system fel vid uppstart av dator

[bobbe112]

hej på er nu har jag råkat få system fel på datorn och behöver hjälp med att försöka fixa datorn

utan att formatera den om det går.

För jag har en del viktiga saker som jag behöver ha kvar på datorn.

system felet fick jag efter att jag hämtade en fil från nätet när jag körde filen så kom det upp ett cmd fönster och

sen kom system felen så nu kommer jag inte in normalt i datorn.

filen som jag tog hem finns på följande hemsida www.thekeys.ws/?look=artister+2&type=serials

IRQL_NOT_LESS_OR_EQUAL

teknisk information

0x0000000a

(0x00000000, ox00000002,0x00000001,0x804f9d36)

har även testat med att städa i registret med hjälp av CCleaner men fortfrande kommer system felet upp vid uppstarten av datorn

jag är väldigt tacksam för hjälp

Mvh Tobias

Edited October 3, 2009 by bobbe112

[Gepe]

Eftersom Ccleaner inte rensar bort virus och trojaner så hjälper det inte i ditt fall. Om du hade haft det lilla finurliga programmet WOT (Webb of trust) installerat så hade du aldrig gått in på den sidan.

Du har med största sannolikhet fått virus i datorn och det som möjligen kan hjälpa dig är att köra en virusscanning.

[Cecilia]

Tobias, kan du redigera ditt inlägg så att länken inte är klickbar, t ex genom att ta bort http://.

Jag laddade ner den filen och lät 41 olika antivirus- och antimalwareprogram kontrollera den. Det blev det här resultatet:

http://www.virustotal.com/sv/analisis/32d1...9877-1254591738

Där kan man se att det verkar vara en fil som infekterar datorn med en typ av virut-infektion. Det innebär att när du kör filen i datorn så kommer den att sätta igång och infektera varenda programfil (.exe-fil) som den hittar. Det finns inget annat som kan få datorn frisk än att ominstallera Windows.

Här kan man se vad som händer i datorn när filen körs:

http://www.threatexpert.com/report.aspx?md...1d9e226cc3c9e81

Den har alltså modifierat sådana viktiga Windows-filer som t ex Anteckningar (notepad), msconfig, ctfmon.

[bobbe112]

hej efter att ha kört Malwarebytes' Anti-Malware så kommer samma fel meddelande upp när man startar upp datorn

Malwarebytes' Anti-Malware 1.36

Databasversion: 2013

Windows 5.1.2600 Service Pack 3

2009-10-03 20:40:01

mbam-log-2009-10-03 (20-40-01).txt

Skanningstyp: Fullständig skanning (C:\|)

Antal skannade objekt: 214225

Förfluten tid: 52 minute(s), 8 second(s)

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 1

Infekterade minnesprocesser:

(Inga illasinnade poster hittades)

Infekterade minnesmoduler:

(Inga illasinnade poster hittades)

Infekterade registernycklar:

(Inga illasinnade poster hittades)

Infekterade registervärden:

(Inga illasinnade poster hittades)

Infekterade registerdataposter:

(Inga illasinnade poster hittades)

Infekterade mappar:

(Inga illasinnade poster hittades)

Infekterade filer:

C:\WINDOWS\Farmer Jane\uninstall.exe (Trojan.Agent) -> Quarantined and deleted successfully.

jag är tacksam för all hjälp

mvh Tobias

Edited October 3, 2009 by bobbe112

[Mickilina]

Flyttar tråden där man tar emot loggar

[bobbe112]

hej här kommer även en logga från hijackthis

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 21:57:31, on 2009-10-03

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v6.00 SP3 (6.00.2900.5512)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\Hotspot Shield\bin\openvpnas.exe

C:\WINDOWS\system32\svchost.exe

C:\Program\Hotspot Shield\HssWPR\hsssrv.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\Program\Nero\Nero8\Nero BackItUp\NBService.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\IoctlSvc.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\wscntfy.exe

C:\WINDOWS\Explorer.EXE

C:\Program\Voddler\service\VNetManager.exe

C:\Program\Mozilla Firefox\firefox.exe

C:\Program\Hotspot Shield\bin\openvpntray.exe

C:\WINDOWS\system32\wuauclt.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =

R3 - URLSearchHook: (no name) - - (no file)

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: PlaySushi - {21608B66-026F-4DCB-9244-0DACA328DCED} - C:\Program\PlaySushi\PSText.dll

O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: (no name) - {c95a4e8e-816d-4655-8c79-d736da1adb6d} - (no file)

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O2 - BHO: Hotspot Shield Class - {F9E4A054-E9B1-4BC3-83A3-76A1AE736170} - C:\Program\Hotspot Shield\hssie\HssIE.dll

O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program\DAEMON Tools Toolbar\DTToolbar.dll

O4 - HKLM\..\Run: [VoddlerNet Manager] C:\Program\Voddler\service\VNetManager.exe

O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: PalTalk - {4EAFEF58-EEFA-4116-983D-03B49BCBFFFE} - C:\Program\Paltalk Messenger\Paltalk.exe

O9 - Extra button: Go PlaySushi! - {5CFA5B80-01F4-420F-B18B-545712C8A1C8} - http://www.playsushi.com/About.ps?l=3&t=nCRkgbM1L (file missing)

O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\Office12\REFIEBAR.DLL

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O16 - DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} (Office Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=58813

O16 - DPF: {6F15128C-E66A-490C-B848-5000B5ABEEAC} (HP Download Manager) - https://h20436.www2.hp.com/ediags/dex/secure/HPDEXAXO.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{C4952D8A-5483-459F-96C2-6D1E4FAE6D73}: NameServer = 81.26.228.3,195.54.122.198

O23 - Service: Hotspot Shield Service (HotspotShieldService) - Unknown owner - C:\Program\Hotspot Shield\bin\openvpnas.exe

O23 - Service: Hotspot Shield Routing Service (HssSrv) - AnchorFree Inc. - C:\Program\Hotspot Shield\HssWPR\hsssrv.exe

O23 - Service: Hotspot Shield Tray Service (HssTrayService) - Unknown owner - C:\Program\Hotspot Shield\bin\HssTrayService.EXE

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program\Nero\Nero8\Nero BackItUp\NBService.exe

O23 - Service: NMIndexingService - Nero AG - C:\Program\Delade filer\Nero\Lib\NMIndexingService.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\WINDOWS\system32\IoctlSvc.exe

O23 - Service: VoddlerNet - Voddler - C:\Program\Voddler\service\voddler.exe

O23 - Service: wampapache - Apache Software Foundation - c:\wamp\bin\apache\apache2.2.11\bin\httpd.exe

O23 - Service: wampmysqld - Unknown owner - c:\wamp\bin\mysql\mysql5.1.36\bin\mysqld.exe

--

End of file - 5500 bytes

jag är tacksam för alla hjälp

mvh Tobias

[MrO]

Hej! Varför använder du inget antivirusprogram,jag kan iallafall inte se nåt i din HJT logga!?

Testa om Drweb kan hjälpa dig,annars är det som Cecilia säger att bara installera om systemet!!

http://www.freedrweb.com/livecd/

[Cecilia]

Enligt de studier som jag har sett så kan man t ex med hjälp av t ex DrWeb få bort själva virut-infektionen, dvs Windows-filerna sprider ingen smitta längre, men de är skadade och innehåller inte det de ska längre. Datorn kommer alltså inte att fungera ordentligt.

Närmare undersökning av nedladdningsfilen visade att den inte bara innehåller en virut-infektion utan också en rejält besvärlig rootkit-infektion av TDSS-typ.

Installera om Windows!

Därefter så var försiktig med datorn och utsätt den inte för fara. Här kan du läsa mina vanliga råd för en säkrare dator, men det är så klart viktigt att man använder sitt förnuft också.

http://ceblstockholm.googlepages.com/home

[bobbe112]

tack för all hjälp jag formaterade om datorn så försvann allt virus och nu har jag även bytt virus program till nod32

[OlleBull]

NOD32 - Ett mycket klokt val, hoppas du blir nöjd med programmet.

Lycka till!