Har virus trots omformattering

[tomorrow]

Hej!

Tidigare i vecka fick jag ett virus som var besvärligt

så jag formaterade om systempartitionen och

installerade Vista på nytt.

Fick då inga signaler av mitt antivirusprogram (Avast)

om några virus.

Installerade Malwarebytes och gjorde en skanning efter

uppdatering av programmet. Fick då tre virus varningar.

Tog bort dessa med Malwarebytes programmet. Efter

borttaget så kom jag inte ut på nätet.

Formaterade om och installerade Vista igen. Samma visa.

Samma virus varningar. Borttag av virus. Utan

nätkontakt igen. Trodde då att eftersom jag bara hade

snabbformaterat HD:n så låg viruset kvar. Gjorde då en

fullständig formattering av systempartitionen och

installerade Vista igen. Allt frid och fröjd tills jag

kör Malwarebytes. Samma virusvarningar kommer

fortfarande upp. Vad gör jag för fel?

Var själv hos en läkare idag och jag hade inga virus.

Se bifogad bild ang datorns virus.

Tacksam för svar!

/tomorrow

[Guest Malou]

Hej tomorrow!

Kan du kopiera in loggan från Malwarebytes' Anti-Malware hit till din tråd så får jag se hur den ser ut?

Gå sedan vidare med nedanstående procedur.

1: Starta om datorn

2: Uppdatera Malwarebytes' Anti-Malware

3: Starta programmet => välj Utför snabb scanning

4: Klicka på knappen Scanna

5: Scanningen kommer nu att ta en stund

6: När programmet scannat klart klicka Ok och sedan Visa resultat

7: Bocka för allt och klicka på Remove Selected

8: Då borttagningen är klar kommer en textfil i Anteckningar att öppnas upp med en logg. Kopiera/klistra in den loggan hit till din tråd.

9: Gör en ny TM HJT-logga kopiera in den hit så får vi se hur den ser ut.

10: Berätta/Tala om hur datorn mår och om där kvarstår problem

OBS:

Kopiera INTE in loggan (textfilen) som bifogad fil ej heller inom code-taggar eller annat.

Kopiera/klistra in loggan DIREKT i ditt inlägg.

MVH/Malou

Edited July 31, 2009 by Malou

[Opptokoppter]

Hej!

Låter ju olyckligt de som du beskriver..

Malwarebytes i all ära men när man läser detta så verkar det som att programmet har fått lite fel för sig.

Eftersom det misstänker systemfiler som systemet behöver.

Om du nu har installerat med en riktig/äkta och genuin kopia av Windows Vista så skulle de ju inte finnas några virus.

Har visserligen personligen funderat en del kring dessa risker vad gäller skadligheter och virus och ifall de har möjligheter att dyka upp även efter en omformatering. Eftersom diskar inte raderar filer som en gång har lagrats på dem så bör man ju egentligen låta skriva över gamla filer med flera lager för att vara på den säkra sidan.

Vid en omformatering så raderas ju bara hänvisningarna och kopplingarna bort som finns till filerna i disken, men filerna finns ju fortfarande kvar någonstans. Dessutom finns det också recovery program som kan leta upp "det som har gömts i snön"

Tror nog att du hade tjänat på & skriva över den gamla partionen ett flertal gånger med lämpligt program och sedan installera en ny partion med Vista ovanpå alltihop.

[tomorrow]

Hej tomorrow!

Kan du kopiera in loggan från Malwarebytes' Anti-Malware hit till din tråd så får jag se hur den ser ut?

Gå sedan vidare med nedanstående procedur.

1: Starta om datorn

2: Uppdatera Malwarebytes' Anti-Malware

3: Starta programmet => välj Utför snabb scanning

4: Klicka på knappen Scanna

5: Scanningen kommer nu att ta en stund

6: När programmet scannat klart klicka Ok och sedan Visa resultat

7: Bocka för allt och klicka på Remove Selected

8: Då borttagningen är klar kommer en textfil i Anteckningar att öppnas upp med en logg. Kopiera/klistra in den loggan hit till din tråd.

9: Gör en ny TM HJT-logga kopiera in den hit så får vi se hur den ser ut.

10: Berätta/Tala om hur datorn mår och om där kvarstår problem

OBS:

Kopiera INTE in loggan (textfilen) som bifogad fil ej heller inom code-taggar eller annat.

Kopiera/klistra in loggan DIREKT i ditt inlägg.

MVH/Malou

Hej Malou!

Tack för ditt otroligt snabba svar!

Här kommer loggen.

Malwarebytes' Anti-Malware 1.39

Databasversion: 2535

Windows 6.0.6001 Service Pack 1

2009-07-31 18:20:07

mbam-log-2009-07-31 (18-20-01).txt

Skanningstyp: Snabb skanning

Antal skannade objekt: 75310

Förfluten tid: 1 minute(s), 31 second(s)

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 1

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 2

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

Infekterade minnesmoduler:

C:\Windows\System32\ipv6.dll (Backdoor.Bot) -> No action taken.

Infekterade registernycklar:

(Inga illasinnade poster hittades)

Infekterade registervärden:

(Inga illasinnade poster hittades)

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

Infekterade mappar:

(Inga illasinnade poster hittades)

Infekterade filer:

C:\Windows\System32\ipv6.dll (Backdoor.Bot) -> No action taken.

C:\Users\Lars-Owe Gradin\Documents\My Documents.url (Trojan.Zlob) -> No action taken.

Om jag utför borttagning så är jag rädd för att jag mister access till nätet igen.

Därför har jag inte gjort det. Har inte så stor lust att omformatera och installera för en fjärde gång.

Något annat bra förslag?

Tack Malou för att du finns!

/tomorrow

[Guest Malou]

Hej tomorrow!

Varsegod!

Det står => No action taken. <= bakom detaljerna.

Du har inte gett programmet tillåtelse till att åtgärda. Hur kan det komma sig?

Gör om proceduren som jag postade här ovan gällande Malwarebytes' Anti-Malware återkom med en ny logga.

//Malou

[Guest Malou]

Om jag utför borttagning så är jag rädd för att jag mister access till nätet igen.

Därför har jag inte gjort det. Har inte så stor lust att omformatera och installera för en fjärde gång.

Missade det ovanstående du skrivit.

Gör nedanstående procedur så får vi se vad som visas

Hämta hem DDS:

http://download.bleepingcomputer.com/sUBs/dds.scr

1: Spara den till skrivbordet

2: Dubbelklicka på dds.scr för att starta verktyget.

3: Klicka Yes/Ja på frågan om Optional Scan

4: När DDS har scannat klart kommer där att dyka upp två textfiler DSS.txt och Attach.txt

5: Spara dessa till ditt skrivbord

4: Kopiera/Klistra in de båda loggarna DSS.txt och Attach.txt hit till din tråd.

OBS:

Kopiera INTE in loggan (textfilen) som bifogad fil ej heller inom code-taggar eller annat.

Kopiera/klistra in loggan DIREKT i ditt inlägg.

//Malou

[Opptokoppter]

Ang.

`C:\Windows\System32\ipv6.dll (Backdoor.Bot) -> No action taken.´

Internet anslutningar fungerar med enbart ipv4 och har varit standard under många år.

Ipv6 är ett protokoll som kommit till efteråt som ett komplement för att minska risken att det plöttsligt runt om i världen inte skulle finnas tillräckligt underlag för att kunna registrera nya ip adresser. Man var helt enkelt rädd för att ip adresserna skulle ta slut i framtiden i tackt med utbyggnaden av Internet, så bara ett visst antal användare skulle ha tillgång till en egen ip adress och resten skulle stå utan adress.

Så det går att avinstallera ipv6 protokollet i din nätverksanslutning om du vill.

Det kommer att fungera ändå

[Guest Malou]

ipv6.dll

http://www.threatexpert.com/files/IPv6.dll.html

[tomorrow]

Hej igen Malou!

Här kommer de två loggarna.

DDS (Ver_09-07-30.01) - NTFSx86

Run by Lars-Owe Gradin at 18:42:46,53 on 2009-07-31

Internet Explorer: 8.0.6001.18813

Microsoft® Windows Vista Home Premium 6.0.6001.1.1252.46.1053.18.3071.2016 [GMT 2:00]

SP: Windows Defender *enabled* (Updated) {D68DDC3A-831F-4FAE-9E44-DA132C1ACF46}

============== Running Processes ===============

C:\Windows\system32\wininit.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe -k DcomLaunch

C:\Windows\system32\svchost.exe -k rpcss

C:\Windows\System32\svchost.exe -k secsvcs

C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted

C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted

C:\Windows\system32\svchost.exe -k netsvcs

C:\Program Files\Creative\Shared Files\CTAudSvc.exe

C:\Windows\system32\svchost.exe -k GPSvcGroup

C:\Windows\system32\SLsvc.exe

C:\Windows\system32\svchost.exe -k LocalService

C:\Windows\system32\svchost.exe -k NetworkService

C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

C:\Program Files\Alwil Software\Avast4\ashServ.exe

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork

C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted

C:\Windows\System32\svchost.exe -k WerSvcGroup

C:\Windows\system32\SearchIndexer.exe

C:\Windows\system32\taskeng.exe

C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Windows\System32\Ctxfihlp.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Windows\SYSTEM32\CTXFISPI.EXE

C:\Program Files\Personal\bin\Personal.exe

C:\Program Files\Spotify\spotify.exe

C:\Windows\servicing\TrustedInstaller.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Windows\system32\SearchProtocolHost.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Windows\system32\DllHost.exe

C:\Windows\system32\DllHost.exe

C:\Users\Lars-Owe Gradin\Desktop\dds.scr

C:\Windows\system32\conime.exe

C:\Windows\system32\wbem\wmiprvse.exe

============== Pseudo HJT Report ===============

uRun: [sidebar] c:\program files\windows sidebar\sidebar.exe /autoRun

mRun: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

mRun: [avast!] c:\progra~1\alwils~1\avast4\ashDisp.exe

mRun: [CTxfiHlp] CTXFIHLP.EXE

StartupFolder: c:\progra~2\micros~1\windows\startm~1\programs\startup\personal.lnk - c:\program files\personal\bin\Personal.exe

mPolicies-system: EnableUIADesktopToggle = 0 (0x0)

LSP: ipv6.dll

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

============= SERVICES / DRIVERS ===============

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2009-7-30 114768]

R2 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2009-7-30 20560]

R2 aswMonFlt;aswMonFlt;c:\windows\system32\drivers\aswMonFlt.sys [2009-7-30 51792]

R3 CT20XUT.SYS;CT20XUT.SYS;c:\windows\system32\drivers\CT20XUT.sys [2008-10-8 171032]

R3 CTEXFIFX.SYS;CTEXFIFX.SYS;c:\windows\system32\drivers\CTEXFIFX.sys [2008-10-8 1324056]

R3 CTHWIUT.SYS;CTHWIUT.SYS;c:\windows\system32\drivers\CTHWIUT.sys [2008-10-8 72728]

S3 Creative Audio Engine Licensing Service;Creative Audio Engine Licensing Service;c:\program files\common files\creative labs shared\service\CTAELicensing.exe [2009-7-30 79360]

S3 CT20XUT;CT20XUT;c:\windows\system32\drivers\CT20XUT.sys [2008-10-8 171032]

S3 CTEXFIFX;CTEXFIFX;c:\windows\system32\drivers\CTEXFIFX.sys [2008-10-8 1324056]

S3 CTHWIUT;CTHWIUT;c:\windows\system32\drivers\CTHWIUT.sys [2008-10-8 72728]

S3 TdsNordecr;Nordea NCR1 SmartCard Reader;c:\windows\system32\drivers\nordecr.sys [2009-7-31 24064]

S4 nvrd32;NVIDIA nForce RAID Driver;c:\windows\system32\drivers\nvrd32.sys [2008-4-23 124960]

=============== Created Last 30 ================

2009-07-31 10:46 <DIR> --d----- c:\users\lars-o~1\appdata\roaming\Personal

2009-07-31 10:44 <DIR> --d----- c:\program files\Personal

2009-07-31 10:43 24,064 a------- c:\windows\system32\drivers\nordecr.sys

2009-07-31 10:43 <DIR> --d----- c:\windows\system32\nordea

2009-07-31 10:43 <DIR> --d----- c:\program files\Nordea NCR1 Installationspaket

2009-07-31 10:14 <DIR> --d----- c:\users\lars-o~1\appdata\roaming\Spotify

2009-07-31 10:14 <DIR> --d----- c:\program files\Spotify

2009-07-31 02:58 8,192 a--s-r-- C:\BOOTSECT.BAK

2009-07-31 02:58 333,203 a--shr-- C:\bootmgr

2009-07-31 02:58 <DIR> --dsh--- C:\Boot

2009-07-31 02:58 57,656 a----r-- c:\windows\system32\OEMLOGO.BMP

2009-07-31 02:58 57,656 a----r-- c:\windows\FSC_LOGO_POSITIVE_JPG_MIDDLE.BMP

2009-07-31 02:58 <DIR> --d----- c:\windows\system32\OEM

2009-07-31 02:58 <DIR> --d----- c:\windows\PANTHER

2009-07-31 02:57 596,850 a------- c:\windows\system32\perfh01D.dat

2009-07-31 02:57 290,490 a------- c:\windows\system32\perfi01D.dat

2009-07-31 02:57 116,832 a------- c:\windows\system32\perfc01D.dat

2009-07-31 02:57 35,978 a------- c:\windows\system32\perfd01D.dat

2009-07-31 02:57 <DIR> --d----- c:\windows\system32\wbem\sv-SE

2009-07-31 02:57 <DIR> --d----- c:\windows\system32\sv

2009-07-31 02:57 <DIR> --d----- c:\windows\system32\drivers\sv-SE

2009-07-31 02:57 <DIR> --d----- c:\windows\sv-SE

2009-07-30 22:03 <DIR> --d----- c:\users\lars-o~1\appdata\roaming\Malwarebytes

2009-07-30 22:03 38,160 a------- c:\windows\system32\drivers\mbamswissarmy.sys

2009-07-30 22:03 19,096 a------- c:\windows\system32\drivers\mbam.sys

2009-07-30 22:03 <DIR> --d----- c:\programdata\Malwarebytes

2009-07-30 22:03 <DIR> --d----- c:\program files\Malwarebytes' Anti-Malware

2009-07-30 22:03 <DIR> --d----- c:\progra~2\Malwarebytes

2009-07-30 21:11 <DIR> --d----- c:\users\lars-o~1\appdata\roaming\Foxit

2009-07-30 21:11 <DIR> --d----- c:\program files\Foxit Software

2009-07-30 21:00 <DIR> --d----- c:\program files\BitLord

2009-07-30 20:24 <DIR> --d----- c:\users\lars-o~1\appdata\roaming\Ashampoo

2009-07-30 20:24 <DIR> --d----- c:\program files\K-Lite Codec Pack

2009-07-30 20:22 <DIR> --d----- c:\program files\Ashampoo

2009-07-30 20:13 <DIR> --d--r-- C:\DRIVER

2009-07-30 20:12 <DIR> --d----- C:\CREATIVE DRIVER XFi VISTA

2009-07-30 18:52 72,704 a------- c:\windows\system32\admparse.dll

2009-07-30 18:15 54,400 a------- c:\windows\system32\BMXStateBkp-{00000003-00000000-00000001-00001102-00000005-00311102}.rfx

2009-07-30 18:15 54,400 a------- c:\windows\system32\BMXState-{00000003-00000000-00000001-00001102-00000005-00311102}.rfx

2009-07-30 18:15 788 a------- c:\windows\system32\DVCState-{00000003-00000000-00000001-00001102-00000005-00311102}.rfx

2009-07-30 18:01 2,048 a------- c:\windows\system32\tzres.dll

2009-07-30 17:47 <DIR> --d----- c:\program files\common files\Creative

2009-07-30 17:47 <DIR> --d-h--- c:\program files\Creative Installation Information

2009-07-30 17:47 <DIR> --dsh--- c:\windows\Installer

2009-07-30 17:46 <DIR> --d----- c:\programdata\Creative

2009-07-30 17:46 102,400 a------- c:\windows\system32\cttele32.dll

2009-07-30 17:45 87 a---hr-- c:\windows\ctfile.rfc

2009-07-30 17:45 444,952 a------- c:\windows\system32\wrap_oal.dll

2009-07-30 17:45 144,896 a------- c:\windows\system32\APOMngr.DLL

2009-07-30 17:45 109,080 a------- c:\windows\system32\OpenAL32.dll

2009-07-30 17:45 71,168 a------- c:\windows\system32\CmdRtr.DLL

2009-07-30 17:45 <DIR> --d----- c:\program files\OpenAL

2009-07-30 17:45 11,776 a------- c:\windows\INRES.DLL

2009-07-30 17:45 <DIR> --d----- c:\windows\system32\Data

2009-07-30 17:45 <DIR> --d----- c:\program files\common files\Creative Labs Shared

2009-07-30 17:44 <DIR> --d----- c:\program files\Creative

2009-07-30 17:44 20,888,640 a------- c:\windows\system32\AppSetup.exe

2009-07-30 17:43 97,800 a------- c:\windows\system32\infocardapi.dll

2009-07-30 17:43 105,016 a------- c:\windows\system32\PresentationCFFRasterizerNative_v0300.dll

2009-07-30 17:43 37,384 a------- c:\windows\system32\infocardcpl.cpl

2009-07-30 17:43 622,080 a------- c:\windows\system32\icardagt.exe

2009-07-30 17:43 43,544 a------- c:\windows\system32\PresentationHostProxy.dll

2009-07-30 17:43 11,264 a------- c:\windows\system32\icardres.dll

2009-07-30 17:42 781,344 a------- c:\windows\system32\PresentationNative_v0300.dll

2009-07-30 17:42 326,160 a------- c:\windows\system32\PresentationHost.exe

2009-07-30 17:38 96,760 a------- c:\windows\system32\dfshim.dll

2009-07-30 17:38 282,112 a------- c:\windows\system32\mscoree.dll

2009-07-30 17:38 41,984 a------- c:\windows\system32\netfxperf.dll

2009-07-30 17:38 158,720 a------- c:\windows\system32\mscorier.dll

2009-07-30 17:38 83,968 a------- c:\windows\system32\mscories.dll

2009-07-30 17:35 19,000 a------- c:\windows\system32\kd1394.dll

2009-07-30 17:35 988,216 a------- c:\windows\system32\winload.exe

2009-07-30 17:35 927,288 a------- c:\windows\system32\winresume.exe

2009-07-30 17:35 615,992 a------- c:\windows\system32\ci.dll

2009-07-30 17:35 378,368 a------- c:\windows\system32\srcore.dll

2009-07-30 17:35 318,464 a------- c:\windows\system32\rstrui.exe

2009-07-30 17:35 46,592 a------- c:\windows\system32\setbcdlocale.dll

2009-07-30 17:35 40,960 a------- c:\windows\system32\srclient.dll

2009-07-30 17:35 14,848 a------- c:\windows\system32\srdelayed.exe

2009-07-30 17:35 6,656 a------- c:\windows\system32\kbd106n.dll

2009-07-30 17:32 801,280 a------- c:\windows\system32\NaturalLanguage6.dll

2009-07-30 17:32 7,680 a------- c:\windows\system32\spwmp.dll

2009-07-30 17:32 8,147,456 a------- c:\windows\system32\wmploc.DLL

2009-07-30 17:32 4,096 a------- c:\windows\system32\msdxm.ocx

2009-07-30 17:32 4,096 a------- c:\windows\system32\dxmasf.dll

2009-07-30 17:32 636,928 a------- c:\windows\system32\localspl.dll

2009-07-30 17:32 1,191,936 a------- c:\windows\system32\msxml3.dll

2009-07-30 17:32 2,927,104 a------- c:\windows\explorer.exe

2009-07-30 17:32 288,768 a------- c:\windows\system32\drivers\srv.sys

2009-07-30 17:32 147,456 a------- c:\windows\system32\Faultrep.dll

2009-07-30 17:32 125,952 a------- c:\windows\system32\wersvc.dll

2009-07-30 17:23 1,334,272 a------- c:\windows\system32\msxml6.dll

2009-07-30 17:18 1,524,736 a------- c:\windows\system32\wucltux.dll

2009-07-30 17:18 83,456 a------- c:\windows\system32\wudriver.dll

2009-07-30 17:18 162,064 a------- c:\windows\system32\wuwebv.dll

2009-07-30 17:18 31,232 a------- c:\windows\system32\wuapp.exe

2009-07-30 17:12 1,060,864 a------- c:\windows\system32\MFC71.dll

2009-07-30 17:12 499,712 a------- c:\windows\system32\MSVCP71.dll

2009-07-30 17:12 348,160 a------- c:\windows\system32\MSVCR71.dll

2009-07-30 17:12 51,792 a------- c:\windows\system32\drivers\aswMonFlt.sys

2009-07-30 17:12 0 a---h--- c:\windows\system32\drivers\Msft_User_WpdFs_01_00_00.Wdf

2009-07-30 17:09 <DIR> --dsh--- c:\users\lars-owe gradin\Start-meny

2009-07-30 17:09 <DIR> --dsh--- c:\users\lars-owe gradin\Skrivare

2009-07-30 17:09 <DIR> --dsh--- c:\users\lars-owe gradin\Nätverket

2009-07-30 17:09 <DIR> --dsh--- c:\users\lars-owe gradin\Mina dokument

2009-07-30 17:09 <DIR> --dsh--- c:\users\lars-owe gradin\Mallar

2009-07-30 17:09 <DIR> --d----- c:\users\Lars-Owe Gradin

2009-07-30 17:08 12 a------- c:\windows\system32\drivers\FSC__RC__AMD690VM-FMH__FUJITSU SIEMENS_AMD690VM-FMH__)Phoenix - Award WorkstationBIOS v6.00PG_FSC - 42302e31_V5.13.MRK

2009-07-30 17:06 <DIR> --dsh--- c:\programdata\Start-meny

2009-07-30 17:06 <DIR> --dsh--- c:\programdata\Skrivbord

2009-07-30 17:06 <DIR> --dsh--- c:\programdata\Mallar

2009-07-30 17:06 <DIR> --dsh--- c:\programdata\Favoriter

2009-07-30 17:06 <DIR> --dsh--- c:\programdata\Dokument

2009-07-30 17:06 <DIR> --dsh--- c:\program files\Delade filer

2009-07-30 17:06 <DIR> --dsh--- C:\Program

2009-07-30 17:06 <DIR> --dsh--- c:\progra~2\Start-meny

2009-07-30 17:06 <DIR> --dsh--- c:\progra~2\Skrivbord

2009-07-30 17:06 <DIR> --dsh--- c:\progra~2\Mallar

2009-07-30 17:06 <DIR> --dsh--- c:\progra~2\Favoriter

2009-07-30 17:06 <DIR> --dsh--- c:\progra~2\Dokument

==================== Find3M ====================

2009-07-31 10:43 86,016 a------- c:\windows\inf\infstrng.dat

2009-07-31 10:43 51,200 a------- c:\windows\inf\infpub.dat

2009-07-31 10:43 86,016 a------- c:\windows\inf\infstor.dat

2009-07-31 02:57 290,490 a------- c:\windows\inf\perflib\041d\perfi.dat

2009-07-31 02:57 290,490 a------- c:\windows\inf\perflib\041d\perfh.dat

2009-07-31 02:57 35,978 a------- c:\windows\inf\perflib\041d\perfd.dat

2009-07-31 02:57 35,978 a------- c:\windows\inf\perflib\041d\perfc.dat

2009-07-30 20:24 176,128 a------- c:\windows\system32\ipv6.dll

2009-07-30 18:17 665,600 a------- c:\windows\inf\drvindex.dat

2009-07-21 23:52 915,456 a------- c:\windows\system32\wininet.dll

2009-07-21 23:47 109,056 a------- c:\windows\system32\iesysprep.dll

2009-07-21 23:47 71,680 a------- c:\windows\system32\iesetup.dll

2009-07-21 22:13 133,632 a------- c:\windows\system32\ieUnatt.exe

2009-06-15 17:24 156,672 a------- c:\windows\system32\t2embed.dll

2009-06-15 17:20 72,704 a------- c:\windows\system32\fontsub.dll

2009-06-15 17:20 10,240 a------- c:\windows\system32\dciman32.dll

2009-06-15 14:52 289,792 a------- c:\windows\system32\atmfd.dll

2009-06-02 18:11 85,504 a------- c:\windows\system32\ff_vfw.dll

2009-05-29 23:37 205,824 a------- c:\windows\system32\xvidvfw.dll

2009-05-29 23:31 881,664 a------- c:\windows\system32\xvidcore.dll

2008-01-21 04:43 174 a--sh--- c:\program files\desktop.ini

2006-11-02 14:42 287,440 a------- c:\windows\inf\perflib\0409\perfi.dat

2006-11-02 14:42 287,440 a------- c:\windows\inf\perflib\0409\perfh.dat

2006-11-02 14:42 30,674 a------- c:\windows\inf\perflib\0409\perfd.dat

2006-11-02 14:42 30,674 a------- c:\windows\inf\perflib\0409\perfc.dat

2006-11-02 11:20 287,440 a------- c:\windows\inf\perflib\0000\perfi.dat

2006-11-02 11:20 287,440 a------- c:\windows\inf\perflib\0000\perfh.dat

2006-11-02 11:20 30,674 a------- c:\windows\inf\perflib\0000\perfd.dat

2006-11-02 11:20 30,674 a------- c:\windows\inf\perflib\0000\perfc.dat

2008-04-23 12:43 8,192 a--sh--- c:\windows\users\default\NTUSER.DAT

============= FINISH: 18:43:30,27 ===============

UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.

IF REQUESTED, ZIP IT UP & ATTACH IT

DDS (Ver_09-07-30.01)

Microsoft® Windows Vista Home Premium

Boot Device: \Device\HarddiskVolume1

Install Date: 2009-07-30 17:04:09

System Uptime: 2009-07-31 15:43:28 (3 hours ago)

Motherboard: FUJITSU SIEMENS | | AMD690VM-FMH

Processor: AMD Phenom 9500 Quad-Core Processor | Socket AM2 | 1100/200mhz

==== Disk Partitions =========================

C: is FIXED (NTFS) - 233 GiB total, 204,439 GiB free.

E: is FIXED (NTFS) - 233 GiB total, 107,643 GiB free.

F: is CDROM ()

G: is FIXED (NTFS) - 466 GiB total, 28,526 GiB free.

H: is FIXED (NTFS) - 466 GiB total, 341,195 GiB free.

==== Disabled Device Manager Items =============

Class GUID: {4d36e968-e325-11ce-bfc1-08002be10318}

Description: Standard VGA-bildskärmskort

Device ID: PCI\VEN_1002&DEV_9589&SUBSYS_E410174B&REV_00\4&2219ACFF&0&0010

Manufacturer: (Standardbildskärmstyper)

Name: Standard VGA-bildskärmskort

PNP Device ID: PCI\VEN_1002&DEV_9589&SUBSYS_E410174B&REV_00\4&2219ACFF&0&0010

Service: vga

==== System Restore Points ===================

RP270: 2009-07-30 15:38:15 - Schemalagd kontrollpunkt

RP6: 2009-07-30 17:18:31 - Windows Update

RP7: 2009-07-30 17:37:05 - Windows Update

RP8: 2009-07-30 18:47:06 - Windows Update

RP9: 2009-07-30 18:48:00 - Windows Update

RP11: 2009-07-31 10:43:05 - Installerad Nordea NCR1 Installationspaket

RP12: 2009-07-31 10:43:18 - Installation av enhetsdrivrutinspaket: Todos Data System AB Smartkortsläsare

RP13: 2009-07-31 17:06:46 - Borttagning av språkpaket

==== Installed Programs ======================

Adobe Flash Player 10 ActiveX

Ashampoo Burning Studio 9.03

avast! Antivirus

BitLord 1.1

Creative Audio Control Panel

Creative MediaSource 5

Creative Sound Blaster Properties

Foxit Reader

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)

K-Lite Codec Pack 5.0.0 (Full)

Malwarebytes' Anti-Malware

Microsoft .NET Framework 3.5 SP1

Nordea NCR1 Installationspaket

OpenAL

Personal 4.10.2

Spotify

WinRAR

==== End Of File ===========================

/tomorrow

[Guest Malou]

Hej tomorrow!

Tack!

Återkommer så snart jag är klar med analysen av dem (tar en stund)

//Malou

[e-son]

Man undrar vad det är för installationsskiva du använder när du installerar om... kan det vara någon icke sanktionerad nerladdad image kanske? Med tanke på att du verkar vara fast medlem i något botnet alltså!

[Guest Malou]

Hej tomorrow!

Stäng av/Avaktivera => BitLord <= under pågående procedurer tack.

Gör en scanning med nedanstående scanner så får vi se vad den säger för något.

Gå till nedanstående sida (fungerar bäst med Internet Explorer):

http://www.virustotal.com/

1: Kopiera/Klistra in ett av följande filnamn i text-fältet bredvid Bläddra-knappen

(ELLER använd Bläddra-knappen och navigera dig fram enligt nedanstående sökväg/sökvägar)

c:\windows\system32\tzres.dll

c:\windows\system32\cttele32.dll

c:\windows\system32\ipv6.dll

c:\windows\system32\kd1394.dll

2: Klicka på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd).

3: Klistra in resultatet från de olika antivirusprogrammen (inkl. filstorlek) här till din tråd (dock ej Övrig information)

Upprepa med nästa filnamn

//Malou

[tomorrow]

Man undrar vad det är för installationsskiva du använder när du installerar om... kan det vara någon icke sanktionerad nerladdad image kanske? Med tanke på att du verkar vara fast medlem i något botnet alltså!

Hej e-son!

Min installationskiva är en äkta "Recovery DVD" from Fujitsu/Siemens som jag själv har betalat för med mina fattiga slantar.

Om du misstror mig så kan jag scanna in hela "paketet"(4st DVD/CD) jag köpte från F/S och skicka dig en bild!

Tror du verkligen jag skulle avslöja mitt namn om jag körde med någon "icke sanktionerad nerladdad image"

Undrar vad du menar med "att jag verkar vara fast medlem i något botnet alltså".

/tomorrow

[e-son]

Hej e-son!

Min installationskiva är en äkta "Recovery DVD" from Fujitsu/Siemens som jag själv har betalat för med mina fattiga slantar.

Om du misstror mig så kan jag scanna in hela "paketet"(4st DVD/CD) jag köpte från F/S och skicka dig en bild!

Tror du verkligen jag skulle avslöja mitt namn om jag körde med någon "icke sanktionerad nerladdad image"

Undrar vad du menar med "att jag verkar vara fast medlem i något botnet alltså".

/tomorrow

Jag misstror dig inte alls och det var inte menat som någon anklagelse... jag var bara tvungen att fråga, eftersom du tydligen får tillbaka samma infektion omedelbart efter formatering, vilket får mig att misstänka att din återställningspartition har blivit infekterad på något sätt! För det är väl en sådan du använder ihop med recovery-skivan? Att jag misstänker botnet, beror på typen av backdoor!

[tomorrow]

Jag misstror dig inte alls och det var inte menat som någon anklagelse... jag var bara tvungen att fråga, eftersom du tydligen får tillbaka samma infektion omedelbart efter formatering, vilket får mig att misstänka att din återställningspartition har blivit infekterad på något sätt! För det är väl en sådan du använder ihop med recovery-skivan? Att jag misstänker botnet, beror på typen av backdoor!

Hej e-son!

Jag använder inte återställningspartitionen eftersom jag har installerat om Vista på en helt ny HD. Original HD:n är inte inkopplad.

/tomorrow

[Guest Malou]

Är detta en diskussionstråd eller systemrensningstråd?

//Malou

[tomorrow]

Är detta en diskussionstråd eller systemrensningstråd?

//Malou

Hej Malou!

Jag anser att det är en systemrensningstråd!

Det var inte jag som började att diskutera.

Jag är i alla fall "vän" med e-son hoppas jag.

Däremot tycker jag "vesa" kan hålla tyst.

Jag återkommer om en stund med det du bad mig göra Malou.

/tomorrow

[e-son]

Är detta en diskussionstråd eller systemrensningstråd?

Jag ansåg bara att det är viktigt att ta reda på källan till infektionen i detta fallet.... ingen större mening med att rensa om skiten är tillbaka direkt efteråt!

Men men... jag skall genast sluta engagera mig i detta!

[Opptokoppter]

ipv6.dll

http://www.threatexpert.com/files/IPv6.dll.html

Angående personens erinran om problemet i första inlägget i denna tråden:

``Tog bort dessa med Malwarebytes programmet. Efter borttaget så kom jag inte ut på nätet.´´

Min egen reaktion blir därför att problemet går att åtgärda genom att inte använda ipv6 protokollet i datorn utan istället köra med ipv4.

Dessutom kan detta underlätta borttagningen med Malwarebytes och förhindra att datorn luras till att fortsätta tro att den måste använda ipv6 protokollet.

Risken blir ju att Internet kan sluta att fungera om man först inte inaktiverar ipv6 protokollet ifrån datorn.

Hänger du med?

[Guest Malou]

Jag ansåg bara att det är viktigt att ta reda på källan till infektionen i detta fallet.... ingen större mening med att rensa om skiten är tillbaka direkt efteråt!

Men men... jag skall genast sluta engagera mig i detta!

Hej e-son!

Ber om ursäkt men det var inte dig det var riktat mot.

Du är en av få som jag accepterar i denna forumsdel gällande systemrensningar. Så du är välkommen att fortsätta engagera dig

//Malou

[Guest Malou]

Hej Opptokoppter!

Tack för din information!

Har varit inom detta område i många år nu så jag anser mig veta vad jag gör och inte gör gällande systemrensningar

//Malou

[tomorrow]

Angående personens erinran om problemet i första inlägget i denna tråden:

``Tog bort dessa med Malwarebytes programmet. Efter borttaget så kom jag inte ut på nätet.´´

Min egen reaktion blir därför att problemet går att åtgärda genom att inte använda ipv6 protokollet i datorn utan istället köra med ipv4.

Dessutom kan detta underlätta borttagningen med Malwarebytes och förhindra att datorn luras till att fortsätta tro att den måste använda ipv6 protokollet.

Risken blir ju att Internet kan sluta att fungera om man först inte inaktiverar ipv6 protokollet ifrån datorn.

Hänger du med?

Hej Opptokoppter!

Du menar att jag kan avbocka ipv6 protokollet från de bilder som bifogas och att jag då fortfarande har min internetuppkopling fungerande.

Tacksam för svar.

/tomorrow (en gammal gubbe som kanske inte fattar så mycket)

[tomorrow]

Hej Opptokoppter!

Du menar att jag kan avbocka ipv6 protokollet från de bilder som bifogas och att jag då fortfarande har min internetuppkopling fungerande.

Tacksam för svar.

/tomorrow (en gammal gubbe som kanske inte fattar så mycket)

Ja, du ser hur det går. Glömde att ladda upp bilden.

[Andreas Stenhall]

Problemet är att ipv6-filen är en skadlig fil och huruvida IPv6 skall vara aktiverat eller inte har egentligen ingenting med tråden att göra, varför jag anser att det ska diskuteras i en separat tråd och låta denna handla om rensningen från det skadliga programmet.

[e-son]

Hej e-son!

Ber om ursäkt men det var inte dig det var riktat mot.

Du är en av få som jag accepterar i denna forumsdel gällande systemrensningar. Så du är välkommen att fortsätta engagera dig

//Malou

Ok... då var det JAG som missförstod den här gången! Sorry!