System Tool 2011

margrehte · January 25, 2011

Har försökt hjälpa en vän med att rensa bort system tool 2011,förra veckan körde vi onlinechan,som inte visade nåt och därefter raderade han system tool från skrivbord och meny.I dag installerade han malwaresbyte och den hittade "Rogue.Multipie", googlade och den hörde till system tool,han gjorde omstart till felsäkert läge och körde malwarebytes igen som då inte hittade något.Systemåterställning i samma läge till innan system tool kom in i datorn, tillbaka i normalläge så raderade han alla systemåterställningspunkter.Nyss kom system tool 2011 tillbaka på skrivbord och meny, han fixar tyvärr inte varken era mer avancerade rensningsåtgärder eller ominstallation.FRÅGA: Vid googling så fanns det mer en ett förslag på att registrera system tool 2011 för att därefter kunna sanera det ? på youtube finns instruktionfilm angående detta,någon som vet ?...FRÅGA:Är det risk för att han kan sprida smitta till andra datorer typ mejl/messenger ?

Cecilia · January 25, 2011

1.

Inte sannolikt att det är något som skickar mejl eller MSN-länkar. En dator blir ju inte heller smittad bara för att det dyker upp länkar i MSN-konversationer utan det kan ju inträffa först när någon klickar på länken.

2.

Infektionen kom nog tillbaka därför att han inte har rensat bort allt och/eller fortfarande har program med säkerhetshål i datorn och återigen besökte en skadlig webbsida.

3.

Det här är en bra anvisning: http://www.bleepingcomputer.com/virus-removal/remove-system-tool

Även om man inte är så datorkunnig och har svensk Windows så bör man kunna följa de olika punkterna med telefon/MSN-hjälp från dig. Eller en anvisning på svenska från mig. Jag kan vara mycket tydlig med exakt vad som ska klickas på om det behövs.

RKill i punkt 8-9 behövs bara om det är problem att köra MBAM direkt. Eftersom MBAM redan är installerad behöver det förstås inte installeras om, dvs punkt 10-13 kan man hoppa över.

4.

Om han inte kan rensa med hjälp av anvisningar eller installera om datorn, kan datorn inte vara ansluten till internet innan någondera är gjort av någon annan.

margrehte · January 26, 2011

Tack för snabbt svar Cecilia.Jag har nyss mejlat han att köra datorn så långt det går och sen lämna in datorn för inre rengöring (ngr ton grus pga vägarbete utanför)och ominstallation,han använder bara dator`n för att surfa.Jag vägleder han telefonledes och gör samma som han dvs laddar ner program och kör,det är svårt hitta vart man skall klicka och var man skall bocka i/ur,grubblat/grubblar på om det är någon idè fortsätta då system tool 2011 kommit ner i roten.Så han bör redan stänga ner datorn nu och inte surfa mer om jag förstått dej rätt ?

margrehte · January 26, 2011

Min vän vill fortsätta att få bort system tool 2011,har fått han att stänga ner dator och när han kommer från jobbet fortsätter vi,full skanning igen med malwarebytes i felsäkert läge och in i regedit och msconfig för att radera manuellt.Jag undrar vilket program vi bör köra när dator är normalstartad igen,Hitman pro eller vad ? du tipsade mej om att spara logg från hi-jack och jag har hans gamla logg här hos mej så jag låter han mejla ny logg till mej, kommer inte ihåg hur jag gjorde för att kopiera loggen och posta här (minns bara att jag hade bekymmer med det)tacksam om någon talar om hur ?

Cecilia · January 26, 2011

En infekterad dator ska inte användas till något annat än rensning.

Om du tycker det är svårt att veta vad som ska klickas på eller bockas för så fråga, gör inget utan att veta att det är precis det du ska göra.

Du (och han) ska inte gå in i regedit och msconfig. Det finns ingen anledning till det. Du ska följa guiden jag länkade till eller mina svar på dina frågor och inget annat eftersom det kan leda till stora problem.

HijackThis-loggar är jag inte intresserad av eftersom de inte visar tillräckligt mycket. Det som kan vara intressant är loggar från DDS.

Spara DDS på Skrivbordet.

http://download.bleepingcomputer.com/sUBs/dds.scr

Starta programmet genom att dubbelklicka på det.

Tryck Yes/Ja om frågan om Optional Scan dyker upp.

I ditt svar klistrar du in loggen DSS.txt (kopiera allt som visas i Anteckningar och kopiera, sedan klistra in i ditt svar). Medan du bifogar Attach.txt som en fil (Klicka på "Växla till full redigering" om du inte ser hur man bifogar filer).

beacon · January 26, 2011

Hej, jag heter Kent Åsberg och fick 'system tool' på nyårsdagen - är just i avslutningen av borttagandet. Jag började med att köra i felsäkert läge - nätverk, där slapp jag åtminstone att se eländet poppa upp. Sedan tog jag kontakt med en amerikansk programmerarkollega från 90-talet, som själv tagit bort detta malware ett par gånger ur datorer, som lämnats till honom. Han hänvisade till en site med samma användarinterface som alltomwindows: www.bleepingcomputer.com

Där har jag kontakt med teacup61 (jag betecknar henne i tankarna som en CSA (Cyber Space Angel))

Gå in där och registrera Dig och följ anvisningarna för att ta bort malware!

mitt medlemsnamn där är beablanche.

Good luck

beacon

Edited January 26, 2011 by beacon

margrehte · January 26, 2011

UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.

IF REQUESTED, ZIP IT UP & ATTACH IT

DDS (Ver_10-12-12.02)

Microsoft® Windows Vista Home Basic

Boot Device: \Device\HarddiskVolume2

Install Date: 2010-02-22 06:27:48

System Uptime: 2011-01-26 16:30:39 (1 hours ago)

Motherboard: ACER | | MCP73VE

Processor: Intel® Celeron® CPU E1400 @ 2.00GHz | SOCKET775 M/B | 2003/200mhz

==== Disk Partitions =========================

C: is FIXED (NTFS) - 144 GiB total, 124,171 GiB free.

D: is FIXED (NTFS) - 72 GiB total, 71,979 GiB free.

E: is CDROM ()

F: is Removable

G: is Removable

H: is Removable

I: is Removable

==== Disabled Device Manager Items =============

Class GUID: {4d36e96f-e325-11ce-bfc1-08002be10318}

Description: Microsoft PS/2 Mouse

Device ID: ACPI\PNP0F03\4&8CB234F&0

Manufacturer: Microsoft

Name: Microsoft PS/2 Mouse

PNP Device ID: ACPI\PNP0F03\4&8CB234F&0

Service: i8042prt

==== System Restore Points ===================

No restore point in system.

==== Installed Programs ======================

ActiveX-kontroll för fjärranslutningar för Windows Live Mesh

Adobe Flash Player 10 ActiveX

Adobe Shockwave Player 11.5

ArcSoft VideoImpression 2

C Dictionary

CCleaner

COMODO Internet Security

D3DX10

Google Toolbar for Internet Explorer

Google Update Helper

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB953595)

Hotfix for Microsoft .NET Framework 3.5 SP1 (KB958484)

Java Auto Updater

Java 6 Update 23

Junk Mail filter update

king.com (remove only)

Lexmark 2600 Series

LightScribe 1.4.142.1

Mesh Runtime

Messenger Companion

Microsoft .NET Framework 3.5 Language Pack SP1 - sve

Microsoft .NET Framework 3.5 SP1

Microsoft .NET Framework 4 Client Profile

Microsoft .NET Framework 4 Client Profile Language Pack - SVE

Microsoft .NET Framework 4 Client Profile SVE Language Pack

Microsoft Application Error Reporting

Microsoft Default Manager

Microsoft Office Excel MUI (Swedish) 2007

Microsoft Office OneNote MUI (Swedish) 2007

Microsoft Office PowerPoint MUI (Swedish) 2007

Microsoft Office Proof (English) 2007

Microsoft Office Proof (Finnish) 2007

Microsoft Office Proof (German) 2007

Microsoft Office Proof (Swedish) 2007

Microsoft Office Proofing (Swedish) 2007

Microsoft Office Shared MUI (Swedish) 2007

Microsoft Office Word MUI (Swedish) 2007

Microsoft Search Enhancement Pack

Microsoft Silverlight

Microsoft SQL Server 2005 Compact Edition [ENU]

MSVCRT

NVIDIA Drivers

NVIDIA Stereoscopic 3D Driver

Realtek High Definition Audio Driver

Security Update for Microsoft .NET Framework 3.5 SP1 (KB2416473)

Segoe UI

SPEEDLINK SL-6825 Snappy Webcam

Språkpaket för Microsoft .NET Framework 3.5 SP 1 - sve

Update for Microsoft .NET Framework 3.5 SP1 (KB963707)

Windows Live Communications Platform

Windows Live Essentials

Windows Live Family Safety

Windows Live ID Sign-in Assistant

Windows Live Installer

Windows Live Mail

Windows Live Mesh

Windows Live Messenger

Windows Live Messenger Companion Core

Windows Live MIME IFilter

Windows Live Movie Maker

Windows Live OneCare safety scanner

Windows Live Photo Common

Windows Live Photo Gallery

Windows Live PIMT Platform

Windows Live Remote Client

Windows Live Remote Client Resources

Windows Live Remote Service

Windows Live Remote Service Resources

Windows Live SOXE

Windows Live SOXE Definitions

Windows Live UX Platform

Windows Live UX Platform Language Pack

Windows Live Writer

Windows Live Writer Resources

WOT för Internet Explorer

==== End Of File ===========================

Cecilia · January 26, 2011

Det var Attach.txt det. Hur går det med DDS.txt?

margrehte · January 26, 2011

DDS (Ver_10-12-12.02) - NTFSx86

Run by gull at 17:20:11,60 on 2011-01-26

Internet Explorer: 8.0.6001.18999

Microsoft® Windows Vista Home Basic 6.0.6002.2.1252.46.1053.18.2815.1945 [GMT 1:00]

AV: COMODO Antivirus *Enabled/Updated* {675CEE69-9702-A524-3989-6D7CC8BF3695}

SP: COMODO Defense+ *Enabled/Updated* {DC3D0F8D-B138-AAAA-0339-560EB3387C28}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

FW: COMODO Firewall *Enabled* {5F676F4C-DD6D-A47C-12D6-C449366C71EE}

============== Running Processes ===============

C:\Windows\system32\wininit.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe -k DcomLaunch

C:\Windows\system32\nvvsvc.exe

C:\Windows\system32\svchost.exe -k rpcss

C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe

C:\Windows\system32\svchost.exe -k NetworkService

C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted

C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted

C:\Windows\system32\svchost.exe -k netsvcs

C:\Windows\system32\svchost.exe -k GPSvcGroup

C:\Windows\system32\SLsvc.exe

C:\Windows\system32\svchost.exe -k LocalService

C:\Windows\system32\nvvsvc.exe

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork

C:\Windows\system32\Dwm.exe

C:\Windows\system32\taskeng.exe

C:\Windows\Explorer.EXE

C:\Windows\system32\taskeng.exe

C:\Windows\RtHDVCpl.exe

C:\Windows\System32\nvraidservice.exe

C:\Program Files\COMODO\COMODO Internet Security\cfp.exe

C:\Windows\PixArt\PAC7302\Monitor.exe

C:\Program Files\Lexmark 2600 Series\lxdnmon.exe

C:\Program Files\Lexmark 2600 Series\ezprint.exe

C:\Program Files\Common Files\Java\Java Update\jusched.exe

C:\Program Files\Windows Media Player\wmpnscfg.exe

C:\Windows\system32\lxdncoms.exe

C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted

C:\Program Files\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe

C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

C:\Windows\system32\svchost.exe -k imgsvc

C:\Windows\System32\svchost.exe -k WerSvcGroup

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE

C:\Windows\system32\SearchIndexer.exe

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe

C:\Windows\system32\WUDFHost.exe

C:\Windows\System32\mobsync.exe

C:\Windows\system32\wbem\wmiprvse.exe

C:\Windows\system32\wbem\unsecapp.exe

C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation

C:\Users\gull\Downloads\dds.scr

C:\Windows\system32\conime.exe

C:\Windows\system32\wbem\wmiprvse.exe

============== Pseudo HJT Report ===============

uSearch Bar = Preserve

uStart Page = about:blank

mStart Page = hxxp://sv.intl.acer.yahoo.com

mDefault_Page_URL = hxxp://sv.intl.acer.yahoo.com

BHO: {02478D38-C3F9-4efb-9B51-7695ECA05670} - No File

BHO: Search Helper: {6ebf7485-159f-4bff-a14f-b9e3aac4465b} - c:\program files\microsoft\search enhancement pack\search helper\SEPsearchhelperie.dll

BHO: {83A2F9B1-01A2-4AA5-87D1-45B6B8505E96} - No File

BHO: Windows Live ID Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\program files\common files\microsoft shared\windows live\WindowsLiveLogin.dll

BHO: Windows Live Messenger Companion Helper: {9fdde16b-836f-4806-ab1f-1455cbeff289} - c:\program files\windows live\companion\companioncore.dll

BHO: Google Toolbar Helper: {aa58ed58-01dd-4d91-8333-cf10577473f7} - c:\program files\google\google toolbar\GoogleToolbar_32.dll

BHO: Google Toolbar Notifier BHO: {af69de43-7d58-4638-b6fa-ce66b5ad205d} - c:\program files\google\googletoolbarnotifier\5.6.5805.1910\swg.dll

BHO: WOT Helper: {c920e44a-7f78-4e64-bdd7-a57026e7feb7} - c:\program files\wot\WOT.dll

BHO: Java Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\program files\java\jre6\bin\jp2ssv.dll

TB: WOT: {71576546-354d-41c9-aae8-31f2ec22bf0d} - c:\program files\wot\WOT.dll

TB: Google Toolbar: {2318c2b1-4965-11d4-9b18-009027a5cd4f} - c:\program files\google\google toolbar\GoogleToolbar_32.dll

TB: {1017A80C-6F09-4548-A84D-EDD6AC9525F0} - No File

TB: {21FA44EF-376D-4D53-9B0F-8A89D3229068} - No File

TB: {D4027C7F-154A-4066-A1AD-4243D8127440} - No File

uRun: [msnmsgr] "c:\program files\windows live\messenger\msnmsgr.exe" /background

uRun: [WMPNSCFG] c:\program files\windows media player\WMPNSCFG.exe

mRun: [RtHDVCpl] RtHDVCpl.exe

mRun: [NVRaidService] c:\windows\system32\nvraidservice.exe

mRun: [COMODO Internet Security] "c:\program files\comodo\comodo internet security\cfp.exe" -h

mRun: [PAC7302_Monitor] c:\windows\pixart\pac7302\Monitor.exe

mRun: [Microsoft Default Manager] "c:\program files\microsoft\search enhancement pack\default manager\DefMgr.exe" -resume

mRun: [lxdnmon.exe] "c:\program files\lexmark 2600 series\lxdnmon.exe"

mRun: [EzPrint] "c:\program files\lexmark 2600 series\ezprint.exe"

mRun: [sunJavaUpdateSched] "c:\program files\common files\java\java update\jusched.exe"

mPolicies-explorer: BindDirectlyToPropertySetStorage = 0 (0x0)

mPolicies-system: EnableUIADesktopToggle = 0 (0x0)

IE: Google Sidewiki... - c:\program files\google\google toolbar\component\GoogleToolbarDynamic_mui_en_E11712C84EA7E12B.dll/cmsidewiki.html

IE: {0000036B-C524-4050-81A0-243669A86B9F} - {B63DBA5F-523F-4B9C-A43D-65DF1977EAD3} - c:\program files\windows live\companion\companioncore.dll

IE: {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - {5F7B1267-94A9-47F5-98DB-E99415F33AEC} - c:\program files\windows live\writer\WriterBrowserExtension.dll

IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C}

IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503}

DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_23-windows-i586.cab

DPF: {E2883E8F-472F-4FB0-9522-AC9BF37916A7} - hxxp://platformdl.adobe.com/NOS/getPlusPlus/1.6/gp.cab

Handler: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - c:\program files\windows live\photo gallery\AlbumDownloadProtocolHandler.dll

Handler: wot - {C2A44D6B-CB9F-4663-88A6-DF2F26E4D952} - c:\program files\wot\WOT.dll

AppInit_DLLs: c:\windows\system32\guard32.dll

============= SERVICES / DRIVERS ===============

R1 cmderd;COMODO Internet Security Eradication Driver;c:\windows\system32\drivers\cmderd.sys [2010-3-3 17256]

R1 cmdGuard;COMODO Internet Security Sandbox Driver;c:\windows\system32\drivers\cmdGuard.sys [2010-3-23 236600]

R1 cmdHlp;COMODO Internet Security Helper Driver;c:\windows\system32\drivers\cmdhlp.sys [2010-3-3 34744]

R2 lxdn_device;lxdn_device;c:\windows\system32\lxdncoms.exe -service --> c:\windows\system32\lxdncoms.exe -service [?]

R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;c:\program files\nvidia corporation\3d vision\nvSCPAPISvr.exe [2009-7-14 239648]

R3 FontCache;Windows Font Cache Service;c:\windows\system32\svchost.exe -k LocalServiceAndNoImpersonation [2008-1-21 21504]

S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]

S2 gupdate;Tjänsten Google Update (gupdate);c:\program files\google\update\GoogleUpdate.exe [2010-10-13 136176]

S3 CPen20;CPen20;c:\windows\system32\drivers\CPen20.sys [2008-6-3 18536]

S3 fssfltr;FssFltr;c:\windows\system32\drivers\fssfltr.sys [2010-12-26 39272]

S3 fsssvc;Windows Live Family Safety Service;c:\program files\windows live\family safety\fsssvc.exe [2010-9-23 1493352]

S3 NVHDA;Service for NVIDIA HDMI Audio Driver;c:\windows\system32\drivers\nvhda32v.sys [2008-4-25 30752]

S3 WPFFontCache_v0400;Windows Presentation Foundation Font Cache 4.0.0.0;c:\windows\microsoft.net\framework\v4.0.30319\wpf\WPFFontCache_v0400.exe [2010-3-18 753504]

S4 wlcrasvc;Windows Live Mesh remote connections service;c:\program files\windows live\mesh\wlcrasvc.exe [2010-9-22 51040]

=============== Created Last 30 ================

2011-01-26 10:15:20 -------- d-----w- c:\users\gull\appdata\local\{088F262F-7C01-46F5-9C61-90CA5E89A04D}

2011-01-25 21:15:10 -------- d-----w- c:\users\gull\appdata\local\{E9D5E49B-BA58-4EA7-BC1B-9C9D0CEC50FB}

2011-01-25 19:49:13 -------- d-----w- c:\users\gull\appdata\roaming\Malwarebytes

2011-01-25 19:49:03 -------- d-----w- c:\progra~2\Malwarebytes

2011-01-25 19:49:00 -------- d-----w- c:\program files\Malwarebytes' Anti-Malware

2011-01-25 10:19:01 -------- d-----w- c:\users\gull\appdata\local\{C4659B3C-20DC-43FE-926A-4E793618DFBA}

2011-01-24 22:18:50 -------- d-----w- c:\users\gull\appdata\local\{3D05F935-E25E-4D7B-A854-3076087A0ACB}

2011-01-24 10:18:39 -------- d-----w- c:\users\gull\appdata\local\{14DB39E7-66E9-470B-B84A-29F9DE063E47}

2011-01-23 18:45:41 -------- d-----w- c:\users\gull\appdata\local\{7B45E7F1-B6A5-4ADE-AA2C-29928C0FB57E}

2011-01-23 06:45:30 -------- d-----w- c:\users\gull\appdata\local\{232AC0DE-F3EB-4252-BCB2-B5349C2D01A0}

2011-01-22 18:45:19 -------- d-----w- c:\users\gull\appdata\local\{33D7BD43-F8F1-4492-B3D2-142AE99B2F7D}

2011-01-22 06:45:08 -------- d-----w- c:\users\gull\appdata\local\{FB06C890-E44E-462A-8963-EBCA9F593920}

2011-01-21 18:44:57 -------- d-----w- c:\users\gull\appdata\local\{41A60AAD-CF77-4DF7-B603-5515C6323A84}

2011-01-21 06:44:46 -------- d-----w- c:\users\gull\appdata\local\{6B402017-4071-48E2-8185-339B0AFFC40B}

2011-01-20 18:44:35 -------- d-----w- c:\users\gull\appdata\local\{7D487430-E416-429B-890D-8D9ABA04700E}

2011-01-20 06:44:11 -------- d-----w- c:\users\gull\appdata\local\{35EEDD00-4AB2-444C-A360-58CE2D5C7CE3}

2011-01-19 18:43:59 -------- d-----w- c:\users\gull\appdata\local\{82213DBB-3732-4512-83C9-13B13C862AA6}

2011-01-19 06:43:36 -------- d-----w- c:\users\gull\appdata\local\{DC14AEE9-9108-4B56-B4D0-0558CF91B118}

2011-01-18 18:43:25 -------- d-----w- c:\users\gull\appdata\local\{66F43BAC-B13C-4419-90E1-521BB05CE2B7}

2011-01-18 06:43:14 -------- d-----w- c:\users\gull\appdata\local\{4A44869E-7E2A-4921-B6F0-4E08ABC73D2B}

2011-01-17 18:43:02 -------- d-----w- c:\users\gull\appdata\local\{85FE9D9F-2805-402C-A369-C5FEEBCFD535}

2011-01-17 16:29:40 -------- d-----w- c:\progra~2\nKhOk01831

2011-01-17 06:42:39 -------- d-----w- c:\users\gull\appdata\local\{6AA6BC34-995A-4FC3-9E0E-F645DFC1177C}

2011-01-16 18:42:27 -------- d-----w- c:\users\gull\appdata\local\{FC4393AC-F988-4909-B4F5-FE271374FF94}

2011-01-16 06:42:16 -------- d-----w- c:\users\gull\appdata\local\{D441AFFE-53AD-4089-92F4-12F014613D77}

2011-01-15 18:42:05 -------- d-----w- c:\users\gull\appdata\local\{47AA1B79-5E0A-4262-A86B-3FBEFDF2DC42}

2011-01-15 06:41:54 -------- d-----w- c:\users\gull\appdata\local\{F9958B32-7B8B-4129-A064-214B3477B3CE}

2011-01-14 18:41:43 -------- d-----w- c:\users\gull\appdata\local\{87559F91-BB54-4877-9E4E-486355777D45}

2011-01-14 06:41:32 -------- d-----w- c:\users\gull\appdata\local\{4DBE41FA-44CF-4688-BA51-25A0B8D73677}

2011-01-13 18:41:21 -------- d-----w- c:\users\gull\appdata\local\{143199EF-67F9-4355-9F9F-F81C68F5606D}

2011-01-13 06:40:57 -------- d-----w- c:\users\gull\appdata\local\{84DE8675-5214-4CDA-9868-6B31C3C929A9}

2011-01-12 18:40:32 -------- d-----w- c:\users\gull\appdata\local\{63C3EAF9-C50F-43BF-A6DC-5A8A273738F1}

2011-01-12 06:40:08 -------- d-----w- c:\users\gull\appdata\local\{77DBC16E-CFD7-41C1-83A2-DF110353008A}

2011-01-11 18:39:45 -------- d-----w- c:\users\gull\appdata\local\{E377F217-5154-4A08-8095-220AC1E65A75}

2011-01-11 18:16:41 413696 ----a-w- c:\windows\system32\odbc32.dll

2011-01-11 18:16:40 708608 ----a-w- c:\program files\common files\system\ado\msado15.dll

2011-01-11 18:16:39 253952 ----a-w- c:\program files\common files\system\ado\msadox.dll

2011-01-11 18:16:39 241664 ----a-w- c:\program files\common files\system\ado\msadomd.dll

2011-01-11 18:16:39 180224 ----a-w- c:\program files\common files\system\msadc\msadco.dll

2011-01-11 18:16:38 57344 ----a-w- c:\program files\common files\system\msadc\msadcs.dll

2011-01-11 18:16:35 1169408 ----a-w- c:\windows\system32\sdclt.exe

2011-01-11 06:39:33 -------- d-----w- c:\users\gull\appdata\local\{445D0E00-5E0C-4E19-97D3-A7A6E39B2DBB}

2011-01-10 18:39:22 -------- d-----w- c:\users\gull\appdata\local\{1A47F146-B1D1-4415-8196-DE0ABE5F2C81}

2011-01-10 06:39:11 -------- d-----w- c:\users\gull\appdata\local\{BF09281D-23C0-4AF6-8195-DCD732311621}

2011-01-09 18:39:00 -------- d-----w- c:\users\gull\appdata\local\{36545BA0-1BD1-48AB-A49E-81705FF35882}

2011-01-09 06:38:49 -------- d-----w- c:\users\gull\appdata\local\{0A877D3D-A57E-48FC-BE64-11C31005D8FF}

2011-01-08 18:38:38 -------- d-----w- c:\users\gull\appdata\local\{3A407465-A8FB-48DC-A1E1-E8BF6B340906}

2011-01-08 06:38:14 -------- d-----w- c:\users\gull\appdata\local\{935B042C-1D0D-4646-89C5-65C19BF61699}

2011-01-07 18:37:50 -------- d-----w- c:\users\gull\appdata\local\{08CC0EA2-28CD-4A7D-A7BA-F3FCF00B5E1D}

2011-01-07 06:37:39 -------- d-----w- c:\users\gull\appdata\local\{10DA636E-125A-4782-998F-B4217EFB5460}

2011-01-06 18:37:28 -------- d-----w- c:\users\gull\appdata\local\{12318795-0799-433B-B30D-CDAC8CC61823}

2011-01-06 06:37:18 -------- d-----w- c:\users\gull\appdata\local\{382F9663-EFD6-4FC5-A7CC-9F8167A1317F}

2011-01-05 18:37:06 -------- d-----w- c:\users\gull\appdata\local\{21A9476A-EC64-4081-BE0E-960B2E53749C}

2011-01-05 06:36:56 -------- d-----w- c:\users\gull\appdata\local\{4F355386-17E0-4653-87B7-AF1DB5917FD4}

2011-01-04 18:36:45 -------- d-----w- c:\users\gull\appdata\local\{7A73E8D8-C8BB-487F-9CB3-9A5EC7F4F965}

2011-01-04 06:36:34 -------- d-----w- c:\users\gull\appdata\local\{0C4E9DF2-4467-4B18-B09B-392A3AC598D9}

2011-01-03 18:36:23 -------- d-----w- c:\users\gull\appdata\local\{E2E7FCC2-B28E-4AA3-8F51-0B8A147826B0}

2011-01-03 06:36:12 -------- d-----w- c:\users\gull\appdata\local\{AA251625-86B8-4A03-8336-4A016C6F8F41}

2011-01-02 18:36:00 -------- d-----w- c:\users\gull\appdata\local\{C23933C1-FF42-4749-B87D-47AD3B13005D}

2011-01-02 06:35:50 -------- d-----w- c:\users\gull\appdata\local\{7C4AB501-3281-4AA4-B717-BC1063D7B63C}

2011-01-01 18:35:39 -------- d-----w- c:\users\gull\appdata\local\{818E4D6B-BB66-4860-8D98-A4D42251A19C}

2011-01-01 06:35:28 -------- d-----w- c:\users\gull\appdata\local\{3CBF30E7-10FA-4B0A-8A5C-23B74128287D}

2010-12-29 06:33:19 -------- d-----w- c:\users\gull\appdata\local\{D96E3595-B467-44EE-8877-5012925CB7A2}

==================== Find3M ====================

2011-01-12 10:30:51 285480 ----a-w- c:\windows\system32\guard32.dll

2010-11-12 17:53:06 472808 ----a-w- c:\windows\system32\deployJava1.dll

2010-11-10 01:54:18 49016 ----a-w- c:\windows\system32\sirenacm.dll

2010-11-10 01:28:46 301936 ----a-w- c:\windows\WLXPGSS.SCR

2010-11-04 18:56:07 345600 ----a-w- c:\windows\system32\wmicmiplugin.dll

2010-11-04 18:55:38 352768 ----a-w- c:\windows\system32\taskschd.dll

2010-11-04 18:55:38 270336 ----a-w- c:\windows\system32\taskcomp.dll

2010-11-04 18:55:12 601600 ----a-w- c:\windows\system32\schedsvc.dll

2010-11-04 16:34:06 171520 ----a-w- c:\windows\system32\taskeng.exe

2010-11-02 06:01:54 916480 ----a-w- c:\windows\system32\wininet.dll

2010-11-02 05:57:41 43520 ----a-w- c:\windows\system32\licmgr10.dll

2010-11-02 05:57:27 1469440 ----a-w- c:\windows\system32\inetcpl.cpl

2010-11-02 05:57:11 71680 ----a-w- c:\windows\system32\iesetup.dll

2010-11-02 05:57:11 109056 ----a-w- c:\windows\system32\iesysprep.dll

2010-11-02 05:01:31 385024 ----a-w- c:\windows\system32\html.iec

2010-11-02 04:26:10 133632 ----a-w- c:\windows\system32\ieUnatt.exe

2010-11-02 04:24:44 1638912 ----a-w- c:\windows\system32\mshtml.tlb

============= FINISH: 17:22:23,76 ===============

Cecilia · January 26, 2011

Har MBAM körts efter den andra infektionsomgången? I så fall vill jag gärna se loggen från den körningen?

Har ni utfört de andra stegen i Bleeping Computers guide?

margrehte · January 26, 2011

Jag ringde han men datorn var avstängd och får vara det tills i morgon eftermiddag,något tragiskt hänt malwarebytes tydligen för vi hittade bara ett spår efter den,får installera ny imorgon och då posta logg hit.Har problem eftersom texten på Bleeping är på engelska,jag skall konsultera google imorgon.Ingen ikon för System Tool 2011 dök upp på skrivbordet vid start.Jättetack för att du hjälper oss Cecilia.

Edited January 26, 2011 by margrehte

Cecilia · January 26, 2011

Det syntes inte till några spår av System Tool i loggen så det är ju möjligt att det räckte med den körningen av MBAM och skyddet i Comodo. När det gäller språket kan du få det på svenska av mig. Det som återstår från guiden är följande:

Spara filen http://download.bleepingcomputer.com/bats/hosts-perm.bat på Skrivbordet.

Högerklicka på filen hosts-perm.bat och välj "Kör som administratör" för att starta den.

Om det kommer upp en fråga om du verkligen vill köra den så tillåt det.

På sidan http://support.microsoft.com/kb/972034 klickar du på den stora knappen "Fix it".

Fråga mig om det är något du inte förstår fullt ut.

margrehte · January 27, 2011

Det gick bra med hostsfilen.Comodo hittade 2 trojan i c:/program data trojan.windows 32 och tog bort.Ny loggfil från antimalware eller vad ?

Cecilia · January 27, 2011

Går det att få fram en komplett logg med vad Comodo hittade, dvs där det framgår vilka filer som var infekterade?

MBAM är förstås bra att köra. Loggen behöver bara klistras in om MBAM hittar något.

Skanna datorn online på http://www.eset.com/onlinescan/

För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

Avbocka alternativet Remove found threats

Bocka för Scan Archives

Klicka på Advanced Settings

Bocka för:

Scan for potentially unwanted applications

Scan for potentially unsafe applications

Enable Anti-Stealth Technology

Klicka på Scan

När skanningen är klar skapas loggfilen C:\Program\Eset\Eset Online Scanner\log.txt. Öppna den i Anteckningar och klistra sedan in innehållet i ditt svar.

margrehte · January 27, 2011

Jag körde onlinescanningen på min dator med och loggen fanns där den skulle men inte för han utan det kom upp en ruta om att programmet inte installerats korrekt och ingen logg fanns,scanningen visade dock på att inget skadligt fanns i hans dator.Imorgon laddar vi ner antimalwarebytes igen och kör.

Cecilia · January 27, 2011

Huvudsaken att inget hittades.

Är MBAM avinstallerat? Det var väl onödigt, det är ju ett bra program att ha.

margrehte · January 28, 2011

Malwarebytes' Anti-Malware 1.50.1.1100

www.malwarebytes.org

Databasversion: 5630

Windows 6.0.6002 Service Pack 2

Internet Explorer 8.0.6001.18999

2011-01-28 17:52:21

mbam-log-2011-01-28 (17-52-21).txt

Skanningstyp: Fullständig skanning (C:\|D:\|)

Antal skannade objekt: 214072

Förfluten tid: 30 minut(er), 11 sekund(er)

Infekterade minnesprocesser: 0

Infekterade minnesmoduler: 0

Infekterade registernycklar: 0

Infekterade registervärden: 0

Infekterade registerdataposter: 0

Infekterade mappar: 0

Infekterade filer: 0

Infekterade minnesprocesser: