Trojaner o annat skit!

Morsan · April 30, 2009

Och fastnade direkt

Datorn PEP till ordentligt och sen kom denna bild upp:

Ska jag bara klicka OK eller inaktivera allt den vill och då dra ur internet?

Drog WindowsXP-KB310994-SP2-Pro-BootDisk-SVE.exe till ComboFix som verkade installera sig själv direkt (såg inget annat) efter att jag hade godkänt programmet.

Har inte fått upp något från skyddsprogrammen om att tillåta/neka, innan bilden kom!

Följer dina instruktioner, men får känslan av att den hoppade vidare direkt till ComboFix-Scanningen!?

April 30, 2009

Hej Morsan!

Om det är själva comboscanningen du menar så har jag skrivit i instruktionen under Gå nu vidare med ComboFix-Scanningen:

Dra ur internetanslutningen och stäng av alla program du ser inklusive antivirusprogram, antispionprogram och brandvägg.

Med andra ord Ja stäng av/avaktivera skyddsprogram m.m

MVH/Malou

Morsan · April 30, 2009

Hej Malou!

Ja du, om jag det visste!

Du skrev "Ta tag i filen du sparade ner till skrivbordet => Dra filen med musen över Skrivbordet och släpp den på ComboFix-ikonen. ComboFix kommer nu att installera Återställningskonsolen.

OBS: Denna procedur kan ta lång tid så det gäller att du har tålamod under installationen av Återställningskonsolen. Du bör även godkänna/tillåta allt via skyddsprogrammen (antivirus/brandväggen etc..) för ett lyckat resultat."

Jag drog windows-filen och släppte den på ComboFix-ikonen varpå ComboFix-installationen satte igång (okänd utgivare) när jag klickade OK

Det tog inte alls lång tid innan Varningen (på bilden) dök upp! :blink:

Så nu börjar jag fundera på om jag kanske redan hade Microsoft Windows Recovery Console och om då din blåa text (Notera: Om Microsoft Windows Recovery Console redan finns installerat på datorn, kommer ComboFix att gå vidare med scanningen:) gäller, dvs att den gått vidare och vill påbörja skanningen?

Förstår om du blir trött på alla mina frågor (jag blir trött på att inte ha svaren själv :angry: )

Så då tänkte jag så här:

Jag drar ur internet, stänger av Symantec AV och Windows brandvägg och sedan klickar jag OK och hoppas att det går bra!?

Med risk för att verka oerhört dum, så frågar jag:

hur inaktiverar jag Spybot och behöver jag inaktivera Malwarebyte och TM HJT?

Räcker det med Disable All Protection på SpywareBlaster?

Kanske borde jag ge mig så Du får lite sömn (känner lite dåligt samvete här på min sida)

Säg ifrån om du hellre vill fortsätta imorgon (eh, senare idag)

Mvh

Morsan

April 30, 2009

Hej Morsan!

TM HJT och Malwarebyte behöver du inte åtgärda då dessa inte har något realtidsskydd.

SpyBoot med TeaTimer har jag redan sagt att det skall stängas av/avaktiveras. Likaså skall dina övriga skyddsprogram stängas av/avaktiveras samt att nätverkskabeln skall dras ur.

Räcker det med Disable All Protection på SpywareBlaster?

Ja

För att göra det enklare/lättare så hoppa över detta med recoveryconsolen och kör igång med själva comboscanningen. Jag ser i loggan från combo om där finns en recoveryconsol eller inte.

Något dåligt samvete skall du absolut inte ha/känna

Jag säger till om det skulle vara så och det gör jag nu Nu känner jag att jag vill lägga mig för ögonen börjar att gå i kors här

Så vi får nog fortsätta imorgon då vi båda är pigga igen.

MVH/Malou

Morsan · Maj 1, 2009

Hej Malou!

Bra att du la dig

Gjorde två försök med ComboFix och Microsoft Windows Recovery Console, men båda gångerna så ville bara ComboFix installera sig, så jag lät den.

Första försöket följde jag din uppmaning och klickade på Nej/No, varpå den då gick vidare och uppmanade mig att installera Microsoft Windows Recovery Console

Den ville då gå ut på nätet, men jag hade ju då redan stängt av alla skyddsprogram och dragit ur nätverkskabeln

För att göra det kortfattat: ComboFix skannade och skrev logg!

Gjorde om försöket med att dra Microsoft Windows Recovery Console till ComboFix, med samma resultat

Denna gång fick den skanna (jag lydde inte din uppmaning denna gång *skäms lite*) och nu sa den inget om Microsoft Windows Recovery Console

Körde en TM HJT och sparade även den loggen.

Kopierar in första ComboFix-loggen och TM HJT-loggen

Vill du ha andra ComboFix-loggen så kopierar jag in den när jag kommer "hit" igen.

Vågar inte riktigt stänga av datorn så den får stå på över natten

Ett stort TACK för din tid och din hjälp!

Hoppas du får sova gott och drömma sött

Jo! Första försöket på ComboFix så fick jag bl.a detta felmeddelande: Boot-partitionen kunde inte utläsas korrekt.

Kunde bara klicka OK så jag gjorde det.

Hoppas jag inte har ställt till det nu, bara för att jag är så envis

Eller så kanske det är mitt Boot.ini-problem som bråkar vad gäller Återställningskonsollen/installationen?

(som du ser så har jag inte Microsoft Windows Recovery Console installerat och det är det som gör att jag inte vågar stänga av över natten)

ComboFix log

ComboFix 09-04-30.02 - S 2009-05-01 1:48.1 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.46.1053.18.1023.583 [GMT 2:00]

Körs från: c:\documents and settings\S\Skrivbord\ComboFix.exe

AV: Symantec AntiVirus Corporate Edition *On-access scanning disabled* (Updated)

VARNINIG -ÅTERSTÄLLNINGSKONSOLEN (THE RECOVERY CONSOLE) ÄR INTE INSTALLERAD PÅ DEN HÄR DATORN !!

.

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\windows\IE4 Error Log.txt

c:\windows\system32\nfr.assembly

c:\windows\system32\nfr.gpref

.

(((((((((((((((((((((((( Filer Skapade från 2009-03-28 till 2009-04-30 ))))))))))))))))))))))))))))))

.

2009-04-30 19:40 . 2009-04-30 19:40 -------- d--h--w c:\documents and settings\All Users\Application Data\CanonBJ

2009-04-30 17:38 . 2009-04-30 17:38 -------- d-sh--w c:\documents and settings\NetworkService\PrivacIE

2009-04-30 15:38 . 2009-04-30 15:39 -------- d-----w c:\documents and settings\All Users\Application Data\Spybot - Search & Destroy

2009-04-30 15:20 . 2009-04-06 13:32 15504 ----a-w c:\windows\system32\drivers\mbam.sys

2009-04-30 15:20 . 2009-04-06 13:32 38496 ----a-w c:\windows\system32\drivers\mbamswissarmy.sys

2009-04-30 15:20 . 2009-04-30 15:20 -------- d-----w c:\program\Malwarebytes' Anti-Malware

2009-04-30 15:09 . 2009-04-30 15:09 -------- d-----w c:\documents and settings\All Users\Application Data\Malwarebytes

2009-04-30 14:54 . 2009-04-30 14:54 -------- d-----w c:\documents and settings\All Users\Application Data\Skype

2009-04-30 14:53 . 2009-04-30 14:53 -------- d-----w c:\documents and settings\All Users\Application Data\Pinnacle

2009-04-30 14:53 . 2009-04-30 14:53 -------- d-----w c:\documents and settings\All Users\Application Data\Office Genuine Advantage

2009-04-30 14:52 . 2009-04-30 14:52 -------- d-----w c:\documents and settings\All Users\Application Data\Bredbandsbolaget

2009-04-30 14:52 . 2009-04-30 14:52 -------- d-----w c:\documents and settings\All Users\Application Data\Emotum

2009-04-30 14:51 . 2009-04-30 14:51 -------- d-----w c:\documents and settings\All Users\Application Data\agi

2009-04-29 13:34 . 2009-04-29 13:34 -------- d-sh--w c:\documents and settings\LocalService\PrivacIE

2009-04-26 22:25 . 2009-04-30 15:01 -------- d-----w c:\program\Wise Disk Cleaner

2009-04-24 23:08 . 2009-04-24 23:08 578560 -c--a-w c:\windows\system32\dllcache\user32.dll

2009-04-24 23:04 . 2009-04-24 23:04 -------- d-----w c:\windows\ERUNT

2009-04-24 22:46 . 2009-04-25 00:02 -------- d-----w C:\SDFix

2009-04-24 19:17 . 2009-04-24 19:17 -------- d-----w c:\documents and settings\S\Application Data\Malwarebytes

2009-04-24 15:40 . 2009-04-24 15:40 -------- d-----w c:\program\Delade filer\iS3

2009-04-24 14:58 . 2009-04-24 14:58 -------- d-----w c:\documents and settings\LocalService\Skrivbord

2009-04-24 14:25 . 2009-04-24 14:33 664 ----a-w c:\windows\system32\d3d9caps.dat

2009-04-23 20:57 . 2009-04-23 20:57 0 ----a-w c:\windows\nsreg.dat

2009-04-23 15:46 . 2009-04-23 15:46 1 ---h--w c:\windows\nlmark2.dat

2009-04-23 15:46 . 2009-04-23 15:46 142 ----a-w C:\pch.bat

2009-04-20 05:21 . 2009-04-20 05:21 -------- d-sh--w c:\documents and settings\C\PrivacIE

2009-04-20 05:18 . 2009-04-20 05:18 -------- d-----w c:\documents and settings\C\Tracing

2009-04-20 05:18 . 2009-04-20 05:18 -------- d-----w c:\documents and settings\C\Application Data\Personal

2009-04-20 05:17 . 2009-04-20 05:17 -------- d-sh--w c:\documents and settings\C\IETldCache

2009-04-17 06:25 . 2009-02-06 10:10 227840 -c----w c:\windows\system32\dllcache\wmiprvse.exe

2009-04-17 06:25 . 2009-03-06 14:24 284160 -c----w c:\windows\system32\dllcache\pdh.dll

2009-04-17 06:25 . 2009-02-09 11:27 110592 -c----w c:\windows\system32\dllcache\services.exe

2009-04-17 06:25 . 2009-02-09 10:56 401408 -c----w c:\windows\system32\dllcache\rpcss.dll

2009-04-17 06:25 . 2009-02-09 10:56 473600 -c----w c:\windows\system32\dllcache\fastprox.dll

2009-04-17 06:25 . 2009-02-09 10:56 681472 -c----w c:\windows\system32\dllcache\advapi32.dll

2009-04-17 06:25 . 2009-02-09 10:56 729600 -c----w c:\windows\system32\dllcache\lsasrv.dll

2009-04-17 06:25 . 2009-02-09 10:55 453120 -c----w c:\windows\system32\dllcache\wmiprvsd.dll

2009-04-17 06:25 . 2009-02-09 10:56 719360 -c----w c:\windows\system32\dllcache\ntdll.dll

2009-04-17 06:24 . 2008-04-21 21:16 217088 -c----w c:\windows\system32\dllcache\wordpad.exe

2009-04-15 08:26 . 2009-04-15 08:26 -------- d-sh--w c:\documents and settings\NetworkService\IETldCache

2009-04-10 15:45 . 2009-04-10 15:45 -------- d-sh--w c:\documents and settings\S\PrivacIE

2009-04-10 15:41 . 2009-04-10 15:41 -------- d-sh--w c:\documents and settings\LocalService\IETldCache

2009-04-10 15:41 . 2009-04-10 15:41 -------- d-sh--w c:\documents and settings\S\IETldCache

2009-04-10 15:28 . 2009-04-10 15:28 -------- d-----w c:\windows\ie8updates

2009-04-10 15:25 . 2009-04-10 15:25 -------- dc-h--w c:\windows\ie8

2009-04-10 15:22 . 2009-02-28 04:55 105984 -c----w c:\windows\system32\dllcache\iecompat.dll

2009-04-08 08:41 . 2009-04-08 08:42 -------- d-----w c:\documents and settings\All Users\Application Data\{8CD7F5AF-ECFA-4793-BF40-D8F42DBFF906}

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-04-30 23:43 . 2005-11-01 20:57 -------- d-----w c:\program\Symantec AntiVirus

2009-04-30 23:16 . 2006-01-04 17:07 -------- d-----w c:\program\SpywareBlaster

2009-04-30 15:41 . 2005-11-01 22:57 -------- d-----w c:\program\Delade filer\Logitech

2009-04-30 15:06 . 2009-01-08 17:02 -------- d-----w c:\program\Orb Networks

2009-04-30 15:05 . 2006-11-17 09:42 -------- d-----w c:\program\MySpace

2009-04-30 15:04 . 2008-02-23 14:42 -------- d-----w c:\program\iTunes

2009-04-30 15:04 . 2007-07-05 18:02 -------- d-----w c:\program\Delade filer\Apple

2009-04-30 15:00 . 2005-11-06 11:55 -------- d-----w c:\program\Google

2009-04-30 15:00 . 2006-01-12 23:04 -------- d-----w c:\program\Canon

2009-04-29 22:02 . 2007-07-05 19:52 -------- d-----w c:\program\DynDNS Updater

2009-04-27 23:01 . 2006-05-01 19:59 -------- d-----w c:\program\Windows Live Safety Center

2009-04-26 16:00 . 2009-01-08 21:17 -------- d-----w c:\program\Norton Security Scan

2009-04-24 22:08 . 2006-05-10 21:53 -------- d-----w c:\program\MSN Messenger

2009-04-24 15:26 . 2007-01-31 15:08 -------- d-----w c:\program\Trend Micro

2009-04-24 14:55 . 2001-09-28 12:00 94520 ----a-w c:\windows\system32\perfc01D.dat

2009-04-24 14:55 . 2001-09-28 12:00 468936 ----a-w c:\windows\system32\perfh01D.dat

2009-04-24 12:07 . 2005-11-03 17:42 -------- d-----w c:\program\Spybot - Search & Destroy

2009-04-23 12:52 . 2005-11-05 11:51 -------- d-----w c:\program\Webshots

2009-04-02 13:52 . 2005-11-02 19:49 -------- d-----w c:\program\Java

2009-03-13 10:33 . 2005-11-01 20:22 -------- d-----w c:\program\Delade filer\Adobe

2009-03-13 09:48 . 2009-03-13 09:48 -------- d-----w c:\program\Delade filer\Room328

2009-03-13 09:48 . 2009-03-13 09:48 -------- d-----w c:\program\VirtualDecor

2009-03-09 03:19 . 2008-11-22 09:57 410984 ----a-w c:\windows\system32\deploytk.dll

2009-03-08 02:34 . 2004-08-04 00:34 914944 ----a-w c:\windows\system32\wininet.dll

2009-03-08 02:34 . 2004-08-04 00:33 43008 ----a-w c:\windows\system32\licmgr10.dll

2009-03-08 02:33 . 2004-08-04 00:33 18944 ----a-w c:\windows\system32\corpol.dll

2009-03-08 02:33 . 2004-08-04 00:34 420352 ----a-w c:\windows\system32\vbscript.dll

2009-03-08 02:32 . 2004-08-04 00:33 72704 ----a-w c:\windows\system32\admparse.dll

2009-03-08 02:32 . 2004-08-04 00:33 71680 ----a-w c:\windows\system32\iesetup.dll

2009-03-08 02:31 . 2004-08-04 00:33 34816 ----a-w c:\windows\system32\imgutil.dll

2009-03-08 02:31 . 2004-08-04 00:31 48128 ----a-w c:\windows\system32\mshtmler.dll

2009-03-08 02:31 . 2004-08-04 00:34 45568 ----a-w c:\windows\system32\mshta.exe

2009-03-08 02:22 . 2001-09-28 12:00 156160 ----a-w c:\windows\system32\msls31.dll

2009-03-06 14:24 . 2004-08-04 00:33 284160 ----a-w c:\windows\system32\pdh.dll

2009-03-06 07:28 . 2005-11-01 20:19 -------- d--h--w c:\program\InstallShield Installation Information

2009-03-05 16:00 . 2008-10-04 12:02 -------- d-----w c:\program\WinAVI Video Converter

2009-03-05 16:00 . 2008-12-26 15:31 -------- d-----w c:\program\MouseBike

2009-03-04 21:17 . 2009-01-06 17:56 -------- d-----w c:\program\Pinnacle

2009-03-02 21:52 . 2009-03-02 21:52 -------- d-----w c:\program\MSBuild

2009-03-02 21:52 . 2009-03-02 21:52 -------- d-----w c:\program\Reference Assemblies

2009-02-09 14:07 . 2004-08-04 00:20 1846784 ----a-w c:\windows\system32\win32k.sys

2009-02-09 11:27 . 2004-08-04 01:25 2024960 ----a-w c:\windows\system32\ntkrnlpa.exe

2009-02-09 11:27 . 2004-08-04 00:24 2146304 ----a-w c:\windows\system32\ntoskrnl.exe

2009-02-09 11:27 . 2004-08-04 00:34 110592 ----a-w c:\windows\system32\services.exe

2009-02-09 10:56 . 2004-08-04 00:33 401408 ----a-w c:\windows\system32\rpcss.dll

2009-02-09 10:56 . 2004-08-04 00:33 729600 ----a-w c:\windows\system32\lsasrv.dll

2009-02-09 10:56 . 2004-08-04 00:33 681472 ----a-w c:\windows\system32\advapi32.dll

2009-02-09 10:56 . 2004-08-04 00:33 719360 ----a-w c:\windows\system32\ntdll.dll

2009-02-06 18:13 . 2009-02-06 18:13 308088 ----a-w c:\windows\WLXPGSS.SCR

2009-02-06 17:52 . 2009-02-06 17:52 49504 ----a-w c:\windows\system32\sirenacm.dll

2009-02-06 10:39 . 2001-09-28 12:00 35328 ----a-w c:\windows\system32\sc.exe

2009-02-03 19:59 . 2004-08-04 00:33 56832 ----a-w c:\windows\system32\secur32.dll

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"MsnMsgr"="c:\program\Windows Live\Messenger\MsnMsgr.Exe" [2009-02-06 3885408]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"Skype"="c:\program\Skype\Phone\Skype.exe" [2009-01-29 23975720]

"WMPNSCFG"="c:\program\Windows Media Player\WMPNSCFG.exe" [2006-11-15 204288]

"swg"="c:\program\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-18 68856]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ccApp"="c:\program\Delade filer\Symantec Shared\ccApp.exe" [2005-06-02 48752]

"vptray"="c:\program\SYMANT~1\\vptray.exe" [2005-06-23 85696]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-09-17 13574144]

"FlashIcon"="c:\program\Generic\USB Card Reader Driver v2.3b\FlashIcon.exe" [2004-12-13 40960]

"Bredbandsbolaget Servicecenter"="c:\program\Bredbandsbolaget\Servicecenter\Bredbandsbolaget.exe" [2008-04-21 443752]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-09-17 86016]

"QuickTime Task"="c:\program\QuickTime Alternative\QTTask.exe" [2009-01-05 413696]

"Adobe Reader Speed Launcher"="c:\program\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2009-02-27 35696]

"SunJavaUpdateSched"="c:\program\Java\jre6\bin\jusched.exe" [2009-03-09 148888]

"Genväg till egenskapssida för High Definition Audio"="HDAudPropShortcut.exe" - c:\windows\system32\Hdaudpropshortcut.exe [2004-03-17 61952]

"Logitech Utility"="Logi_MwX.Exe" - c:\windows\LOGI_MWX.EXE [2003-12-11 20992]

"nwiz"="nwiz.exe" - c:\windows\system32\nwiz.exe [2008-09-17 1657376]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\S\Start-meny\Program\Autostart\

Webshots.lnk - c:\program\Webshots\Launcher.exe [2005-11-5 157000]

[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]

"{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program\Windows Desktop Search\MSNLNamespaceMgr.dll" [2008-05-26 304128]

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^BankID säkerhetsprogram.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\BankID säkerhetsprogram.lnk

backup=c:\windows\pss\BankID säkerhetsprogram.lnkCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Corel Family and Friends Reminders.LNK]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\Corel Family and Friends Reminders.LNK

backup=c:\windows\pss\Corel Family and Friends Reminders.LNKCommon Startup

[HKLM\~\startupfolder\C:^Documents and Settings^All Users^Start-meny^Program^Autostart^Windows Search.lnk]

path=c:\documents and settings\All Users\Start-meny\Program\Autostart\Windows Search.lnk

backup=c:\windows\pss\Windows Search.lnkCommon Startup

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Festoon

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\My Web Search Bar

HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MyWebSearch Email Plugin

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]

"WinVNC4"=2 (0x2)

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]

"DisableMonitoring"=dword:00000001

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile]

"EnableFirewall"= 0 (0x0)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program\\BitTornado\\btdownloadgui.exe"=

"c:\\Program\\IncrediMail\\bin\\IMApp.exe"=

"c:\\Program\\IncrediMail\\bin\\IncMail.exe"=

"c:\\Program\\IncrediMail\\bin\\ImpCnt.exe"=

"c:\\Program\\NetMeeting\\conf.exe"=

"c:\\WINDOWS\\system32\\dpvsetup.exe"=

"c:\\Program\\FlashFXP\\FlashFXP.exe"=

"c:\\Program\\DC++\\DCPlusPlus.exe"=

"c:\\WINDOWS\\system32\\rtcshare.exe"=

"c:\\Program\\HP\\Photosmart Essential\\HP_IZE.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program\\VideoLAN\\VLC\\vlc.exe"=

"c:\\WINDOWS\\pchealth\\helpctr\\binaries\\HelpCtr.exe"=

"c:\\Program\\Bredbandsbolaget\\Servicecenter\\Bredbandsbolaget.exe"=

"c:\\Program\\Sony Ericsson\\Update Service\\Update Service.exe"=

"c:\\Program\\Joost\\xulrunner\\tvprunner.exe"=

"c:\\Program\\Bonjour\\mDNSResponder.exe"=

"c:\\Program\\Windows Live\\Sync\\WindowsLiveSync.exe"=

"c:\\Program\\Spotify\\spotify.exe"=

"c:\\Program\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program\\Skype\\Phone\\Skype.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"6112:TCP"= 6112:TCP:BattleNet

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

R2 AGWinService;AG Windows Service;c:\program\AGI\common\win32\PythonService.exe [2009-01-19 10240]

R2 nvtvSND;nVidia WDM TVAudio Crossbar; [x]

R3 ggflt;SEMC USB Flash Driver Filter;c:\windows\system32\DRIVERS\ggflt.sys [2008-02-22 13352]

R3 MEGAUSB0101;MegawinMa100;c:\windows\system32\Drivers\usbscan.sys [2008-04-13 15104]

R3 RTL2831UBDA;REALTEK 2831U BDA Driver;c:\windows\system32\drivers\RTL2831UBDA.sys [2008-08-21 94112]

R3 RTL2831UUSB;REALTEK 2831U USB Driver;c:\windows\system32\Drivers\RTL2831UUSB.sys [2008-08-21 32800]

R3 SavRoam;SavRoam;c:\program\Symantec AntiVirus\SavRoam.exe [2005-06-23 124608]

R3 SUSCOM;Susteen Serial port driver;c:\windows\system32\DRIVERS\SUSCOM.SYS [2002-10-22 40448]

S0 pnpshark;pnpshark;c:\windows\system32\DRIVERS\pnpshark.sys [2003-10-02 119552]

S0 st3shark;st3shark;c:\windows\system32\DRIVERS\st3shark.sys [2003-09-27 5504]

S3 cmudax;C-Media High Definition Audio Interface;c:\windows\system32\drivers\cmudax.sys [2004-10-21 1275584]

S3 filter;filter;c:\windows\system32\drivers\filter.sys [2004-11-26 8832]

S3 pctvnet;Pinnacle PCTV Ethernet Driver;c:\windows\system32\DRIVERS\pctvnet.sys [2004-04-05 9340]

--- Övriga tjänster/drivrutiner i minnet ---

*Deregistered* - EraserUtilDrv10910

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\H]

\Shell\AutoRun\command - H:\SETUP.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\>{60B49E34-C7CC-11D0-8953-00A0C90347FF}]

"c:\windows\system32\rundll32.exe" "c:\windows\system32\iedkcs32.dll",BrandIEActiveSetup SIGNUP

[HKEY_LOCAL_MACHINE\software\microsoft\active setup\installed components\{969B3B70-8765-11D5-9809-0050BACBF861}]

rundll32.exe advpack.dll,LaunchINFSection c:\program\CyberLink\MP3PowerEncoder\Cyber.inf,PerUserStub

.

Innehållet i mappen 'Schemalagda aktiviteter':

2009-04-29 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program\Apple Software Update\SoftwareUpdate.exe [2008-07-30 10:34]

2009-04-28 c:\windows\Tasks\Defrag.job

- c:\windows\system32\defrag.exe [2004-08-04 16:05]

2009-04-30 c:\windows\Tasks\Jucheck Java Update.job

- c:\program\Java\jre1.6.0_07\bin\jucheck.exe [2008-07-16 02:27]

2009-04-29 c:\windows\Tasks\Norton Security Scan for S.job

- c:\program\Norton Security Scan\Nss.exe [2008-09-19 03:18]

2009-04-30 c:\windows\Tasks\OGADaily.job

- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]

2009-04-30 c:\windows\Tasks\OGALogon.job

- c:\windows\system32\OGAVerify.exe [2008-12-31 16:04]

2009-04-30 c:\windows\Tasks\Spybot - Search & Destroy - Scheduled Task.job

- c:\program\Spybot - Search & Destroy\SpybotSD.exe [2005-11-06 14:31]

2009-04-30 c:\windows\Tasks\Spybot - Search & Destroy Updater - Scheduled Task.job

- c:\program\Spybot - Search & Destroy\SDUpdate.exe [2008-01-30 14:31]

.

- - - - FÖRÄLDRALÖSA POSTER SOM TAGITS BORT - - - -

Toolbar-SITEguard - (no file)

WebBrowser-{2D69E865-9291-4428-B482-EC33F183E37F} - (no file)

HKLM-Run-Cmaudio - cmicnfg.cpl

.

------- Extra genomsökning -------

.

uStart Page = hxxp://www.webaidshop.se/

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&rls=com.microsoft:{language}:{referrer:source?}&ie={inputEncoding}&oe={outputEncoding}&sourceid=ie7&rlz=1I7GGLG

uInternet Settings,ProxyServer = http=localhost:7171

uInternet Settings,ProxyOverride = *.local;<local>

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: &Add animation to IncrediMail Style Box

IE: &Search - ?p=ZU

IE: &Windows Live Search

IE: E&xportera till Microsoft Excel - c:\program\MICROS~2\OFFICE11\EXCEL.EXE/3000

Filter: x-sdch - {B1759355-3EEC-4C1E-B0F1-B719FE26E377} - c:\program\Google\Google Toolbar\Component\fastsearch_A8904FB862BD9564.dll

DPF: {7F8C8173-AD80-4807-AA75-5672F22B4582} - hxxp://download.zonelabs.com/bin/promotions/spywaredetector/ICSScanner371290.cab

DPF: {B9F79165-A264-4C4A-A211-133A5E8D647F} - hxxp://snabbt.bredband.com/check/fscax.cab

FF - ProfilePath - c:\documents and settings\S\Application Data\Mozilla\Firefox\Profiles\mvjphkbr.default\

FF - prefs.js: browser.startup.homepage - hxxp://www.webaidshop.se/

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nppl3260.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprjplug.dll

FF - plugin: c:\program files\Real\RealPlayer\Netscape6\nprpjplug.dll

FF - plugin: c:\program\Microsoft\Office Live\npOLW.dll

FF - plugin: c:\program\Personal\bin\np_prsnl.dll

FF - plugin: c:\program\QuickTime Alternative\Plugins\npqtplugin.dll

FF - plugin: c:\program\QuickTime Alternative\Plugins\npqtplugin2.dll

FF - plugin: c:\program\QuickTime Alternative\Plugins\npqtplugin3.dll

FF - plugin: c:\program\QuickTime Alternative\Plugins\npqtplugin4.dll

FF - plugin: c:\program\QuickTime Alternative\Plugins\npqtplugin5.dll

FF - plugin: c:\program\QuickTime Alternative\Plugins\npqtplugin6.dll

FF - plugin: c:\program\QuickTime Alternative\Plugins\npqtplugin7.dll

FF - plugin: c:\program\Windows Live\Photo Gallery\NPWLPG.dll

---- FIREFOX POLICY ----

c:\program\Mozilla Firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-05-01 01:52

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- LÅSTA REGISTERNYCKLAR ---------------------

[HKEY_USERS\.Default\Software\Microsoft\Internet Explorer\User Preferences]

@Denied: (2) (LocalSystem)

"88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,8d,28,6a,7a,db,7b,80,41,af,c9,65,\

"2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,8d,28,6a,7a,db,7b,80,41,af,c9,65,\

"6256FFB019F8FDFBD36745B06F4540E9AEAF222A25"=hex:01,00,00,00,d0,8c,9d,df,01,15,

d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,8d,28,6a,7a,db,7b,80,41,af,c9,65,\

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{47629D4B-2AD3-4e50-B716-A66C15C63153}\InprocServer32*]

"ThreadingModel"="Apartment"