Har virus trots omformattering

[Gäst Malou]

Glöm inte bort att du, med en sådan allvarlig infektion som denna ska/bör du radera alla återställningspunkter för att den dåliga filen inte ska sprida sig

Helt riktigt

MEN denna procedur är det sista man gör. Systemet skall vara kemiskt rent detta för att förhindra att eventuella otyg inte skall fasta i den nya återställningspunkt som automatiskt skapas då man gör den speciella procedur som jag/vi brukar ge då systemet är rent. Om den görs innan så har vi gjort ett ogjort arbete och får börja om från början igen och det vill vi inte speciellt inte den drabbade.

//Malou

[Gäst Malou]

Hej tomorrow!

Fick hjälp från ett annat håll med analys av filen hos kasper och resultatet blev => No malicious code was found in this file. <= Lutar mer och mer åt en F/P.

Vill du kopiera in loggan från sista scanningen med Malwarebytes' Anti-Malware och därefter gå vidare med nedanstående. Om där flaggas för filen så hoppa över proceduren Remove Selected. Gör även en TM HJT-logga.

1: Uppdatera Malwarebytes' Anti-Malware

2: Starta programmet => välj Utför snabb scanning

3: Klicka på knappen Scanna

4: Scanningen kommer nu att ta en stund

5: När programmet scannat klart klicka Ok och sedan Visa resultat

6: Bocka för allt och klicka på Remove Selected

7: Då borttagningen är klar kommer en textfil i Anteckningar att öppnas upp med en logg. Kopiera/klistra in den loggan hit till din tråd.

8: Gör en ny TM HJT-logga kopiera in den hit så får vi se hur den ser ut.

9: Berätta/Tala om hur datorn mår och om där kvarstår problem

OBS:

Kopiera INTE in loggan (textfilen) som bifogad fil ej heller inom code-taggar eller annat.

Kopiera/klistra in loggan DIREKT i ditt inlägg.

MVH/Malou

[tomorrow]

Hej tomorrow!

Fick hjälp från ett annat håll med analys av filen hos kasper och resultatet blev => No malicious code was found in this file. <= Lutar mer och mer åt en F/P.

Vill du kopiera in loggan från sista scanningen med Malwarebytes' Anti-Malware och därefter gå vidare med nedanstående. Om där flaggas för filen så hoppa över proceduren Remove Selected. Gör även en TM HJT-logga.

1: Uppdatera Malwarebytes' Anti-Malware

2: Starta programmet => välj Utför snabb scanning

3: Klicka på knappen Scanna

4: Scanningen kommer nu att ta en stund

5: När programmet scannat klart klicka Ok och sedan Visa resultat

6: Bocka för allt och klicka på Remove Selected

7: Då borttagningen är klar kommer en textfil i Anteckningar att öppnas upp med en logg. Kopiera/klistra in den loggan hit till din tråd.

8: Gör en ny TM HJT-logga kopiera in den hit så får vi se hur den ser ut.

9: Berätta/Tala om hur datorn mår och om där kvarstår problem

OBS:

Kopiera INTE in loggan (textfilen) som bifogad fil ej heller inom code-taggar eller annat.

Kopiera/klistra in loggan DIREKT i ditt inlägg.

MVH/Malou

Hej igen Malou!

Någon logga har jag inte kvar, så jag uppdaterade mbam och gjorde en ny.

Hinner inte göra en TM HJT-logga nu för jag måste först hitta hur det var man gjorde.

Och för det måste jag ut på en promenad med min dotter.

Några återställningspunkter har jag inte. Blev väl inte aktiverat vid senaste ominstallationen.

Hur jag ska avaktivera IPv6 vet jag inte när det nu inte finns med när jag tittar på ststus i kontrollpanelen. (se bild)

Återkommer

/tomorrow

[Gäst Malou]

Hej tomorrow!

Hur jag ska avaktivera IPv6 vet jag inte när det nu inte finns med när jag tittar på ststus i kontrollpanelen. (se bild)

Tycker att vi lämnar den filen för ett tag nu

Några återställningspunkter har jag inte. Blev väl inte aktiverat vid senaste ominstallationen.

Nu handlar det inte om att återställa systemet till en senare tidpunkt (backa systemet). Men som jag skrev så är detta med att rensa rent från dessa gamla något som vi gör det sista vi gör.

Någon logga har jag inte kvar, så jag uppdaterade mbam och gjorde en ny.

Hinner inte göra en TM HJT-logga nu för jag måste först hitta hur det var man gjorde.

Ok gör då en ny scanning med ett uppdaterat Malwarebyte och kopiera in den loggan enligt tidigare instruktioner. Gällande TM HJT så har jag för mig att jag lagt ut information ang denna tidigare men kan ju ha missat så jag lägger med den igen

=> Trend Micro HiJack This (Nerladdning/Instruktioner):

Då du döpt om filen gör en ny TM HJT-logga kopiera in den hit till din tråd så får vi se hur det ser ut.

OBS: Starta ingen ny tråd i ämnet utan fortsätt posta här i din tråd

OBS:

Kopiera INTE in loggan (textfilen) som bifogad fil ej heller inom code-taggar eller annat.

Kopiera/klistra in loggan DIREKT i ditt inlägg.

Återkom då du känner att du har tid/ork m.m

//Malou

[Gäst Malou]

Hej tomorrow!

Nya direktiv. Hoppa över mitt ovanstående inlägg tills vidare.

sUBs vill att du gör detta nedanstående. Då du gjort det kopiera/klistra in informationen du får upp hit till din tråd.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2

Export this key in REGEDIT4 format.

//Malou

[Venoms]

Så här avaktiverar du IPv6 http://www.alltomxp.se/forum/index.php?sho...c=18498&hl=

[tomorrow]

Hej tomorrow!

Nya direktiv. Hoppa över mitt ovanstående inlägg tills vidare.

sUBs vill att du gör detta nedanstående. Då du gjort det kopiera/klistra in informationen du får upp hit till din tråd.

//Malou

Hej Malou!

Tack vare promenaden hann jag inte göra en TM HJT-logga.

Så istället kommer här som bifogad fil (hoppas att det ska vara så) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2

Register090802.reg

/tomorrow

[Gäst Malou]

Hej tomorrow!

Tack vare promenaden hann jag inte göra en TM HJT-logga.

Ingen fara.

Ser rätt ut.

Men är osäker på om subs kan komma åt den då han inte är medlem här på forumet. Men vi gör ett försök.

Återkommer

Edit:

Han kunde inte komma åt och läsa filen.

Men det ordnade sig genom att jag öppna upp och skickade iväg till honom.

Återkommer då han analyserat färdigt.

//Malou

[tomorrow]

Hej tomorrow!

Ingen fara.

Ser rätt ut.

Men är osäker på om subs kan komma åt den då han inte är medlem här på forumet. Men vi gör ett försök.

Återkommer

Edit:

Han kunde inte komma åt och läsa filen.

Men det ordnade sig genom att jag öppna upp och skickade iväg till honom.

Återkommer då han analyserat färdigt.

//Malou

TACK, Malou!

/tomorrow

[Gäst Malou]

Hej tomorrow!

Varsegod!

Vidarebefodrar ett svar från subs

I was speaking to a colleague & we both concur that the "netsh winsock reset catalog" should have worked for Vista. I think the user must have typed it incorrectly. Please have him do this ...

Go to START > RUN & type CMD to bring up the command prompt

Then copy/paste the line into it. -- netsh winsock reset catalog

He must come back to tell you what the console window says

Som han säger återkom

//Malou

[e-son]

Kommandotolken måste köras som Administratör, för att verkställa det kommandot!

[Gäst Malou]

Kommandotolken måste köras som Administratör, för att verkställa det kommandot!

Tack stämmer

//Malou

[tomorrow]

Hej tomorrow!

Varsegod!

Vidarebefodrar ett svar från subs

Som han säger återkom

//Malou

Hej igen malou!

Har nu gjort ovanstående.

Gjort omstart av datorn. Inget mer.

Ska jag scanna?

/tomorrow

[Gäst Malou]

Hej igen malou!

Har nu gjort ovanstående.

Gjort omstart av datorn. Inget mer.

Ska jag scanna?

/tomorrow

Och hur fungerar/mår datorn nu?

Ja gör scanningarna enligt mina tidigare inlägg MalwareByte & TM HJT efter det

Skickar din skärmdump till subs då jag översatt vad som står i den.

//Malou

[tomorrow]

Och hur fungerar/mår datorn nu?

Ja gör scanningarna enligt mina tidigare inlägg MalwareByte & TM HJT efter det

Skickar din skärmdump till subs då jag översatt vad som står i den.

//Malou

Hej Malou!

Här kommer mbam loggan och Hijack loggan.

Som du ser av mbam loggan så har en av två Backdoor.bot försvunnit.

Malwarebytes' Anti-Malware 1.39

Databasversion: 2547

Windows 6.0.6001 Service Pack 1

2009-08-02 23:14:57

mbam-log-2009-08-02 (23-11-06).txt

Skanningstyp: Snabb skanning

Antal skannade objekt: 75172

Förfluten tid: 1 minute(s), 47 second(s)

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 1

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

Infekterade registernycklar:

(Inga illasinnade poster hittades)

Infekterade registervärden:

(Inga illasinnade poster hittades)

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

Infekterade mappar:

(Inga illasinnade poster hittades)

Infekterade filer:

C:\Windows\System32\ipv6.dll (Backdoor.Bot) -> No action taken.

--------------------------------------------------------------------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 23:24:00, on 2009-08-02

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v8.00 (8.00.6001.18813)

Boot mode: Normal

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Windows\System32\Ctxfihlp.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Personal\bin\Personal.exe

C:\Windows\SYSTEM32\CTXFISPI.EXE

C:\Windows\System32\wsqmcons.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Program Files\Trend Micro\HijackThis\tomorrow.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - Global Startup: Personal.lnk = C:\Program Files\Personal\bin\Personal.exe

O13 - Gopher Prefix:

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe

O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe

--

End of file - 2635 bytes

/tomorrow

[Gäst Malou]

Hej tomorrow!

Då du gjorde proceduren fick du något meddelande liknande "Successful & reboot is required"

EDIT:

Som du ser av mbam loggan så har en av två Backdoor.bot försvunnit.

Jo jag ser

TM HJT-loggan är den scannad i normalläge?

Har du högerklickat och valt Kör som admin?

//Malou

[tomorrow]

Hej tomorrow!

Då du gjorde proceduren fick du något meddelande liknande "Successful & reboot is required"

EDIT:

Jo jag ser

TM HJT-loggan är den scannad i normalläge?

Har du högerklickat och valt Kör som admin?

//Malou

Hej igen Malou!

Inte något meddelande som "Successful & reboot is required".

Ang TM HJT kommer inte ihåg om jag valde "kör som Admin"

Sorry!

Vet inte om jag vågar "Ta bort markerade" som jag får vid scanning med mbab. Då kanske jag tappar nätkontakten igen.

/tomorrow

[Gäst Malou]

Hej igen tomorrow

Inte något meddelande som "Successful & reboot is required".

Ok

Ang TM HJT kommer inte ihåg om jag valde "kör som Admin"

Sorry!

Gör om proceduren och se om du får samma resultat.

Vet inte om jag vågar "Ta bort markerade" som jag får vid scanning med mbab. Då kanske jag tappar nätkontakten igen.

Nej låt det vara så så länge

//Malou

[tomorrow]

Hej igen tomorrow

Ok

Gör om proceduren och se om du får samma resultat.

Nej låt det vara så så länge

//Malou

Malou!

Har nu gjort en ny TM HJT(som Admin) och storleken är inte lika

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 00:00:06, on 2009-08-03

Platform: Windows Vista SP1 (WinNT 6.00.1905)

MSIE: Internet Explorer v8.00 (8.00.6001.18813)

Boot mode: Normal

Running processes:

C:\Windows\system32\taskeng.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Windows Defender\MSASCui.exe

C:\Program Files\Alwil Software\Avast4\ashDisp.exe

C:\Windows\System32\Ctxfihlp.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Personal\bin\Personal.exe

C:\Windows\SYSTEM32\CTXFISPI.EXE

C:\Program Files\Trend Micro\HijackThis\tomorrow.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide

O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun

O4 - Global Startup: Personal.lnk = C:\Program Files\Personal\bin\Personal.exe

O13 - Gopher Prefix:

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab

O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe

O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe

O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe

O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe

O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe

O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe

--

End of file - 2559 bytes

Ska vi inte sluta för ikväll?

/tomorrow

[Gäst Malou]

Hej igen tomorrow!

Har nu gjort en ny TM HJT(som Admin) och storleken är inte lika

Ok då så

Ska vi inte sluta för ikväll?

Ja känns så att det skulle behövas en paus nu

Fortsätter lite diskuterande med subs.

Återkommer

//Malou

[tomorrow]

Hej igen tomorrow!

Ok då så

Ja känns så att det skulle behövas en paus nu

Fortsätter lite diskuterande med subs.

Återkommer

//Malou

Malou!

Tack för idag (kväll/natt). Sov Gott!

/tomorrow

[Gäst Malou]

Hej igen tomorrow!

Han vill att du skall starta om datorn

Reboot and we shall see

//Malou

[tomorrow]

Hej igen tomorrow!

Han vill att du skall starta om datorn

//Malou

Hej igen Malou!

Har startat om men det är ingen förändring i mbam loggan.

Nu går vi och lägger oss!

/tomorrow

[Gäst Malou]

Hej igen tomorrow!

Har startat om men det är ingen förändring i mbam loggan.

Ok!

Imorgon då du har tid/ork igen så gör nedanstående. Återkom och berätta efteråt.

1: Skapa en mapp på skrivbordet som du döper till något

2: Navigera dig fram enligt nedanstående sökväg

C:\Windows\System32\ipv6.dll

3: Ta tag i filen och flytta den till mappen du skapade

4: Starta om datorn

5: Gör nu en kontroll och se om du får Internetåtkomst

Nu går vi och lägger oss!

Det gör vi

God natt och sov gott

//Malou

[tomorrow]

Hej igen tomorrow!

Ok!

Imorgon då du har tid/ork igen så gör nedanstående. Återkom och berätta efteråt.

1: Skapa en mapp på skrivbordet som du döper till något

2: Navigera dig fram enligt nedanstående sökväg

C:\Windows\System32\ipv6.dll

3: Ta tag i filen och flytta den till mappen du skapade

4: Starta om datorn

5: Gör nu en kontroll och se om du får Internetåtkomst

Det gör vi

God natt och sov gott

//Malou

God förmiddag Malou!

Har nu flyttat filen IPv6.dll från C:\Windows\System32 till en mapp på skrivbordet.

Startat om datorn och konstaterar att jag kommer ut på nätet.

På eget bevåg gjorde jag en mbam scanning efter uppdatering av mbam och loggen kommer här:

Malwarebytes' Anti-Malware 1.39

Databasversion: 2549

Windows 6.0.6002 Service Pack 2

2009-08-03 11:38:46

mbam-log-2009-08-03 (11-38-46).txt

Skanningstyp: Snabb skanning

Antal skannade objekt: 75275

Förfluten tid: 1 minute(s), 39 second(s)

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

Infekterade registernycklar:

(Inga illasinnade poster hittades)

Infekterade registervärden:

(Inga illasinnade poster hittades)

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

Infekterade mappar:

(Inga illasinnade poster hittades)

Infekterade filer:

(Inga illasinnade poster hittades)

Fint va!!

/tomorrow