Trojan?

[margrehte]

*********************************************

2009-06-06:

Tråden är låst då problemet är löst.

Tycker du att den är felaktigt låst, var god kontakta

Malou

*********************************************

Ljudet försvann plötsligt när jag var inne på nätet/nätet frös fast/ökad aktivitet i burken.detta gjorde att jag ana ugglor i mossen och kolla defender historik, står att kl 1 natten när bara datorn var vaken och igång så har detta tilllåtits köra: SETTINGSMODIFIER:ETC/HOSTS/WIN32/POSSI. står att rengöring gjorts. i systemåterställning står : avinstallation: windows defender checkpoint. Loggboken säger att trojan upptäckts av windows defender. Gjort 3 sökningar med olika verktyg bla MRT/malwarebyte. Fråga ??? Kan jag lita på att trojanen är åtgärdad eller behöver man köra hela kitet med hijack.

[margrehte]

Ljudet försvann plötsligt när jag var inne på nätet/nätet frös fast/ökad aktivitet i burken.detta gjorde att jag ana ugglor i mossen och kolla defender historik, står att kl 1 natten när bara datorn var vaken och igång så har detta tilllåtits köra: SETTINGSMODIFIER:ETC/HOSTS/WIN32/POSSI. står att rengöring gjorts. i systemåterställning står : avinstallation: windows defender checkpoint. Loggboken säger att trojan upptäckts av windows defender. Gjort 3 sökningar med olika verktyg bla MRT/malwarebyte. Fråga ??? Kan jag lita på att trojanen är åtgärdad eller behöver man köra hela kitet med hijack.

Kunde inte somna pga detta så beslöt mej för att forska vidare, gjorde snabbsökning med defender och fick då upp samma trojan och defender säger att filen är skrivskyddad o inte kan åtgärdas, risken är medel/låg :1 ,hittar inte filen i datorn/ vid snabbsökning defender blir det gul varning som försvinner vid omstart, körde antimalware felsäkert läge utan nätverk som återigen inte hittar trojanen men däremot en infekterad registernyckel som tas bort. Körde full sökning med F-SECURE som inte hittar nåt. ???

[Mickilina]

Hej!

Om du vill ha hjälp med systemrensning, då kan du börja läsa här: http://www.alltomxp.se/forum/index.php?showtopic=6306.

Sen gör du enl. Malous instruktioner och fortsätter här på din tråd.

//Mickilina

[margrehte]

Hej!

Om du vill ha hjälp med systemrensning, då kan du börja läsa här: http://www.alltomxp.se/forum/index.php?showtopic=6306.

Sen gör du enl. Malous instruktioner och fortsätter här på din tråd.

//Mickilina

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:35:01, on 2009-03-11

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSM32.EXE

C:\Windows\RtHDVCpl.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Windows\System32\mobsync.exe

C:\Program Files\Telia\Telias sakerhetstjanster\FSGUI\fsguidll.exe

C:\Windows\system32\conime.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program\trend micro\HijackThis\margrehte.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Telia\Telias sakerhetstjanster\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [skytel] Skytel.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NÄTVERKSTJÄNST')

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O13 - Gopher Prefix:

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\FSAUA\program\fsaua.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\ORSP Client\fsorsp.exe

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: SupportSoft Sprocket Service (telia) (sprtsvc_telia) - SupportSoft, Inc. - C:\Program Files\Telia\Supportassistent\bin\sprtsvc.exe

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Program Files\Common Files\SupportSoft\bin\ssrc.exe

--

End of file - 4756 bytes

Spybot S&D gratulerade mej till en ren dator, HIJACK hann jag inte ens starta fören den visade exakt den filen defender varnat för och även att jag hittar den i notepad, kollade och skrivskyddet var borta däremot var filen skyddad och vet inte om det lyckades med /kör hijack som administratör ? Tacksam för hjälp med detta.Har nu lyckats rensa bort all notepad från datorn genom att jag kollade sparat och tog bort skrivskydd o fick frågan om det även skulle gälla undermappar med m.m

[margrehte]

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 13:35:01, on 2009-03-11

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSM32.EXE

C:\Windows\RtHDVCpl.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Windows\System32\mobsync.exe

C:\Program Files\Telia\Telias sakerhetstjanster\FSGUI\fsguidll.exe

C:\Windows\system32\conime.exe

C:\Windows\system32\taskeng.exe \ gick in på notpad och kollade på sparat och så tog jag bort skrivskyddet och fick frågan om det även skulle gälla undermappar m,m/svarade ja och har nu trollat bort hela notpad från datorn,använder ju bara anteckningar ändå så Bra hoppas jag.

C:\Windows\system32\SearchFilterHost.exe

C:\Program\trend micro\HijackThis\margrehte.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Telia\Telias sakerhetstjanster\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [skytel] Skytel.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NÄTVERKSTJÄNST')

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O13 - Gopher Prefix:

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\FSAUA\program\fsaua.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\ORSP Client\fsorsp.exe

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: SupportSoft Sprocket Service (telia) (sprtsvc_telia) - SupportSoft, Inc. - C:\Program Files\Telia\Supportassistent\bin\sprtsvc.exe

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Program Files\Common Files\SupportSoft\bin\ssrc.exe

--

End of file - 4756 bytes

Spybot S&D gratulerade mej till en ren dator, HIJACK hann jag inte ens starta fören den visade exakt den filen defender varnat för och även att jag hittar den i notepad, kollade och skrivskyddet var borta däremot var filen skyddad och vet inte om det lyckades med /kör hijack som administratör ? Tacksam för hjälp med detta.

[margrehte]

gick in på notpad och kollade på sparat och så tog jag bort skrivskyddet och fick frågan om det även skulle gälla undermappar m,m/svarade ja och har nu trollat bort hela notpad från datorn,använder ju bara anteckningar ändå så Bra hoppas jag.

[Gäst Malou]

Hej margrehte!

Spybot S&D gratulerade mej till en ren dator, HIJACK hann jag inte ens starta fören den visade exakt den filen defender varnat för och även att jag hittar den i notepad, kollade och skrivskyddet var borta däremot var filen skyddad och vet inte om det lyckades med /kör hijack som administratör ? Tacksam för hjälp med detta.Har nu lyckats rensa bort all notepad från datorn genom att jag kollade sparat och tog bort skrivskydd o fick frågan om det även skulle gälla undermappar med m.m

gick in på notpad och kollade på sparat och så tog jag bort skrivskyddet och fick frågan om det även skulle gälla undermappar m,m/svarade ja och har nu trollat bort hela notpad från datorn,använder ju bara anteckningar ändå så Bra hoppas jag.

Har du avinstallerat notepad som tillhör Windows systemet?

Har även ännu inte riktigt fått klart för mig vad det är för Trojan du pratar om?

Vad heter trojanen?

Var någonstans i systemet finns den?

Hur lyder sökvägen till den infekterade filen?

Har ditt skyddsprogram F-Secure hittat och åtgärdat den?

Ang din TM HJT-logga så ser det ut som att du inte har kört den med Adminrättigheterna.

Högerklicka på TM HJT och välj att köra som Admin. Kopiera in den nya TM HJT-loggan hit så får vi se hur det ser ut.

MVH/Malou

[margrehte]

Hej margrehte!

Har du avinstallerat notepad som tillhör Windows systemet?

Har även ännu inte riktigt fått klart för mig vad det är för Trojan du pratar om?

Vad heter trojanen?

Var någonstans i systemet finns den?

Hur lyder sökvägen till den infekterade filen?

Har ditt skyddsprogram F-Secure hittat och åtgärdat den?

Ang din TM HJT-logga så ser det ut som att du inte har kört den med Adminrättigheterna.

Högerklicka på TM HJT och välj att köra som Admin. Kopiera in den nya TM HJT-loggan hit så får vi se hur det ser ut.

MVH/Malou

Trodde notpad var borta då den inte dök upp i start/sök men notpad fanns i "dator"- Defender/loggbok säger trojan men inte namn på den- sökväg/ notpad c:\windows\system32\drivers\etc\hosts-i loggboken står:" settingsmodifier:etc/hosts/win32/possi"---F-secure-MRT/malwarbytes/spybot-S&D hittar inget, även kört felsäkert läge utan nätverk.Defender visar gul sköld med svart utropstecken vid snabbsökning men vid omstart så grönt och allt verkar normalt.-Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 17:55:40, on 2009-03-11

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSM32.EXE

C:\Windows\RtHDVCpl.exe

C:\Program Files\Java\jre6\bin\jusched.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

C:\Program Files\Telia\Telias sakerhetstjanster\FSGUI\fsguidll.exe

C:\Windows\system32\conime.exe

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Internet Explorer\ieuser.exe

C:\Program Files\Telia\Telias sakerhetstjanster\FSGUI\scanwizard.exe

C:\Program\trend micro\HijackThis\margrehte.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Telia\Telias sakerhetstjanster\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [skytel] Skytel.exe

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe"

O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe

O4 - HKCU\..\Run: [spybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NÄTVERKSTJÄNST')

O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Program Files\Spybot - Search & Destroy\SDHelper.dll

O13 - Gopher Prefix:

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\FSAUA\program\fsaua.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\ORSP Client\fsorsp.exe

O23 - Service: SBSD Security Center Service (SBSDWSCService) - Safer Networking Ltd. - C:\Program Files\Spybot - Search & Destroy\SDWinSec.exe

O23 - Service: SupportSoft Sprocket Service (telia) (sprtsvc_telia) - SupportSoft, Inc. - C:\Program Files\Telia\Supportassistent\bin\sprtsvc.exe

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Program Files\Common Files\SupportSoft\bin\ssrc.exe

--

End of file - 4812 bytes

[Gäst Malou]

Hej margrehte!

Vi gör en kontroll av din Hosts File till att börja med så får vi se vad den visar för något

Öppna TM HJT => Klicka på Main Menu-knappen => Klicka på Open the Misc Tools section-knappen => Klicka på Open hosts file manager-knappen => Klicka på Open in Notepad-knappen => hosts- Anteckningar kommer upp => kopiera in den textfilen hit till din tråd.

Stäng ner TM HJT via det röda krysset uppe till höger.

MVH/Malou

[margrehte]

Hej margrehte!

Vi gör en kontroll av din Hosts File till att börja med så får vi se vad den visar för något

Öppna TM HJT => Klicka på Main Menu-knappen => Klicka på Open the Misc Tools section-knappen => Klicka på Open hosts file manager-knappen => Klicka på Open in Notepad-knappen => hosts- Anteckningar kommer upp => kopiera in den textfilen hit till din tråd.

Stäng ner TM HJT via det röda krysset uppe till höger.

MVH/Malou

# Copyright © 1993-2006 Microsoft Corp.

#

# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.

#

# This file contains the mappings of IP addresses to host names. Each

# entry should be kept on an individual line. The IP address should

# be placed in the first column followed by the corresponding host name.

# The IP address and the host name should be separated by at least one

# space.

#

# Additionally, comments (such as these) may be inserted on individual

# lines or following the machine name denoted by a '#' symbol.

#

# For example:

#

# 102.54.94.97 rhino.acme.com # source server

# 38.25.63.10 x.acme.com # x client host

::1 localhost

[Gäst Malou]

Hej margrehte!

Din Hosts File ser bra ut. Inga problem.

Det här nedanstående var hittar du detta någonstans?

settingsmodifier:etc/hosts/win32/possi"--

MVH/Malou

[margrehte]

Hej margrehte!

Din Hosts File ser bra ut. Inga problem.

Det här nedanstående var hittar du detta någonstans?

settingsmodifier:etc/hosts/win32/possi"--

MVH/Malou

Tack för hjälp, ser ovanstående i loggboken + länk till microsoft ang problemet,loggboken skriver aldrig rätt sökväg när problem uppstår,däremot hann jag inte ens starta HIJACK fören HIJACK skrev rätt sökväg till filen. hittat fler konstigheter bla att F-secure inte är registrerad i systemet och att windowsbrandväggen varit igång fast den är avstängd via kontrollpanelen.Får väl avinstallera F-SECURE och installera om efter omstart.Fråga: Hur får jag DEFENDER att sluta varna för detta ? Fråga: försökte avinstallera spybot som dock varna för det eftersom en återställning då inte blir möjlig, har kollat datorn och allt fungerar tillfredsställande,kan jag avinstallera då ?

[e-son]

Det saknas en ganska vital textrad i din hosts-fil! Raden som saknas är följande:

127.0.0.1 localhost

Det skall stå på raden ovanför:

::1 localhost

Dom 2 sista raderna i din hosts-fil skall alltså se ut som följer!

127.0.0.1	   localhost
::1			 localhost

[Gäst Malou]

Det saknas en ganska vital textrad i din hosts-fil! Raden som saknas är följande:

127.0.0.1 localhost

Det skall stå på raden ovanför:

::1 localhost

Dom 2 sista raderna i din hosts-fil skall alltså se ut som följer!

127.0.0.1	   localhost
::1			 localhost

Tack e-son.

Det var ju detta jag skulle nämna men försvann i all hast

MVH/Malou

[Gäst Malou]

Hej margrehte!

Fråga: försökte avinstallera spybot som dock varna för det eftersom en återställning då inte blir möjlig, har kollat datorn och allt fungerar tillfredsställande,kan jag avinstallera då ?

Du skall kunna avinstallera SpyBoot utan några problem. Ditt Windows system kommer att ta hand om återställningspunkter etc... som det sig bör.

: Hur får jag DEFENDER att sluta varna för detta ?

Är det nödvändigt att ha Windows Defender?

Du har ju ett fullgott skydd via ditt F-Secure om det nu fungerar fullt ut förståss. Om inte så bör du installera om detta med tanke på vad du uppger enligt nedan

hittat fler konstigheter bla att F-secure inte är registrerad i systemet och att windowsbrandväggen varit igång fast den är avstängd via kontrollpanelen.

Är detta allt som står?

settingsmodifier:etc/hosts/win32/possi"--

MVH/Malou

[margrehte]

Hej margrehte!

Du skall kunna avinstallera SpyBoot utan några problem. Ditt Windows system kommer att ta hand om återställningspunkter etc... som det sig bör.

Är det nödvändigt att ha Windows Defender?

Du har ju ett fullgott skydd via ditt F-Secure om det nu fungerar fullt ut förståss. Om inte så bör du installera om detta med tanke på vad du uppger enligt nedan

Är detta allt som står?

settingsmodifier:etc/hosts/win32/possi"--

MVH/Malou

Trojan.Win32.Qhost (Kaspersky)

Qhosts.apd (McAfee)

Summary

A detection of Win32/PossibleHostsFileHijack is an indicator that your HOSTS file may have been modified by malicious or potentially unwanted software. Modifications to the HOSTS file can cause access to certain Internet domains to be redirected or denied. This may prevent the computer from connecting to certain Web sites.

Note: On March 9, 2009 a signature for SettingsModifier:Win32/PossibleHostsFileHijack started detecting certain modified HOSTS files in some environments. On March 9, 2009 Microsoft released a new signature that addresses the issue. Signature versions 1.53.283.0 and higher include this fix.

Symptoms

Note: On March 9, 2009 a signature for SettingsModifier:Win32/PossibleHostsFileHijack started detecting certain modified HOSTS files in some environments. On March 9, 2009 Microsoft released a new signature that addresses the issue. Signature versions 1.53.283.0 and higher include this fix.

Situations such as the following may be signs that your HOSTS file has been modified without your consent:

You are unable to access a certain Web site that you believe is in operation, such as a site that provides programs to help keep your computer secure.

Your browser connects to a Web site that does not appear to be appropriate, given the Web address you entered.

Technical Information

Win32/PossibleHostsFileHijack indicates that the HOSTS file may have been modified by malicious or potentially unwanted software. The HOSTS file is located in <system folder>\drivers\etc\hosts, or in the Windows folder, depending on the Windows operating system being used.

The local HOSTS file overrides the DNS resolution of web site URL to IP address. Malicious software may make modifications to the HOSTS file to bypass DNS servers and resolve the URL to a different IP address. This may prevent your computer from accessing certain Web sites, such as sites that provide programs to help keep your computer secure.

Note: On March 9, 2009 a signature for SettingsModifier:Win32/PossibleHostsFileHijack started detecting certain modified HOSTS files in some environments. On March 9, 2009 Microsoft released a new signature that addresses the issue. Signature versions 1.53.283.0 and higher include this fix.

Steps

Take the following steps to help prevent infection on your system:

Enable a firewall on your computer.

Get the latest computer updates for all your installed software.

Use up-to-date antivirus software.

Use caution when opening attachments and accepting file transfers.

Use caution when clicking on links to web pages.

Avoid downloading pirated software.

Protect yourself against social engineering attacks.

Use strong passwords.

Enable a firewall on your computer

Use a third-party firewall product or turn on the Microsoft Windows Internet Connection Firewall.

To turn on the Windows Firewall in Windows Vista

Click Start, and click Control Panel.

Click Security.

Click Turn Windows Firewall on or off.

Select On.

Click OK.

To turn on the Internet Connection Firewall in Windows XP

Click Start, and click Control Panel.

Click Network and Internet Connections. If you do not see Network and Internet Connections, click Switch to Category View.

Click Change Windows Firewall Settings.

Select On.

Click OK.

Get the latest computer updates

Updates help protect your computer from viruses, worms, and other threats as they are discovered. It is important to install updates for all the software that is installed in your computer. These are usually available from vendor websites.

You can use the Automatic Updates feature in Windows to automatically download future Microsoft security updates while your computer is on and connected to the Internet.

To turn on Automatic Updates in Windows Vista

Click Start, and click Control Panel.

Click System and Maintainance.

Click Windows Updates.

Select a setting. Microsoft recommends selecting Install updates automatically and choose a time that is convenient for you. If you do not choose Automatic, but you choose to be notified when updates are ready, a notification balloon appears when new downloads are available to install. Click the notification balloon to review and install the updates.

To turn on Automatic Updates in Windows XP

Click Start, and click Control Panel.

Click System.

Click Automatic Updates.

Select a setting. Microsoft recommends selecting Automatic. If you do not choose Automatic, but you choose to be notified when updates are ready, a notification balloon appears when new downloads are available to install. Click the notification balloon to review and install the updates.

Use up-to-date antivirus software

Most antivirus software can detect and prevent infection by known malicious software. To help protect you from infection, you should always run antivirus software that is updated with the latest signature files. Antivirus software is available from several sources. For more information, see http://www.microsoft.com/protect/computer/viruses/vista.mspx.

Use caution when opening attachments and accepting file transfers

Exercise caution with e-mail and attachments received from unknown sources, or received unexpectedly from known sources. Use extreme caution when accepting file transfers from known or unknown sources.

Use caution when clicking on links to web pages

Exercise caution with links to web pages that you receive from unknown sources, especially if the links are to a web page that you are not familiar with or are suspicious of. Malicious software may be installed in your system simply by visiting a web page with harmful content.

Avoid downloading pirated software

Threats may also be bundled with software and files that are available for download on various torrent sites. Downloading "cracked" or "pirated" software from these sites carries not only the risk of being infected with malware, but is also illegal. For more information, see 'The risks of obtaining and using pirated software'.

Protect yourself from social engineering attacks

While attackers may attempt to exploit vulnerabilities in hardware or software in order to compromise a system, they also attempt to exploit vulnerabilities in human behavior in order to do the same. When an attacker attempts to take advantage of human behavior in order to persuade the affected user to perform an action of the attacker's choice, it is known as 'social engineering'. Essentially, social engineering is an attack against the human interface of the targeted system. For more information, see 'What is social engineering?'.

Use Strong Passwords

Attackers may try to gain access to your Windows account by guessing your password. It is therefore important that you use a strong password one that cannot be easily guessed by an attacker. A strong password is one that has at least 8 characters, and combines letters, numbers, and symbols. For more information, see http://www.microsoft.com/protect/yourself/...ord/create.mspx.

Recovery Steps

Note: On March 9, 2009 a signature for SettingsModifier:Win32/PossibleHostsFileHijack started detecting certain modified HOSTS files in some environments. On March 9, 2009 Microsoft released a new signature that addresses the issue. Signature versions 1.53.283.0 and higher include this fix. Users affected by this incorrect detection may recover affected systems by adding the line: 127.0.0.1 localhost to the HOSTS file. For more information on locating and modifying the HOSTS file, please see the instructions detailed below.

To recover manually from Win32/PossibleHostsFileHijack, you can manually recreate a clean HOSTS file, or you can restore a version of the HOSTS file from a backup you made before the file was modified without your consent.

To recreate a clean HOSTS file:

Click Start, and click Run.

Open the Hosts file, according to operating system:

On Windows 95, Windows 98, or Windows ME systems:

In the Open field, type: notepad %windir%\hosts

On Windows NT-based operating systems, such as Windows 2000 or Windows XP:

In the Open field, type: notepad<system folder>\drivers\etc\hosts

-- for example, on Windows 2000:

In the Open field, type: notepad C:\WINNT\system32\drivers\etc\hosts

-- or on Windows XP:

In the Open field, type: notepad C:\Windows\system32\drivers\etc\hosts

On Windows Vista:

Click Start, click All Programs, click Accessories, right-click Notepad, and then click Run as administrator

Click File, click Open, type: %windir%\system32\drivers\etc\hosts, and then click Open

On the first line of the HOSTS file, type: 127.0.0.1 localhost as in the following example after modifying a default 'hosts' file:

Save the file to the same location you opened it from.

Close Notepad. Undrar hur det påverkar F-SECURE när datorn hela tiden plockar bort massa filer ,i loggboken står"systemet upptäckt att dessa filer fortfarande används och dom plockas nu bort ur minnet" hur får jag datorn att förstå att F-SECURE behövs i datorn och kan jag trots detta lita på att datorn har fullgott skydd ? Defender är bra för jag får information om vad som händer i datorn vilket inte F-SECURE talar om.Loggboken tjatar också hela tiden om "spooler win32spl" att utskrifthanteraren inte kan öppna för något är fel,har ingen skrivare installerad .PS förstår inte det jag bifogat från microsoft.

[Gäst Malou]

Hej margrehte!

Undrar hur det påverkar F-SECURE när datorn hela tiden plockar bort massa filer ,i loggboken står"systemet upptäckt att dessa filer fortfarande används och dom plockas nu bort ur minnet" hur får jag datorn att förstå att F-SECURE behövs i datorn och kan jag trots detta lita på att datorn har fullgott skydd ?

Använder du rätt version av F-Secure?

Är den kompatibel med ditt Windows Vista system?

Loggboken tjatar också hela tiden om "spooler win32spl" att utskrifthanteraren inte kan öppna för något är fel,har ingen skrivare installerad .

Detta har som du säger med skrivaren att göra. I nuläge så vet jag inte hur man åtgärdar detta.

PS förstår inte det jag bifogat från microsoft.

För att göra det lätt och enkelt så kan vi ta SDFix till hjälp gällande din Hosts File så slipper du åtgärda manuellt som kan vara ganska så bökigt. För vad jag förstår av den information du har bifogat från Microsoft så tyder det på att din Hosts File är beslagtagen (HiJackad av något). Eller att du har laddat ner och använder crackade/piratade programversioner och därigenom har blivit HiJackad på något sätt.

Hämta hem SDFix:

Edit:

Såg nu att verktyget SDFIx INTE är kompatibelt med Vista. Så vi får hitta på något annat. Återkommer då jag vet mer hur vi skall kunna gå vidare.

MVH/Malou

[Gäst Malou]

Hej margrehte!

Vi tar ComboFix till hjälp och ser om den hittar några otrevligheter och om den kan åtgärda eventuella upphittade otrevligheter.

ComboFix för Windows XP och Windows Vista:

Skriv ut nedanstående eller kopiera det till ett textdokument och spara det till skrivbordet:

Läs/Följ Instruktionerna mycket noga

ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om du har internet via ett USB-modem eller USB-nätverkskort.

Säg då till i stället för att köra ComboFix.

Hämta hem ComboFix från nedanstående länk

=> ComboFix.exe

# Spara ComboFix till skrivbordet "Mycket viktigt"

Du bör installera Microsoft Windows Recovery Console eftersom det gör det möjligt att starta datorn i ett särskild återställningsläge vilket kan vara bra om något händer med datorn under de kommande procedurerna.

Notera: Om Microsoft Windows Recovery Console redan finns installerat på datorn, kommer ComboFix att gå vidare med scanningen:

Windows Vista-Användare:

Windows Vista-användare kan använda sin Windows DVD för att starta upp i Vista återställningsmiljön.

=> Vista återställningsmiljön "Engelsk Text"

Windows XP-Användare:

Installera Microsoft Windows Recovery Console:

# Surfa till http://support.microsoft.com/kb/310994

# Se till att språket på sidan matchar språket i Windows (språk väljs i högerkolumnen) om du inte har XP Media Center Edition för då ska du ha engelska.

# Scrolla ner till rubriken Hämta programfilen för installationsdisketterna

# Välj rätt nedladdning utifrån vilken Service Pack du har installerat till XP. Om du har SP3 så välj SP2.

# Om du har XP Media Center Edition så välj XP Professional.

# Spara den nedladdade filen på Skrivbordet.

# Ta tag i filen du sparade ner till skrivbordet => Dra filen med musen över Skrivbordet och släpp den på ComboFix-ikonen. ComboFix kommer nu att installera Återställningskonsolen.

OBS: Denna procedur kan ta lång tid så det gäller att du har tålamod under installationen av Återställningskonsolen. Du bör även godkänna/tillåta allt via skyddsprogrammen (antivirus/brandväggen etc..) för ett lyckat resultat.

# När det är klart så kommer ComboFix att fråga om du vill fortsätta med att scanna, där väljer du No/Nej.

Gå nu vidare med ComboFix-Scanningen:

Dra ur internetanslutningen och stäng av alla program du ser inklusive antivirusprogram, antispionprogram och brandvägg.

1: Dubbelklicka på ComboFix för att starta den

2: Följ anvisningarna som visas på skärmen.

3: När den är färdig så skall en text-logg komma upp, kopiera och klistra in den hit till din tråd

Kan även hittas här => (C:\ComboFix.txt)

4: Gör en ny TM HJT-logg, kopiera även in den.

VIKTIGT! Klicka INTE på Combofix-fönstret med musen när ComboFix körs annars kan scanningen hänga upp sig.

OBS:

Kontrollera att antivirusprogram/antispionprogram mm är återaktiverade innan du ansluter till Internet.

OBSERVERA:

Verktyget/Programmet kan ge problem med uppkopplingen (tex trådlös).

Om problem uppstår prova då nedanstående.

Gå till => Kontrollpanelen => Nätverksanslutningar => högerklicka på din Internetanslutning => välj Reparera

Och/Eller

Starta om datorn.

Lycka till

MVH/Malou

[margrehte]

Hej margrehte!

Vi tar ComboFix till hjälp och ser om den hittar några otrevligheter och om den kan åtgärda eventuella upphittade otrevligheter.

ComboFix för Windows XP och Windows Vista:

Skriv ut nedanstående eller kopiera det till ett textdokument och spara det till skrivbordet:

Läs/Följ Instruktionerna mycket noga

ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om du har internet via ett USB-modem eller USB-nätverkskort.

Säg då till i stället för att köra ComboFix.

Hämta hem ComboFix från nedanstående länk

=> ComboFix.exe

# Spara ComboFix till skrivbordet "Mycket viktigt"

Du bör installera Microsoft Windows Recovery Console eftersom det gör det möjligt att starta datorn i ett särskild återställningsläge vilket kan vara bra om något händer med datorn under de kommande procedurerna.

Notera: Om Microsoft Windows Recovery Console redan finns installerat på datorn, kommer ComboFix att gå vidare med scanningen:

Windows Vista-Användare:

Windows Vista-användare kan använda sin Windows DVD för att starta upp i Vista återställningsmiljön.

=> Vista återställningsmiljön "Engelsk Text"

Windows XP-Användare:

Installera Microsoft Windows Recovery Console:

# Surfa till http://support.microsoft.com/kb/310994

# Se till att språket på sidan matchar språket i Windows (språk väljs i högerkolumnen) om du inte har XP Media Center Edition för då ska du ha engelska.

# Scrolla ner till rubriken Hämta programfilen för installationsdisketterna

# Välj rätt nedladdning utifrån vilken Service Pack du har installerat till XP. Om du har SP3 så välj SP2.

# Om du har XP Media Center Edition så välj XP Professional.

# Spara den nedladdade filen på Skrivbordet.

# Ta tag i filen du sparade ner till skrivbordet => Dra filen med musen över Skrivbordet och släpp den på ComboFix-ikonen. ComboFix kommer nu att installera Återställningskonsolen.

OBS: Denna procedur kan ta lång tid så det gäller att du har tålamod under installationen av Återställningskonsolen. Du bör även godkänna/tillåta allt via skyddsprogrammen (antivirus/brandväggen etc..) för ett lyckat resultat.

# När det är klart så kommer ComboFix att fråga om du vill fortsätta med att scanna, där väljer du No/Nej.

Gå nu vidare med ComboFix-Scanningen:

Dra ur internetanslutningen och stäng av alla program du ser inklusive antivirusprogram, antispionprogram och brandvägg.

1: Dubbelklicka på ComboFix för att starta den

2: Följ anvisningarna som visas på skärmen.

3: När den är färdig så skall en text-logg komma upp, kopiera och klistra in den hit till din tråd

Kan även hittas här => (C:\ComboFix.txt)

4: Gör en ny TM HJT-logg, kopiera även in den.

VIKTIGT! Klicka INTE på Combofix-fönstret med musen när ComboFix körs annars kan scanningen hänga upp sig.

OBS:

Kontrollera att antivirusprogram/antispionprogram mm är återaktiverade innan du ansluter till Internet.

OBSERVERA:

Verktyget/Programmet kan ge problem med uppkopplingen (tex trådlös).

Om problem uppstår prova då nedanstående.

Gå till => Kontrollpanelen => Nätverksanslutningar => högerklicka på din Internetanslutning => välj Reparera

Och/Eller

Starta om datorn.

Lycka till

MVH/Malou

Goda nyheten:COMBOFIX mördade TROJANEN. Dåliga nyheten: Dator`n krachade.Hoppas nu på er hjälp med mina frågor efter ominstallationen. 1. Säkerhetscentret säger att F-SECURE är aktivt och körs men i hälsorapporten sägs att inget aktivt virusprogram är registrerat i säkerhetscenter ??? 2. Då jag körde full sökning F-SECURE så stoppa den upp ett tag vid NOTPAD.EXE och då kändes det inte bra så vill lämna ny HIJACKLOGGA hit. 3.skulle uppdatera grafikkortet på FUJITSU och såg då att vista basic inte stod med utan /home premium/ultimate.Läste ett inlägg här på sidan där skrivar´n tyckte att allt med Home i namnet var skit så vill inte uppgradera till det, Fråga:kan jag ändå uppdatera grafikkortet fast basic inte stod med ??? Återkommer med ny HIJACKLOGGA och hoppas på att ni inte tröttnat på mej.m

[Gäst Malou]

Hej margrehte!

3.skulle uppdatera grafikkortet på FUJITSU och såg då att vista basic inte stod med utan /home premium/ultimate.Läste ett inlägg här på sidan där skrivar´n tyckte att allt med Home i namnet var skit så vill inte uppgradera till det, Fråga:kan jag ändå uppdatera grafikkortet fast basic inte stod med ???

Detta är tyvärr något som inte jag kan hjälpa dig med då detta ligger utanför mitt område. Jag är endast behjälplig gällande systemrensningar av allehanda otyg i den här forumskategorin vi är i nu.

Rekommenderar dig att skapa en ny tråd gällande detta problemet i forumskategorin => Windows Vista <=

http://www.alltomxp.se/forum/index.php?showforum=59

********************************************************************************

Goda nyheten:COMBOFIX mördade TROJANEN. Dåliga nyheten: Dator`n krachade.

Låter mycket märkligt att datorn krachade Men underbart att ComboFix hittade/åtgärdade otrevligheten (om den nu gjorde det)

Hoppas nu på er hjälp med mina frågor efter ominstallationen. 1. Säkerhetscentret säger att F-SECURE är aktivt och körs men i hälsorapporten sägs att inget aktivt virusprogram är registrerat i säkerhetscenter ??? 2. Då jag körde full sökning F-SECURE så stoppa den upp ett tag vid NOTPAD.EXE och då kändes det inte bra så vill lämna ny HIJACKLOGGA hit.

Återkommer med ny HIJACKLOGGA och hoppas på att ni inte tröttnat på mej.m

Är ditt F-Secure kompatibelt med ditt Vista operativsystem?

Vad säger ditt F-Secure mer ang Notepad.exe?

Du är välkommen med en ny TM HJT-logga

MVH/Malou

[margrehte]

Hej margrehte!

Detta är tyvärr något som inte jag kan hjälpa dig med då detta ligger utanför mitt område. Jag är endast behjälplig gällande systemrensningar av allehanda otyg i den här forumskategorin vi är i nu.

Rekommenderar dig att skapa en ny tråd gällande detta problemet i forumskategorin => Windows Vista <=

http://www.alltomxp.se/forum/index.php?showforum=59

********************************************************************************

Låter mycket märkligt att datorn krachade Men underbart att ComboFix hittade/åtgärdade otrevligheten (om den nu gjorde det)

Är ditt F-Secure kompatibelt med ditt Vista operativsystem?

Vad säger ditt F-Secure mer ang Notepad.exe?

Du är välkommen med en ny TM HJT-logga

MVH/Malou

HJÄLP ! F-SECURE hittar inget men i HIJACK dök HOSTSFILEN UPP DIREKT.Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:34:51, on 2009-03-13

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\RtHDVCpl.exe

C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSM32.EXE

C:\Windows\system32\conime.exe

C:\Program Files\Telia\Telias sakerhetstjanster\FSGUI\fsguidll.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\Trend Micro\HijackThis\margrehte.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [skytel] Skytel.exe

O4 - HKLM\..\Run: [Telia] "C:\Program Files\Telia\Supportassistent\bin\sprtcmd.exe" /P Telia

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Telia\Telias sakerhetstjanster\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NÄTVERKSTJÄNST')

O13 - Gopher Prefix:

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\FSAUA\program\fsaua.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\ORSP Client\fsorsp.exe

O23 - Service: SupportSoft Sprocket Service (telia) (sprtsvc_telia) - SupportSoft, Inc. - C:\Program Files\Telia\Supportassistent\bin\sprtsvc.exe

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Program Files\Common Files\SupportSoft\bin\ssrc.exe

--

End of file - 3523 bytes

[margrehte]

HJÄLP ! F-SECURE hittar inget men i HIJACK dök HOSTSFILEN UPP DIREKT.Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 14:34:51, on 2009-03-13

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v7.00 (7.00.6001.18000)

Boot mode: Normal

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Windows\RtHDVCpl.exe

C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSM32.EXE

C:\Windows\system32\conime.exe

C:\Program Files\Telia\Telias sakerhetstjanster\FSGUI\fsguidll.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\Trend Micro\HijackThis\margrehte.exe.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O1 - Hosts: ::1 localhost

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [RtHDVCpl] RtHDVCpl.exe

O4 - HKLM\..\Run: [skytel] Skytel.exe

O4 - HKLM\..\Run: [Telia] "C:\Program Files\Telia\Supportassistent\bin\sprtcmd.exe" /P Telia

O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSM32.EXE" /splash

O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program Files\Telia\Telias sakerhetstjanster\FSGUI\TNBUtil.exe" /CHECKALL /WAITFORSW

O4 - HKUS\S-1-5-19\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NÄTVERKSTJÄNST')

O13 - Gopher Prefix:

O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe

O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe

O23 - Service: F-Secure Automatic Update Agent (FSAUA) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\FSAUA\program\fsaua.exe

O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe

O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE

O23 - Service: F-Secure ORSP Client (FSORSPClient) - F-Secure Corporation - C:\Program Files\Telia\Telias sakerhetstjanster\ORSP Client\fsorsp.exe

O23 - Service: SupportSoft Sprocket Service (telia) (sprtsvc_telia) - SupportSoft, Inc. - C:\Program Files\Telia\Supportassistent\bin\sprtsvc.exe

O23 - Service: SupportSoft RemoteAssist - SupportSoft, Inc. - C:\Program Files\Common Files\SupportSoft\bin\ssrc.exe

--

End of file - 3523 bytes

Hjälp igen, gjorde googlesökning på notpad.exe och tryckte på "jag har tur" och kom på sida som säger trojan och hur den kan tas bort. snälla malou kan du titta på den sidan ? jag går och sätter mej i ett hörn och drar en gammal filt över mej.

[Gäst Malou]

Hej margrehte!

HJÄLP ! F-SECURE hittar inget men i HIJACK dök HOSTSFILEN UPP DIREKT

Jag kan inte se att där är några konstigheter eller otrevligheter i din TM HJT-logga. Den ser perfekt ut

Kan det vara denna detalj => O1 - Hosts: ::1 localhost <= du hakar upp dig på?

Om det är den du menar så är den helt ok och skall finnas där i TM HJT-loggan då du gör en scanning med verktyget. Den tillhör ditt Vista system så du kan vara helt lugn gällande den

Hjälp igen, gjorde googlesökning på notpad.exe och tryckte på "jag har tur" och kom på sida som säger trojan och hur den kan tas bort. snälla malou kan du titta på den sidan ? jag går och sätter mej i ett hörn och drar en gammal filt över mej.

Nejdå det gör du inte alls det

Du söker på Google ang Notepad.exe och trycker på "Jag har tur"?

Vilken sida gäller det?

Och vad menar du med att du klickar på Jag har tur?

MVH/Malou

[Gäst Malou]

Hej igen margrehte!

Gör nedanstående procedur.

Visa dolda filer och mappar Windows XP och Windows Vista:

Windows Vista-Användare:

1: Öppna Mappalternativ genom att klicka på Start-knappen => Kontrollpanelen => Utseende och anpassning => Mappalternativ.

2: Klicka på fliken Visning.

3: Klicka på Visa dolda filer och mappar under Avancerade inställningar och klicka sedan på OK.

Gör nu en sökning över hela datorn efter => notepad.exe <= och återkomma med fullständiga sökvägar till varje notepad.exe du hittar i datorn.

MVH/Malou

[margrehte]

Hej margrehte!

Jag kan inte se att där är några konstigheter eller otrevligheter i din TM HJT-logga. Den ser perfekt ut

Kan det vara denna detalj => O1 - Hosts: ::1 localhost <= du hakar upp dig på?

Om det är den du menar så är den helt ok och skall finnas där i TM HJT-loggan då du gör en scanning med verktyget. Den tillhör ditt Vista system så du kan vara helt lugn gällande den

Nejdå det gör du inte alls det

Du söker på Google ang Notepad.exe och trycker på "Jag har tur"?

Vilken sida gäller det?

Och vad menar du med att du klickar på Jag har tur?

MVH/Malou

Jag går alltid till "www.google.se" och där kan man välja knappen "jag har tur"..dom 2 sista raderna fattades väl på hostsfilen ? .var säker på att notpad.exe inte fanns igår eller idag förmiddag så öppnade notpad .exe och såg att den installerats kl 13 och det enda jag gjorde strax innan var att klicka på update "välj att även installera uppdateringar från microsoft" gick då till installerade uppdateringar" och det var språkpaket för microsoft.net framework + hotfix för microsoft, så avinstallerade 1 men 2:an var låst så gick till "program och funktioner" och avinstallerade där, rasslade i burken som om det var en hel ormgrupp vilket det inte brukar vid avinstallationer, tillbaka på update finns "språkpaket för microsoft" men syns inte i installerade uppdateringar.glömt kolla loggboken om varning så gör det nu.Tack för all hjälp och hoppas du orkar en stund till.m