL © AD, 2007-2009
==================================================
Scan Start Time: 2009/09/26 18:46
Program Version: Version 1.3.5.0
Windows Version: Windows XP SP3
==================================================
Drivers
-------------------
Name: dump_atapi.sys
Image Path: C:\WINDOWS\System32\Drivers\dump_atapi.sys
Address: 0xF51F7000 Size: 98304 File Visible: No Signed: -
Status: -
Name: dump_WMILIB.SYS
Image Path: C:\WINDOWS\System32\Drivers\dump_WMILIB.SYS
Address: 0xF7D8B000 Size: 8192 File Visible: No Signed: -
Status: -
Name: rootrepeal.sys
Image Path: C:\WINDOWS\system32\drivers\rootrepeal.sys
Address: 0xF2574000 Size: 49152 File Visible: No Signed: -
Status: -
Hidden/Locked Files
-------------------
Path: C:\hiberfil.sys
Status: Locked to the Windows API!
Path: C:\RootRepeal report 09-26-09 (18-45-46).txt
Status: Visible to the Windows API, but not on disk.
==EOF==
smari57
#19
Cecilia
-
- Hedersmedlem
-
- 3 431 inlägg
Skrivet 26 september 2009 - 18:31
Det ser normalt ut, det är inte troligt att din dator längre är infekterad. Men kolla med MBAM om du inte har gjort det redan efter ComboFix-körningen.
Nu återstår bara en sista städomgång.
1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade. Du gör det genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt.
Systemåterställningsfunktionen slår man av och på här:
XP: Högerklick på Den här datorn - Egenskaper - Systemåterställning
Vista: Högerklick på Datorn - Egenskaper - Avanderade systeminställningar - Systemskydd
Avbocka resp. sätt tillbaks bockar för alla hårddiskar (kom ihåg hur det såg ut innan)
2. Om du har använt något fix-program, t ex ComboFix så ladda ner avinstallationsprogrammet OTC till Skrivbordet.
http://oldtimer.geekstogo.com/OTC.exe
Dubbelklicka på filen för att starta programmet.
Tryck på knappen CleanUp! och de olika fix-program som du har laddat ner kommer att avinstalleras, inkl. detta program, efter en omstart av datorn. Om något fix-program är kvar efter det så fråga hur du ska ta bort det.
3. Ta bort alla tillfälliga filer genom att ladda ner ATF-Cleaner på Skrivbordet:
http://www.atribune..../click.php?id=1
Stäng av alla andra program, särskilt webbläsare.
Dubbelklicka på ATF-Cleaner.exe för att starta programmet.
Bocka i Select All. Tryck på Empty Selected.
Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.
Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.
Tryck på Exit i Main-menyn för att stänga programmet.
Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.
4. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.
http://mnin.blogspot...iggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.
5. Förbättra skyddet i datorn, se mina Råd för en säkrare dator. http://ceblstockholm...epages.com/home
Nu återstår bara en sista städomgång.
1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade. Du gör det genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt.
Systemåterställningsfunktionen slår man av och på här:
XP: Högerklick på Den här datorn - Egenskaper - Systemåterställning
Vista: Högerklick på Datorn - Egenskaper - Avanderade systeminställningar - Systemskydd
Avbocka resp. sätt tillbaks bockar för alla hårddiskar (kom ihåg hur det såg ut innan)
2. Om du har använt något fix-program, t ex ComboFix så ladda ner avinstallationsprogrammet OTC till Skrivbordet.
http://oldtimer.geekstogo.com/OTC.exe
Dubbelklicka på filen för att starta programmet.
Tryck på knappen CleanUp! och de olika fix-program som du har laddat ner kommer att avinstalleras, inkl. detta program, efter en omstart av datorn. Om något fix-program är kvar efter det så fråga hur du ska ta bort det.
3. Ta bort alla tillfälliga filer genom att ladda ner ATF-Cleaner på Skrivbordet:
http://www.atribune..../click.php?id=1
Stäng av alla andra program, särskilt webbläsare.
Dubbelklicka på ATF-Cleaner.exe för att starta programmet.
Bocka i Select All. Tryck på Empty Selected.
Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.
Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.
Tryck på Exit i Main-menyn för att stänga programmet.
Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.
4. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.
http://mnin.blogspot...iggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.
5. Förbättra skyddet i datorn, se mina Råd för en säkrare dator. http://ceblstockholm...epages.com/home
#20
smari57
-
- Medlem
-
- 81 inlägg
Skrivet 26 september 2009 - 18:51
Cecilia, den September 27, 2009, 02:31, skrev:
Det ser normalt ut, det är inte troligt att din dator längre är infekterad. Men kolla med MBAM om du inte har gjort det redan efter ComboFix-körningen.
Nu återstår bara en sista städomgång.
1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade. Du gör det genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt.
Systemåterställningsfunktionen slår man av och på här:
XP: Högerklick på Den här datorn - Egenskaper - Systemåterställning
Vista: Högerklick på Datorn - Egenskaper - Avanderade systeminställningar - Systemskydd
Avbocka resp. sätt tillbaks bockar för alla hårddiskar (kom ihåg hur det såg ut innan)
2. Om du har använt något fix-program, t ex ComboFix så ladda ner avinstallationsprogrammet OTC till Skrivbordet.
http://oldtimer.geekstogo.com/OTC.exe
Dubbelklicka på filen för att starta programmet.
Tryck på knappen CleanUp! och de olika fix-program som du har laddat ner kommer att avinstalleras, inkl. detta program, efter en omstart av datorn. Om något fix-program är kvar efter det så fråga hur du ska ta bort det.
3. Ta bort alla tillfälliga filer genom att ladda ner ATF-Cleaner på Skrivbordet:
http://www.atribune..../click.php?id=1
Stäng av alla andra program, särskilt webbläsare.
Dubbelklicka på ATF-Cleaner.exe för att starta programmet.
Bocka i Select All. Tryck på Empty Selected.
Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.
Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.
Tryck på Exit i Main-menyn för att stänga programmet.
Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.
4. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.
http://mnin.blogspot...iggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.
5. Förbättra skyddet i datorn, se mina Råd för en säkrare dator. http://ceblstockholm...epages.com/home
Nu återstår bara en sista städomgång.
1. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade. Du gör det genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt.
Systemåterställningsfunktionen slår man av och på här:
XP: Högerklick på Den här datorn - Egenskaper - Systemåterställning
Vista: Högerklick på Datorn - Egenskaper - Avanderade systeminställningar - Systemskydd
Avbocka resp. sätt tillbaks bockar för alla hårddiskar (kom ihåg hur det såg ut innan)
2. Om du har använt något fix-program, t ex ComboFix så ladda ner avinstallationsprogrammet OTC till Skrivbordet.
http://oldtimer.geekstogo.com/OTC.exe
Dubbelklicka på filen för att starta programmet.
Tryck på knappen CleanUp! och de olika fix-program som du har laddat ner kommer att avinstalleras, inkl. detta program, efter en omstart av datorn. Om något fix-program är kvar efter det så fråga hur du ska ta bort det.
3. Ta bort alla tillfälliga filer genom att ladda ner ATF-Cleaner på Skrivbordet:
http://www.atribune..../click.php?id=1
Stäng av alla andra program, särskilt webbläsare.
Dubbelklicka på ATF-Cleaner.exe för att starta programmet.
Bocka i Select All. Tryck på Empty Selected.
Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.
Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan.
Tryck på Exit i Main-menyn för att stänga programmet.
Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat.
4. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer.
http://mnin.blogspot...iggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc.
5. Förbättra skyddet i datorn, se mina Råd för en säkrare dator. http://ceblstockholm...epages.com/home
Hej
då är datorn ren nu och jag tackar för all hjälp som jag har fått av er
den har varit bra och snabb
smari57
