margrehte

Jag går alltid till "www.google.se" och där kan man välja knappen "jag har tur"..dom 2 sista raderna fattades väl på hostsfilen ? .var säker på att notpad.exe inte fanns igår eller idag förmiddag så öppnade notpad .exe och såg att den installerats kl 13 och det enda jag gjorde strax innan var att klicka på update "välj att även installera uppdateringar från microsoft" gick då till installerade uppdateringar" och det var språkpaket för microsoft.net framework + hotfix för microsoft, så avinstallerade 1 men 2:an var låst så gick till "program och funktioner" och avinstallerade där, rasslade i burken som om det var en hel ormgrupp vilket det inte brukar vid avinstallationer, tillbaka på update finns "språkpaket för microsoft" men syns inte i installerade uppdateringar.glömt kolla loggboken om varning så gör det nu.Tack för all hjälp och hoppas du orkar en stund till.m

Hjälp igen, gjorde googlesökning på notpad.exe och tryckte på "jag har tur" och kom på sida som säger trojan och hur den kan tas bort. snälla malou kan du titta på den sidan ? jag går och sätter mej i ett hörn och drar en gammal filt över mej.

HJÄLP ! F-SECURE hittar inget men i HIJACK dök HOSTSFILEN UPP DIREKT.Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 14:34:51, on 2009-03-13 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Windows\RtHDVCpl.exe C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSM32.EXE C:\Windows\system32\conime.exe C:\Program Files\Telia\Telias sakerhetstjanster\FSGUI\fsguidll.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\margrehte.exe.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [skytel] Skytel.exe O4 - HKLM\..\Run: [Telia] "C:\Program Files\Telia\Supportassistent\bin\sprtcmd.exe" /P Telia O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Telia\Telias sakerhetstjanster\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKAL TJÄNST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKAL TJÄNST') O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NÄTVERKSTJÄNST') O13 - Gopher Prefix: O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\FSAUA\program\fsaua.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\ORSP Client\fsorsp.exe O23 - Service: SupportSoft Sprocket Service (telia) (sprtsvc_telia) - SupportSoft, Inc. - C:\Program Files\Telia\Supportassistent\bin\sprtsvc.exe O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Program Files\Common Files\SupportSoft\bin\ssrc.exe -- End of file - 3523 bytes

Goda nyheten:COMBOFIX mördade TROJANEN. Dåliga nyheten: Dator`n krachade.Hoppas nu på er hjälp med mina frågor efter ominstallationen. 1. Säkerhetscentret säger att F-SECURE är aktivt och körs men i hälsorapporten sägs att inget aktivt virusprogram är registrerat i säkerhetscenter ??? 2. Då jag körde full sökning F-SECURE så stoppa den upp ett tag vid NOTPAD.EXE och då kändes det inte bra så vill lämna ny HIJACKLOGGA hit. 3.skulle uppdatera grafikkortet på FUJITSU och såg då att vista basic inte stod med utan /home premium/ultimate.Läste ett inlägg här på sidan där skrivar´n tyckte att allt med Home i namnet var skit så vill inte uppgradera till det, Fråga:kan jag ändå uppdatera grafikkortet fast basic inte stod med ??? Återkommer med ny HIJACKLOGGA och hoppas på att ni inte tröttnat på mej.m

Trojan.Win32.Qhost (Kaspersky) Qhosts.apd (McAfee) Summary A detection of Win32/PossibleHostsFileHijack is an indicator that your HOSTS file may have been modified by malicious or potentially unwanted software. Modifications to the HOSTS file can cause access to certain Internet domains to be redirected or denied. This may prevent the computer from connecting to certain Web sites. Note: On March 9, 2009 a signature for SettingsModifier:Win32/PossibleHostsFileHijack started detecting certain modified HOSTS files in some environments. On March 9, 2009 Microsoft released a new signature that addresses the issue. Signature versions 1.53.283.0 and higher include this fix. Symptoms Note: On March 9, 2009 a signature for SettingsModifier:Win32/PossibleHostsFileHijack started detecting certain modified HOSTS files in some environments. On March 9, 2009 Microsoft released a new signature that addresses the issue. Signature versions 1.53.283.0 and higher include this fix. Situations such as the following may be signs that your HOSTS file has been modified without your consent: You are unable to access a certain Web site that you believe is in operation, such as a site that provides programs to help keep your computer secure. Your browser connects to a Web site that does not appear to be appropriate, given the Web address you entered. Technical Information Win32/PossibleHostsFileHijack indicates that the HOSTS file may have been modified by malicious or potentially unwanted software. The HOSTS file is located in <system folder>\drivers\etc\hosts, or in the Windows folder, depending on the Windows operating system being used. The local HOSTS file overrides the DNS resolution of web site URL to IP address. Malicious software may make modifications to the HOSTS file to bypass DNS servers and resolve the URL to a different IP address. This may prevent your computer from accessing certain Web sites, such as sites that provide programs to help keep your computer secure. Note: On March 9, 2009 a signature for SettingsModifier:Win32/PossibleHostsFileHijack started detecting certain modified HOSTS files in some environments. On March 9, 2009 Microsoft released a new signature that addresses the issue. Signature versions 1.53.283.0 and higher include this fix. Steps Take the following steps to help prevent infection on your system: Enable a firewall on your computer. Get the latest computer updates for all your installed software. Use up-to-date antivirus software. Use caution when opening attachments and accepting file transfers. Use caution when clicking on links to web pages. Avoid downloading pirated software. Protect yourself against social engineering attacks. Use strong passwords. Enable a firewall on your computer Use a third-party firewall product or turn on the Microsoft Windows Internet Connection Firewall. To turn on the Windows Firewall in Windows Vista Click Start, and click Control Panel. Click Security. Click Turn Windows Firewall on or off. Select On. Click OK. To turn on the Internet Connection Firewall in Windows XP Click Start, and click Control Panel. Click Network and Internet Connections. If you do not see Network and Internet Connections, click Switch to Category View. Click Change Windows Firewall Settings. Select On. Click OK. Get the latest computer updates Updates help protect your computer from viruses, worms, and other threats as they are discovered. It is important to install updates for all the software that is installed in your computer. These are usually available from vendor websites. You can use the Automatic Updates feature in Windows to automatically download future Microsoft security updates while your computer is on and connected to the Internet. To turn on Automatic Updates in Windows Vista Click Start, and click Control Panel. Click System and Maintainance. Click Windows Updates. Select a setting. Microsoft recommends selecting Install updates automatically and choose a time that is convenient for you. If you do not choose Automatic, but you choose to be notified when updates are ready, a notification balloon appears when new downloads are available to install. Click the notification balloon to review and install the updates. To turn on Automatic Updates in Windows XP Click Start, and click Control Panel. Click System. Click Automatic Updates. Select a setting. Microsoft recommends selecting Automatic. If you do not choose Automatic, but you choose to be notified when updates are ready, a notification balloon appears when new downloads are available to install. Click the notification balloon to review and install the updates. Use up-to-date antivirus software Most antivirus software can detect and prevent infection by known malicious software. To help protect you from infection, you should always run antivirus software that is updated with the latest signature files. Antivirus software is available from several sources. For more information, see http://www.microsoft.com/protect/computer/viruses/vista.mspx. Use caution when opening attachments and accepting file transfers Exercise caution with e-mail and attachments received from unknown sources, or received unexpectedly from known sources. Use extreme caution when accepting file transfers from known or unknown sources. Use caution when clicking on links to web pages Exercise caution with links to web pages that you receive from unknown sources, especially if the links are to a web page that you are not familiar with or are suspicious of. Malicious software may be installed in your system simply by visiting a web page with harmful content. Avoid downloading pirated software Threats may also be bundled with software and files that are available for download on various torrent sites. Downloading "cracked" or "pirated" software from these sites carries not only the risk of being infected with malware, but is also illegal. For more information, see 'The risks of obtaining and using pirated software'. Protect yourself from social engineering attacks While attackers may attempt to exploit vulnerabilities in hardware or software in order to compromise a system, they also attempt to exploit vulnerabilities in human behavior in order to do the same. When an attacker attempts to take advantage of human behavior in order to persuade the affected user to perform an action of the attacker's choice, it is known as 'social engineering'. Essentially, social engineering is an attack against the human interface of the targeted system. For more information, see 'What is social engineering?'. Use Strong Passwords Attackers may try to gain access to your Windows account by guessing your password. It is therefore important that you use a strong password one that cannot be easily guessed by an attacker. A strong password is one that has at least 8 characters, and combines letters, numbers, and symbols. For more information, see http://www.microsoft.com/protect/yourself/...ord/create.mspx. Recovery Steps Note: On March 9, 2009 a signature for SettingsModifier:Win32/PossibleHostsFileHijack started detecting certain modified HOSTS files in some environments. On March 9, 2009 Microsoft released a new signature that addresses the issue. Signature versions 1.53.283.0 and higher include this fix. Users affected by this incorrect detection may recover affected systems by adding the line: 127.0.0.1 localhost to the HOSTS file. For more information on locating and modifying the HOSTS file, please see the instructions detailed below. To recover manually from Win32/PossibleHostsFileHijack, you can manually recreate a clean HOSTS file, or you can restore a version of the HOSTS file from a backup you made before the file was modified without your consent. To recreate a clean HOSTS file: Click Start, and click Run. Open the Hosts file, according to operating system: On Windows 95, Windows 98, or Windows ME systems: In the Open field, type: notepad %windir%\hosts On Windows NT-based operating systems, such as Windows 2000 or Windows XP: In the Open field, type: notepad<system folder>\drivers\etc\hosts -- for example, on Windows 2000: In the Open field, type: notepad C:\WINNT\system32\drivers\etc\hosts -- or on Windows XP: In the Open field, type: notepad C:\Windows\system32\drivers\etc\hosts On Windows Vista: Click Start, click All Programs, click Accessories, right-click Notepad, and then click Run as administrator Click File, click Open, type: %windir%\system32\drivers\etc\hosts, and then click Open On the first line of the HOSTS file, type: 127.0.0.1 localhost as in the following example after modifying a default 'hosts' file: Save the file to the same location you opened it from. Close Notepad. Undrar hur det påverkar F-SECURE när datorn hela tiden plockar bort massa filer ,i loggboken står"systemet upptäckt att dessa filer fortfarande används och dom plockas nu bort ur minnet" hur får jag datorn att förstå att F-SECURE behövs i datorn och kan jag trots detta lita på att datorn har fullgott skydd ? Defender är bra för jag får information om vad som händer i datorn vilket inte F-SECURE talar om.Loggboken tjatar också hela tiden om "spooler win32spl" att utskrifthanteraren inte kan öppna för något är fel,har ingen skrivare installerad .PS förstår inte det jag bifogat från microsoft.

Tack för hjälp, ser ovanstående i loggboken + länk till microsoft ang problemet,loggboken skriver aldrig rätt sökväg när problem uppstår,däremot hann jag inte ens starta HIJACK fören HIJACK skrev rätt sökväg till filen. hittat fler konstigheter bla att F-secure inte är registrerad i systemet och att windowsbrandväggen varit igång fast den är avstängd via kontrollpanelen.Får väl avinstallera F-SECURE och installera om efter omstart.Fråga: Hur får jag DEFENDER att sluta varna för detta ? Fråga: försökte avinstallera spybot som dock varna för det eftersom en återställning då inte blir möjlig, har kollat datorn och allt fungerar tillfredsställande,kan jag avinstallera då ?

# Copyright © 1993-2006 Microsoft Corp. # # This is a sample HOSTS file used by Microsoft TCP/IP for Windows. # # This file contains the mappings of IP addresses to host names. Each # entry should be kept on an individual line. The IP address should # be placed in the first column followed by the corresponding host name. # The IP address and the host name should be separated by at least one # space. # # Additionally, comments (such as these) may be inserted on individual # lines or following the machine name denoted by a '#' symbol. # # For example: # # 102.54.94.97 rhino.acme.com # source server # 38.25.63.10 x.acme.com # x client host ::1 localhost

Trodde notpad var borta då den inte dök upp i start/sök men notpad fanns i "dator"- Defender/loggbok säger trojan men inte namn på den- sökväg/ notpad c:\windows\system32\drivers\etc\hosts-i loggboken står:" settingsmodifier:etc/hosts/win32/possi"---F-secure-MRT/malwarbytes/spybot-S&D hittar inget, även kört felsäkert läge utan nätverk.Defender visar gul sköld med svart utropstecken vid snabbsökning men vid omstart så grönt och allt verkar normalt.-Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 17:55:40, on 2009-03-11 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSM32.EXE C:\Windows\RtHDVCpl.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Program Files\Telia\Telias sakerhetstjanster\FSGUI\fsguidll.exe C:\Windows\system32\conime.exe C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Internet Explorer\ieuser.exe C:\Program Files\Telia\Telias sakerhetstjanster\FSGUI\scanwizard.exe C:\Program\trend micro\HijackThis\margrehte.exe.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Telia\Telias sakerhetstjanster\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [skytel] Skytel.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKAL TJÄNST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKAL TJÄNST') O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NÄTVERKSTJÄNST') O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\FSAUA\program\fsaua.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\ORSP Client\fsorsp.exe O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe O23 - Service: SupportSoft Sprocket Service (telia) (sprtsvc_telia) - SupportSoft, Inc. - C:\Program Files\Telia\Supportassistent\bin\sprtsvc.exe O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Program Files\Common Files\SupportSoft\bin\ssrc.exe -- End of file - 4812 bytes

gick in på notpad och kollade på sparat och så tog jag bort skrivskyddet och fick frågan om det även skulle gälla undermappar m,m/svarade ja och har nu trollat bort hela notpad från datorn,använder ju bara anteckningar ändå så Bra hoppas jag.

Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 13:35:01, on 2009-03-11 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v7.00 (7.00.6001.18000) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSM32.EXE C:\Windows\RtHDVCpl.exe C:\Program Files\Java\jre6\bin\jusched.exe C:\Program Files\Windows Media Player\wmpnscfg.exe C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe C:\Windows\System32\mobsync.exe C:\Program Files\Telia\Telias sakerhetstjanster\FSGUI\fsguidll.exe C:\Windows\system32\conime.exe C:\Windows\system32\taskeng.exe C:\Windows\system32\SearchFilterHost.exe C:\Program\trend micro\HijackThis\margrehte.exe.exe R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O1 - Hosts: ::1 localhost O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSM32.EXE" /splash O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Telia\Telias sakerhetstjanster\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe O4 - HKLM\..\Run: [skytel] Skytel.exe O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKAL TJÄNST') O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKAL TJÄNST') O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NÄTVERKSTJÄNST') O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\FSAUA\program\fsaua.exe O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\ORSP Client\fsorsp.exe O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe O23 - Service: SupportSoft Sprocket Service (telia) (sprtsvc_telia) - SupportSoft, Inc. - C:\Program Files\Telia\Supportassistent\bin\sprtsvc.exe O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Program Files\Common Files\SupportSoft\bin\ssrc.exe -- End of file - 4756 bytes Spybot S&D gratulerade mej till en ren dator, HIJACK hann jag inte ens starta fören den visade exakt den filen defender varnat för och även att jag hittar den i notepad, kollade och skrivskyddet var borta däremot var filen skyddad och vet inte om det lyckades med /kör hijack som administratör ? Tacksam för hjälp med detta.Har nu lyckats rensa bort all notepad från datorn genom att jag kollade sparat och tog bort skrivskydd o fick frågan om det även skulle gälla undermappar med m.m

Kunde inte somna pga detta så beslöt mej för att forska vidare, gjorde snabbsökning med defender och fick då upp samma trojan och defender säger att filen är skrivskyddad o inte kan åtgärdas, risken är medel/låg :1 ,hittar inte filen i datorn/ vid snabbsökning defender blir det gul varning som försvinner vid omstart, körde antimalware felsäkert läge utan nätverk som återigen inte hittar trojanen men däremot en infekterad registernyckel som tas bort. Körde full sökning med F-SECURE som inte hittar nåt. ???

********************************************* 2009-06-06: Tråden är låst då problemet är löst. Tycker du att den är felaktigt låst, var god kontakta Malou ********************************************* Ljudet försvann plötsligt när jag var inne på nätet/nätet frös fast/ökad aktivitet i burken.detta gjorde att jag ana ugglor i mossen och kolla defender historik, står att kl 1 natten när bara datorn var vaken och igång så har detta tilllåtits köra: SETTINGSMODIFIER:ETC/HOSTS/WIN32/POSSI. står att rengöring gjorts. i systemåterställning står : avinstallation: windows defender checkpoint. Loggboken säger att trojan upptäckts av windows defender. Gjort 3 sökningar med olika verktyg bla MRT/malwarebyte. Fråga ??? Kan jag lita på att trojanen är åtgärdad eller behöver man köra hela kitet med hijack.

I loggboken ser jag hela tiden hur systemet lyfter bort filer ur minnet för F-secure "systemet har upptäckt att dessa filer fortfarande används varvid dom nu plockas bort" tänkte att det kunde ha att göra med Defender så avaktiverade realtidsskyddet där vilket dock inte hjälpte.Defender är bra med realtidsskyddet på för då får jag information om programändringar med mera vilket jag inte får med F-secure. Hur skall jag hantera detta ? realtidsskydd Defender eller F-secure ??? hur öppnar jag diagnosrapporten från F-secure "fsdiag.tar "gz-fil" ?

Tack för hjälp, skall ställa in upplösningen som du föreslår.

;-) namn på bildskärm ? kallar den för "kalle", mirai 19 dml-419w210.

Avinstallerat CCC.exe för det fungera inte bra, märker nu att jag behöver nåt annat än " allmän pnp-bildskärm" för att bildskärm skall kunna ställas in på högre upplösning, googlat och finns en uppsjö att välja på betal/gratis, har windows vista och Ati grafikkort, vill ha nåt som inte strular eller belastar systemet, tips emottages tacksamt.m

OK ! langpack laddas med så därför står det "engelska" sp 1 installerat och klart i datorn, väntar några dar med att permenta installationen för att se att allt fungerar eller ? permanenta man sp 1 så rensas ju onödiga filer men går då inte att ångra installationen.

Nej jag laddade ner svenska så varför står det " språk engelska" ???

ajaj ! kollade din länk och ser nu att det står ändra språk så hur tar jag bort dom jag laddat ner, har ej klickat på dom dvs öppnat,

Hjälp ! Jag sparade ner sp 1 till datorn och så visar det sej att den finns i startmenyn och en i hämtade filer,klickar på egenskaper och där står språk "engelska" ???

jag läste på microsoft och alltompc tror jag så nu får jag kolla det en gång till, laddade ner sp 1 och fick den engelska versionen. Tack för svaret

Installerade servicepack 1 (engelska) och permanentade den efter 3- 4 dgr när jag såg att allt fungerade. Nu har jag formaterat datorn och kollat upp servicepack ett och det är ju så att svensk version kommer i mars så vill vänta på den ifall det funkar bättre med datorn,vill gärna ha era synpunkter om detta. m

Jag undrar om det inte står flera alternativ när man väljer F8/F11 överst brukar stå " reparera datorn" vilket man bekräftar med enter och sen laddas filer och systemåterställning visas, efter man valt språk/tangentbordslayout tryck nästa/användarnamn och lösenord,jag rekommenderar att inte välja något lösenord det kan ställa till det utan vänta isåfall tills allt är klart och datorn är klar att användas, nu kommer "alternativ för återställning upp och då väljer man "Easy backup and recovery of your system" markera "återställ fabriksinställningarna" välj källa alternativet " från hårddisk (rekommenderas) bekräfta .

Bläddra febrilt i boken "Din dator och Windows vista" för vet att man kan låta någon annan utnyttja oanvänt utrymme i datorn,tror det var någon forskning det handla om fast hittar inte adressen,tänkte bara att med betalning för utnyttjad användning så är det tveksamt att låta någon dela dator med en , tänker även på kompisar som kommer hem till en för att låna datorn, skall det vara en sparbössa stående jämte datorn då.m