MaPe Posted February 14, 2010 Share Posted February 14, 2010 Hej! Skulle vara tacksam för hjälp att tolka TM HJT-loggen o råd om/vad jag ska göra. I början av veckan blev datorskrivbordet plötsligt bombarderat med olika varningar om att datorn var utsatt för virusangrepp och infiltrationsförsök. Efter en stund startade en sk "demoversion" (vars ikon smugit sig ner på verktygsmenyn, i närheten av NOD32-ikonen). Det såg ut som om Antivirus Soft började skanna datorn. Detta gick att avbryta, men varningsmeddelandena fortsatte att komma. Inget program, förutom webbläsaren, gick att starta. Men eftersom jag har mobilt bredband, kunde jag inte använda mjukvaran som behövs för att ansluta till internet. Det gick att stänga av datorn, men alla procedurer började igen, nästan omgående efter varje uppstart av datorn. Emellertid visade det sig, att om jag var snabb, gick det att starta Windows XP:s återställningsfunktion. Dock fanns det bara en återställningspunkt - samtidigt som datorn fick problem. Återställningarna hade ingen större effekt på varningsmeddelandena, men mjukvaran för anslutning till internet hann arbeta färdigt en gång direkt efter att återställningen var klar. Så snart jag bröt anslutningen var det kört igen. Men så i em, när jag startade upp datorn (tänkte reinstallera Windows XP) - då kom inte ett enda varningsmeddelande, ingen låsning av program!? Varför? Jag passade på ladda ner Trend Micro Hight-jack This, CCleaner och Malwarebytes' Anti-Malware. Har städat och gjort en TM HJT-logg. Ska jag nu gå vidare med Malwarebytes' Anti-Malware eller något annat? Hälsningar mape Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 15:28:27, on 2010-02-14 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ATK0100\HControl.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\sm56hlpr.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\ASUS\ASUS Live Update\ALU.exe C:\Program Files\Wireless Console 2\wcourier.exe C:\Program Files\ASUS\ATK Media\DMEDIA.EXE C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe C:\WINDOWS\eHome\ehmsas.exe C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe C:\Program Files\ASUS\Splendid\ACMON.exe C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\ACEngSvr.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Windows Desktop Search\WindowsSearch.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtBty.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe C:\Program Files\3\3Connect\AutoUpdateSrv.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe C:\WINDOWS\system32\dllhost.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe C:\WINDOWS\system32\SearchProtocolHost.exe C:\Program Files\Trend Micro\HijackThis\mape.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/ O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [sMSERIAL] C:\WINDOWS\sm56hlpr.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - HKLM\..\Run: [ACMON] C:\Program Files\ASUS\Splendid\ACMON.exe O4 - HKLM\..\Run: [intelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [intelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe" O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [avhdlbpt] C:\Documents and Settings\Magnus Petterson\Local Settings\Application Data\wjnwiq\sivasftav.exe O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKCU\..\Run: [avhdlbpt] C:\Documents and Settings\Magnus Petterson\Local Settings\Application Data\wjnwiq\sivasftav.exe O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Registration Heroes of Might & Magic 5.LNK = C:\Program Files\Ubisoft\Heroes of Might and Magic V\registration\RegistrationReminder.exe O4 - Global Startup: Bluetooth Manager.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Visa eller dölj HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1256894838109 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1256895652843 O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe -- End of file - 9357 bytes Quote Link to comment Share on other sites More sharing options...
Cecilia Posted February 14, 2010 Share Posted February 14, 2010 Loggen ser inte bra ut. Det ser ut som att du redan har installerat MBAM. Innan du kör MBAM skulle jag vilja se en logg som visar mer av hur det ser ut i datorn än vad HijackThis gör. Spara DDS på Skrivbordet. http://download.bleepingcomputer.com/sUBs/dds.scr Starta programmet genom att dubbelklicka på det. Tryck Yes/Ja om frågan om Optional Scan dyker upp. I ditt svar klistrar du in loggen DSS.txt. Medan du bifogar Attach.txt som en fil. Quote Link to comment Share on other sites More sharing options...
MaPe Posted February 14, 2010 Author Share Posted February 14, 2010 Hej! Ja, jag installerade MBAM medan jag kom ut på nätet för att kunna uppdatera, eftersom jag inte visste hur länge anslutningen skulle fungera. Ett förtydligande till uppgiften i loggen att licensen på NOD32 har gått ut: ja den gick ut i söndags och sista virussignaturen heter "4845 (20100207)". Det ser inte bra ut, anledningen är att jag var osäker på om jag skulleförnya eller prova ett annat program. Sen kom detta emellan. Hälsningar MaPe DDS (Ver_09-12-01.01) - NTFSx86 Run by Magnus Petterson at 18:40:08,21 on 2010-02-14 Internet Explorer: 8.0.6001.18702 Microsoft Windows XP Professional 5.1.2600.3.1252.46.1033.18.2047.1383 [GMT 1:00] AV: ESET NOD32 Antivirus 3.0 *On-access scanning enabled* (Outdated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0} ============== Running Processes =============== C:\WINDOWS\system32\svchost -k DcomLaunch svchost.exe C:\WINDOWS\System32\svchost.exe -k netsvcs C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe svchost.exe svchost.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe svchost.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe C:\WINDOWS\system32\svchost.exe -k hpdevmgmt C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe -k HPZ12 C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe -k HPZ12 C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe svchost.exe C:\WINDOWS\system32\svchost.exe -k imgsvc C:\WINDOWS\ATK0100\HControl.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\sm56hlpr.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\ASUS\ASUS Live Update\ALU.exe C:\Program Files\Wireless Console 2\wcourier.exe C:\Program Files\ASUS\ATK Media\DMEDIA.EXE C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe C:\WINDOWS\eHome\ehmsas.exe C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe C:\Program Files\ASUS\Splendid\ACMON.exe C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\ACEngSvr.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Windows Desktop Search\WindowsSearch.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtBty.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe C:\Program Files\3\3Connect\AutoUpdateSrv.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe C:\WINDOWS\system32\dllhost.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe C:\WINDOWS\system32\wscntfy.exe C:\WINDOWS\system32\wuauclt.exe C:\Documents and Settings\Magnus Petterson\Desktop\dds.scr ============== Pseudo HJT Report =============== uStart Page = hxxp://www.asus.com/ uInternet Connection Wizard,ShellNext = hxxp://www.asus.com/ BHO: HP Print Enhancer: {0347c33e-8762-4905-bf09-768834316c61} - c:\program files\hp\digital imaging\smart web printing\hpswp_printenhancer.dll BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll BHO: HP Smart BHO Class: {ffffffff-cf4e-4f2b-bdc2-0e72e116a856} - c:\program files\hp\digital imaging\smart web printing\hpswp_BHO.dll TB: {0B53EAC3-8D69-4B9E-9B19-A37C9A5676A7} - No File EB: HP Smart Web Printing: {555d4d79-4bd2-4094-a395-cfc534424a05} - c:\program files\hp\digital imaging\smart web printing\hpswp_bho.dll uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe uRun: [skype] "c:\program files\skype\phone\Skype.exe" /nosplash /minimized uRun: [MSMSGS] "c:\program files\messenger\msmsgs.exe" /background uRun: [avhdlbpt] c:\documents and settings\magnus petterson\local settings\application data\wjnwiq\sivasftav.exe mRun: [HControl] c:\windows\atk0100\HControl.exe mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup mRun: [nwiz] nwiz.exe /install mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit mRun: [ehTray] c:\windows\ehome\ehtray.exe mRun: [sMSERIAL] c:\windows\sm56hlpr.exe mRun: [RTHDCPL] RTHDCPL.EXE mRun: [Alcmtr] ALCMTR.EXE mRun: [ASUS Live Update] c:\program files\asus\asus live update\ALU.exe mRun: [Wireless Console 2] c:\program files\wireless console 2\wcourier.exe mRun: [ATKMEDIA] c:\program files\asus\atk media\DMEDIA.EXE mRun: [synTPEnh] c:\program files\synaptics\syntp\SynTPEnh.exe mRun: [ABLKSR] c:\windows\ablksr\ABLKSR.exe mRun: [RemoteControl] "c:\program files\asustek\asusdvd\PDVDServ.exe" mRun: [NeroFilterCheck] c:\windows\system32\NeroCheck.exe mRun: [Power_Gear] c:\program files\asus\power4 gear\BatteryLife.exe 1 mRun: [ACMON] c:\program files\asus\splendid\ACMON.exe mRun: [intelZeroConfig] "c:\program files\intel\wireless\bin\ZCfgSvc.exe" mRun: [intelWireless] "c:\program files\intel\wireless\bin\ifrmewrk.exe" /tf Intel PROSet/Wireless mRun: [EOUApp] "c:\program files\intel\wireless\bin\EOUWiz.exe" mRun: [egui] "c:\program files\eset\eset nod32 antivirus\egui.exe" /hide /waitservice mRun: [HP Software Update] c:\program files\hp\hp software update\HPWuSchd2.exe mRun: [hpqSRMon] c:\program files\hp\digital imaging\bin\hpqSRMon.exe mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe" mRun: [avhdlbpt] c:\documents and settings\magnus petterson\local settings\application data\wjnwiq\sivasftav.exe mRunOnce: [Malwarebytes' Anti-Malware] c:\program files\malwarebytes' anti-malware\mbamgui.exe /install /silent dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE StartupFolder: c:\docume~1\magnus~1\startm~1\programs\startup\regist~1.lnk - c:\program files\ubisoft\heroes of might and magic v\registration\RegistrationReminder.exe StartupFolder: c:\docume~1\alluse~1\startm~1\programs\startup\blueto~1.lnk - c:\program files\toshiba\bluetooth toshiba stack\TosBtMng1.exe StartupFolder: c:\docume~1\alluse~1\startm~1\programs\startup\hpdigi~1.lnk - c:\program files\hp\digital imaging\bin\hpqtra08.exe StartupFolder: c:\docume~1\alluse~1\startm~1\programs\startup\window~1.lnk - c:\program files\windows desktop search\WindowsSearch.exe IE: E&xportera till Microsoft Excel - c:\progra~1\micros~2\office11\EXCEL.EXE/3000 IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office11\REFIEBAR.DLL IE: {DDE87865-83C5-48c4-8357-2F5B1AA84522} - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - c:\program files\hp\digital imaging\smart web printing\hpswp_BHO.dll DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} - hxxp://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1256894838109 DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1256895652843 DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab DPF: {CAFEEFAC-0016-0000-0017-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_17-windows-i586.cab DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab SEH: Windows Desktop Search Namespace Manager: {56f9679e-7826-4c84-81f3-532071a8bcc5} - c:\program files\windows desktop search\MSNLNamespaceMgr.dll ============= SERVICES / DRIVERS =============== R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2007-11-14 30728] R2 ekrn;Eset Service;c:\program files\eset\eset nod32 antivirus\ekrn.exe [2007-11-14 455936] R2 McrdSvc;Media Center Extender Service;c:\windows\ehome\mcrdsvc.exe [2005-8-5 99328] R3 SynMini;ASUS WebCam, 1.3M, USB2.0, FF;c:\windows\system32\drivers\SynMini.sys [2006-1-20 841110] R3 SynScan;ASUS WebCam Still Image;c:\windows\system32\drivers\SynScan.sys [2006-1-2 8278] =============== Created Last 30 ================ 2010-02-14 14:08:13 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-02-14 14:08:09 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-02-14 14:08:07 0 d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-02-14 14:05:53 0 d-----w- c:\program files\CCleaner 2010-02-12 15:34:27 0 d-----w- c:\windows\system32\wbem\Repository 2010-02-11 22:39:53 0 d-----w- c:\program files\Malwarebytes' Anti-Malware(2) 2010-02-10 23:50:41 0 d-----w- c:\docume~1\magnus~1\applic~1\Malwarebytes 2010-02-10 23:50:36 0 d-----w- c:\docume~1\alluse~1\applic~1\Malwarebytes 2010-02-10 22:19:20 0 d-----w- c:\program files\Trend Micro 2010-02-07 19:30:57 173056 --sha-r- c:\windows\system32\senscfgr.dll ==================== Find3M ==================== 2009-12-31 16:50:03 353792 ----a-w- c:\windows\system32\drivers\srv.sys 2009-12-31 16:50:03 353792 ------w- c:\windows\system32\dllcache\srv.sys 2009-12-21 13:19:18 173056 ------w- c:\windows\system32\dllcache\ie4uinit.exe 2009-12-16 18:43:27 343040 ----a-w- c:\windows\system32\mspaint.exe 2009-12-16 18:43:27 343040 ------w- c:\windows\system32\dllcache\mspaint.exe 2009-12-16 18:01:06 19545 ----a-w- c:\windows\hpqins13.dat 2009-12-14 07:08:23 33280 ----a-w- c:\windows\system32\csrsrv.dll 2009-12-14 07:08:23 33280 ----a-w- c:\windows\system32\csrsrv(2)(2).dll 2009-12-14 07:08:23 33280 ------w- c:\windows\system32\dllcache\csrsrv.dll 2009-12-08 09:23:28 474112 ----a-w- c:\windows\system32\shlwapi(2)(2).dll 2009-12-08 09:23:28 474112 ------w- c:\windows\system32\dllcache\shlwapi.dll 2009-12-04 18:22:22 455424 ------w- c:\windows\system32\dllcache\mrxsmb.sys 2009-11-27 17:11:44 17920 ----a-w- c:\windows\system32\msyuv.dll 2009-11-27 17:11:44 17920 ------w- c:\windows\system32\dllcache\msyuv.dll 2009-11-27 17:11:44 1291776 ----a-w- c:\windows\system32\quartz.dll 2009-11-27 17:11:44 1291776 ------w- c:\windows\system32\dllcache\quartz.dll 2009-11-27 16:07:35 8704 ----a-w- c:\windows\system32\tsbyuv.dll 2009-11-27 16:07:35 8704 ------w- c:\windows\system32\dllcache\tsbyuv.dll 2009-11-27 16:07:35 28672 ----a-w- c:\windows\system32\msvidc32.dll 2009-11-27 16:07:35 28672 ------w- c:\windows\system32\dllcache\msvidc32.dll 2009-11-27 16:07:34 84992 ----a-w- c:\windows\system32\avifil32.dll 2009-11-27 16:07:34 84992 ------w- c:\windows\system32\dllcache\avifil32.dll 2009-11-27 16:07:34 48128 ----a-w- c:\windows\system32\iyuv_32.dll 2009-11-27 16:07:34 48128 ------w- c:\windows\system32\dllcache\iyuv_32.dll 2009-11-27 16:07:34 11264 ----a-w- c:\windows\system32\msrle32.dll 2009-11-27 16:07:34 11264 ------w- c:\windows\system32\dllcache\msrle32.dll 2009-11-27 04:26:08 98304 ----a-w- c:\windows\system32\CmdLineExt.dll 2009-11-21 15:51:04 471552 ------w- c:\windows\system32\dllcache\aclayers.dll ============= FINISH: 18:40:28,86 =============== Attach.txt Quote Link to comment Share on other sites More sharing options...
Cecilia Posted February 14, 2010 Share Posted February 14, 2010 Nu när jag har sett det så kan du köra MBAM. När du har startat programmet så se till att uppdatera det innan du gör något mer. Välj att göra en snabbskanning. Skanningen tar ett tag. När den är klar så tryck på OK och sedan "Visa resultat". Bocka för allt och tryck sedan Ta bort markerade. När borttagningen är klar så öppnar Anteckningar med en logg. Eventuellt så kommer det upp en begäran om att starta om datorn (Restart). I så fall gör det. Om det blir ett felmeddelande Error loading... efter omstarten så starta om datorn än en gång. Om programmet inte kommer igång efter omstarten så starta det. Om loggen inte kommer upp själv i Anteckningar så hittar du loggen på fliken Loggar i MBAM. Kopiera loggen och klistra in den i ditt svar. Quote Link to comment Share on other sites More sharing options...
MaPe Posted February 14, 2010 Author Share Posted February 14, 2010 Då var det gjort - loggen + en ny TMHJT-logg. MaPe Malwarebytes' Anti-Malware 1.44 Databasversion: 3739 Windows 5.1.2600 Service Pack 3 Internet Explorer 8.0.6001.18702 2010-02-14 20:26:05 mbam-log-2010-02-14 (20-26-05).txt Skanningstyp: Snabb skanning Antal skannade objekt: 124058 Förfluten tid: 5 minute(s), 37 second(s) Infekterade minnesprocesser: 0 Infekterade minnesmoduler: 0 Infekterade registernycklar: 0 Infekterade registervärden: 2 Infekterade registerdataposter: 0 Infekterade mappar: 0 Infekterade filer: 0 Infekterade minnesprocesser: (Inga illasinnade poster hittades) Infekterade minnesmoduler: (Inga illasinnade poster hittades) Infekterade registernycklar: (Inga illasinnade poster hittades) Infekterade registervärden: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avhdlbpt (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully. HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\avhdlbpt (Trojan.FakeAlert.Gen) -> Quarantined and deleted successfully. Infekterade registerdataposter: (Inga illasinnade poster hittades) Infekterade mappar: (Inga illasinnade poster hittades) Infekterade filer: (Inga illasinnade poster hittades) Logfile of Trend Micro HijackThis v2.0.2 Scan saved at 20:30:39, on 2010-02-14 Platform: Windows XP SP3 (WinNT 5.01.2600) MSIE: Internet Explorer v8.00 (8.00.6001.18702) Boot mode: Normal Running processes: C:\WINDOWS\System32\smss.exe C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\system32\services.exe C:\WINDOWS\system32\lsass.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Wireless\Bin\EvtEng.exe C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe C:\WINDOWS\system32\spoolsv.exe C:\WINDOWS\system32\rundll32.exe C:\WINDOWS\Explorer.EXE C:\WINDOWS\eHome\ehRecvr.exe C:\WINDOWS\eHome\ehSched.exe C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe C:\WINDOWS\system32\svchost.exe C:\Program Files\Java\jre6\bin\jqs.exe C:\WINDOWS\System32\svchost.exe C:\WINDOWS\system32\nvsvc32.exe C:\WINDOWS\System32\svchost.exe C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe C:\WINDOWS\system32\svchost.exe C:\WINDOWS\ATK0100\HControl.exe C:\WINDOWS\system32\RUNDLL32.EXE C:\WINDOWS\system32\SearchIndexer.exe C:\WINDOWS\ehome\ehtray.exe C:\WINDOWS\sm56hlpr.exe C:\WINDOWS\RTHDCPL.EXE C:\Program Files\ASUS\ASUS Live Update\ALU.exe C:\Program Files\Wireless Console 2\wcourier.exe C:\Program Files\ASUS\ATK Media\DMEDIA.EXE C:\Program Files\Synaptics\SynTP\SynTPEnh.exe C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe C:\WINDOWS\eHome\ehmsas.exe C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe C:\Program Files\ASUS\Splendid\ACMON.exe C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe C:\Program Files\HP\HP Software Update\HPWuSchd2.exe C:\WINDOWS\system32\ctfmon.exe C:\WINDOWS\system32\ACEngSvr.exe C:\Program Files\Skype\Phone\Skype.exe C:\Program Files\Messenger\msmsgs.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe C:\Program Files\Windows Desktop Search\WindowsSearch.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtBty.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe C:\WINDOWS\ATK0100\ATKOSD.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe C:\Program Files\3\3Connect\AutoUpdateSrv.exe C:\Program Files\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe C:\WINDOWS\system32\dllhost.exe C:\Program Files\HP\Digital Imaging\bin\hpqSTE08.exe C:\Program Files\HP\Digital Imaging\bin\hpqbam08.exe C:\Program Files\HP\Digital Imaging\bin\hpqgpc01.exe C:\WINDOWS\system32\wscntfy.exe C:\Program Files\Trend Micro\HijackThis\mape.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.asus.com/ R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157 R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://www.asus.com/ O2 - BHO: HP Print Enhancer - {0347C33E-8762-4905-BF09-768834316C61} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_printenhancer.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll O2 - BHO: HP Smart BHO Class - {FFFFFFFF-CF4E-4F2B-BDC2-0E72E116A856} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O4 - HKLM\..\Run: [HControl] C:\WINDOWS\ATK0100\HControl.exe O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup O4 - HKLM\..\Run: [nwiz] nwiz.exe /install O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit O4 - HKLM\..\Run: [ehTray] C:\WINDOWS\ehome\ehtray.exe O4 - HKLM\..\Run: [sMSERIAL] C:\WINDOWS\sm56hlpr.exe O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE O4 - HKLM\..\Run: [ASUS Live Update] C:\Program Files\ASUS\ASUS Live Update\ALU.exe O4 - HKLM\..\Run: [Wireless Console 2] C:\Program Files\Wireless Console 2\wcourier.exe O4 - HKLM\..\Run: [ATKMEDIA] C:\Program Files\ASUS\ATK Media\DMEDIA.EXE O4 - HKLM\..\Run: [synTPEnh] C:\Program Files\Synaptics\SynTP\SynTPEnh.exe O4 - HKLM\..\Run: [ABLKSR] C:\WINDOWS\ABLKSR\ABLKSR.exe O4 - HKLM\..\Run: [RemoteControl] "C:\Program Files\ASUSTeK\ASUSDVD\PDVDServ.exe" O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe O4 - HKLM\..\Run: [Power_Gear] C:\Program Files\ASUS\Power4 Gear\BatteryLife.exe 1 O4 - HKLM\..\Run: [ACMON] C:\Program Files\ASUS\Splendid\ACMON.exe O4 - HKLM\..\Run: [intelZeroConfig] "C:\Program Files\Intel\Wireless\bin\ZCfgSvc.exe" O4 - HKLM\..\Run: [intelWireless] "C:\Program Files\Intel\Wireless\Bin\ifrmewrk.exe" /tf Intel PROSet/Wireless O4 - HKLM\..\Run: [EOUApp] "C:\Program Files\Intel\Wireless\Bin\EOUWiz.exe" O4 - HKLM\..\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice O4 - HKLM\..\Run: [HP Software Update] C:\Program Files\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [hpqSRMon] C:\Program Files\HP\Digital Imaging\bin\hpqSRMon.exe O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\RunOnce: [Malwarebytes' Anti-Malware] C:\Program Files\Malwarebytes' Anti-Malware\mbamgui.exe /install /silent O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe O4 - HKCU\..\Run: [skype] "C:\Program Files\Skype\Phone\Skype.exe" /nosplash /minimized O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM') O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user') O4 - Startup: Registration Heroes of Might & Magic 5.LNK = C:\Program Files\Ubisoft\Heroes of Might and Magic V\registration\RegistrationReminder.exe O4 - Global Startup: Bluetooth Manager.lnk = ? O4 - Global Startup: HP Digital Imaging Monitor.lnk = C:\Program Files\HP\Digital Imaging\bin\hpqtra08.exe O4 - Global Startup: Windows Search.lnk = C:\Program Files\Windows Desktop Search\WindowsSearch.exe O8 - Extra context menu item: E&xportera till Microsoft Excel - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 O9 - Extra button: Referensinformation - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL O9 - Extra button: Visa eller dölj HP Smart Web Printing - {DDE87865-83C5-48c4-8357-2F5B1AA84522} - C:\Program Files\HP\Digital Imaging\Smart Web Printing\hpswp_BHO.dll O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe O14 - IERESET.INF: START_PAGE_URL=http://www.asus.com O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://www.update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1256894838109 O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1256895652843 O16 - DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - http://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab O23 - Service: Eset HTTP Server (EhttpSrv) - Unknown owner - C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe O23 - Service: Eset Service (ekrn) - ESET - C:\Program Files\ESET\ESET NOD32 Antivirus\ekrn.exe O23 - Service: Intel® PROSet/Wireless Event Log (EvtEng) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\EvtEng.exe O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe O23 - Service: Intel® PROSet/Wireless Registry Service (RegSrvc) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\RegSrvc.exe O23 - Service: Intel® PROSet/Wireless Service (S24EventMonitor) - Intel Corporation - C:\Program Files\Intel\Wireless\Bin\S24EvMon.exe -- End of file - 9094 bytes Quote Link to comment Share on other sites More sharing options...
Cecilia Posted February 14, 2010 Share Posted February 14, 2010 Ställ in Utforskaren så att du kan se alla filer: Verktyg - Mappalternativ - Visning Välj Visa dolda filer och mappar Avbocka Dölj filnamnstillägg för kända filtyper Avbocka Dölj skyddade operativsystemfiler Kan du då se filen c:\windows\system32\senscfgr.dll med Den här datorn eller Utforskaren? På sidan http://www.virustotal.com trycker du på Bläddra-knappen och klistrar in c:\windows\system32\senscfgr.dll i rutan, tryck på Skicka Fil och vänta tills resultatet är klart (Närvarande status blir genomförd). Klistra in resultatet från de olika antivirusprogrammen (inte Övrig information) eller en länk till resultatet här. Quote Link to comment Share on other sites More sharing options...
MaPe Posted February 15, 2010 Author Share Posted February 15, 2010 Jo, jag hittade filen, men det är nog tänkt att den ska stanna kvar där ... Det gick inte att ladda upp filen till Virustotal, inte heller att bifoga den i ett mail till dem. När jag tittade på filens egenskaper visade det sig att båda rutorna under attribut var markerade. Rutan Dold var dessutom gråfärgad och gick därmed inte att ändra alls. Rutan Skrivskydd gick att avmarkera, men när jag skulle verkställa åtgärden fick jag beskedet att jag inte hade behörighet att utföra detta. Jag hade heller inte behörighet att kopiera eller flytta filen. Hur gör jag nu? Quote Link to comment Share on other sites More sharing options...
Cecilia Posted February 15, 2010 Share Posted February 15, 2010 Vi kan se om det går att göra en kopia med hjälp av något program. Spara ComboFix på Skrivbordet: http://download.bleepingcomputer.com/sUBs/ComboFix.exe Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på. Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html Kör ComboFix och följ anvisningarna som visas. Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja. VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig. När den är färdig så ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet. Om du får problem med att komma ut på internet: Kontrollpanelen - Nätverksanslutningar högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn. Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix. Quote Link to comment Share on other sites More sharing options...
MaPe Posted February 15, 2010 Author Share Posted February 15, 2010 Tyvärr är det det sistnämnda som gäller, för närvarande endast mobilt bredband via USB-modem. Quote Link to comment Share on other sites More sharing options...
Cecilia Posted February 15, 2010 Share Posted February 15, 2010 Har du möjlighet att installera om program/drivrutin för modemet? Quote Link to comment Share on other sites More sharing options...
MaPe Posted February 15, 2010 Author Share Posted February 15, 2010 Det ska inte vara några problem. Du tänker att jag ska göra enligt tidigare instruktion och när allt är klart installerar jag om modemet? Du skrev att automatisk uppspelning förhindrades av ComboFix, det innebär att man istället får gå via Den här datorn och manuellt aktivera den önskade enheten? Quote Link to comment Share on other sites More sharing options...
Cecilia Posted February 15, 2010 Share Posted February 15, 2010 Det är inte alltid som modemet behöver installeras om men det är bra att vara beredd på det. Svaret är "ja" på den andra frågan. Det är farligt när något automatiskt får börja köra på t ex ett USB-minne. Quote Link to comment Share on other sites More sharing options...
MaPe Posted February 16, 2010 Author Share Posted February 16, 2010 Här kommer ComboFix-loggen. Frågan om installation av återställningskonsolen kom upp, så det gjorde jag. Jag behövde inte installera om mitt USB-modem, inga problem i övrigt. MaPe ComboFix 10-02-12.01 - Magnus Petterson 2010-02-16 0:53.1.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.46.1033.18.2047.1497 [GMT 1:00] Körs från: c:\documents and settings\Magnus Petterson\Desktop\ComboFix.exe AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0} . ((((((((((((((((((((((((((((((((((((((( Andra raderingar )))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\Magnus Petterson\Local Settings\Application Data\wjnwiq c:\documents and settings\Magnus Petterson\Local Settings\Application Data\wjnwiq\sivasftav.exe . (((((((((((((((((((((((( Filer Skapade från 2010-01-15 till 2010-02-15 )))))))))))))))))))))))))))))) . 2010-02-14 14:08 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-02-14 14:08 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-02-14 14:08 . 2010-02-14 14:08 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-02-14 14:05 . 2010-02-14 14:05 -------- d-----w- c:\program files\CCleaner 2010-02-12 15:34 . 2010-02-12 15:34 -------- d-----w- c:\windows\system32\wbem\Repository 2010-02-11 22:39 . 2010-02-12 15:33 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware(2) 2010-02-10 23:50 . 2010-02-10 23:50 -------- d-----w- c:\documents and settings\Magnus Petterson\Application Data\Malwarebytes 2010-02-10 23:50 . 2010-02-10 23:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes 2010-02-10 22:19 . 2010-02-10 22:19 -------- d-----w- c:\program files\Trend Micro 2010-02-07 19:45 . 2010-02-07 19:45 -------- d-----w- c:\documents and settings\Magnus Petterson\Local Settings\Application Data\ESET 2010-02-07 19:38 . 2010-02-07 19:38 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\HPAppData 2010-02-07 19:30 . 2010-02-07 19:30 173056 --sha-r- c:\windows\system32\senscfgr.dll . (((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-02-15 23:40 . 2009-11-05 23:22 -------- d-----w- c:\documents and settings\Magnus Petterson\Application Data\HPAppData 2010-01-25 11:35 . 2009-11-14 15:22 -------- d-----w- c:\documents and settings\Magnus Petterson\Application Data\HpUpdate 2010-01-17 22:33 . 2009-11-14 15:59 -------- d-----w- c:\program files\Common Files\Adobe 2009-12-31 16:50 . 2006-09-18 15:07 353792 ----a-w- c:\windows\system32\drivers\srv.sys 2009-12-21 19:14 . 2006-09-18 15:07 916480 ----a-w- c:\windows\system32\wininet.dll 2009-12-16 18:43 . 2006-12-26 21:20 343040 ----a-w- c:\windows\system32\mspaint.exe 2009-12-16 18:01 . 2009-12-16 17:54 19545 ----a-w- c:\windows\hpqins13.dat 2009-12-14 07:08 . 2006-09-18 15:07 33280 ----a-w- c:\windows\system32\csrsrv.dll 2009-12-14 07:08 . 2006-09-18 15:07 33280 ----a-w- c:\windows\system32\csrsrv(2)(2).dll 2009-12-08 09:23 . 2006-09-18 15:07 474112 ----a-w- c:\windows\system32\shlwapi(2)(2).dll 2009-12-04 18:22 . 2006-09-18 15:07 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2009-11-27 17:11 . 2006-09-18 15:07 1291776 ----a-w- c:\windows\system32\quartz.dll 2009-11-27 17:11 . 2004-08-03 23:56 17920 ----a-w- c:\windows\system32\msyuv.dll 2009-11-27 16:07 . 2006-09-18 15:07 28672 ----a-w- c:\windows\system32\msvidc32.dll 2009-11-27 16:07 . 2001-08-17 21:36 8704 ----a-w- c:\windows\system32\tsbyuv.dll 2009-11-27 16:07 . 2006-09-18 15:07 11264 ----a-w- c:\windows\system32\msrle32.dll 2009-11-27 16:07 . 2006-09-18 15:07 84992 ----a-w- c:\windows\system32\avifil32.dll 2009-11-27 16:07 . 2004-08-03 23:56 48128 ----a-w- c:\windows\system32\iyuv_32.dll 2009-11-27 04:26 . 2009-11-27 04:26 98304 ----a-w- c:\windows\system32\CmdLineExt.dll 2009-11-21 15:51 . 2006-09-18 15:07 471552 ----a-w- c:\windows\AppPatch\aclayers.dll . (((((((((((((((((((((((((((((((((( Startpunkter i registret ))))))))))))))))))))))))))))))))))))))))))))))) . . *Not* Tomma poster & legitima standardposter visas inte. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Skype"="c:\program files\Skype\Phone\Skype.exe" [2006-03-13 19543592] "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HControl"="c:\windows\ATK0100\HControl.exe" [2006-04-17 110592] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-16 7561216] "nwiz"="nwiz.exe" [2006-03-16 1519616] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-03-16 86016] "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512] "SMSERIAL"="c:\windows\sm56hlpr.exe" [2006-03-21 544768] "RTHDCPL"="RTHDCPL.EXE" [2006-05-03 16206848] "ASUS Live Update"="c:\program files\ASUS\ASUS Live Update\ALU.exe" [2006-02-21 180224] "Wireless Console 2"="c:\program files\Wireless Console 2\wcourier.exe" [2005-10-17 987136] "ATKMEDIA"="c:\program files\ASUS\ATK Media\DMEDIA.EXE" [2006-02-15 49152] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521] "ABLKSR"="c:\windows\ABLKSR\ABLKSR.exe" [2006-01-02 61440] "RemoteControl"="c:\program files\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "Power_Gear"="c:\program files\ASUS\Power4 Gear\BatteryLife.exe" [2006-03-14 90112] "ACMON"="c:\program files\ASUS\Splendid\ACMON.exe" [2006-02-21 17920] "IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718] "IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182] "EOUApp"="c:\program files\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413] "egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-11-14 1410304] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152] "hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-08-20 150016] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\Magnus Petterson\Start Menu\Programs\Startup\ Registration Heroes of Might & Magic 5.LNK - c:\program files\Ubisoft\Heroes of Might and Magic V\registration\RegistrationReminder.exe [2009-11-27 868352] c:\documents and settings\All Users\Start Menu\Programs\Startup\ Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2005-6-16 49152] HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360] Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"= "c:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe"= "c:\\Program Files\\HP\\Digital Imaging\\Smart Web Printing\\SmartWebPrintExe.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpse.exe"= "c:\\Program Files\\Common Files\\HP\\Digital Imaging\\bin\\hpqPhotoCrm.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqsudi.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"= "c:\\Program Files\\Skype\\Phone\\Skype.exe"= R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2007-11-14 30728] R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2007-11-14 455936] R3 SynMini;ASUS WebCam, 1.3M, USB2.0, FF;c:\windows\system32\drivers\SynMini.sys [2006-01-20 841110] R3 SynScan;ASUS WebCam Still Image;c:\windows\system32\drivers\SynScan.sys [2006-01-02 8278] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . Innehållet i mappen 'Schemalagda aktiviteter': . . ------- Extra genomsökning ------- . uStart Page = hxxp://www.asus.com/ uInternet Connection Wizard,ShellNext = hxxp://www.asus.com/ IE: E&xportera till Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 . - - - - FÖRÄLDRALÖSA POSTER SOM TAGITS BORT - - - - AddRemove-HijackThis - c:\program files\Trend Micro\HijackThis\HijackThis.exe ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-02-16 00:56 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- LÅSTA REGISTERNYCKLAR --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\|ÿÿÿÿÀ|ùA~*] "D140211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . Sluttid: 2010-02-16 00:58:30 ComboFix-quarantined-files.txt 2010-02-15 23:58 Före genomsökningen: 33 539 063 808 bytes free Efter genomsökningen: 33 524 412 416 bytes free WindowsXP-KB310994-SP2-Pro-BootDisk-SVE.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(2)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(2)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect - - End Of File - - 3066E8EC1363E9936DEC4F8394DB9B5B Quote Link to comment Share on other sites More sharing options...
Cecilia Posted February 16, 2010 Share Posted February 16, 2010 Bra att du fick dit återställningskonsolen också. Starta återställningskonsolen genom att trycka på nedåtpilstangenten och Enter när menyn med den kommer upp när datorn startar. I konsolen skriver du: copy c:\windows\system32\senscfgr.dll c:\senscfgr.dll.bad avsluta sedan konsolen. Vet du hur man zippar (packar) en mapp? I så fall gör det med mappen C:\Qoobox. I den mappen ligger information från ComboFix. Jag skulle vilja ha den plus filen c:\senscfgr.dll.bad för närmare undersökning. Gör som så att du laddar upp en fil i taget på http://sprend.com/ och då kommer du att få en länk tillbaks för varje fil. Skicka de två länkarna till mig i ett PM (meddelande) här i forumet. Man kan bara ladda ner filer från sprend en gång och jag vill inte riskera att någon annan laddar ner dem vilket kan hända om du skriver in länkarna här i tråden. Quote Link to comment Share on other sites More sharing options...
Cecilia Posted February 17, 2010 Share Posted February 17, 2010 Tack för filerna! Vi försöker så här. Kopiera alla rader i rutan: Killall:: Rootkit:: c:\windows\system32\senscfgr.dll och klistra in i Anteckningar. Spara filen på Skrivbordet med namnet CFScript. Förbered datorn på samma sätt som tidigare för ComboFix. Dra CFScript med musen och släpp den ovanpå ComboFix-ikonen på Skrivbordet så startar programmet på ett särskilt sätt. Klistra in loggen som kommer ut. Quote Link to comment Share on other sites More sharing options...
MaPe Posted February 17, 2010 Author Share Posted February 17, 2010 Här kommer den nya ComboFix-loggen: ComboFix 10-02-12.01 - Magnus Petterson 2010-02-17 12:43:26.2.2 - x86 Microsoft Windows XP Professional 5.1.2600.3.1252.46.1033.18.2047.1476 [GMT 1:00] Körs från: c:\documents and settings\Magnus Petterson\Desktop\ComboFix.exe Använda kommandoväxlar :: c:\documents and settings\Magnus Petterson\Desktop\CFScript.txt AV: ESET NOD32 Antivirus 3.0 *On-access scanning disabled* (Updated) {E5E70D32-0101-4F12-8FB0-D96ACA4F34C0} . (((((((((((((((((((((((( Filer Skapade från 2010-01-17 till 2010-02-17 )))))))))))))))))))))))))))))) . 2010-02-17 11:48 . 2003-07-29 02:18 3839 ----a-w- c:\windows\system32\drivers\GETPADD.sys 2010-02-16 22:22 . 2010-02-16 22:22 428772 ----a-w- C:\Qoobox.zip 2010-02-14 14:08 . 2010-01-07 15:07 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys 2010-02-14 14:08 . 2010-01-07 15:07 19160 ----a-w- c:\windows\system32\drivers\mbam.sys 2010-02-14 14:08 . 2010-02-14 14:08 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware 2010-02-14 14:05 . 2010-02-14 14:05 -------- d-----w- c:\program files\CCleaner 2010-02-12 15:34 . 2010-02-12 15:34 -------- d-----w- c:\windows\system32\wbem\Repository 2010-02-11 22:39 . 2010-02-12 15:33 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware(2) 2010-02-10 23:50 . 2010-02-10 23:50 -------- d-----w- c:\documents and settings\Magnus Petterson\Application Data\Malwarebytes 2010-02-10 23:50 . 2010-02-10 23:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes 2010-02-10 22:19 . 2010-02-10 22:19 -------- d-----w- c:\program files\Trend Micro 2010-02-07 19:45 . 2010-02-07 19:45 -------- d-----w- c:\documents and settings\Magnus Petterson\Local Settings\Application Data\ESET 2010-02-07 19:38 . 2010-02-07 19:38 -------- d-----w- c:\windows\system32\config\systemprofile\Application Data\HPAppData . (((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))) . 2010-02-17 11:38 . 2009-11-05 23:22 -------- d-----w- c:\documents and settings\Magnus Petterson\Application Data\HPAppData 2010-01-25 11:35 . 2009-11-14 15:22 -------- d-----w- c:\documents and settings\Magnus Petterson\Application Data\HpUpdate 2010-01-17 22:33 . 2009-11-14 15:59 -------- d-----w- c:\program files\Common Files\Adobe 2009-12-31 16:50 . 2006-09-18 15:07 353792 ----a-w- c:\windows\system32\drivers\srv.sys 2009-12-21 19:14 . 2006-09-18 15:07 916480 ------w- c:\windows\system32\wininet.dll 2009-12-16 18:43 . 2006-12-26 21:20 343040 ----a-w- c:\windows\system32\mspaint.exe 2009-12-16 18:01 . 2009-12-16 17:54 19545 ----a-w- c:\windows\hpqins13.dat 2009-12-14 07:08 . 2006-09-18 15:07 33280 ----a-w- c:\windows\system32\csrsrv.dll 2009-12-14 07:08 . 2006-09-18 15:07 33280 ----a-w- c:\windows\system32\csrsrv(2)(2).dll 2009-12-08 09:23 . 2006-09-18 15:07 474112 ----a-w- c:\windows\system32\shlwapi(2)(2).dll 2009-12-04 18:22 . 2006-09-18 15:07 455424 ----a-w- c:\windows\system32\drivers\mrxsmb.sys 2009-11-27 17:11 . 2006-09-18 15:07 1291776 ----a-w- c:\windows\system32\quartz.dll 2009-11-27 17:11 . 2004-08-03 23:56 17920 ----a-w- c:\windows\system32\msyuv.dll 2009-11-27 16:07 . 2006-09-18 15:07 28672 ----a-w- c:\windows\system32\msvidc32.dll 2009-11-27 16:07 . 2001-08-17 21:36 8704 ----a-w- c:\windows\system32\tsbyuv.dll 2009-11-27 16:07 . 2006-09-18 15:07 11264 ----a-w- c:\windows\system32\msrle32.dll 2009-11-27 16:07 . 2006-09-18 15:07 84992 ----a-w- c:\windows\system32\avifil32.dll 2009-11-27 16:07 . 2004-08-03 23:56 48128 ----a-w- c:\windows\system32\iyuv_32.dll 2009-11-27 04:26 . 2009-11-27 04:26 98304 ----a-w- c:\windows\system32\CmdLineExt.dll 2009-11-21 15:51 . 2006-09-18 15:07 471552 ----a-w- c:\windows\AppPatch\aclayers.dll . ((((((((((((((((((((((((((((( SnapShot@2010-02-15_23.56.48 ))))))))))))))))))))))))))))))))))))))))) . + 2010-02-17 11:48 . 2010-02-17 11:48 16384 c:\windows\temp\Perflib_Perfdata_73c.dat . (((((((((((((((((((((((((((((((((( Startpunkter i registret ))))))))))))))))))))))))))))))))))))))))))))))) . . *Not* Tomma poster & legitima standardposter visas inte. REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "Skype"="c:\program files\Skype\Phone\Skype.exe" [2006-03-13 19543592] "MSMSGS"="c:\program files\Messenger\msmsgs.exe" [2008-04-14 1695232] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "HControl"="c:\windows\ATK0100\HControl.exe" [2006-04-17 110592] "NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2006-03-16 7561216] "nwiz"="nwiz.exe" [2006-03-16 1519616] "NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2006-03-16 86016] "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512] "SMSERIAL"="c:\windows\sm56hlpr.exe" [2006-03-21 544768] "RTHDCPL"="RTHDCPL.EXE" [2006-05-03 16206848] "ASUS Live Update"="c:\program files\ASUS\ASUS Live Update\ALU.exe" [2006-02-21 180224] "Wireless Console 2"="c:\program files\Wireless Console 2\wcourier.exe" [2005-10-17 987136] "ATKMEDIA"="c:\program files\ASUS\ATK Media\DMEDIA.EXE" [2006-02-15 49152] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-05-25 786521] "ABLKSR"="c:\windows\ABLKSR\ABLKSR.exe" [2006-01-02 61440] "RemoteControl"="c:\program files\ASUSTeK\ASUSDVD\PDVDServ.exe" [2004-11-02 32768] "NeroFilterCheck"="c:\windows\system32\NeroCheck.exe" [2001-07-09 155648] "Power_Gear"="c:\program files\ASUS\Power4 Gear\BatteryLife.exe" [2006-03-14 90112] "ACMON"="c:\program files\ASUS\Splendid\ACMON.exe" [2006-02-21 17920] "IntelZeroConfig"="c:\program files\Intel\Wireless\bin\ZCfgSvc.exe" [2006-04-14 667718] "IntelWireless"="c:\program files\Intel\Wireless\Bin\ifrmewrk.exe" [2006-04-14 602182] "EOUApp"="c:\program files\Intel\Wireless\Bin\EOUWiz.exe" [2006-04-14 569413] "egui"="c:\program files\ESET\ESET NOD32 Antivirus\egui.exe" [2007-11-14 1410304] "HP Software Update"="c:\program files\HP\HP Software Update\HPWuSchd2.exe" [2007-10-14 49152] "hpqSRMon"="c:\program files\HP\Digital Imaging\bin\hpqSRMon.exe" [2008-08-20 150016] "Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2009-12-11 948672] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] c:\documents and settings\Magnus Petterson\Start Menu\Programs\Startup\ Registration Heroes of Might & Magic 5.LNK - c:\program files\Ubisoft\Heroes of Might and Magic V\registration\RegistrationReminder.exe [2009-11-27 868352] c:\documents and settings\All Users\Start Menu\Programs\Startup\ Bluetooth Manager.lnk - c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng1.exe [2005-6-16 49152] HP Digital Imaging Monitor.lnk - c:\program files\HP\Digital Imaging\bin\hpqtra08.exe [2007-10-14 214360] Windows Search.lnk - c:\program files\Windows Desktop Search\WindowsSearch.exe [2008-5-26 123904] [hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks] "{56F9679E-7826-4C84-81F3-532071A8BCC5}"= "c:\program files\Windows Desktop Search\MSNLNamespaceMgr.dll" [2009-05-24 304128] [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqtra08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqste08.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hposid01.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqkygrp.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqcopy2.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpiscnapp.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqgpc01.exe"= "c:\\Program Files\\HP\\HP Software Update\\HPWUCli.exe"= "c:\\Program Files\\HP\\Digital Imaging\\Smart Web Printing\\SmartWebPrintExe.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpse.exe"= "c:\\Program Files\\Common Files\\HP\\Digital Imaging\\bin\\hpqPhotoCrm.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqsudi.exe"= "c:\\Program Files\\HP\\Digital Imaging\\bin\\hpqpsapp.exe"= "c:\\Program Files\\Skype\\Phone\\Skype.exe"= R1 epfwtdir;epfwtdir;c:\windows\system32\drivers\epfwtdir.sys [2007-11-14 30728] R2 ekrn;Eset Service;c:\program files\ESET\ESET NOD32 Antivirus\ekrn.exe [2007-11-14 455936] R3 SynMini;ASUS WebCam, 1.3M, USB2.0, FF;c:\windows\system32\drivers\SynMini.sys [2006-01-20 841110] R3 SynScan;ASUS WebCam Still Image;c:\windows\system32\drivers\SynScan.sys [2006-01-02 8278] [HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost] HPZ12 REG_MULTI_SZ Pml Driver HPZ12 Net Driver HPZ12 hpdevmgmt REG_MULTI_SZ hpqcxs08 hpqddsvc . . ------- Extra genomsökning ------- . uStart Page = hxxp://www.asus.com/ uInternet Connection Wizard,ShellNext = hxxp://www.asus.com/ IE: E&xportera till Microsoft Excel - c:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000 . ************************************************************************** catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2010-02-17 12:50 Windows 5.1.2600 Service Pack 3 NTFS scanning hidden processes ... scanning hidden autostart entries ... scanning hidden files ... scan completed successfully hidden files: 0 ************************************************************************** . --------------------- LÅSTA REGISTERNYCKLAR --------------------- [HKEY_LOCAL_MACHINE\software\Microsoft\Windows\CurrentVersion\Installer\UserData\LocalSystem\Components\|ÿÿÿÿÀ|ùA~*] "D140211900063D11C8EF10054038389C"="C?\\WINDOWS\\system32\\FM20ENU.DLL" . --------------------- DLLer som "laddats" under processer som körs --------------------- - - - - - - - > 'explorer.exe'(3928) c:\windows\system32\WININET.dll c:\windows\system32\ieframe.dll c:\windows\system32\webcheck.dll . ------------------------ Andra processer som körs ------------------------ . c:\program files\Intel\Wireless\Bin\EvtEng.exe c:\program files\Intel\Wireless\Bin\S24EvMon.exe c:\windows\eHome\ehRecvr.exe c:\windows\eHome\ehSched.exe c:\program files\Java\jre6\bin\jqs.exe c:\windows\system32\nvsvc32.exe c:\program files\Intel\Wireless\Bin\RegSrvc.exe c:\windows\system32\SearchIndexer.exe c:\windows\ehome\mcrdsvc.exe c:\windows\system32\RUNDLL32.EXE c:\windows\RTHDCPL.EXE c:\windows\eHome\ehmsas.exe c:\windows\system32\ACEngSvr.exe c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe c:\program files\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe c:\program files\Toshiba\Bluetooth Toshiba Stack\TosBtBty.exe c:\windows\ATK0100\ATKOSD.exe c:\program files\Toshiba\Bluetooth Toshiba Stack\tosOBEX.exe c:\program files\Toshiba\Bluetooth Toshiba Stack\tosBtProc.exe c:\windows\system32\dllhost.exe c:\program files\HP\Digital Imaging\bin\hpqSTE08.exe c:\program files\HP\Digital Imaging\bin\hpqbam08.exe c:\program files\HP\Digital Imaging\bin\hpqgpc01.exe c:\windows\system32\SearchProtocolHost.exe c:\windows\system32\SearchFilterHost.exe . ************************************************************************** . Sluttid: 2010-02-17 12:52:09 - datorn startades om. ComboFix-quarantined-files.txt 2010-02-17 11:52 ComboFix2.txt 2010-02-15 23:58 Före genomsökningen: 33 708 322 816 bytes free Efter genomsökningen: 33 673 461 760 bytes free - - End Of File - - 8BDE6FCC976FF13E9A33DD1DF29F3A8B Quote Link to comment Share on other sites More sharing options...
Cecilia Posted February 17, 2010 Share Posted February 17, 2010 Det ser ju bra ut! För en sista kontroll gör en online-skanning: http://www.kaspersky.com/kos/eng/partner/default/kavwebscan.html Om något hittas så spara loggen och klistra in i ditt svar. Quote Link to comment Share on other sites More sharing options...
MaPe Posted February 17, 2010 Author Share Posted February 17, 2010 Kasperskys log: -------------------------------------------------------------------------------- KASPERSKY ONLINE SCANNER 7.0: scan report Wednesday, February 17, 2010 Operating system: Microsoft Windows XP Professional Service Pack 3 (build 2600) Kaspersky Online Scanner version: 7.0.26.13 Last database update: Wednesday, February 17, 2010 13:04:39 Records in database: 3544318 -------------------------------------------------------------------------------- Scan settings: scan using the following database: extended Scan archives: yes Scan e-mail databases: yes Scan area - My Computer: C:\ D:\ E:\ F:\ Scan statistics: Objects scanned: 56049 Threats found: 1 Infected objects found: 3 Suspicious objects found: 0 Scan duration: 01:43:47 File name / Threat / Threats count C:\Qoobox\Quarantine\C\Documents and Settings\Magnus Petterson\Local Settings\Application Data\wjnwiq\sivasftav.exe.vir Infected: Trojan.Win32.FraudPack.akyn 1 C:\Qoobox.zip Infected: Trojan.Win32.FraudPack.akyn 1 C:\System Volume Information\_restore{9EB4FAEC-07CE-495B-8BBE-AEECE64D0545}\RP8\A0004650.exe Infected: Trojan.Win32.FraudPack.akyn 1 Selected area has been scanned. Quote Link to comment Share on other sites More sharing options...
Cecilia Posted February 17, 2010 Share Posted February 17, 2010 Bra resultat, inget av det där är ju aktivt. Den här raden i HijackThis-loggen: O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE kan du läsa om på http://www.systemlookup.com/Startup/596-ALCMTR_EXE.html Nu återstår bara en sista städomgång: 1. Ta bort samtliga systemåterställningspunkter eftersom dessa är infekterade. Du gör det genom att stänga av systemåterställningsfunktionen, starta om datorn och så slå på funktionen igen. Skapa sedan en ny punkt. Systemåterställningsfunktionen slår man av och på här: XP: Högerklick på Den här datorn - Egenskaper - Systemåterställning Vista: Högerklick på Datorn - Egenskaper - Avanderade systeminställningar - Systemskydd Avbocka resp. sätt tillbaks bockar för alla hårddiskar (kom ihåg hur det såg ut innan) 2. Ladda ner avinstallationsprogrammet OTC till Skrivbordet. http://oldtimer.geekstogo.com/OTC.exe Dubbelklicka på filen för att starta programmet. Tryck på knappen CleanUp! och de olika fix-program som du har laddat ner kommer att avinstalleras, inkl. detta program, efter en omstart av datorn. Om något fix-program är kvar efter det så fråga hur du ska ta bort det. 3. Ta bort alla tillfälliga filer genom att ladda ner ATF-Cleaner på Skrivbordet: http://www.atribune.org/ccount/click.php?id=1 Stäng av alla andra program, särskilt webbläsare. Dubbelklicka på ATF-Cleaner.exe för att starta programmet. Bocka i Select All. Tryck på Empty Selected. Om du använder Firefox: Tryck på Firefox och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan. Om du använder Opera: Tryck på Opera och välj Select All. Tryck på Empty Selected. Om du vill ha kvar dina lösenord så tryck No vid frågan. Tryck på Exit i Main-menyn för att stänga programmet. Obs! Detta kommer att ta bort alla cookies, om du har cookies som du vill ha kvar så får du antingen spara undan dem innan eller låta bli att välja Select All och i stället markera allt annat. 4. Byt alla lösenord som du använder i datorn och på internet eftersom dessa kan ha kommit i orätta händer. http://mnin.blogspot.com/2009/02/why-i-enjoyed-tiggersyzor.html beskriver ett skadligt program som spionerar genom att ta skärmbilder, logga tangentbordsnedtryckningar och läsa lösenord som är lagrade i webbläsare, epostprogram etc. 5. Förbättra skyddet i datorn, se mina Råd för en säkrare dator http://sites.google.com/site/ceblstockholm/home samt se till att installera ett nytt antivirusprogram. Quote Link to comment Share on other sites More sharing options...
Mats H Posted February 18, 2010 Share Posted February 18, 2010 Cecilia, en ?a! Du rekommenderar alltid den gamla godingen, Soptunnan!, ATF cleaner. Är den speciellt bra, eller är det så att den är enkel och praktisk, samt att den verkligen, symboliserar soptömning, (Ikonen)? De flesta har ju typ diskrensning och/ eller CCleaner eller motsvarande, som gör samma jobb. Quote Link to comment Share on other sites More sharing options...
Cecilia Posted February 18, 2010 Share Posted February 18, 2010 ATF-Cleaner är enkel att använda och gör det den ska. Enkelheten gör att det går lätt att skriva och följa en bruksanvisning. Jag tror inte att CCleaner är installerad i de flesta datorer i Sverige, om jag skulle fråga mina syskon eller pappa om CCleaner så skulle de nog se ut som frågetecken. Windows egna diskrensning tar inte bort inte tillfälliga filer i Firefox eller Opera. Quote Link to comment Share on other sites More sharing options...
Guest derang Posted February 19, 2010 Share Posted February 19, 2010 ATF-Cleaner är enkel att använda och gör det den ska. Håller med, en nöjd fd CCleaner användare! Mvh/derang Quote Link to comment Share on other sites More sharing options...
MaPe Posted February 21, 2010 Author Share Posted February 21, 2010 Nu återstår bara en sista städomgång: Nu är detta gjort och datorn mår bra igen Hjärtlig tack för hjälpen! När jag gjorde detta uppkom en undran: Jag skulle jämföra ATF-Cleaner med städfunktionen i IE8 och hittade då något som verkar skadat. Nu undrar jag om detta kan ha samband med borttagandet av den skadliga koden? På Egenskaper för IE8, under fliken Allmänt, under rubriken Webbhistorik klickade jag på knappen Inställningar och fick då upp dialogrutan Inställningar för temporära Internetfiler och Tidigare. Om jag där klickar på knappen Visa objekt får jag upp innehållet i C:\Downloaded Program Files och där finns tre filer som heter Java Runtime Environment 1.6.0 och två filer MUWebControl Class, samtliga med Status Installerat. Dessutom finns en fil med Status Skadad: {E2883E8F-472F-4FBO-9522-AC9BF37916A7} Om jag högerklickar Egenskaper för denna fil får jag fram att det är ActiveX-kontroll som skapades 2006-12-26 har 0 byte i storlek, Status=skadad och Kodbas=http://platformdl.adobe.com/NOS/getPlusPlus/1. Under fliken Beroende: C\WINDOWS\DOWNLOADE...\GP.OCX* Skadad C\WINDOWS\DOWNLOADED...\GP.INF* Skadad C:\WINDOWS\SYSTEM32\ATL.DLL* 61,440 Under fliken Version: 1.6.2.49 Är detta något som ska tas bort och reinstalleras eller bara struntas i? MaPe Quote Link to comment Share on other sites More sharing options...
Cecilia Posted February 21, 2010 Share Posted February 21, 2010 Du kan ta bort den. Det är något som hör ihop med nedladdning och/eller installation av något Adobe-program. Nästa gång det är dags för det så kommer den att laddas ner på nytt. Roligt att datorn mår bra nu Quote Link to comment Share on other sites More sharing options...
Recommended Posts
Join the conversation
You can post now and register later. If you have an account, sign in now to post with your account.