Gäst Malou Postad Augusti 2, 2009 Dela Postad Augusti 2, 2009 Glöm inte bort att du, med en sådan allvarlig infektion som denna ska/bör du radera alla återställningspunkter för att den dåliga filen inte ska sprida sig Helt riktigt MEN denna procedur är det sista man gör. Systemet skall vara kemiskt rent detta för att förhindra att eventuella otyg inte skall fasta i den nya återställningspunkt som automatiskt skapas då man gör den speciella procedur som jag/vi brukar ge då systemet är rent. Om den görs innan så har vi gjort ett ogjort arbete och får börja om från början igen och det vill vi inte speciellt inte den drabbade. //Malou Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Gäst Malou Postad Augusti 2, 2009 Dela Postad Augusti 2, 2009 Hej tomorrow! Fick hjälp från ett annat håll med analys av filen hos kasper och resultatet blev => No malicious code was found in this file. <= Lutar mer och mer åt en F/P. Vill du kopiera in loggan från sista scanningen med Malwarebytes' Anti-Malware och därefter gå vidare med nedanstående. Om där flaggas för filen så hoppa över proceduren Remove Selected. Gör även en TM HJT-logga. 1: Uppdatera Malwarebytes' Anti-Malware 2: Starta programmet => välj Utför snabb scanning 3: Klicka på knappen Scanna 4: Scanningen kommer nu att ta en stund 5: När programmet scannat klart klicka Ok och sedan Visa resultat 6: Bocka för allt och klicka på Remove Selected 7: Då borttagningen är klar kommer en textfil i Anteckningar att öppnas upp med en logg. Kopiera/klistra in den loggan hit till din tråd. 8: Gör en ny TM HJT-logga kopiera in den hit så får vi se hur den ser ut. 9: Berätta/Tala om hur datorn mår och om där kvarstår problem OBS: Kopiera INTE in loggan (textfilen) som bifogad fil ej heller inom code-taggar eller annat. Kopiera/klistra in loggan DIREKT i ditt inlägg. MVH/Malou Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
tomorrow Postad Augusti 2, 2009 Författare Dela Postad Augusti 2, 2009 Hej tomorrow!Fick hjälp från ett annat håll med analys av filen hos kasper och resultatet blev => No malicious code was found in this file. <= Lutar mer och mer åt en F/P. Vill du kopiera in loggan från sista scanningen med Malwarebytes' Anti-Malware och därefter gå vidare med nedanstående. Om där flaggas för filen så hoppa över proceduren Remove Selected. Gör även en TM HJT-logga. 1: Uppdatera Malwarebytes' Anti-Malware 2: Starta programmet => välj Utför snabb scanning 3: Klicka på knappen Scanna 4: Scanningen kommer nu att ta en stund 5: När programmet scannat klart klicka Ok och sedan Visa resultat 6: Bocka för allt och klicka på Remove Selected 7: Då borttagningen är klar kommer en textfil i Anteckningar att öppnas upp med en logg. Kopiera/klistra in den loggan hit till din tråd. 8: Gör en ny TM HJT-logga kopiera in den hit så får vi se hur den ser ut. 9: Berätta/Tala om hur datorn mår och om där kvarstår problem OBS: Kopiera INTE in loggan (textfilen) som bifogad fil ej heller inom code-taggar eller annat. Kopiera/klistra in loggan DIREKT i ditt inlägg. MVH/Malou Hej igen Malou! Någon logga har jag inte kvar, så jag uppdaterade mbam och gjorde en ny. Hinner inte göra en TM HJT-logga nu för jag måste först hitta hur det var man gjorde. Och för det måste jag ut på en promenad med min dotter. Några återställningspunkter har jag inte. Blev väl inte aktiverat vid senaste ominstallationen. Hur jag ska avaktivera IPv6 vet jag inte när det nu inte finns med när jag tittar på ststus i kontrollpanelen. (se bild) Återkommer /tomorrow Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Gäst Malou Postad Augusti 2, 2009 Dela Postad Augusti 2, 2009 Hej tomorrow! Hur jag ska avaktivera IPv6 vet jag inte när det nu inte finns med när jag tittar på ststus i kontrollpanelen. (se bild) Tycker att vi lämnar den filen för ett tag nu Några återställningspunkter har jag inte. Blev väl inte aktiverat vid senaste ominstallationen. Nu handlar det inte om att återställa systemet till en senare tidpunkt (backa systemet). Men som jag skrev så är detta med att rensa rent från dessa gamla något som vi gör det sista vi gör. Någon logga har jag inte kvar, så jag uppdaterade mbam och gjorde en ny.Hinner inte göra en TM HJT-logga nu för jag måste först hitta hur det var man gjorde. Ok gör då en ny scanning med ett uppdaterat Malwarebyte och kopiera in den loggan enligt tidigare instruktioner. Gällande TM HJT så har jag för mig att jag lagt ut information ang denna tidigare men kan ju ha missat så jag lägger med den igen => Trend Micro HiJack This (Nerladdning/Instruktioner): Då du döpt om filen gör en ny TM HJT-logga kopiera in den hit till din tråd så får vi se hur det ser ut. OBS: Starta ingen ny tråd i ämnet utan fortsätt posta här i din tråd OBS: Kopiera INTE in loggan (textfilen) som bifogad fil ej heller inom code-taggar eller annat. Kopiera/klistra in loggan DIREKT i ditt inlägg. Återkom då du känner att du har tid/ork m.m //Malou Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Gäst Malou Postad Augusti 2, 2009 Dela Postad Augusti 2, 2009 Hej tomorrow! Nya direktiv. Hoppa över mitt ovanstående inlägg tills vidare. sUBs vill att du gör detta nedanstående. Då du gjort det kopiera/klistra in informationen du får upp hit till din tråd. HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2Export this key in REGEDIT4 format. //Malou Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Venoms Postad Augusti 2, 2009 Dela Postad Augusti 2, 2009 Så här avaktiverar du IPv6 http://www.alltomxp.se/forum/index.php?sho...c=18498&hl= Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
tomorrow Postad Augusti 2, 2009 Författare Dela Postad Augusti 2, 2009 Hej tomorrow!Nya direktiv. Hoppa över mitt ovanstående inlägg tills vidare. sUBs vill att du gör detta nedanstående. Då du gjort det kopiera/klistra in informationen du får upp hit till din tråd. //Malou Hej Malou! Tack vare promenaden hann jag inte göra en TM HJT-logga. Så istället kommer här som bifogad fil (hoppas att det ska vara så) HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2 Register090802.reg /tomorrow Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Gäst Malou Postad Augusti 2, 2009 Dela Postad Augusti 2, 2009 Hej tomorrow! Tack vare promenaden hann jag inte göra en TM HJT-logga. Ingen fara. Ser rätt ut. Men är osäker på om subs kan komma åt den då han inte är medlem här på forumet. Men vi gör ett försök. Återkommer Edit: Han kunde inte komma åt och läsa filen. Men det ordnade sig genom att jag öppna upp och skickade iväg till honom. Återkommer då han analyserat färdigt. //Malou Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
tomorrow Postad Augusti 2, 2009 Författare Dela Postad Augusti 2, 2009 Hej tomorrow!Ingen fara. Ser rätt ut. Men är osäker på om subs kan komma åt den då han inte är medlem här på forumet. Men vi gör ett försök. Återkommer Edit: Han kunde inte komma åt och läsa filen. Men det ordnade sig genom att jag öppna upp och skickade iväg till honom. Återkommer då han analyserat färdigt. //Malou TACK, Malou! /tomorrow Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Gäst Malou Postad Augusti 2, 2009 Dela Postad Augusti 2, 2009 Hej tomorrow! Varsegod! Vidarebefodrar ett svar från subs I was speaking to a colleague & we both concur that the "netsh winsock reset catalog" should have worked for Vista. I think the user must have typed it incorrectly. Please have him do this ...Go to START > RUN & type CMD to bring up the command prompt Then copy/paste the line into it. -- netsh winsock reset catalog He must come back to tell you what the console window says Som han säger återkom //Malou Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
e-son Postad Augusti 2, 2009 Dela Postad Augusti 2, 2009 Kommandotolken måste köras som Administratör, för att verkställa det kommandot! Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Gäst Malou Postad Augusti 2, 2009 Dela Postad Augusti 2, 2009 Kommandotolken måste köras som Administratör, för att verkställa det kommandot! Tack stämmer //Malou Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
tomorrow Postad Augusti 2, 2009 Författare Dela Postad Augusti 2, 2009 Hej tomorrow!Varsegod! Vidarebefodrar ett svar från subs Som han säger återkom //Malou Hej igen malou! Har nu gjort ovanstående. Gjort omstart av datorn. Inget mer. Ska jag scanna? /tomorrow Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Gäst Malou Postad Augusti 2, 2009 Dela Postad Augusti 2, 2009 Hej igen malou!Har nu gjort ovanstående. Gjort omstart av datorn. Inget mer. Ska jag scanna? /tomorrow Och hur fungerar/mår datorn nu? Ja gör scanningarna enligt mina tidigare inlägg MalwareByte & TM HJT efter det Skickar din skärmdump till subs då jag översatt vad som står i den. //Malou Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
tomorrow Postad Augusti 2, 2009 Författare Dela Postad Augusti 2, 2009 Och hur fungerar/mår datorn nu?Ja gör scanningarna enligt mina tidigare inlägg MalwareByte & TM HJT efter det Skickar din skärmdump till subs då jag översatt vad som står i den. //Malou Hej Malou! Här kommer mbam loggan och Hijack loggan. Som du ser av mbam loggan så har en av två Backdoor.bot försvunnit. Malwarebytes' Anti-Malware 1.39 Databasversion: 2547 Windows 6.0.6001 Service Pack 1 2009-08-02 23:14:57 mbam-log-2009-08-02 (23-11-06).txt Skanningstyp: Snabb skanning Antal skannade objekt: 75172 Förfluten tid: 1 minute(s), 47 second(s) Infekterade minnesprocesser: 0 Infekterade minnesmoduler: 0 Infekterade registernycklar: 0 Infekterade registervärden: 0 Infekterade registerdataposter: 0 Infekterade mappar: 0 Infekterade filer: 1 Infekterade minnesprocesser: (Inga illasinnade poster hittades) Infekterade minnesmoduler: (Inga illasinnade poster hittades) Infekterade registernycklar: (Inga illasinnade poster hittades) Infekterade registervärden: (Inga illasinnade poster hittades) Infekterade registerdataposter: (Inga illasinnade poster hittades) Infekterade mappar: (Inga illasinnade poster hittades) Infekterade filer: C:\Windows\System32\ipv6.dll (Backdoor.Bot) -> No action taken. -------------------------------------------------------------------------------------------------------------- Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 23:24:00, on 2009-08-02 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v8.00 (8.00.6001.18813) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Alwil Software\Avast4\ashDisp.exe C:\Windows\System32\Ctxfihlp.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Personal\bin\Personal.exe C:\Windows\SYSTEM32\CTXFISPI.EXE C:\Windows\System32\wsqmcons.exe C:\Windows\system32\SearchFilterHost.exe C:\Program Files\Trend Micro\HijackThis\tomorrow.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - Global Startup: Personal.lnk = C:\Program Files\Personal\bin\Personal.exe O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe -- End of file - 2635 bytes /tomorrow Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Gäst Malou Postad Augusti 2, 2009 Dela Postad Augusti 2, 2009 Hej tomorrow! Då du gjorde proceduren fick du något meddelande liknande "Successful & reboot is required" EDIT: Som du ser av mbam loggan så har en av två Backdoor.bot försvunnit. Jo jag ser TM HJT-loggan är den scannad i normalläge? Har du högerklickat och valt Kör som admin? //Malou Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
tomorrow Postad Augusti 2, 2009 Författare Dela Postad Augusti 2, 2009 Hej tomorrow!Då du gjorde proceduren fick du något meddelande liknande "Successful & reboot is required" EDIT: Jo jag ser TM HJT-loggan är den scannad i normalläge? Har du högerklickat och valt Kör som admin? //Malou Hej igen Malou! Inte något meddelande som "Successful & reboot is required". Ang TM HJT kommer inte ihåg om jag valde "kör som Admin" Sorry! Vet inte om jag vågar "Ta bort markerade" som jag får vid scanning med mbab. Då kanske jag tappar nätkontakten igen. /tomorrow Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Gäst Malou Postad Augusti 2, 2009 Dela Postad Augusti 2, 2009 Hej igen tomorrow Inte något meddelande som "Successful & reboot is required". Ok Ang TM HJT kommer inte ihåg om jag valde "kör som Admin"Sorry! Gör om proceduren och se om du får samma resultat. Vet inte om jag vågar "Ta bort markerade" som jag får vid scanning med mbab. Då kanske jag tappar nätkontakten igen. Nej låt det vara så så länge //Malou Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
tomorrow Postad Augusti 2, 2009 Författare Dela Postad Augusti 2, 2009 Hej igen tomorrowOk Gör om proceduren och se om du får samma resultat. Nej låt det vara så så länge //Malou Malou! Har nu gjort en ny TM HJT(som Admin) och storleken är inte lika Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 00:00:06, on 2009-08-03 Platform: Windows Vista SP1 (WinNT 6.00.1905) MSIE: Internet Explorer v8.00 (8.00.6001.18813) Boot mode: Normal Running processes: C:\Windows\system32\taskeng.exe C:\Windows\system32\Dwm.exe C:\Windows\Explorer.EXE C:\Program Files\Windows Defender\MSASCui.exe C:\Program Files\Alwil Software\Avast4\ashDisp.exe C:\Windows\System32\Ctxfihlp.exe C:\Program Files\Windows Sidebar\sidebar.exe C:\Program Files\Personal\bin\Personal.exe C:\Windows\SYSTEM32\CTXFISPI.EXE C:\Program Files\Trend Micro\HijackThis\tomorrow.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide O4 - HKLM\..\Run: [avast!] C:\PROGRA~1\ALWILS~1\Avast4\ashDisp.exe O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE O4 - HKCU\..\Run: [sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun O4 - Global Startup: Personal.lnk = C:\Program Files\Personal\bin\Personal.exe O13 - Gopher Prefix: O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shoc...ash/swflash.cab O23 - Service: avast! iAVS4 Control Service (aswUpdSv) - ALWIL Software - C:\Program Files\Alwil Software\Avast4\aswUpdSv.exe O23 - Service: avast! Antivirus - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashServ.exe O23 - Service: avast! Mail Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashMaiSv.exe O23 - Service: avast! Web Scanner - ALWIL Software - C:\Program Files\Alwil Software\Avast4\ashWebSv.exe O23 - Service: Creative Audio Engine Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\CTAELicensing.exe O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe -- End of file - 2559 bytes Ska vi inte sluta för ikväll? /tomorrow Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Gäst Malou Postad Augusti 2, 2009 Dela Postad Augusti 2, 2009 Hej igen tomorrow! Har nu gjort en ny TM HJT(som Admin) och storleken är inte lika Ok då så Ska vi inte sluta för ikväll? Ja känns så att det skulle behövas en paus nu Fortsätter lite diskuterande med subs. Återkommer //Malou Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
tomorrow Postad Augusti 2, 2009 Författare Dela Postad Augusti 2, 2009 Hej igen tomorrow!Ok då så Ja känns så att det skulle behövas en paus nu Fortsätter lite diskuterande med subs. Återkommer //Malou Malou! Tack för idag (kväll/natt). Sov Gott! /tomorrow Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Gäst Malou Postad Augusti 2, 2009 Dela Postad Augusti 2, 2009 Hej igen tomorrow! Han vill att du skall starta om datorn Reboot and we shall see //Malou Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
tomorrow Postad Augusti 2, 2009 Författare Dela Postad Augusti 2, 2009 Hej igen tomorrow!Han vill att du skall starta om datorn //Malou Hej igen Malou! Har startat om men det är ingen förändring i mbam loggan. Nu går vi och lägger oss! /tomorrow Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Gäst Malou Postad Augusti 2, 2009 Dela Postad Augusti 2, 2009 Hej igen tomorrow! Har startat om men det är ingen förändring i mbam loggan. Ok! Imorgon då du har tid/ork igen så gör nedanstående. Återkom och berätta efteråt. 1: Skapa en mapp på skrivbordet som du döper till något 2: Navigera dig fram enligt nedanstående sökväg C:\Windows\System32\ipv6.dll 3: Ta tag i filen och flytta den till mappen du skapade 4: Starta om datorn 5: Gör nu en kontroll och se om du får Internetåtkomst Nu går vi och lägger oss! Det gör vi God natt och sov gott //Malou Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
tomorrow Postad Augusti 3, 2009 Författare Dela Postad Augusti 3, 2009 Hej igen tomorrow!Ok! Imorgon då du har tid/ork igen så gör nedanstående. Återkom och berätta efteråt. 1: Skapa en mapp på skrivbordet som du döper till något 2: Navigera dig fram enligt nedanstående sökväg C:\Windows\System32\ipv6.dll 3: Ta tag i filen och flytta den till mappen du skapade 4: Starta om datorn 5: Gör nu en kontroll och se om du får Internetåtkomst Det gör vi God natt och sov gott //Malou God förmiddag Malou! Har nu flyttat filen IPv6.dll från C:\Windows\System32 till en mapp på skrivbordet. Startat om datorn och konstaterar att jag kommer ut på nätet. På eget bevåg gjorde jag en mbam scanning efter uppdatering av mbam och loggen kommer här: Malwarebytes' Anti-Malware 1.39 Databasversion: 2549 Windows 6.0.6002 Service Pack 2 2009-08-03 11:38:46 mbam-log-2009-08-03 (11-38-46).txt Skanningstyp: Snabb skanning Antal skannade objekt: 75275 Förfluten tid: 1 minute(s), 39 second(s) Infekterade minnesprocesser: 0 Infekterade minnesmoduler: 0 Infekterade registernycklar: 0 Infekterade registervärden: 0 Infekterade registerdataposter: 0 Infekterade mappar: 0 Infekterade filer: 0 Infekterade minnesprocesser: (Inga illasinnade poster hittades) Infekterade minnesmoduler: (Inga illasinnade poster hittades) Infekterade registernycklar: (Inga illasinnade poster hittades) Infekterade registervärden: (Inga illasinnade poster hittades) Infekterade registerdataposter: (Inga illasinnade poster hittades) Infekterade mappar: (Inga illasinnade poster hittades) Infekterade filer: (Inga illasinnade poster hittades) Fint va!! /tomorrow Länk till kommentar Dela på andra webbplatser Fler delningsalternativ...
Recommended Posts