25 svar i den här tråden

[margrehte]

Har försökt hjälpa en vän med att rensa bort system tool 2011,förra veckan körde vi onlinechan,som inte visade nåt och därefter raderade han system tool från skrivbord och meny.I dag installerade han malwaresbyte och den hittade  "Rogue.Multipie", googlade och den hörde till system tool,han gjorde omstart till felsäkert läge och körde malwarebytes igen som då inte hittade något.Systemåterställning i samma läge till innan system tool kom in i datorn,    tillbaka i normalläge så raderade han alla systemåterställningspunkter.Nyss kom system tool 2011 tillbaka på skrivbord och meny, han fixar tyvärr inte varken era mer avancerade rensningsåtgärder eller ominstallation.FRÅGA:          Vid googling så fanns det mer en ett förslag på att registrera system tool 2011 för att därefter kunna sanera det ? på youtube finns instruktionfilm angående detta,någon som vet ?...FRÅGA:Är det risk för att han kan sprida smitta till andra datorer typ mejl/messenger ?

[Cecilia]

1.
Inte sannolikt att det är något som skickar mejl eller MSN-länkar. En dator blir ju inte heller smittad bara för att det dyker upp länkar i MSN-konversationer utan det kan ju inträffa först när någon klickar på länken.

2.
Infektionen kom nog tillbaka därför att han inte har rensat bort allt och/eller fortfarande har program med säkerhetshål i datorn och återigen besökte en skadlig webbsida.

3.
Det här är en bra anvisning: http://www.bleepingc...ove-system-tool
Även om man inte är så datorkunnig och har svensk Windows så bör man kunna följa de olika punkterna med telefon/MSN-hjälp från dig. Eller en anvisning på svenska från mig. Jag kan vara mycket tydlig med exakt vad som ska klickas på om det behövs.

RKill i punkt 8-9 behövs bara om det är problem att köra MBAM direkt. Eftersom MBAM redan är installerad behöver det förstås inte installeras om, dvs punkt 10-13 kan man hoppa över.

4.
Om han inte kan rensa med hjälp av anvisningar eller installera om datorn, kan datorn inte vara ansluten till internet innan någondera är gjort av någon annan.

[margrehte]

Tack för snabbt svar Cecilia.Jag har nyss mejlat han att köra datorn så långt det går och sen lämna in datorn för inre rengöring (ngr ton grus pga vägarbete utanför)och ominstallation,han använder bara dator`n för att surfa.Jag vägleder han telefonledes och gör samma som han dvs laddar ner program och kör,det är svårt hitta vart man skall klicka och var man skall bocka i/ur,grubblat/grubblar på om det är någon idè fortsätta då system tool 2011 kommit ner i roten.Så han bör redan stänga ner datorn nu och inte surfa mer om jag förstått dej rätt ?

[margrehte]

Min vän vill fortsätta att få bort system tool 2011,har fått han att stänga ner dator och när han kommer från jobbet fortsätter vi,full skanning igen med malwarebytes i felsäkert läge och in i regedit och msconfig för att radera manuellt.Jag undrar vilket program vi bör köra när dator är normalstartad igen,Hitman pro eller vad ? du tipsade mej om att spara logg från hi-jack och jag har hans gamla logg här hos mej så jag låter han mejla ny logg till mej, kommer inte ihåg hur jag gjorde för att kopiera loggen och posta här (minns bara att jag hade bekymmer med det)tacksam om någon talar om hur ?

[Cecilia]

En infekterad dator ska inte användas till något annat än rensning.

Om du tycker det är svårt att veta vad som ska klickas på eller bockas för så fråga, gör inget utan att veta att det är precis det du ska göra.

Du (och han) ska inte gå in i regedit och msconfig. Det finns ingen anledning till det. Du ska följa guiden jag länkade till eller mina svar på dina frågor och inget annat eftersom det kan leda till stora problem.

HijackThis-loggar är jag inte intresserad av eftersom de inte visar tillräckligt mycket. Det som kan vara intressant är loggar från DDS.
Spara DDS på Skrivbordet.
http://download.blee...om/sUBs/dds.scr

Starta programmet genom att dubbelklicka på det.
Tryck Yes/Ja om frågan om Optional Scan dyker upp.
I ditt svar klistrar du in loggen DSS.txt (kopiera allt som visas i Anteckningar och kopiera, sedan klistra in i ditt svar). Medan du bifogar Attach.txt som en fil (Klicka på "Växla till full redigering" om du inte ser hur man bifogar filer).

[beacon]

Hej, jag heter Kent Åsberg och fick 'system tool' på nyårsdagen - är just i avslutningen av borttagandet. Jag började med att köra i felsäkert läge - nätverk, där slapp jag åtminstone att se eländet poppa upp. Sedan tog jag kontakt med en amerikansk programmerarkollega från 90-talet, som själv tagit bort detta malware ett par gånger ur datorer, som lämnats till honom. Han hänvisade till en site med samma användarinterface som alltomwindows: www.bleepingcomputer.com
Där har jag kontakt med teacup61 (jag betecknar henne i tankarna som en CSA (Cyber Space Angel))
Gå in där och registrera Dig och följ anvisningarna för att ta bort malware!
mitt medlemsnamn där är beablanche.

Good luck
beacon

Det här inlägget har redigerats av beacon: 26 januari 2011 - 17:58

[margrehte]

UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT

DDS (Ver_10-12-12.02)

Microsoft® Windows Vista™ Home Basic
Boot Device: \Device\HarddiskVolume2
Install Date: 2010-02-22 06:27:48
System Uptime: 2011-01-26 16:30:39 (1 hours ago)

Motherboard: ACER |  | MCP73VE
Processor: Intel® Celeron® CPU        E1400  @ 2.00GHz | SOCKET775 M/B | 2003/200mhz

==== Disk Partitions =========================

C: is FIXED (NTFS) - 144 GiB total, 124,171 GiB free.
D: is FIXED (NTFS) - 72 GiB total, 71,979 GiB free.
E: is CDROM ()
F: is Removable
G: is Removable
H: is Removable
I: is Removable

==== Disabled Device Manager Items =============

Class GUID: {4d36e96f-e325-11ce-bfc1-08002be10318}
Description: Microsoft PS/2 Mouse
Device ID: ACPI\PNP0F03\4&8CB234F&0
Manufacturer: Microsoft
Name: Microsoft PS/2 Mouse
PNP Device ID: ACPI\PNP0F03\4&8CB234F&0
Service: i8042prt

==== System Restore Points ===================

No restore point in system.

==== Installed Programs ======================

ActiveX-kontroll för fjärranslutningar för Windows Live Mesh
Adobe Flash Player 10 ActiveX
Adobe Shockwave Player 11.5
ArcSoft VideoImpression 2
C Dictionary
CCleaner
COMODO Internet Security
D3DX10
Google Toolbar for Internet Explorer
Google Update Helper
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)
Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)
Java Auto Updater
Java™ 6 Update 23
Junk Mail filter update
king.com (remove only)
Lexmark 2600 Series
LightScribe  1.4.142.1
Mesh Runtime
Messenger Companion
Microsoft .NET Framework 3.5 Language Pack SP1 - sve
Microsoft .NET Framework 3.5 SP1
Microsoft .NET Framework 4 Client Profile
Microsoft .NET Framework 4 Client Profile Language Pack - SVE
Microsoft .NET Framework 4 Client Profile SVE Language Pack
Microsoft Application Error Reporting
Microsoft Default Manager
Microsoft Office Excel MUI (Swedish) 2007
Microsoft Office OneNote MUI (Swedish) 2007
Microsoft Office PowerPoint MUI (Swedish) 2007
Microsoft Office Proof (English) 2007
Microsoft Office Proof (Finnish) 2007
Microsoft Office Proof (German) 2007
Microsoft Office Proof (Swedish) 2007
Microsoft Office Proofing (Swedish) 2007
Microsoft Office Shared MUI (Swedish) 2007
Microsoft Office Word MUI (Swedish) 2007
Microsoft Search Enhancement Pack
Microsoft Silverlight
Microsoft SQL Server 2005 Compact Edition [ENU]
MSVCRT
NVIDIA Drivers
NVIDIA Stereoscopic 3D Driver
Realtek High Definition Audio Driver
Security Update for Microsoft .NET Framework 3.5 SP1 (KB2416473)
Segoe UI
SPEEDLINK SL-6825 Snappy Webcam
Språkpaket för Microsoft .NET Framework 3.5 SP 1 - sve
Update for Microsoft .NET Framework 3.5 SP1 (KB963707)
Windows Live Communications Platform
Windows Live Essentials
Windows Live Family Safety
Windows Live ID Sign-in Assistant
Windows Live Installer
Windows Live Mail
Windows Live Mesh
Windows Live Messenger
Windows Live Messenger Companion Core
Windows Live MIME IFilter
Windows Live Movie Maker
Windows Live OneCare safety scanner
Windows Live Photo Common
Windows Live Photo Gallery
Windows Live PIMT Platform
Windows Live Remote Client
Windows Live Remote Client Resources
Windows Live Remote Service
Windows Live Remote Service Resources
Windows Live SOXE
Windows Live SOXE Definitions
Windows Live UX Platform
Windows Live UX Platform Language Pack
Windows Live Writer
Windows Live Writer Resources
WOT för Internet Explorer

==== End Of File ===========================

[Cecilia]

Det var Attach.txt det. Hur går det med DDS.txt?

[margrehte]

DDS (Ver_10-12-12.02) - NTFSx86  
Run by gull at 17:20:11,60 on 2011-01-26
Internet Explorer: 8.0.6001.18999
Microsoft® Windows Vista™ Home Basic   6.0.6002.2.1252.46.1053.18.2815.1945 [GMT 1:00]

AV: COMODO Antivirus *Enabled/Updated* {675CEE69-9702-A524-3989-6D7CC8BF3695}
SP: COMODO Defense+ *Enabled/Updated* {DC3D0F8D-B138-AAAA-0339-560EB3387C28}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
FW: COMODO Firewall *Enabled* {5F676F4C-DD6D-A47C-12D6-C449366C71EE}

============== Running Processes ===============

C:\Windows\system32\wininit.exe
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Windows\system32\svchost.exe -k rpcss
C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k GPSvcGroup
C:\Windows\system32\SLsvc.exe
C:\Windows\system32\svchost.exe -k LocalService
C:\Windows\system32\nvvsvc.exe
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Windows\system32\taskeng.exe
C:\Windows\RtHDVCpl.exe
C:\Windows\System32\nvraidservice.exe
C:\Program Files\COMODO\COMODO Internet Security\cfp.exe
C:\Windows\PixArt\PAC7302\Monitor.exe
C:\Program Files\Lexmark 2600 Series\lxdnmon.exe
C:\Program Files\Lexmark 2600 Series\ezprint.exe
C:\Program Files\Common Files\Java\Java Update\jusched.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Windows\system32\lxdncoms.exe
C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted
C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe
C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Windows\System32\svchost.exe -k WerSvcGroup
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe
C:\Windows\system32\WUDFHost.exe
C:\Windows\System32\mobsync.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\wbem\unsecapp.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Users\gull\Downloads\dds.scr
C:\Windows\system32\conime.exe
C:\Windows\system32\wbem\wmiprvse.exe

============== Pseudo HJT Report ===============

uSearch Bar = Preserve
uStart Page = about:blank
mStart Page = hxxp://sv.intl.acer.yahoo.com
mDefault_Page_URL = hxxp://sv.intl.acer.yahoo.com
BHO: {02478D38-C3F9-4efb-9B51-7695ECA05670} - No File
BHO: Search Helper: {6ebf7485-159f-4bff-a14f-b9e3aac4465b} - c:\program files\microsoft\search enhancement pack\search helper\SEPsearchhelperie.dll
BHO: {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - No File
BHO: Windows Live ID Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Windows Live Messenger Companion Helper: {9fdde16b-836f-4806-ab1f-1455cbeff289} - c:\program files\windows live\companion\companioncore.dll
BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\program files\google\google toolbar\GoogleToolbar_32.dll
BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\program files\google\googletoolbarnotifier\5.6.5805.1910\swg.dll
BHO: WOT Helper: {c920e44a-7f78-4e64-bdd7-a57026e7feb7} - c:\program files\wot\WOT.dll
BHO: Java™ Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll
TB: WOT: {71576546-354d-41c9-aae8-31f2ec22bf0d} - c:\program files\wot\WOT.dll
TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program files\google\google toolbar\GoogleToolbar_32.dll
TB: {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No File
TB: {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File
TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File
uRun: [msnmsgr] "c:\program files\windows live\messenger\msnmsgr.exe" /background
uRun: [WMPNSCFG] c:\program files\windows media player\WMPNSCFG.exe
mRun: [RtHDVCpl] RtHDVCpl.exe
mRun: [NVRaidService] c:\windows\system32\nvraidservice.exe
mRun: [COMODO Internet Security] "c:\program files\comodo\comodo internet security\cfp.exe" -h
mRun: [PAC7302_Monitor] c:\windows\pixart\pac7302\Monitor.exe
mRun: [Microsoft Default Manager] "c:\program files\microsoft\search enhancement pack\default manager\DefMgr.exe" -resume
mRun: [lxdnmon.exe] "c:\program files\lexmark 2600 series\lxdnmon.exe"
mRun: [EzPrint] "c:\program files\lexmark 2600 series\ezprint.exe"
mRun: [SunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"
mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)
mPolicies-system: EnableUIADesktopToggle = 0 (0x0)
IE: Google Sidewiki... - c:\program files\google\google toolbar\component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html
IE: {0000036B-C524-4050-81A0-243669A86B9F} - {B63DBA5F-523F-4B9C-A43D-65DF1977EAD3} - c:\program files\windows live\companion\companioncore.dll
IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - c:\program files\windows live\writer\WriterBrowserExtension.dll
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C}
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503}
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab
DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab
Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - c:\program files\windows live\photo gallery\AlbumDownloadProtocolHandler.dll
Handler: wot - {C2A44D6B-CB9F-4663-88A6-DF2F26E4D952} - c:\program files\wot\WOT.dll
AppInit_DLLs:    c:\windows\system32\guard32.dll

============= SERVICES / DRIVERS ===============

R1 cmderd;COMODO Internet Security Eradication Driver;c:\windows\system32\drivers\cmderd.sys [2010-3-3 17256]
R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [2010-3-23 236600]
R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [2010-3-3 34744]
R2 lxdn_device;lxdn_device;c:\windows\system32\lxdncoms.exe -service --> c:\windows\system32\lxdncoms.exe -service [?]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\nvidia corporation\3d vision\nvSCPAPISvr.exe [2009-7-14 239648]
R3 FontCache;Windows Font Cache Service;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [2008-1-21 21504]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 gupdate;Tjänsten Google Update (gupdate);c:\program files\google\update\GoogleUpdate.exe [2010-10-13 136176]
S3 CPen20;CPen20;c:\windows\system32\drivers\CPen20.sys [2008-6-3 18536]
S3 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr.sys [2010-12-26 39272]
S3 fsssvc;Windows Live Family Safety Service;c:\program files\windows live\family safety\fsssvc.exe [2010-9-23 1493352]
S3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2008-4-25 30752]
S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]
S4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\windows live\mesh\wlcrasvc.exe [2010-9-22 51040]

=============== Created Last 30 ================

2011-01-26 10:15:20 -------- d-----w- c:\users\gull\appdata\local\{088F262F-7C01-46F5-9C61-90CA5E89A04D}
2011-01-25 21:15:10 -------- d-----w- c:\users\gull\appdata\local\{E9D5E49B-BA58-4EA7-BC1B-9C9D0CEC50FB}
2011-01-25 19:49:13 -------- d-----w- c:\users\gull\appdata\roaming\Malwarebytes
2011-01-25 19:49:03 -------- d-----w- c:\progra~2\Malwarebytes
2011-01-25 19:49:00 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware
2011-01-25 10:19:01 -------- d-----w- c:\users\gull\appdata\local\{C4659B3C-20DC-43FE-926A-4E793618DFBA}
2011-01-24 22:18:50 -------- d-----w- c:\users\gull\appdata\local\{3D05F935-E25E-4D7B-A854-3076087A0ACB}
2011-01-24 10:18:39 -------- d-----w- c:\users\gull\appdata\local\{14DB39E7-66E9-470B-B84A-29F9DE063E47}
2011-01-23 18:45:41 -------- d-----w- c:\users\gull\appdata\local\{7B45E7F1-B6A5-4ADE-AA2C-29928C0FB57E}
2011-01-23 06:45:30 -------- d-----w- c:\users\gull\appdata\local\{232AC0DE-F3EB-4252-BCB2-B5349C2D01A0}
2011-01-22 18:45:19 -------- d-----w- c:\users\gull\appdata\local\{33D7BD43-F8F1-4492-B3D2-142AE99B2F7D}
2011-01-22 06:45:08 -------- d-----w- c:\users\gull\appdata\local\{FB06C890-E44E-462A-8963-EBCA9F593920}
2011-01-21 18:44:57 -------- d-----w- c:\users\gull\appdata\local\{41A60AAD-CF77-4DF7-B603-5515C6323A84}
2011-01-21 06:44:46 -------- d-----w- c:\users\gull\appdata\local\{6B402017-4071-48E2-8185-339B0AFFC40B}
2011-01-20 18:44:35 -------- d-----w- c:\users\gull\appdata\local\{7D487430-E416-429B-890D-8D9ABA04700E}
2011-01-20 06:44:11 -------- d-----w- c:\users\gull\appdata\local\{35EEDD00-4AB2-444C-A360-58CE2D5C7CE3}
2011-01-19 18:43:59 -------- d-----w- c:\users\gull\appdata\local\{82213DBB-3732-4512-83C9-13B13C862AA6}
2011-01-19 06:43:36 -------- d-----w- c:\users\gull\appdata\local\{DC14AEE9-9108-4B56-B4D0-0558CF91B118}
2011-01-18 18:43:25 -------- d-----w- c:\users\gull\appdata\local\{66F43BAC-B13C-4419-90E1-521BB05CE2B7}
2011-01-18 06:43:14 -------- d-----w- c:\users\gull\appdata\local\{4A44869E-7E2A-4921-B6F0-4E08ABC73D2B}
2011-01-17 18:43:02 -------- d-----w- c:\users\gull\appdata\local\{85FE9D9F-2805-402C-A369-C5FEEBCFD535}
2011-01-17 16:29:40 -------- d-----w- c:\progra~2\nKhOk01831
2011-01-17 06:42:39 -------- d-----w- c:\users\gull\appdata\local\{6AA6BC34-995A-4FC3-9E0E-F645DFC1177C}
2011-01-16 18:42:27 -------- d-----w- c:\users\gull\appdata\local\{FC4393AC-F988-4909-B4F5-FE271374FF94}
2011-01-16 06:42:16 -------- d-----w- c:\users\gull\appdata\local\{D441AFFE-53AD-4089-92F4-12F014613D77}
2011-01-15 18:42:05 -------- d-----w- c:\users\gull\appdata\local\{47AA1B79-5E0A-4262-A86B-3FBEFDF2DC42}
2011-01-15 06:41:54 -------- d-----w- c:\users\gull\appdata\local\{F9958B32-7B8B-4129-A064-214B3477B3CE}
2011-01-14 18:41:43 -------- d-----w- c:\users\gull\appdata\local\{87559F91-BB54-4877-9E4E-486355777D45}
2011-01-14 06:41:32 -------- d-----w- c:\users\gull\appdata\local\{4DBE41FA-44CF-4688-BA51-25A0B8D73677}
2011-01-13 18:41:21 -------- d-----w- c:\users\gull\appdata\local\{143199EF-67F9-4355-9F9F-F81C68F5606D}
2011-01-13 06:40:57 -------- d-----w- c:\users\gull\appdata\local\{84DE8675-5214-4CDA-9868-6B31C3C929A9}
2011-01-12 18:40:32 -------- d-----w- c:\users\gull\appdata\local\{63C3EAF9-C50F-43BF-A6DC-5A8A273738F1}
2011-01-12 06:40:08 -------- d-----w- c:\users\gull\appdata\local\{77DBC16E-CFD7-41C1-83A2-DF110353008A}
2011-01-11 18:39:45 -------- d-----w- c:\users\gull\appdata\local\{E377F217-5154-4A08-8095-220AC1E65A75}
2011-01-11 18:16:41 413696 ----a-w- c:\windows\system32\odbc32.dll
2011-01-11 18:16:40 708608 ----a-w- c:\program files\common files\system\ado\msado15.dll
2011-01-11 18:16:39 253952 ----a-w- c:\program files\common files\system\ado\msadox.dll
2011-01-11 18:16:39 241664 ----a-w- c:\program files\common files\system\ado\msadomd.dll
2011-01-11 18:16:39 180224 ----a-w- c:\program files\common files\system\msadc\msadco.dll
2011-01-11 18:16:38 57344 ----a-w- c:\program files\common files\system\msadc\msadcs.dll
2011-01-11 18:16:35 1169408 ----a-w- c:\windows\system32\sdclt.exe
2011-01-11 06:39:33 -------- d-----w- c:\users\gull\appdata\local\{445D0E00-5E0C-4E19-97D3-A7A6E39B2DBB}
2011-01-10 18:39:22 -------- d-----w- c:\users\gull\appdata\local\{1A47F146-B1D1-4415-8196-DE0ABE5F2C81}
2011-01-10 06:39:11 -------- d-----w- c:\users\gull\appdata\local\{BF09281D-23C0-4AF6-8195-DCD732311621}
2011-01-09 18:39:00 -------- d-----w- c:\users\gull\appdata\local\{36545BA0-1BD1-48AB-A49E-81705FF35882}
2011-01-09 06:38:49 -------- d-----w- c:\users\gull\appdata\local\{0A877D3D-A57E-48FC-BE64-11C31005D8FF}
2011-01-08 18:38:38 -------- d-----w- c:\users\gull\appdata\local\{3A407465-A8FB-48DC-A1E1-E8BF6B340906}
2011-01-08 06:38:14 -------- d-----w- c:\users\gull\appdata\local\{935B042C-1D0D-4646-89C5-65C19BF61699}
2011-01-07 18:37:50 -------- d-----w- c:\users\gull\appdata\local\{08CC0EA2-28CD-4A7D-A7BA-F3FCF00B5E1D}
2011-01-07 06:37:39 -------- d-----w- c:\users\gull\appdata\local\{10DA636E-125A-4782-998F-B4217EFB5460}
2011-01-06 18:37:28 -------- d-----w- c:\users\gull\appdata\local\{12318795-0799-433B-B30D-CDAC8CC61823}
2011-01-06 06:37:18 -------- d-----w- c:\users\gull\appdata\local\{382F9663-EFD6-4FC5-A7CC-9F8167A1317F}
2011-01-05 18:37:06 -------- d-----w- c:\users\gull\appdata\local\{21A9476A-EC64-4081-BE0E-960B2E53749C}
2011-01-05 06:36:56 -------- d-----w- c:\users\gull\appdata\local\{4F355386-17E0-4653-87B7-AF1DB5917FD4}
2011-01-04 18:36:45 -------- d-----w- c:\users\gull\appdata\local\{7A73E8D8-C8BB-487F-9CB3-9A5EC7F4F965}
2011-01-04 06:36:34 -------- d-----w- c:\users\gull\appdata\local\{0C4E9DF2-4467-4B18-B09B-392A3AC598D9}
2011-01-03 18:36:23 -------- d-----w- c:\users\gull\appdata\local\{E2E7FCC2-B28E-4AA3-8F51-0B8A147826B0}
2011-01-03 06:36:12 -------- d-----w- c:\users\gull\appdata\local\{AA251625-86B8-4A03-8336-4A016C6F8F41}
2011-01-02 18:36:00 -------- d-----w- c:\users\gull\appdata\local\{C23933C1-FF42-4749-B87D-47AD3B13005D}
2011-01-02 06:35:50 -------- d-----w- c:\users\gull\appdata\local\{7C4AB501-3281-4AA4-B717-BC1063D7B63C}
2011-01-01 18:35:39 -------- d-----w- c:\users\gull\appdata\local\{818E4D6B-BB66-4860-8D98-A4D42251A19C}
2011-01-01 06:35:28 -------- d-----w- c:\users\gull\appdata\local\{3CBF30E7-10FA-4B0A-8A5C-23B74128287D}
2010-12-29 06:33:19 -------- d-----w- c:\users\gull\appdata\local\{D96E3595-B467-44EE-8877-5012925CB7A2}

==================== Find3M  ====================

2011-01-12 10:30:51 285480 ----a-w- c:\windows\system32\guard32.dll
2010-11-12 17:53:06 472808 ----a-w- c:\windows\system32\deployJava1.dll
2010-11-10 01:54:18 49016 ----a-w- c:\windows\system32\sirenacm.dll
2010-11-10 01:28:46 301936 ----a-w- c:\windows\WLXPGSS.SCR
2010-11-04 18:56:07 345600 ----a-w- c:\windows\system32\wmicmiplugin.dll
2010-11-04 18:55:38 352768 ----a-w- c:\windows\system32\taskschd.dll
2010-11-04 18:55:38 270336 ----a-w- c:\windows\system32\taskcomp.dll
2010-11-04 18:55:12 601600 ----a-w- c:\windows\system32\schedsvc.dll
2010-11-04 16:34:06 171520 ----a-w- c:\windows\system32\taskeng.exe
2010-11-02 06:01:54 916480 ----a-w- c:\windows\system32\wininet.dll
2010-11-02 05:57:41 43520 ----a-w- c:\windows\system32\licmgr10.dll
2010-11-02 05:57:27 1469440 ----a-w- c:\windows\system32\inetcpl.cpl
2010-11-02 05:57:11 71680 ----a-w- c:\windows\system32\iesetup.dll
2010-11-02 05:57:11 109056 ----a-w- c:\windows\system32\iesysprep.dll
2010-11-02 05:01:31 385024 ----a-w- c:\windows\system32\html.iec
2010-11-02 04:26:10 133632 ----a-w- c:\windows\system32\ieUnatt.exe
2010-11-02 04:24:44 1638912 ----a-w- c:\windows\system32\mshtml.tlb

============= FINISH: 17:22:23,76 ===============

[Cecilia]

Har MBAM körts efter den andra infektionsomgången? I så fall vill jag gärna se loggen från den körningen?
Har ni utfört de andra stegen i Bleeping Computers guide?

[margrehte]

Jag ringde han men datorn var avstängd och får vara det tills i morgon eftermiddag,något tragiskt hänt malwarebytes tydligen för vi hittade bara ett spår efter den,får installera ny imorgon och då posta logg hit.Har problem eftersom texten på Bleeping är på engelska,jag skall konsultera google imorgon.Ingen ikon för System Tool 2011 dök upp på skrivbordet vid start.Jättetack för att du hjälper oss Cecilia.

Det här inlägget har redigerats av margrehte: 26 januari 2011 - 19:04

[Cecilia]

Det syntes inte till några spår av System Tool i loggen så det är ju möjligt att det räckte med den körningen av MBAM och skyddet i Comodo. När det gäller språket kan du få det på svenska av mig. Det som återstår från guiden är följande:

Spara filen http://download.blee.../hosts-perm.bat på Skrivbordet.
Högerklicka på filen hosts-perm.bat och välj "Kör som administratör" för att starta den.
Om det kommer upp en fråga om du verkligen vill köra den så tillåt det.

På sidan http://support.microsoft.com/kb/972034 klickar du på den stora knappen "Fix it".

Fråga mig om det är något du inte förstår fullt ut.

[margrehte]

Det gick bra med hostsfilen.Comodo hittade 2 trojan i c:/program data trojan.windows 32 och tog bort.Ny loggfil från antimalware eller vad ?

[Cecilia]

Går det att få fram en komplett logg med vad Comodo hittade, dvs där det framgår vilka filer som var infekterade?

MBAM är förstås bra att köra. Loggen behöver bara klistras in om MBAM hittar något.

Skanna datorn online på http://www.eset.com/onlinescan/
För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

Avbocka alternativet Remove found threats
Bocka för Scan Archives

Klicka på Advanced Settings
Bocka för:
Scan for potentially unwanted applications
Scan for potentially unsafe applications
Enable Anti-Stealth Technology

Klicka på Scan

När skanningen är klar skapas loggfilen C:\Program\Eset\Eset Online Scanner\log.txt. Öppna den i Anteckningar och klistra sedan in innehållet i ditt svar.

[margrehte]

Jag körde onlinescanningen på min dator med och loggen fanns där den skulle men inte för han utan det kom upp en ruta om att programmet inte installerats korrekt och ingen logg fanns,scanningen visade dock på att inget skadligt fanns i hans dator.Imorgon laddar vi ner antimalwarebytes igen och kör.

[Cecilia]

Huvudsaken att inget hittades.

Är MBAM avinstallerat? Det var väl onödigt, det är ju ett bra program att ha.

[margrehte]

Malwarebytes' Anti-Malware 1.50.1.1100
www.malwarebytes.org

Databasversion: 5630

Windows 6.0.6002 Service Pack 2
Internet Explorer 8.0.6001.18999

2011-01-28 17:52:21
mbam-log-2011-01-28 (17-52-21).txt

Skanningstyp: Fullständig skanning (C:\|D:\|)
Antal skannade objekt: 214072
Förfluten tid: 30 minut(er), 11 sekund(er)

Infekterade minnesprocesser: 0
Infekterade minnesmoduler: 0
Infekterade registernycklar: 0
Infekterade registervärden: 0
Infekterade registerdataposter: 0
Infekterade mappar: 0
Infekterade filer: 0

Infekterade minnesprocesser:
(Inga illasinnade poster hittades)

Infekterade minnesmoduler:
(Inga illasinnade poster hittades)

Infekterade registernycklar:
(Inga illasinnade poster hittades)

Infekterade registervärden:
(Inga illasinnade poster hittades)

Infekterade registerdataposter:
(Inga illasinnade poster hittades)

Infekterade mappar:
(Inga illasinnade poster hittades)

Infekterade filer:
(Inga illasinnade poster hittades)

[Cecilia]

Det ser ju bra ut. Fungerar datorn bra?

Låt Secunias Software Inspector kolla upp datorn och fixa de problem med gamla programversioner som den rapporterar.

[margrehte]

Dator`n funkar bra, knepigt med system tool 2011 för man tror att allt är borta och sen dyker den upp igen,har läst att det är samma för många andra som fått det.Skall få han installera Secunia.Vi bockar niger och tackar för din hjälp Cecilia.

[johnny]

Hej!
En fråga: om man kör recovery cd efter att ha blivit drabbad av "system tool",
så finns väl inget kvar av den?
(hoppas det är ok att jag "kidnappar" tråden lite).

mvh johnny