stort problem.

bepees · April 27, 2010

Hej. Fick en länk av en vän på FB. Då jag känner denna personen och hon brukar skicka roliga länkar till mig så klickade jag ju så klart på den.... Det skulle jag inte ha gjort...

Får nu upp rutor ang AV center som den vill installera... Den där gamla vanliga visan... du har massor med virus i din burk bla bla bla.. installera detta för att åtgärda problemet...

Nu ter det sig så roligt att den blockar vissa hemsidor som t.e.x fsecure. norman. symantec. comodo. o.s.v.

Har lyckats hämta hem malwarebytes anti malware. Dock under installationen så ballar den ur tack vare ovan nämnda AVcenter. Dvs den skriver om exe filer osv.

Vad gör man då?

Har även provat med smitfraudfix utan resultat.

Bifogar en hijackthis log.

Mvh

Bepees

e-son · April 27, 2010

Prova i felsäkert läge.

Cecilia · April 27, 2010

Om inte felsäkert läge hjälper så finns det ett antal andra tricks som man kan pröva, men för att det inte bara ska bli att pröva olika lösningar så vore det bra om du klistrade in HijackThis-loggen eller ändå hellre en logg från DDS.

http://download.bleepingcomputer.com/sUBs/dds.scr

bepees · April 27, 2010

märkligt.. Jag klickade på bifoga. Fungerar det bara med jpg filer?

Ska försöka få upp en hijackthis log i morgon då problemet ligger på jobbdatorn. (whoops :blink: ) Ska även försöka få med en dds rapport.

Det som är lite roligt i det hela är att det kommer upp en ruta var 10:e minut ungefär som säger att man ska skriva in ett visst ord annars kommer datorn att stängas av.

Den stängs ju faktiskt inte av men den där rutan gör att allt annat stannar upp. det är som den rutan som kommer upp när man klickar på stäng av i windows xp. (stäng av vänteläge osv.

Alla antivirus scanners som jag hämtat hem blir korrupta vid installation även i felsäkert läge.. (malwarebytes och norman) Ska prova lite i morgon igen. Då blir det en ny ver. av malwarebytes samt comodo internet security.

Som lite kuriosa:

Så här gick det hela till.

Fick en länk.

klickade på den. (Klantigt)En sida poppade upp samt skiten hamnade i burken.

En ny ruta kommer upp som liknar ett utforskarfönster fast i menylisten nertill är det en iexplorefönster.

Detta elaka fönster säger att det finns en massa virus osv. därefter vill den installera AVcenter (finns en massa olika namn på samma prog) dock har jag inte tillåtit den att installera själva programmet ännu men det verkar som om den ändå har lyckats hacka DNS o annat för vissa sidor går det inte att komma in på. t.ex. samtliga antivirusprograms hemsidor, En liten rolig detalj är ju att när man ska söka något på google så kommer alla svar upp på spanska. söker man efter svenska eller engelska svar finns det inga.

nåja.. tillräckligt svamlande. skriver mer i morgon. Om någon har råkat ut för ungefär samma sak så skriv gärna hur ni gjorde för att få bort det hela.

Mvh

Bepees

Redigerad April 27, 2010 av bepees

Mats H · April 27, 2010

Hej,

du kan ju prova att döpa om installationsfilen för Malwarebytes till, endera iexplore eller explorer, kan fungera i lägen då MBAM inte går att packa upp.

Mvh

Mats H

Redigerad April 27, 2010 av Mats H

Cecilia · April 27, 2010

märkligt.. Jag klickade på bifoga. Fungerar det bara med jpg filer?

Ska försöka få upp en hijackthis log i morgon då problemet ligger på jobbdatorn. (whoops ) Ska även försöka få med en dds rapport.

Du kan klistra in loggarna direkt i ditt svar i stället för att bifoga dem.

Det som är lite roligt i det hela är att det kommer upp en ruta var 10:e minut ungefär som säger att man ska skriva in ett visst ord annars kommer datorn att stängas av.

Den stängs ju faktiskt inte av men den där rutan gör att allt annat stannar upp. det är som den rutan som kommer upp när man klickar på stäng av i windows xp. (stäng av vänteläge osv.

Det där med rutan som kommer upp känner jag igen från andra datorer som jag har hjälpt till att få rena.

Alla antivirus scanners som jag hämtat hem blir korrupta vid installation även i felsäkert läge.. (malwarebytes och norman) Ska prova lite i morgon igen. Då blir det en ny ver. av malwarebytes samt comodo internet security.

Håll inte på att installera en massa program som Comodo utan att vi vet att det hjälper. Det är bara risk för att det skadliga programmet förstör installationer så att du plötsligt står utan ett fungerande antivirusprogram mm.

Detta elaka fönster säger att det finns en massa virus osv. därefter vill den installera AVcenter (finns en massa olika namn på samma prog) dock har jag inte tillåtit den att installera själva programmet ännu men det verkar som om den ändå har lyckats hacka DNS o annat för vissa sidor går det inte att komma in på. t.ex. samtliga antivirusprograms hemsidor, En liten rolig detalj är ju att när man ska söka något på google så kommer alla svar upp på spanska. söker man efter svenska eller engelska svar finns det inga.

nåja.. tillräckligt svamlande. skriver mer i morgon. Om någon har råkat ut för ungefär samma sak så skriv gärna hur ni gjorde för att få bort det hela.

AVCenter verkar vara en ny variant. Det finns några olika familjer av falska antivirusprogram och man använder lite olika metoder för att rå på dem och därför vore det bra att veta lite mer om hur det ser ut i din dator med hjälp av HijackThis eller DDS innan du fortsätter med något annat.

Det finns några olika metoder att stoppa vissa webbplatser och störa google-sökningar. Ändra proxy-inställningar har varit ganska populärt på senare tid. För att ändra tillbaks så följ punkt 1 - 7 på sidan http://www.bleepingcomputer.com/virus-removal/remove-antispyware-soft

Du kan även se om det hjälper att köra RKill några gånger enligt punkt 8 - 9 innan du laddar ner MBAM på nytt och sedan kör det enligt punkt 10 - 21.

bepees · April 28, 2010

Hej.

har nu efter mycket om och men lyckats ta bort skiten som hamnade i burken. (tror jag)

Dock kvarstår problemet med internet explorer. Vissa sidor går det helt enkelt inte att komma in på. typ. bleepingcomputer.com m.fl.

Har kollat anslutningar o.s.v. i internet alternativen och det finns inget som pekar på att sidan skulle vara blockerad eller att det är någon proxy som spökar (använder inte någon proxy)

Postar en hjt logg så kan ni hojta till om ni ser något skumt.

Logfile of Trend Micro HijackThis v2.0.2

Scan saved at 18:16:18, on 2010-04-28

Platform: Windows XP SP3 (WinNT 5.01.2600)

MSIE: Internet Explorer v8.00 (8.00.6001.18702)

Boot mode: Normal

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\Program Files\COMODO\COMODO livePCsupport\CLPSLS.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\System32\svchost.exe

C:\WINDOWS\system32\spoolsv.exe

C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\system32\hasplms.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe

C:\WINDOWS\system32\svchost.exe

C:\Program Files\TeamViewer\Version5\TeamViewer.exe

C:\WINDOWS\system32\wuauclt.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\WINDOWS\system32\CTXFIHLP.EXE

C:\WINDOWS\SYSTEM32\CTXFISPI.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\NWTRAY.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe

C:\Privat\Nokia\Nokia PC Suite 7\PCSuite.exe

C:\Program Files\Auslogics\AusLogics BoostSpeed\boostspeed.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Onyx\Server\postershop.exe

C:\Onyx\Vendor\jre\bin\javaw.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Onyx\PREFLI~1\preflight.exe

C:\Onyx\PSRip\jawsnt.exe

C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = about:blank

O1 - Hosts: 85.13.206.115 u07012010u.com

O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll

O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll

O2 - BHO: Java Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre6\bin\jp2ssv.dll

O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Program Files\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

O4 - HKLM\..\Run: [updReg] C:\WINDOWS\UpdReg.EXE

O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE

O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [nwiz] nwiz.exe /install

O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

O4 - HKLM\..\Run: [NWTRAY] NWTRAY.EXE

O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program Files\Adobe\Reader 9.0\Reader\Reader_sl.exe"

O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe"

O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files\Common Files\Java\Java Update\jusched.exe"

O4 - HKLM\..\Run: [QuickTime Task] "C:\Program Files\QuickTime\QTTask.exe" -atboottime

O4 - HKLM\..\Run: [Malwarebytes Anti-Malware (rootkit-scan)] "C:\Program Files\Malwarebytes Anti-Malware\mbam.exe" /runcleanupscript

O4 - HKLM\..\Run: [COMODO Internet Security] "C:\Program Files\COMODO\COMODO Internet Security\cfp.exe" -h

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [iSUSPM] "C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe" -scheduler

O4 - HKCU\..\Run: [Auslogics BoostSpeed] C:\Program Files\Auslogics\AusLogics BoostSpeed\boostspeed.exe

O4 - HKCU\..\Run: [PC Suite Tray] "C:\Privat\Nokia\Nokia PC Suite 7\PCSuite.exe" -onlytray

O4 - HKCU\..\Run: [miniftp] C:\DOCUME~1\stefan\LOCALS~1\Temp\zpskon_1272399499.exe

O4 - HKCU\..\Run: [sysmon64x.exe] C:\DOCUME~1\stefan\LOCALS~1\Temp\sysmon64x.exe

O4 - HKCU\..\Run: [Digital Protection] "C:\Program Files\Digital Protection\digprot.exe" -noscan

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O4 - Startup: Adobe Gamma.lnk = C:\Program Files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe

O8 - Extra context menu item: Append Link Target to Existing PDF - res://C:\Program Files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\msmsgs.exe

O16 - DPF: {3BAD8041-B0D3-4288-A088-A995F4A1E167} (DraySSLTunnelCtrl Class) - https://83.251.244.211/DrayTunnel.CAB

O16 - DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} (DLM Control) - http://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab

O16 - DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} (GMNRev Class) - http://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab

O20 - AppInit_DLLs: C:\WINDOWS\system32\guard32.dll

O23 - Service: Adobe LM Service - Adobe Systems - C:\Program Files\Common Files\Adobe Systems Shared\Service\Adobelmsvc.exe

O23 - Service: Broadcom ASF IP and SMBIOS Mailbox Monitor (ASFIPmon) - Broadcom Corporation - C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe

O23 - Service: ##Id_String1.6844F930_1628_4223_B5CC_5BB94B879762## (Bonjour Service) - Apple Computer, Inc. - C:\Program Files\Bonjour\mDNSResponder.exe

O23 - Service: COMODO livePCsupport Service (CLPSLS) - COMODO - C:\Program Files\COMODO\COMODO livePCsupport\CLPSLS.exe

O23 - Service: COMODO Internet Security Helper Service (cmdAgent) - Unknown owner - C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe

O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe

O23 - Service: Client Update Service for Novell (cusrvc) - Novell, Inc. - C:\WINDOWS\system32\cusrvc.exe

O23 - Service: FLEXnet Licensing Service - Macrovision Europe Ltd. - C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe

O23 - Service: ftpserver - Unknown owner - C:\Program Files\ftpserver\ftpserver.exe (file missing)

O23 - Service: HASP License Manager (hasplms) - Aladdin Knowledge Systems Ltd. - C:\WINDOWS\system32\hasplms.exe

O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Program Files\Java\jre6\bin\jqs.exe

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: ServiceLayer - Nokia - C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

O23 - Service: stllssvr - MicroVision Development, Inc. - C:\Program Files\Common Files\SureThing Shared\stllssvr.exe

O23 - Service: NTRU TSS v1.2.1.29 TCS (tcsd_win32.exe) - Unknown owner - C:\Program Files\NTRU Cryptosystems\NTRU TCG Software Stack\bin\tcsd_win32.exe

O23 - Service: TeamViewer 5 (TeamViewer5) - TeamViewer GmbH - C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe

--

End of file - 8147 bytes

Cecilia · April 28, 2010

Loggen ser inte alls bra ut.

Är det här något du känner till?

O1 - Hosts: 85.13.206.115 u07012010u.com

Fungerar MBAM nu?

Kan du klistra in loggarna från DDS?

bepees · April 28, 2010

Loggen ser inte alls bra ut.

Är det här något du känner till?

O1 - Hosts: 85.13.206.115 u07012010u.com

Fungerar MBAM nu?

Kan du klistra in loggarna från DDS?

MBAM fungera och jag har kört det ett par ggr.

En lite konstig grej är att efter att jag i felsäkert läge kört MBAM och sedan i normalt läge installerat comodo kommer jag inte längre in i felsäkert läge.

Själva rutan där det står felsäkert läge runt om skärmen kommer upp men inte inloggningsrutan

Här kommer DDS loggen.

DDS (Ver_10-03-17.01) - NTFSx86

Run by Stefan at 21:45:36,85 on 2010-04-28

Internet Explorer: 8.0.6001.18702

Microsoft Windows XP Professional 5.1.2600.3.1252.46.1033.18.3326.2627 [GMT 2:00]

AV: COMODO Antivirus *On-access scanning enabled* (Outdated) {043803A5-4F86-4ef7-AFC5-F6E02A79969B}

FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

============== Running Processes ===============

C:\Program Files\COMODO\COMODO livePCsupport\CLPSLS.exe

C:\WINDOWS\system32\svchost -k DcomLaunch

svchost.exe

C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe

C:\WINDOWS\system32\svchost.exe -k netsvcs

C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup

svchost.exe

C:\WINDOWS\System32\svchost.exe -k eapsvcs

svchost.exe

C:\WINDOWS\System32\svchost.exe -k dot3svc

C:\WINDOWS\system32\spoolsv.exe

svchost.exe

C:\Program Files\Broadcom\ASFIPMon\AsfIpMon.exe

C:\Program Files\Bonjour\mDNSResponder.exe

C:\WINDOWS\system32\cisvc.exe

C:\WINDOWS\system32\CTsvcCDA.exe

C:\WINDOWS\system32\hasplms.exe

C:\Program Files\Java\jre6\bin\jqs.exe

C:\WINDOWS\system32\nvsvc32.exe

C:\WINDOWS\system32\svchost.exe -k imgsvc

C:\Program Files\TeamViewer\Version5\TeamViewer_Service.exe

C:\WINDOWS\system32\svchost.exe -k vmapisvc

C:\Program Files\TeamViewer\Version5\TeamViewer.exe

C:\WINDOWS\Explorer.EXE

C:\WINDOWS\system32\CTHELPER.EXE

C:\WINDOWS\system32\CTXFIHLP.EXE

C:\WINDOWS\SYSTEM32\CTXFISPI.EXE

C:\WINDOWS\system32\RUNDLL32.EXE

C:\WINDOWS\system32\NWTRAY.EXE

C:\WINDOWS\system32\rundll32.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

C:\WINDOWS\system32\ctfmon.exe

C:\Program Files\Common Files\InstallShield\UpdateService\ISUSPM.exe

C:\Privat\Nokia\Nokia PC Suite 7\PCSuite.exe

C:\Program Files\Auslogics\AusLogics BoostSpeed\boostspeed.exe

C:\Program Files\PC Connectivity Solution\ServiceLayer.exe

C:\Program Files\PC Connectivity Solution\Transports\NclUSBSrv.exe

C:\Program Files\PC Connectivity Solution\Transports\NclRSSrv.exe

C:\Program Files\Internet Explorer\iexplore.exe

C:\Onyx\Server\postershop.exe

C:\Onyx\Vendor\jre\bin\javaw.exe

C:\WINDOWS\system32\cidaemon.exe

C:\Program Files\Opera\opera.exe

C:\Documents and Settings\stefan\Desktop\dds.scr

============== Pseudo HJT Report ===============

uStart Page = about:blank

uInternet Settings,ProxyOverride = <local>

BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\program files\common files\adobe\acrobat\activex\AcroIEHelperShim.dll

BHO: Windows Live Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll

BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\program files\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll

uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe

uRun: [iSUSPM] "c:\program files\common files\installshield\updateservice\ISUSPM.exe" -scheduler

uRun: [Auslogics BoostSpeed] c:\program files\auslogics\auslogics boostspeed\boostspeed.exe

uRun: [PC Suite Tray] "c:\privat\nokia\nokia pc suite 7\PCSuite.exe" -onlytray

uRun: [miniftp] c:\docume~1\stefan\locals~1\temp\zpskon_1272399499.exe

uRun: [sysmon64x.exe] c:\docume~1\stefan\locals~1\temp\sysmon64x.exe

uRun: [Digital Protection] "c:\program files\digital protection\digprot.exe" -noscan

mRun: [updReg] c:\windows\UpdReg.EXE

mRun: [CTHelper] CTHELPER.EXE

mRun: [CTxfiHlp] CTXFIHLP.EXE

mRun: [NvCplDaemon] RUNDLL32.EXE c:\windows\system32\NvCpl.dll,NvStartup

mRun: [nwiz] nwiz.exe /install

mRun: [NvMediaCenter] RUNDLL32.EXE c:\windows\system32\NvMcTray.dll,NvTaskbarInit

mRun: [NWTRAY] NWTRAY.EXE

mRun: [Adobe Reader Speed Launcher] "c:\program files\adobe\reader 9.0\reader\Reader_sl.exe"

mRun: [Adobe ARM] "c:\program files\common files\adobe\arm\1.0\AdobeARM.exe"

mRun: [sunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"

mRun: [QuickTime Task] "c:\program files\quicktime\QTTask.exe" -atboottime

mRun: [Malwarebytes Anti-Malware (rootkit-scan)] "c:\program files\malwarebytes anti-malware\mbam.exe" /runcleanupscript

mRun: [COMODO Internet Security] "c:\program files\comodo\comodo internet security\cfp.exe" -h

dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE

StartupFolder: c:\docume~1\stefan\startm~1\programs\startup\adobeg~1.lnk - c:\program files\common files\adobe\calibration\Adobe Gamma Loader.exe

mPolicies-system: CompatibleRUPSecurity = 1 (0x1)

IE: Append Link Target to Existing PDF - c:\program files\common files\adobe\acrobat\activex\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe

IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\program files\messenger\msmsgs.exe

DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} - hxxp://download.microsoft.com/download/E/3/9/E39C664F-A8E3-4F69-A109-1AE9849204EE/OGAControl.cab

DPF: {1E3F1348-4370-4BBE-A67A-CC7ED824CA85} - hxxp://download.microsoft.com/download/7/4/9/749b0dc5-2175-4d5b-a6dd-9c4bc923683e/Selfhelpcontrol.cab

DPF: {3BAD8041-B0D3-4288-A088-A995F4A1E167} - hxxps://83.251.244.211/DrayTunnel.CAB

DPF: {4871A87A-BFDD-4106-8153-FFDE2BAC2967} - hxxp://dlm.tools.akamai.com/dlmanager/versions/activex/dlm-activex-2.2.5.0.cab

DPF: {73ECB3AA-4717-450C-A2AB-D00DAD9EE203} - hxxp://h20270.www2.hp.com/ediags/gmn2/install/HPProductDetection.cab

DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0007-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_07-windows-i586.cab

DPF: {CAFEEFAC-0016-0000-0018-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_18-windows-i586.cab

AppInit_DLLs: c:\windows\system32\guard32.dll

SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll

LSA: Authentication Packages = msv1_0 nwv1_0

Hosts: 85.13.206.115 u07012010u.com

============= SERVICES / DRIVERS ===============

R1 cmderd;COMODO Internet Security Eradication Driver;c:\windows\system32\drivers\cmderd.sys [2010-4-9 15464]

R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [2010-4-9 225344]

R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [2010-4-9 25240]

R1 vmx64o;HTTP Quick Edit Microsoft Log InfoTech Directory History;c:\windows\system32\drivers\haspsux.sys [2009-1-31 36352]

R2 ASFIPmon;Broadcom ASF IP and SMBIOS Mailbox Monitor;c:\program files\broadcom\asfipmon\AsfIpMon.exe [2007-6-20 79168]

R2 CLPSLS;COMODO livePCsupport Service;c:\program files\comodo\comodo livepcsupport\CLPSLS.exe [2010-2-19 148744]

R2 cmdAgent;COMODO Internet Security Helper Service;c:\program files\comodo\comodo internet security\cmdagent.exe [2010-4-9 1769216]

R2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe -run --> c:\windows\system32\hasplms.exe -run [?]

R2 TeamViewer5;TeamViewer 5;c:\program files\teamviewer\version5\TeamViewer_Service.exe [2010-1-12 185640]

R2 w83c600;Driver Hook Resource ARP;c:\windows\system32\svchost.exe -k vmapisvc [2008-4-14 14336]

S0 filgc;filgc;c:\windows\system32\drivers\spfq.sys --> c:\windows\system32\drivers\spfq.sys [?]

S2 ftpserver;ftpserver;c:\program files\ftpserver\ftpserver.exe --> c:\program files\ftpserver\ftpserver.exe [?]

S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2010-2-10 136704]

S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2010-2-10 8320]

S3 VPPP;DrayTek Virtual PPP Adapter;c:\windows\system32\drivers\VPPP.sys [2008-6-18 32784]

S3 vsdatant;vsdatant;\??\c:\windows\system32\vsdatant.sys --> c:\windows\system32\vsdatant.sys [?]

=============== Created Last 30 ================

2010-04-28 08:17:09 53248 ----a-w- c:\windows\system32\pragmabbr.dll

2010-04-28 08:17:09 1158 ----a-w- c:\docume~1\alluse~1\applic~1\pragmamfeklnmal.dll

2010-04-28 08:17:08 53248 ----a-w- c:\windows\system32\pragmaserf.dll

2010-04-28 08:17:05 147 ----a-w- c:\windows\system32\PRAGMAsrcr.dat

2010-04-28 08:17:05 0 d-----w- c:\windows\PRAGMAiwulbvouft

2010-04-28 08:09:12 0 d--h--w- C:\VritualRoot

2010-04-28 08:08:10 0 d-----w- c:\docume~1\alluse~1\applic~1\COMODO

2010-04-28 08:08:00 299120 ----a-w- c:\windows\system32\drivers\sfi.dat

2010-04-28 08:04:28 0 d-----w- c:\docume~1\alluse~1\applic~1\Comodo Downloader

2010-04-28 07:22:42 0 d-----w- c:\docume~1\stefan\applic~1\Malwarebytes

2010-04-28 07:22:35 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-28 07:22:34 20824 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-28 07:22:34 0 d-----w- c:\program files\Malwarebytes Anti-Malware

2010-04-28 07:22:34 0 d-----w- c:\docume~1\alluse~1\applic~1\Malwarebytes

2010-04-27 13:15:31 3008 ----a-w- c:\windows\system32\tmp.reg

2010-04-27 13:04:07 0 d-----w- c:\program files\common files\Wise Installation Wizard

2010-04-15 12:56:55 379261 ----a-w- C:\Modellrelease.pdf

2010-04-12 21:27:07 293376 ------w- c:\windows\system32\browserchoice.exe

2010-04-08 23:26:12 277240 ----a-w- c:\windows\system32\guard32.dll

2010-04-08 23:25:46 25240 ----a-w- c:\windows\system32\drivers\cmdhlp.sys

2010-04-08 23:25:46 225344 ----a-w- c:\windows\system32\drivers\cmdGuard.sys

2010-04-08 23:25:44 15464 ----a-w- c:\windows\system32\drivers\cmderd.sys

2010-04-01 17:47:54 20273636 ----a-w- c:\temp\Novell Client for Windows Vista 1.0.exe

==================== Find3M ====================

2010-03-15 14:49:06 86544 ----a-w- c:\windows\fonts\Officina Sans ITC Bold.ttf

2010-03-15 13:21:22 411368 ----a-w- c:\windows\system32\deploytk.dll

2010-03-10 06:15:52 420352 ----a-w- c:\windows\system32\vbscript.dll

2010-02-25 06:24:37 916480 ----a-w- c:\windows\system32\wininet.dll

2010-02-16 14:08:49 2146304 ----a-w- c:\windows\system32\ntoskrnl.exe

2010-02-16 13:25:04 2024448 ----a-w- c:\windows\system32\ntkrnlpa.exe

2010-02-12 04:33:11 100864 ----a-w- c:\windows\system32\6to4svc.dll

2001-03-28 11:02:58 122880 ----a-w- c:\windows\inf\agfa\message.exe

2009-03-18 12:19:23 848 --sha-w- c:\windows\system32\KGyGaAvL.sys

============= FINISH: 21:47:12,31 ===============

Cecilia · April 28, 2010

Eftersom det är en typ av skadligt program som öppnar en bakdörr till datorn så att någon ute på internet kan komma åt datorn håll internetanslutningen urdragen så mycket som möjligt.

Spara ComboFix på Skrivbordet:

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Stäng av alla program du ser inklusive antivirusprogram och antispionprogram men lämna brandväggen på.

Hur? Se http://www.bleepingcomputer.com/forums/topic114351.html

Kör ComboFix och följ anvisningarna som visas.

Om det kommer upp en fråga om du vill installera återställningskonsolen så svara ja.

VIKTIGT! Klicka inte på ComboFix-fönstret med musen när den körs annars kan den hänga upp sig.

När den är färdig så ska en logg komma upp, klistra in den i ditt svar. Kontrollera att antivirusprogram mm är igång innan du ansluter till internet.

Om du får problem med att komma ut på internet:

Kontrollpanelen - Nätverksanslutningar

högerklicka på din internetanslutning och välj Reparera och/eller starta om datorn.

Varning! ComboFix förhindrar automatisk körning av CD, disketter och USB-enheter för att göra det lättare att rensa datorn och skydda datorn mot infektioner i framtiden. Det kan bli problem t ex om datorn har internet via ett USB-modem eller USB-nätverkskort. Säg då till i stället för att köra ComboFix.

Cecilia · April 28, 2010

Låt Microsoft fixa Hosts-filen åt dig med hjälp av fix-knappen på http://support.microsoft.com/default.aspx/kb/972034?p=1

bepees · April 29, 2010

Låt Microsoft fixa Hosts-filen åt dig med hjälp av fix-knappen på http://support.microsoft.com/default.aspx/kb/972034?p=1

Underbart. Nu funkar iaf bleepingcomputer igen Tack så mycket.

Här kommer loggan from combofix.ComboFix

10-04-28.03 - stefan 2010-04-29 9:11.1.2 - x86

Microsoft Windows XP Professional 5.1.2600.3.1252.46.1033.18.3326.2836 [GMT 2:00]

Körs från: c:\documents and settings\stefan\Desktop\ComboFix.exe

AV: COMODO Antivirus *On-access scanning enabled* (Outdated) {043803A5-4F86-4ef7-AFC5-F6E02A79969B}

FW: COMODO Firewall *enabled* {043803A3-4F86-4ef6-AFC5-F6E02A79969B}

VARNINIG -ÅTERSTÄLLNINGSKONSOLEN (THE RECOVERY CONSOLE) ÄR INTE INSTALLERAD PÅ DEN HÄR DATORN !!

.

((((((((((((((((((((((((((((((((((((((( Andra raderingar ))))))))))))))))))))))))))))))))))))))))))))))))

.

c:\documents and settings\All Users\Application Data\pragmamfeklnmal.dll

c:\documents and settings\All Users\Favorites\_favdata.dat

c:\documents and settings\stefan\Start Menu\Programs\Digital Protection

c:\windows\PRAGMAiwulbvouft

c:\windows\PRAGMAiwulbvouft\PRAGMAc.dll

c:\windows\PRAGMAiwulbvouft\PRAGMAcfg.ini

c:\windows\PRAGMAiwulbvouft\PRAGMAd.sys

c:\windows\system32\404Fix.exe

c:\windows\system32\Agent.OMZ.Fix.exe

c:\windows\system32\cfgormd.dll

c:\windows\system32\drivers\haspsux.sys

c:\windows\system32\dumphive.exe

c:\windows\system32\IEDFix.exe

c:\windows\system32\o4Patch.exe

c:\windows\system32\pragmabbr.dll

c:\windows\system32\pragmaserf.dll

c:\windows\system32\PRAGMAsrcr.dat

c:\windows\system32\Process.exe

c:\windows\system32\SrchSTS.exe

c:\windows\system32\tmp.reg

c:\windows\system32\VACFix.exe

c:\windows\system32\VCCLSID.exe

c:\windows\system32\WS2Fix.exe

.

((((((((((((((((((((((((((((((((((((((( Drivrutiner/Tjänster )))))))))))))))))))))))))))))))))))))))))))))))))

.

-------\Legacy_CAPTCHA

-------\Legacy_FTPSERVER

-------\Legacy_PRAGMAIWULBVOUFT

-------\Legacy_VMX64O

-------\Legacy_W83C600

-------\Legacy_WEBSERVER

-------\Service_ftpserver

-------\Service_PRAGMAiwulbvouft

-------\Service_w83c600

-------\Service_vmx64o

(((((((((((((((((((((((( Filer Skapade från 2010-03-28 till 2010-04-29 ))))))))))))))))))))))))))))))

.

2010-04-28 16:20 . 2010-04-28 16:20 -------- d-----w- c:\documents and settings\stefan\Local Settings\Application Data\Opera

2010-04-28 16:19 . 2010-04-28 16:20 -------- d-----w- c:\program files\Opera

2010-04-28 08:09 . 2010-04-28 08:09 -------- d-----w- C:\VritualRoot

2010-04-28 08:08 . 2010-04-28 08:09 -------- d-----w- c:\documents and settings\All Users\Application Data\COMODO

2010-04-28 08:08 . 2010-04-29 07:17 336513 ----a-w- c:\windows\system32\drivers\sfi.dat

2010-04-28 08:05 . 2010-04-28 08:05 5542592 ----a-w- c:\documents and settings\All Users\Application Data\Comodo Downloader\hopsurf.exe

2010-04-28 08:04 . 2010-04-28 10:50 -------- d-----w- c:\documents and settings\All Users\Application Data\Comodo Downloader

2010-04-28 07:22 . 2010-04-28 07:22 -------- d-----w- c:\documents and settings\stefan\Application Data\Malwarebytes

2010-04-28 07:22 . 2010-03-29 22:46 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-04-28 07:22 . 2010-04-28 07:22 -------- d-----w- c:\program files\Malwarebytes Anti-Malware

2010-04-28 07:22 . 2010-04-28 07:22 -------- d-----w- c:\documents and settings\All Users\Application Data\Malwarebytes

2010-04-28 07:22 . 2010-03-29 22:45 20824 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-04-27 13:04 . 2009-02-04 15:16 -------- d-----w- c:\program files\Common Files\Wise Installation Wizard

2010-04-12 21:27 . 2010-02-12 10:03 293376 ------w- c:\windows\system32\browserchoice.exe

2010-04-08 23:26 . 2010-04-08 23:26 277240 ----a-w- c:\windows\system32\guard32.dll

2010-04-08 23:25 . 2010-04-08 23:25 86800 ----a-w- c:\windows\system32\drivers\inspect.sys

2010-04-08 23:25 . 2010-04-08 23:25 25240 ----a-w- c:\windows\system32\drivers\cmdhlp.sys

2010-04-08 23:25 . 2010-04-08 23:25 225344 ----a-w- c:\windows\system32\drivers\cmdGuard.sys

2010-04-08 23:25 . 2010-04-08 23:25 15464 ----a-w- c:\windows\system32\drivers\cmderd.sys

2010-04-04 18:09 . 2010-04-04 18:09 -------- d-----w- c:\program files\QuickTime

2010-04-04 18:09 . 2010-04-04 18:09 -------- d-----w- c:\documents and settings\All Users\Application Data\Apple Computer

2010-04-01 17:47 . 2008-07-28 12:57 20273636 ----a-w- c:\temp\Novell Client for Windows Vista 1.0.exe

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-04-28 10:51 . 2009-01-16 13:49 -------- d-----w- c:\program files\COMODO

2010-04-28 08:59 . 2009-03-27 18:04 664 ----a-w- c:\windows\system32\d3d9caps.dat

2010-04-27 15:40 . 2009-12-03 09:20 -------- d-----w- c:\program files\EasySIGN

2010-04-26 09:20 . 2009-01-15 14:40 1 ----a-w- c:\documents and settings\stefan\Application Data\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-04-18 12:38 . 2009-01-15 12:28 98240 ----a-w- c:\documents and settings\stefan\Local Settings\Application Data\GDIPFONTCACHEV1.DAT

2010-03-25 12:24 . 2009-12-04 13:13 -------- d-----w- c:\program files\ONYX Profile Download Client

2010-03-19 23:52 . 2010-03-19 23:52 503808 ----a-w- c:\documents and settings\stefan\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-20893b85-n\msvcp71.dll

2010-03-19 23:52 . 2010-03-19 23:52 499712 ----a-w- c:\documents and settings\stefan\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-20893b85-n\jmc.dll

2010-03-19 23:52 . 2010-03-19 23:52 348160 ----a-w- c:\documents and settings\stefan\Application Data\Sun\Java\Deployment\SystemCache\6.0\54\1a209876-20893b85-n\msvcr71.dll

2010-03-19 23:52 . 2010-03-19 23:52 61440 ----a-w- c:\documents and settings\stefan\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-56792f92-n\decora-sse.dll

2010-03-19 23:52 . 2010-03-19 23:52 12800 ----a-w- c:\documents and settings\stefan\Application Data\Sun\Java\Deployment\SystemCache\6.0\17\6d0ad391-56792f92-n\decora-d3d.dll

2010-03-15 13:24 . 2010-03-15 13:24 -------- d-----w- c:\program files\JRE

2010-03-15 13:24 . 2009-01-15 11:42 -------- d-----w- c:\program files\OpenOffice.org 3

2010-03-15 13:21 . 2009-01-15 11:42 -------- d-----w- c:\program files\Common Files\Java

2010-03-15 13:21 . 2009-01-15 12:47 411368 ----a-w- c:\windows\system32\deploytk.dll

2010-03-10 06:15 . 2008-04-14 12:00 420352 ----a-w- c:\windows\system32\vbscript.dll

2010-03-02 08:40 . 2009-01-15 12:19 -------- d-----w- c:\program files\Common Files\Adobe

2010-02-25 06:24 . 2008-04-14 12:00 916480 ----a-w- c:\windows\system32\wininet.dll

2010-02-24 13:11 . 2008-04-14 12:00 455680 ----a-w- c:\windows\system32\drivers\mrxsmb.sys

2010-02-16 14:08 . 2008-04-14 12:00 2146304 ----a-w- c:\windows\system32\ntoskrnl.exe

2010-02-16 13:25 . 2008-04-14 00:01 2024448 ----a-w- c:\windows\system32\ntkrnlpa.exe

2010-02-12 04:33 . 2008-04-14 12:00 100864 ----a-w- c:\windows\system32\6to4svc.dll

2010-02-11 12:02 . 2008-04-14 12:00 226880 ----a-w- c:\windows\system32\drivers\tcpip6.sys

2010-02-10 09:42 . 2010-02-10 09:42 36864 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\Sleep.exe

2010-02-10 09:42 . 2010-02-10 09:42 3351812 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\msxml6Exec.exe

2010-02-10 09:42 . 2010-02-10 09:42 3203453 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\Installer\CommonCustomActions\vcredistExec.exe

2010-02-10 09:40 . 2010-02-10 09:42 24411168 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{4C911A61-39EA-41CC-AB3C-FE3BFFDB5F78}\NokiaSoftwareUpdaterSetup_se[1].exe

2010-02-10 08:14 . 2010-02-10 08:14 95232 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Installer\CommonCustomActions\pcswpcsi.exe

2010-02-10 08:14 . 2010-02-10 08:14 8192 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Installer\CommonCustomActions\UninstCCD.exe

2010-02-10 08:14 . 2010-02-10 08:14 61440 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Installer\CommonCustomActions\UninstPCSFEMsi.exe

2010-02-10 08:14 . 2010-02-10 08:14 10240 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Installer\CommonCustomActions\UninstPCS.exe

2010-02-10 08:12 . 2010-02-10 08:14 34500936 ----a-w- c:\documents and settings\All Users\Application Data\Installations\{19DC9559-9C20-4A46-A67D-7ECBA52A2788}\Nokia_PC_Suite_swe_web.exe

2009-03-18 12:19 . 2009-01-15 12:28 848 --sha-w- c:\windows\system32\KGyGaAvL.sys

.

(((((((((((((((((((((((((((((((((( Startpunkter i registret )))))))))))))))))))))))))))))))))))))))))))))))

.

*Not* Tomma poster & legitima standardposter visas inte.

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ISUSPM"="c:\program files\Common Files\InstallShield\UpdateService\ISUSPM.exe" [2006-09-11 218032]

"Auslogics BoostSpeed"="c:\program files\Auslogics\AusLogics BoostSpeed\boostspeed.exe" [2009-12-11 480368]

"PC Suite Tray"="c:\privat\Nokia\Nokia PC Suite 7\PCSuite.exe" [2009-11-11 1451520]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"UpdReg"="c:\windows\UpdReg.EXE" [2000-05-11 90112]

"CTHelper"="CTHELPER.EXE" [2008-01-14 19456]

"CTxfiHlp"="CTXFIHLP.EXE" [2008-01-14 19968]

"NvCplDaemon"="c:\windows\system32\NvCpl.dll" [2008-12-25 13680640]

"nwiz"="nwiz.exe" [2008-12-25 1657376]

"NvMediaCenter"="c:\windows\system32\NvMcTray.dll" [2008-12-25 86016]

"NWTRAY"="NWTRAY.EXE" [2002-03-12 28672]

"Adobe Reader Speed Launcher"="c:\program files\Adobe\Reader 9.0\Reader\Reader_sl.exe" [2010-04-04 36272]

"Adobe ARM"="c:\program files\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2010-03-24 952768]

"SunJavaUpdateSched"="c:\program files\Common Files\Java\Java Update\jusched.exe" [2010-01-11 246504]

"QuickTime Task"="c:\program files\QuickTime\QTTask.exe" [2010-03-17 421888]

"Malwarebytes Anti-Malware (rootkit-scan)"="c:\program files\Malwarebytes Anti-Malware\mbam.exe" [2010-03-29 1086856]

"COMODO Internet Security"="c:\program files\COMODO\COMODO Internet Security\cfp.exe" [2010-04-08 2029456]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

c:\documents and settings\stefan\Start Menu\Programs\Startup\

Adobe Gamma.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2005-3-16 113664]

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system]

"CompatibleRUPSecurity"= 1 (0x1)

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]

"AppInit_DLLs"=c:\windows\system32\guard32.dll

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa]

Authentication Packages REG_MULTI_SZ msv1_0 nwv1_0

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\CLPSLS]

@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\MSIServer]

@="Service"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\Wdf01000.sys]

@="Driver"

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

"c:\\Program Files\\Bonjour\\mDNSResponder.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\totalcmd\\TOTALCMD.EXE"=

"c:\\Program Files\\Java\\jre6\\bin\\javaw.exe"=

"c:\\Program Files\\Windows Live\\Messenger\\msnmsgr.exe"=

"c:\\Program Files\\TeamViewer\\Version5\\TeamViewer.exe"=

"c:\\Program Files\\Nokia\\Nokia Software Updater\\nsu_ui_client.exe"=

"c:\\Program Files\\Common Files\\Nokia\\Service Layer\\A\\nsl_host_process.exe"=

"c:\\Program Files\\Java\\jre6\\bin\\java.exe"=

"c:\\Onyx\\Vendor\\jre\\bin\\javaw.exe"=

"c:\\Program Files\\Opera\\opera.exe"=

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"3389:TCP"= 3389:TCP:@xpsp2res.dll,-22009

"1947:TCP"= 1947:TCP:HASP SRM

"1947:UDP"= 1947:UDP:HASP SRM

"8085:TCP"= 8085:TCP:Abaqus Port

"4000:TCP"= 4000:TCP:ftpserver

R1 cmderd;COMODO Internet Security Eradication Driver;c:\windows\system32\drivers\cmderd.sys [2010-04-09 15464]

R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [2010-04-09 225344]

R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [2010-04-09 25240]

R2 ASFIPmon;Broadcom ASF IP and SMBIOS Mailbox Monitor;c:\program files\Broadcom\ASFIPMon\AsfIpMon.exe [2007-06-20 79168]

R2 CLPSLS;COMODO livePCsupport Service;c:\program files\COMODO\COMODO livePCsupport\CLPSLS.exe [2010-02-19 148744]

R2 hasplms;HASP License Manager;c:\windows\system32\hasplms.exe -run --> c:\windows\system32\hasplms.exe -run [?]

R2 TeamViewer5;TeamViewer 5;c:\program files\TeamViewer\Version5\TeamViewer_Service.exe [2010-01-12 185640]

S0 filgc;filgc; [x]

S3 nmwcdnsu;Nokia USB Flashing Phone Parent;c:\windows\system32\drivers\nmwcdnsu.sys [2010-02-10 136704]

S3 nmwcdnsuc;Nokia USB Flashing Generic;c:\windows\system32\drivers\nmwcdnsuc.sys [2010-02-10 8320]

S3 VPPP;DrayTek Virtual PPP Adapter;c:\windows\system32\drivers\VPPP.sys [2008-06-18 32784]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost]

vmapisvc REG_MULTI_SZ w83c600

.

Innehållet i mappen 'Schemalagda aktiviteter':

2010-04-23 c:\windows\Tasks\AppleSoftwareUpdate.job

- c:\program files\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]

2010-04-28 c:\windows\Tasks\User_Feed_Synchronization-{39F1AE45-40BD-4B42-BA71-483E7FEDBDEB}.job

- c:\windows\system32\msfeedssync.exe [2007-08-13 02:31]

.

------- Extra genomsökning -------

.

uStart Page = about:blank

uInternet Settings,ProxyOverride = <local>

IE: Append Link Target to Existing PDF - c:\program files\Common Files\Adobe\Acrobat\ActiveX\AcroIEFavClient.dll/AcroIEAppendSelLinks.html

DPF: {3BAD8041-B0D3-4288-A088-A995F4A1E167} - hxxps://83.251.244.211/DrayTunnel.CAB

.

**************************************************************************

catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2010-04-29 09:33

Windows 5.1.2600 Service Pack 3 NTFS

scanning hidden processes ...

scanning hidden autostart entries ...

scanning hidden files ...

scan completed successfully

hidden files: 0

**************************************************************************

.

--------------------- DLLer som "laddats" under processer som körs ---------------------

- - - - - - - > 'winlogon.exe'(724)

c:\windows\system32\NLS\ENGLISH\MAPBASER.DLL

c:\windows\system32\NLS\ENGLISH\NWSHLXNR.DLL

c:\windows\system32\NLS\ENGLISH\NOVNPNTR.DLL

- - - - - - - > 'Explorer.exe'(4044)

c:\windows\system32\WININET.dll

c:\windows\system32\nview.dll

c:\progra~1\WINDOW~2\wmpband.dll

c:\windows\system32\NLS\ENGLISH\NWSHLXNR.DLL

c:\windows\system32\NLS\ENGLISH\NOVNPNTR.DLL

c:\windows\WinSxS\x86_Microsoft.VC80.CRT_1fc8b3b9a1e18e3b_8.0.50727.4053_x-ww_e6967989\MSVCR80.dll

c:\windows\system32\ieframe.dll

c:\windows\system32\webcheck.dll

c:\windows\system32\WPDShServiceObj.dll

c:\windows\system32\PortableDeviceTypes.dll

c:\windows\system32\PortableDeviceApi.dll

.

------------------------ Andra processer som körs ------------------------

.

c:\program files\COMODO\COMODO Internet Security\cmdagent.exe

c:\program files\Bonjour\mDNSResponder.exe

c:\windows\system32\CTsvcCDA.exe

c:\windows\system32\hasplms.exe

c:\program files\Java\jre6\bin\jqs.exe

c:\windows\system32\nvsvc32.exe

c:\program files\TeamViewer\Version5\TeamViewer.exe

c:\windows\system32\wscntfy.exe

c:\windows\system32\RUNDLL32.EXE

c:\windows\system32\NWTRAY.EXE

c:\windows\system32\rundll32.exe

c:\program files\PC Connectivity Solution\ServiceLayer.exe

c:\program files\PC Connectivity Solution\Transports\NclUSBSrv.exe

c:\program files\PC Connectivity Solution\Transports\NclRSSrv.exe

.

**************************************************************************

.

Sluttid: 2010-04-29 09:37:16 - datorn startades om.

ComboFix-quarantined-files.txt 2010-04-29 07:37

Före genomsökningen: 676 657 483 776 bytes free

Efter genomsökningen: 676 598 767 616 bytes free

- - End Of File - - 0E0E9E4A52E6ABB096742528CA51275A

hakbr · April 29, 2010

Hej hej

Känns som en himla massa arbete för dig med att försöka rensa datorn.

Jag föreslår att du bootar på en Windows-skiva, formaterar hårddisken och utför en ominstallation istället.

Först bör du ju (som alltid) se till att ha en backup av dina data, om inte så bör du ta ut hårddisken och med hjälp av en USB-adapter överföra dina data till en annan hårddisk.

Detta tillvägagångssätt kan te sig något drastiskt men du får en renare och snabbare dator efteråt och tidsåtgången är förmodligen mindre än den tid du lagt ner på att försöka rensa datorn.

bepees · April 29, 2010

Hej hej

Känns som en himla massa arbete för dig med att försöka rensa datorn.

Jag föreslår att du bootar på en Windows-skiva, formaterar hårddisken och utför en ominstallation istället.

Detta är tyvärr inte ett alternativ i dagsläget. I sådana fall hade jag gjort det på en gång.

Cecilia · April 29, 2010

Är detta något du känner igen?

2010-04-01 17:47 . 2008-07-28 12:57 20273636 ----a-w- c:\temp\Novell Client for Windows Vista 1.0.exe

Lite ovanlig mapp för en sådan fil.

ComboFix tog bort det mesta av det som återstod.

Start - Kör

skriv in:

sc delete filgc

Är du bekant med registereditorn regedit?

Tillägg: Uppdatera MBAM och gör en fullständig genomsökning. Om den hittar något så klistra in loggen från den.

Redigerad April 29, 2010 av Cecilia

bepees · April 29, 2010

Är detta något du känner igen?

2010-04-01 17:47 . 2008-07-28 12:57 20273636 ----a-w- c:\temp\Novell Client for Windows Vista 1.0.exe

Lite ovanlig mapp för en sådan fil.

Jorå den vet jag precis vad det är. Så den är inget problem.

ComboFix tog bort det mesta av det som återstod.

Start - Kör

skriv in:

sc delete filgc

Är du bekant med registereditorn regedit?

Tillägg: Uppdatera MBAM och gör en fullständig genomsökning. Om den hittar något så klistra in loggen från den.

har meckat lite med regedit. Var det något speciellt värde som du tänkte på?

Återkommer efter MBAM skanningen.

Cecilia · April 29, 2010

I nyckeln HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost ska datat vmapisvc och w83c600 bort. Om det känns osäkert så skriv ner eller ta skärmdump på hur det ser ut innan någon ändring. Men det kan tänkas att MBAM fixar till det också.

Klistra in en ny DDS-logg så får vi se om det är något kvar i den.

bepees · April 29, 2010

I nyckeln HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\svchost ska datat vmapisvc och w83c600 bort. Om det känns osäkert så skriv ner eller ta skärmdump på hur det ser ut innan någon ändring. Men det kan tänkas att MBAM fixar till det också.

Klistra in en ny DDS-logg så får vi se om det är något kvar i den.

Åtgärdat..

Här kommer MBAM Logg samt DDS logg. MBAM såg jättebra ut.

Malwarebytes' Anti-Malware 1.45

www.malwarebytes.org

Databasversion: 3930

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

2010-04-28 14:35:40

mbam-log-2010-04-28 (14-35-40).txt

Skanningstyp: Fullständig skanning (C:\|)

Antal skannade objekt: 296799

Förfluten tid: 53 minut(er), 11 sekund(er)

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

Infekterade minnesprocesser: