Win32/olmarik trojan


Recommended Posts

Har försökt med diverse program att få bort det men får bara upp "unable to clean"..? min dator började beteé sig konstigt igen.. hade en tråd om det tidigare (flera månader sedan) då datorn startar om automatiskt av sig och att jag fick upp diverse felmeddelanden om dll problem, flash10 osv i explorer.. samma sak händer igen.. och jag vet inte vad felet nu är.. körde NOd eller vad det heter programet och hitta 6 virus men en kundes inte tas bort... så hur får man bort detta??

Kan detta vara skurken tro att min dator har blivit helt knäpp igen?? har provat med firefox men den kraschar också.. har avinstallerat flash och laddat hem det igen utan resultat..

Link to comment
Share on other sites

Har försökt med diverse program att få bort det men får bara upp "unable to clean"..? min dator började beteé sig konstigt igen.. hade en tråd om det tidigare (flera månader sedan) då datorn startar om automatiskt av sig och att jag fick upp diverse felmeddelanden om dll problem, flash10 osv i explorer.. samma sak händer igen.. och jag vet inte vad felet nu är.. körde NOd eller vad det heter programet och hitta 6 virus men en kundes inte tas bort... så hur får man bort detta??

Kan detta vara skurken tro att min dator har blivit helt knäpp igen?? har provat med firefox men den kraschar också.. har avinstallerat flash och laddat hem det igen utan resultat..

jag körde en sådan "hijackthis" och fick upp det här.. kanske nån även kan tyda om nått är fel??? Jag har verkligen noll koll på datorer... vore supersnällt om nån kunnigt kan kika på det...

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 19:05:01, on 2009-12-16

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program\MySpace\IM\MySpaceIM.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\UAService7.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\explorer.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Documents and Settings\Riitta\Skrivbord\HJTInstall.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O1 - Hosts: ::1 localhost

O1 - Hosts: 91.212.127.226 osguard-pro.microsoft.com

O1 - Hosts: 91.212.127.226 osguard-pro.com

O1 - Hosts: 91.212.127.226 www.osguard-pro.com

O2 - BHO: (no name) - autorunsdisabled - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: JQSIEStartDetectorImpl - {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

O4 - HKCU\..\Run: [MySpaceIM] C:\Program\MySpace\IM\MySpaceIM.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [MySpaceIM] C:\Program\MySpace\IM\MySpaceIM.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: download all links using bitcomet - res://C:\Program\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: download all videos using bitcomet - res://C:\Program\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: download link using &bitcomet - res://C:\Program\BitComet\BitComet.exe/AddLink.htm

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.spray.se/gratisinternet

O16 - DPF: {076169AA-8C3D-4CFC-AC23-3ACA88FC21B5} (F-Secure Online Scanner Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1253644804093

O16 - DPF: {9191f686-7f0a-441d-8a98-2fe3ac1bd913} (ActiveScan 2.0 Installer Class) - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{8890154B-6FB1-4AC2-ACED-383534D5EC3A}: NameServer = 84.246.88.10,84.246.88.20

O20 - Winlogon Notify: autorunsdisabled - C:\WINDOWS\

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Background Intelligent Transfer Service (BITS) - Unknown owner - C:\WINDOWS\

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program\COMODO\COMODO Internet Security\cmdagent.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

O23 - Service: Automatiska uppdateringar (wuauserv) - Unknown owner - C:\WINDOWS\

O24 - Desktop Component autorunsdisabled: (no name) - (no file)

--

End of file - 6290 bytes

Link to comment
Share on other sites

Har du någon logg från Nod32 så att jag kan se vilka filer och mappar som är inblandade?

Malwarebytes Anti-Malware (MBAM) brukar kunna åtgärda olmarik. Är du säker på att MBAM var uppdaterad?

Jag har avinstallerat nod och alla "virus scan" program som går att ta bort eftersom jag tänkte att det kanske skulle hjälpa att ta bort allt nytt som jag laddat hem under senaste veckorna.. men problemen kvarstår.. har rensat bort allt skräp osv.. så nej har inte loggfilen kvar.. i annat fall kan jag ju ladda hem det igen och kör en scan ännu engång och se om det är kvar.. malware programet går inte att avinstallera.. hela datorn hänger sig.. och det går heller inte att använda.. (vet inte vad som är felet) hela datorn beteér sig mycker märkligt.. kan inte ens komma in på sparade word dockument osv..

Ibland dock kan datorn sköta sig helt okej utan felmeddelanden osv.. men andra ggr så startar den om sig ,felmeddelanden med flash10, dll osv osv flera ggr i timmen..

Link to comment
Share on other sites

Hmm, du ser ju inte ut att ha något antivirusprogram installerat. Det är ju inte så bra.

Ladda ner och kör WUS_Fix.exe http://users.telenet.be/marcvn/tools/WUS_Fix.exe

Har du själv ställt in dessa och i så fall varför?

O1 - Hosts: 91.212.127.226 osguard-pro.microsoft.com

O1 - Hosts: 91.212.127.226 osguard-pro.com

O1 - Hosts: 91.212.127.226 www.osguard-pro.com

Link to comment
Share on other sites

Hmm, du ser ju inte ut att ha något antivirusprogram installerat. Det är ju inte så bra.

Ladda ner och kör WUS_Fix.exe http://users.telenet.be/marcvn/tools/WUS_Fix.exe

Har du själv ställt in dessa och i så fall varför?

O1 - Hosts: 91.212.127.226 osguard-pro.microsoft.com

O1 - Hosts: 91.212.127.226 osguard-pro.com

O1 - Hosts: 91.212.127.226 www.osguard-pro.com

Ingen aning vad detta är... har bara haft datorn i 1 år.. tidigare ägare vet jag inte alls vad han installerade ..

vad är det för program jag ska ladda ner? vad gör den för nytta och så?

Link to comment
Share on other sites

Får se i en ny HijackThis-logg om WUS-fix gjorde det den skulle.

Tillägg:

O1-raderna jag frågade om fanns inte när du klistrade in HijackThis-loggen i oktober.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 20:46:33, on 2009-12-16

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\WINDOWS\Explorer.EXE

C:\Program\MySpace\IM\MySpaceIM.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\UAService7.exe

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\System32\svchost.exe

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Program\Internet Explorer\IEXPLORE.EXE

C:\Documents and Settings\Riitta\Skrivbord\HJTInstall.exe

C:\Documents and Settings\Riitta\Skrivbord\HJTInstall.exe

C:\Program\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar

O1 - Hosts: ::1 localhost

O1 - Hosts: 91.212.127.226 osguard-pro.microsoft.com

O1 - Hosts: 91.212.127.226 osguard-pro.com

O1 - Hosts: 91.212.127.226 www.osguard-pro.com

O2 - BHO: (no name) - autorunsdisabled - (no file)

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll

O2 - BHO: JQSIEStartDetectorImpl - {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - C:\Program\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file)

O4 - HKCU\..\Run: [MySpaceIM] C:\Program\MySpace\IM\MySpaceIM.exe

O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [msnmsgr] "C:\Program\Windows Live\Messenger\msnmsgr.exe" /background (User 'SYSTEM')

O4 - HKUS\S-1-5-18\..\Run: [MySpaceIM] C:\Program\MySpace\IM\MySpaceIM.exe (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O8 - Extra context menu item: download all links using bitcomet - res://C:\Program\BitComet\BitComet.exe/AddAllLink.htm

O8 - Extra context menu item: download all videos using bitcomet - res://C:\Program\BitComet\BitComet.exe/AddVideo.htm

O8 - Extra context menu item: download link using &bitcomet - res://C:\Program\BitComet\BitComet.exe/AddLink.htm

O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\Program\MICROS~2\OFFICE11\REFIEBAR.DLL

O9 - Extra button: (no name) - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - C:\WINDOWS\system32\shdocvw.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=http://www.spray.se/gratisinternet

O16 - DPF: {076169AA-8C3D-4CFC-AC23-3ACA88FC21B5} (F-Secure Online Scanner Launcher) - http://download.sp.f-secure.com/ols/f-secure-rtm/resources/fslauncher.cab

O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1253644804093

O16 - DPF: {9191f686-7f0a-441d-8a98-2fe3ac1bd913} - http://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

O17 - HKLM\System\CCS\Services\Tcpip\..\{8890154B-6FB1-4AC2-ACED-383534D5EC3A}: NameServer = 84.246.88.10,84.246.88.20

O20 - Winlogon Notify: autorunsdisabled - C:\WINDOWS\

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Background Intelligent Transfer Service (BITS) - Unknown owner - C:\WINDOWS\

O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe

O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program\COMODO\COMODO Internet Security\cmdagent.exe (file missing)

O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe

O23 - Service: iPodService - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program\Java\jre6\bin\jqs.exe

O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

O23 - Service: SecuROM User Access Service (V7) (UserAccess7) - Sony DADC Austria AG. - C:\WINDOWS\system32\UAService7.exe

O23 - Service: Automatiska uppdateringar (wuauserv) - Unknown owner - C:\WINDOWS\

O24 - Desktop Component autorunsdisabled: (no name) - (no file)

--

End of file - 6230 bytes

Link to comment
Share on other sites

Ta det lugnt. Det blir bara svårare att hjälpa dig om du gör saker på egen hand.

Kör MBAM och klistra in loggen från det programmet.

Kolla på fliken Loggar i det programmet om där finns någon annan logg från december där något har hittats.

MBAM funkar inte på min dator.. installerar man det hänger sig hela datorn.. hade det programmet förut men sen började den strula.. gick inte att "klicka upp programmet" hände ingenting... sen när jag försökte avinstallera det som fanns på datorn så samma sak igen allt hänger sig och det är omöjligt att få bort... finns det inget annat program jag kan prova?

Link to comment
Share on other sites

Du kan ju använda en on-line Anti virus scanner, som kan ta bort något av det som stoppar Malwarebytes från att fungera.

T.ex http://www.eset.com/onlinescan/ eller http://www.f-secure.com/en_EMEA/security/security-lab/tools-and-services/online-scanner/

Har använt F-Secure själv, när jag hjälpte en granne med ett liknande problem.

Fick sedan Malwarebytes att fungera och lyckades då få bort ett liknande otyg.

Men Cecilia har säkert fler tricks att hjälpa dig med. så avvakta en stund.

Mvh

Mats H

Link to comment
Share on other sites

1. Apropå online-skanningar så vore det ju bra om du kollade med Nod32 så vi vet vad det hittade för något:

http://www.eset.com/onlinescan/ Spara loggen och klistra in i ditt svar.

2. Spara RKill av Grinler på Skrivbordet. Ladda ner det från en av dessa länkar:

http://download.bleepingcomputer.com/grinler/rkill.pif

http://download.bleepingcomputer.com/grinler/rkill.scr

http://download.bleepingcomputer.com/grinler/rkill.com

http://download.bleepingcomputer.com/grinler/rkill.exe

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Starta Rkill (i Vista och Windows 7 genom att högerklicka på filen och välj Kör som administratör om det valet finns).

Skärmen kommer att bli svart medan programmet kör.

Om programmet inte kan köra så berätta det.

Direkt efter det så försöker du med MBAM (Malwarebytes Anti-Malware).

3. Vi kan se vad DDS visar också. Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

Starta programmet (i Vista högerklicka och Kör som administratör).

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar bifogar du loggen DSS.txt, men inte Attach.txt utan den sparar du på Skrivbordet utifall att jag behöver se den senare.

Link to comment
Share on other sites

1. Apropå online-skanningar så vore det ju bra om du kollade med Nod32 så vi vet vad det hittade för något:

http://www.eset.com/onlinescan/ Spara loggen och klistra in i ditt svar.

2. Spara RKill av Grinler på Skrivbordet. Ladda ner det från en av dessa länkar:

http://download.bleepingcomputer.com/grinler/rkill.pif

http://download.bleepingcomputer.com/grinler/rkill.scr

http://download.bleepingcomputer.com/grinler/rkill.com

http://download.bleepingcomputer.com/grinler/rkill.exe

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Starta Rkill (i Vista och Windows 7 genom att högerklicka på filen och välj Kör som administratör om det valet finns).

Skärmen kommer att bli svart medan programmet kör.

Om programmet inte kan köra så berätta det.

Direkt efter det så försöker du med MBAM (Malwarebytes Anti-Malware).

3. Vi kan se vad DDS visar också. Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

Starta programmet (i Vista högerklicka och Kör som administratör).

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar bifogar du loggen DSS.txt, men inte Attach.txt utan den sparar du på Skrivbordet utifall att jag behöver se den senare.

Okey nu har jag försökt med allt du skrev :) ...

MBAM funkar fortfarande icke.. varken att starta upp eller ta avinstallera..(allt hänger sig och man måste starta om datorn)

Online scannen hitta inga hot..

-------------------------------------

DDS (Ver_09-12-01.01) - NTFSx86

Run by Riitta at 22:48:22,29 on 2009-12-16

Internet Explorer: 8.0.6001.18702 BrowserJavaVersion: 1.6.0_16

Microsoft Windows XP Home Edition 5.1.2600.3.1252.46.1053.18.1023.595 [GMT 1:00]

AV: AntiMalware *On-access scanning enabled* (Outdated) {28e00e3b-806e-4533-925c-f4c3d79514b9}

============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\WINDOWS\system32\svchost.exe -k netsvcs

C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup

svchost.exe

svchost.exe

C:\WINDOWS\system32\spoolsv.exe

svchost.exe

C:\Program\Bonjour\mDNSResponder.exe

C:\Program\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\tcpsvcs.exe

C:\WINDOWS\system32\slserv.exe

C:\WINDOWS\System32\snmp.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\WINDOWS\system32\MsPMSPSv.exe

C:\WINDOWS\System32\svchost.exe -k HTTPFilter

C:\WINDOWS\system32\ctfmon.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\Program\Internet Explorer\iexplore.exe

C:\WINDOWS\explorer.exe

C:\Program\Malwarebytes' Anti-Malware\mbam.exe

C:\Documents and Settings\Riitta\Skrivbord\dds.scr

============== Pseudo HJT Report ===============

uStart Page = hxxp://www.google.se/

BHO: autorunsdisabled - No File

BHO: AcroIEHlprObj Class: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\program\adobe\acrobat 6.0\reader\activex\AcroIEHelper.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

TB: {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - No File

EB: &Diskutera: {bdeade7f-c265-11d0-bced-00a0c90ab50f} - shdocvw.dll

EB: &Referensinformation: {ff059e31-cc5a-4e2e-bf3b-96e929d65503} - c:\program\micros~2\office11\REFIEBAR.DLL

uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe

mRun: [QuickTime Task] "c:\program\quicktime\qttask.exe" -atboottime

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

dRun: [msnmsgr] "c:\program\windows live\messenger\msnmsgr.exe" /background

IE: download all links using bitcomet - c:\program\bitcomet\BitComet.exe/AddAllLink.htm

IE: download all videos using bitcomet - c:\program\bitcomet\BitComet.exe/AddVideo.htm

IE: download link using &bitcomet - c:\program\bitcomet\BitComet.exe/AddLink.htm

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program\messenger\msmsgs.exe

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\program\micros~2\office11\REFIEBAR.DLL

IE: {dfb852a3-47f8-48c4-a200-58cab36fd2a2} - {53707962-6F74-2D53-2644-206D7942484F}

DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1253644804093

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab

DPF: {9191f686-7f0a-441d-8a98-2fe3ac1bd913} - hxxp://acs.pandasoftware.com/activescan/cabs/as2stubie.cab

DPF: {CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_16-windows-i586.cab

DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab

DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

TCP: {8890154B-6FB1-4AC2-ACED-383534D5EC3A} = 84.246.88.10,84.246.88.20

Notify: AtiExtEvent - Ati2evxx.dll

Notify: autorunsdisabled - c:\program\superantispyware\SASWINLO.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

Hosts: 91.212.127.226 osguard-pro.microsoft.com

Hosts: 91.212.127.226 osguard-pro.com

Hosts: 91.212.127.226 www.osguard-pro.com

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\riitta\applic~1\mozilla\firefox\profiles\o8liink8.default\

FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?SearchSource=10&ctid=CT2088752

FF - prefs.js: keyword.URL - hxxp://se.yhs.search.yahoo.com/avg/search?fr=yhs-avg&type=yahoo_avg_hs2-tb-web_se&p=

FF - plugin: c:\browserplusplugins\c4c40b30fff1e903ba2c887c48aabcc9\npybrowserplus_2.4.17.dll

FF - plugin: c:\program\microsoft\office live\npOLW.dll

FF - HiddenExtension: Java Console: No Registry Reference - c:\program\mozilla firefox\extensions\{CAFEEFAC-0016-0000-0016-ABCDEFFEDCBA}

---- FIREFOX POLICIES ----

FF - user.js: yahoo.ytff.general.dontshowhpoffer - truec:\program\mozilla firefox\greprefs\all.js - pref("browser.visited_color", "#551A8B");

c:\program\mozilla firefox\greprefs\security-prefs.js - pref("security.ssl3.rsa_seed_sha", true);

c:\program\mozilla firefox\defaults\pref\firefox-l10n.js - pref("browser.fixup.alternate.suffix", ".se");

c:\program\mozilla firefox\defaults\pref\firefox.js - pref("browser.videoFeeds.handler", "ask");

============= SERVICES / DRIVERS ===============

R0 PCTCore;PCTools KDS;c:\windows\system32\drivers\PCTCore.sys [2009-10-3 206256]

R2 DbgMsg;Debug Message;c:\windows\system32\drivers\DbgMsg.sys [2006-3-8 18240]

R2 Iprip;RIP Listener;c:\windows\system32\svchost.exe -k netsvcs [2005-3-21 14336]

R3 CONAN;CONAN;c:\windows\system32\drivers\o2mmb.sys [2005-3-21 191092]

S0 pavboot;pavboot;c:\windows\system32\drivers\pavboot.sys --> c:\windows\system32\drivers\pavboot.sys [?]

S1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdguard.sys --> c:\windows\system32\drivers\cmdguard.sys [?]

S2 cmdAgent;COMODO Internet Security Helper Service;"c:\program\comodo\comodo internet security\cmdagent.exe" --> c:\program\comodo\comodo internet security\cmdagent.exe [?]

S3 MbxStby;MbxStby;c:\windows\system32\drivers\MbxStby.sys [2005-3-21 6100]

S3 MosSir;MosSir.sys;c:\windows\system32\drivers\MosSir.sys [2004-8-23 47360]

S3 s0017bus;Sony Ericsson Device 0017 driver (WDM);c:\windows\system32\drivers\s0017bus.sys [2009-8-6 90536]

S3 s0017mdfl;Sony Ericsson Device 0017 USB WMC Modem Filter;c:\windows\system32\drivers\s0017mdfl.sys [2009-8-6 15016]

S3 s0017mdm;Sony Ericsson Device 0017 USB WMC Modem Driver;c:\windows\system32\drivers\s0017mdm.sys [2009-8-6 122152]

S4 aswfsblk;aswFsBlk;c:\windows\system32\drivers\aswfsblk.sys --> c:\windows\system32\drivers\aswFsBlk.sys [?]

S4 aswsp;avast! Self Protection; [x]

S4 sbre;sbre;\??\c:\windows\system32\drivers\sbredrv.sys --> c:\windows\system32\drivers\SBREdrv.sys [?]

S4 svbdhoy;svbdhoy;\??\c:\windows\system32\drivers\shceytkucnbsv.sys --> c:\windows\system32\drivers\shceytkucnbsv.sys [?]

S4 tcpsr;tcpsr;\??\c:\windows\system32\drivers\tcpsr.sys --> c:\windows\system32\drivers\tcpsr.sys [?]

=============== Created Last 30 ================

2009-12-16 21:13:04 0 d-----w- c:\program\ESET

2009-12-16 21:06:01 0 d-----w- c:\docume~1\alluse~1\applic~1\F-Secure

2009-12-16 20:12:01 0 d-----w- c:\program\Malwarebytes' Anti-Malware

2009-12-15 21:19:09 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2009-12-15 21:19:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys

2009-12-11 20:24:20 5632 ----a-w- c:\windows\system32\ptpusb.dll

2009-12-11 20:24:19 15104 -c--a-w- c:\windows\system32\dllcache\usbscan.sys

2009-12-11 20:24:19 15104 ----a-w- c:\windows\system32\drivers\usbscan.sys

2009-12-11 20:24:18 159232 ----a-w- c:\windows\system32\ptpusd.dll

2009-12-09 21:43:17 0 d-----w- c:\docume~1\alluse~1\applic~1\Sunbelt

2009-12-09 20:23:32 201 ----a-w- c:\windows\system32\srcr.dat

2009-12-05 20:42:24 0 d-----w- c:\program\Full Tilt Poker

2009-12-04 20:52:13 0 d-----w- c:\docume~1\riitta\applic~1\FabFilter

2009-12-04 20:43:55 0 d-----w- c:\program\Vstplugins

2009-12-04 20:41:18 0 d-----w- c:\program\Sony Setup

2009-11-20 17:19:56 0 d-----w- C:\BrowserPlusPlugins

==================== Find3M ====================

2009-12-16 21:48:29 86400 ----a-w- c:\windows\system32\drivers\fdf09431.sys

2009-10-31 15:00:28 85146 ----a-w- c:\windows\system32\perfc01D.dat

2009-10-31 15:00:28 447712 ----a-w- c:\windows\system32\perfh01D.dat

2009-10-14 19:43:05 14336 ----a-w- c:\windows\system32\svchost.exe

2009-10-11 23:45:42 12694 ----a-w- c:\docume~1\alluse~1\applic~1\epezopupyv.dat

2009-10-11 23:45:42 12565 ----a-w- c:\program\delade filer\elafaxyk.com

2009-10-11 23:45:42 12392 ----a-w- c:\windows\icogyhuva.scr

2009-10-11 23:45:41 18283 ----a-w- c:\program\delade filer\zerypevaji.lib

2009-10-11 23:45:41 17725 ----a-w- c:\windows\system32\hivuheja.dll

2009-10-11 23:45:41 16427 ----a-w- c:\windows\ojum.dll

2009-10-11 23:45:41 15829 ----a-w- c:\program\delade filer\zudo._dl

2009-10-11 23:45:41 15220 ----a-w- c:\docume~1\riitta\applic~1\omekys.bin

2009-10-11 23:45:41 15121 ----a-w- c:\program\delade filer\owegasuril.com

2009-10-11 19:45:16 17609 ----a-w- c:\docume~1\alluse~1\applic~1\mazatewavi.sys

2009-10-11 19:45:16 16919 ----a-w- c:\windows\zawomuboxy.bat

2009-10-11 19:45:16 16907 ----a-w- c:\docume~1\alluse~1\applic~1\kobaqufa.dat

2009-10-11 19:45:16 15380 ----a-w- c:\program\delade filer\zawa._sy

2009-10-11 19:45:16 14921 ----a-w- c:\program\delade filer\dipu.bat

2009-10-11 19:45:16 14008 ----a-w- c:\windows\system32\xava.reg

2009-10-11 19:45:16 13918 ----a-w- c:\docume~1\riitta\applic~1\vyfa.scr

2009-10-11 19:45:16 13756 ----a-w- c:\program\delade filer\exihywut.bin

2009-10-11 19:45:16 13041 ----a-w- c:\windows\uxycocaqan.dat

2009-10-11 19:45:16 12084 ----a-w- c:\windows\ojejiril.dat

2009-10-11 19:45:16 10491 ----a-w- c:\docume~1\alluse~1\applic~1\begazuha.exe

2009-10-11 19:45:16 10153 ----a-w- c:\windows\ewybupu.com

2009-10-09 22:51:52 18350 ----a-w- c:\program\delade filer\akup.lib

2009-10-09 22:51:52 18329 ----a-w- c:\docume~1\riitta\applic~1\yzoxove.sys

2009-10-09 22:51:52 18156 ----a-w- c:\program\delade filer\ysome.lib

2009-10-09 22:51:52 18032 ----a-w- c:\windows\sonebyqag.scr

2009-10-09 22:51:52 17587 ----a-w- c:\windows\edohu.bin

2009-10-09 22:51:52 16693 ----a-w- c:\docume~1\riitta\applic~1\xoboginowa.pif

2009-10-09 22:51:52 16450 ----a-w- c:\windows\system32\dubobybi.bat

2009-10-09 22:51:52 15957 ----a-w- c:\windows\minicuvoka.vbs

2009-10-09 22:51:52 14604 ----a-w- c:\docume~1\riitta\applic~1\mitijilih.pif

2009-10-03 16:06:11 411368 ----a-w- c:\windows\system32\deploytk.dll

2009-10-02 21:07:43 179792 ----a-w- c:\windows\system32\guard32.dll

2009-10-01 20:04:22 15096 ---ha-w- c:\windows\system32\mlfcache.dat

2005-12-11 18:03:10 9407598 ----a-w- c:\program\vlc-0.8.4-win32.exe

2008-12-24 14:07:57 32768 --sha-w- c:\windows\system32\config\systemprofile\lokala inställningar\tidigare\history.ie5\mshist012008122420081225\index.dat

============= FINISH: 22:49:48,24 ===============

Link to comment
Share on other sites

Har du fortfarande ett program som heter SoftICE från Compuware installerat? Är det något du använder? Om du svarar nej på båda frågorna så avinstallera det.

Jag ser fullt med filer från oktober som inte borde finnas i datorn. Det finns också fullt med rester av olika antivirusprogram. Vilket program har du tänkt att använda framöver? Så jag vet vilka städprogram du behöver köra.

Men om datorn inte var precis nyformaterad när du fick den så tycker jag egentligen att du borde installera om Windows för att inte ha en massa program som du inte använder liggande i den och så allt skräp efter alla program du har installerat och avinstallerat.

Link to comment
Share on other sites

Finns det några mappar eller så man bara kan radera annars?? formatera om windows osv känns som nått jag borde hålla mig ifrån eftersom jag inte kan nånting om datorer.. har heller ingen som kan hjälpa mig så det blir ju jätesvårt.? :unsure:

försökte hitta SoftICE men såg det ingenstans och det är inget jag heller använder provade att söka efter det.. använder i stort sett ingenting förutom vissa chatprogram, word och sen surfar runt på nätet.. så egentligen borde jag kunna ta bort mycket skräp och program..

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

Loading...
 Share