Gå till innehåll

Recommended Posts

Hej igen.

Tyvärr hittade jag ingen fil med det namnet. I morse när jag startade datorn var jag på ruta ett igen. Inget Telia säker surf.

Det gick inte heller att kör färdigt ComboFix utan den stannade efter ett tag. Däremot stod det att filen C:Windows\system32\userinit.exe var infekterad och att det var succesfull restored.

Tyvärr blev det ingen skillnad.

Har avinstallerat Telia säker surf och lagt in Windows brandvägg samt Microsoft security Essential. Får väl se vad du säger.

Skickar en ny DDS till dig.

DDS (Ver_2011-08-26.01) - NTFSx86

Internet Explorer: 9.0.8112.16421 BrowserJavaVersion: 10.7.2

Run by Tony at 11:08:26 on 2012-09-26

Microsoft Windows 7 Enterprise 6.1.7601.1.1252.46.1053.18.3071.2027 [GMT 2:00]

.

AV: Microsoft Security Essentials *Enabled/Updated* {B140BF4E-23BB-4198-90AB-A51A4C60A69C}

SP: Microsoft Security Essentials *Enabled/Updated* {0A215EAA-0581-4E16-AA1B-9E6837E7EC21}

SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}

.

============== Running Processes ===============

.

C:\Windows\system32\wininit.exe

C:\Windows\system32\lsm.exe

C:\Windows\system32\svchost.exe -k DcomLaunch

C:\Windows\system32\nvvsvc.exe

C:\Program Files\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe

C:\Windows\system32\svchost.exe -k RPCSS

C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted

C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted

C:\Windows\system32\svchost.exe -k netsvcs

C:\Windows\system32\svchost.exe -k LocalService

C:\Windows\system32\svchost.exe -k NetworkService

C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe

C:\Windows\system32\nvvsvc.exe

C:\Windows\System32\spoolsv.exe

C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation

C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork

C:\Windows\system32\taskhost.exe

C:\Windows\system32\Dwm.exe

C:\Windows\Explorer.EXE

C:\Program Files\Common Files\Adobe\ARM\1.0\armsvc.exe

C:\Windows\system32\svchost.exe -k apphost

C:\Program Files\Application Updater\ApplicationUpdater.exe

C:\ProgramData\Browser Manager\2.2.643.41\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe

C:\Windows\system32\schtasks.exe

C:\Windows\system32\conhost.exe

C:\ProgramData\Browser Manager\2.2.643.41\{16cdff19-861d-48e3-a751-d99a27784753}\browsemngr.exe

C:\Windows\system32\svchost.exe -k hpdevmgmt

C:\Windows\System32\svchost.exe -k HPZ12

C:\Windows\System32\svchost.exe -k HPZ12

C:\Windows\system32\PnkBstrA.exe

C:\Windows\system32\svchost.exe -k NetworkServiceNetworkRestricted

C:\Program Files\Telia\Supportassistenten\bin\sprtsvc.exe

C:\Windows\system32\svchost.exe -k imgsvc

C:\Program Files\Telia\Supportassistenten\bin\tgsrvc.exe

C:\Program Files\Web Assistant\ExtensionUpdaterService.exe

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSVC.EXE

C:\Windows\system32\svchost.exe -k HPService

C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLIDSvcM.exe

C:\Windows\System32\svchost.exe -k LocalServicePeerNet

C:\Windows\SOUNDMAN.EXE

C:\Program Files\Classic Shell\ClassicStartMenu.exe

C:\Program Files\Microsoft IntelliPoint\ipoint.exe

C:\Program Files\Microsoft IntelliType Pro\itype.exe

C:\Program Files\Windows Sidebar\sidebar.exe

C:\Program Files\Personal\bin\Personal.exe

C:\Program Files\NVIDIA Corporation\Display\nvtray.exe

C:\Windows\system32\SearchIndexer.exe

C:\Program Files\Windows Media Player\wmpnetwk.exe

C:\Windows\system32\DllHost.exe

C:\Program Files\Common Files\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE

C:\Program Files\NVIDIA Corporation\NVIDIA Update Core\daemonu.exe

C:\Windows\servicing\TrustedInstaller.exe

C:\Windows\system32\msiexec.exe

c:\Program Files\Microsoft Security Client\MsMpEng.exe

C:\Program Files\Microsoft Security Client\msseces.exe

C:\Windows\system32\SearchProtocolHost.exe

C:\Windows\system32\SearchProtocolHost.exe

C:\Windows\system32\SearchFilterHost.exe

C:\Windows\system32\DllHost.exe

C:\Windows\system32\DllHost.exe

C:\Windows\system32\DllHost.exe

C:\Windows\system32\conhost.exe

Länk till kommentar
Dela på andra webbplatser

Oj då, då har du fått in en riktig otäcking, ett rootkit. Det kan gå fortare och vara säkrare att installera om Windows än att rensa datorn.

Spara RougueKiller på Skrivbordet.

http://www.sur-la-toile.com/RogueKiller/

Stäng av alla program.

Ta bort alla externa enheter, t ex USB-minnen och externa hårddiskar, utom tangentbord och mus. Låt dem vara bortkopplade medan rensningen pågår.

Kör RogueKiller (i Vista och Windows 7 högerklicka på programmet och välj "Kör som administratör). Om det inte går att köra så pröva flera gång, men om det fortfarande inte går så pröva med att döpa om programmet till winlogon.exe.

Vänta tills "Prescan" har avslutats.

Klicka på "Scan"-knappen uppe till höger.

Vänta tills skanningen är klar.

En rapport "RKreport.txt" ska då ha skapats på Skrivbordet. Klistra in innehållet i den i ditt svar.

Länk till kommentar
Dela på andra webbplatser

Stäng av alla program inklusive antivirusprogram och liknande.

Kör RogueKiller (i Vista och Windows 7 högerklicka på programmet och välj "Kör som administratör).

Vänta tills "Prescan" har avslutats.

Välj fliken Registry och se till att följande är valt men inget annat:

[HJPOL] HKCU\[...]\System : disableregistrytools (0) -> FOUND

[HJ DESK] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND

[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

Klicka på "Delete"-knappen.

Starta om datorn.

En till "RKreport.txt" ska då ha skapats på Skrivbordet.

Klistra in dess innehåll i ditt svar.

Pröva igen att köra ComboFix enligt tidigare anvisning. Skriv här om du får något meddelande.

Länk till kommentar
Dela på andra webbplatser

Bra :)

1.

Spara TDSSKiller på Skrivbordet:

http://support.kaspersky.com/downloads/utils/tdsskiller.exe

Stäng av dina vanliga program, men du kan lämna antivirusprogram och liknande igång.

Kör programmet TDSSKiller.exe.

Klicka på Start Scan.

Om några malicious hittas så välj Cure och klicka på Continue. Om inte Cure finns så välj Skip. Om några suspicious hittas så välj Skip och klicka på Continue. Välj INTE Quarantine eller Delete. Eventuellt behöver datorn startas om.

Klistra in innehållet i loggen som du hittar i C:\ med namnet TDSSKiller följt av version och tidpunkt.

2.

Spara aswMBR på skrivbordet: http://public.avast.com/~gmerek/aswMBR.exe

Starta om datorn och låt bli att starta några program.

Dubbel-klicka på aswMBR.exe för att köra programmet.

Klicka på Scan-knappen för att börja genomsökningen.

När den är klar så spara (Save) loggen på skrivbordet.

Klistra in loggen i ditt svar här.

3.

Starta om datorn.

Kör ComboFix enligt anvisningen i inlägg 17.

Skriv om det kommer några meddelanden från ComboFix eller om vad det blir för problem.

Om körningen går bra klistra in den loggen (C:\ComboFix.txt) också.

Länk till kommentar
Dela på andra webbplatser

OK.

Har nu gjort som du sagt, så jag hoppas det funkar nu.

Tony

Jodu Tony, är det inte bättre du lägger krutet på att ominstallera den datorn?

Du har ju ärvt en nerlusad företagsdator, när jag ser dina loggar. Alla dina problem/buggar försvinner

och det bästa av allt.. den kommer bli 7-8 ggr snabbare - och allting känns fräscht med reaktion ;)

Du behöver:

Backa upp dina filer.

En oemskiva från nätet.

Ditt serienummer i botten på datorn.

Hämta hem dina drivers innan. (troligtvis bara vga & wireless...)..

Törs du? ;)

edit: Du kanske tom har recoverypartion på din dator?!

Redigerad av Marion
Länk till kommentar
Dela på andra webbplatser

Tyvärr får jag inte aswMBR att fungera riktigt. Det stannar efter ett tag och det kommer upp en ruta som säger att det har stannan pga. att ett fel uppstått. Har försökt tre gånger, med samma resultat. Har även hämtat hem programmet en gång till.

Tony.

Länk till kommentar
Dela på andra webbplatser

Okej, bäst att byta angreppsmetod.

Ladda ner Farbar Recovery Scan Tool och spara på ett USB-minne.

http://download.bleepingcomputer.com/farbar/FRST.exe

Helst på en annan dator är den infekterade.

Sedan ska du starta om datorn och utan att starta hela Windows få igång en Kommandotolk. Det finns två alternativ att göra detta. Vilket du ska använda beror på om du har en installationsskiva för Windows 7.

Alternativ 1 utan Windows-skiva

När datorn startar börjar du trycka på F8-tangenten upprepade gånger till sidan "Advanced Boot Options" visas (kan även vara något på svenska) med en meny.

I menyn använder du piltangenterna för att välja "Repair your computer" (Reparera datorn på svenska kanske).

Välj rätt tangentbord och klicka på "Next"/"Nästa".

Välj vilket operativsystem du vill reparera. Om där finns flera så ska du välja det som är det infekterade Windows. Klicka på "Next"/"Nästa".

Välj ditt användarkonto och klicka på "Next"/"Nästa".

Alternativ 2 med Windows-skiva

Stoppa i installationsskivan.

Starta datorn.

När det kommer upp en fråga om du vill starta datorn från installationsskivan så tryck på någon tangent.

Om frågan inte kommer upp utan datorn startas från hårddisken som vanligt, behöver du ändra en BIOS-inställning för att starta från skivan.

När menyn på installationsskivan kommer upp klicka på "Repair your computer" (Reparera datorn på svenska kanske).

Välj rätt tangentbord och klicka på "Next"/"Nästa".

Välj vilket operativsystem du vill reparera. Om där finns flera så ska du välja det som är det infekterade Windows. Klicka på "Next"/"Nästa".

Välj ditt användarkonto och klicka på "Next"/"Nästa".

För båda alternativen

Nu visas menyn "System Recovery Options" (kanske Systemåterställningsalternativ på svenska).

Den börjar med "Startup Repair" och avslutas med "Command Prompt" (Kommandotolken).

Välj Kommandotolken.

Skriv in:

notepad

Tryck på Enter-tangenten.

Programmet Anteckningar startas.

Välj: Arkiv - Öppna

Välj: Dator

Leta upp ditt USB-minne och skriv upp vilken enhetsbokstav det har, t ex g:.

Stäng Anteckningar.

I Kommandotolken skriver du in:

g:\frst.exe

men ersätt g med enhetsbokstaven USB-minnet har.

Programmet frst börjar köra.

Läs villkoren för programmet.

Klicka på Yes för att acceptera.

Klicka på Scan-knappen.

När det är klart kommer det att ha skapats en log FRST.txt på USB-minnet.

Kopiera innehållet i loggen och klistra in i ditt svar.

För att starta Windows igen (om du inte kan använda en annan dator) så tar du ut installationsskivan (om du använde en), stänger av datorn och sätter på den igen.

Länk till kommentar
Dela på andra webbplatser

Javisst, även om jag föredrar loggar direkt i svaren i stället för bifogade, men i det här fallet är den ju så lång :)

Det är olämpligt att hålla på med BankID innan datorn säkert är ren.

1. Vad installerade du för program igår ca 18.30? Ca en timme innan du laddade ner aswMBR och 1,5 timmar efter TDSSKiller.

Något Web Optimizer? Varifrån?

Överhuvudtaget undvik att hålla på med datorn annat än de rensningsåtgärder jag vill att du gör. Risken är att du förvärrar saker.

2. Starta Kommandotolken från "System Recovery Options" på samma sätt som sist du skulle köra FRST.

Starta FRST med kommandot: f:frst

I fältet Search skriver du in:

userinit.exe;ntfs.sys;jtppacw.sys

Observera inga mellanrum mellan filnamnen utan bara semikolon.

Klicka på knappen "Search File(s)".

Vänta tills programmet är klart.

Programmet skapar en logg Search.txt på USB-minnet.

Klistra in innehållet i den i ditt svar.

Länk till kommentar
Dela på andra webbplatser

Fick ett tips, via telefon av min svärson, som jobbar som it-tekniker på Richo, att jag skulle pröva detta program som rensar datorn från rootkit, men jag förstår att det var tyvärr fel från min sida.

Skickar filen nu.

Tony.

Farbar Recovery Scan Tool (x86) Version: 25-09-2012

Ran by SYSTEM at 2012-09-27 17:55:52

Running from F:\

================== Search: "userinit.exe;ntfs.sys;jtppacw.sys" ===================

C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7601.17514_none_de3024012ff21116\userinit.exe

[2012-08-31 07:15] - [2010-11-20 13:17] - 0026624 ____A (Microsoft Corporation) 61AC3EFDFACFDD3F0F11DD4FD4044223

C:\Windows\winsxs\x86_microsoft-windows-userinit_31bf3856ad364e35_6.1.7600.16385_none_dbff103933038d7c\userinit.exe

[2009-07-14 00:34] - [2009-07-14 02:14] - 0026112 ____A (Microsoft Corporation) 6DE80F60D7DE9CE6B8C2DDFDF79EF175

C:\Windows\winsxs\x86_microsoft-windows-ntfs_31bf3856ad364e35_6.1.7601.21680_none_a8b27fd79487b0a3\ntfs.sys

[2012-08-31 06:55] - [2011-03-11 06:28] - 1211264 ____A (Microsoft Corporation) E2EDE3F02F95B896A1C7C6F0CC0C4083

C:\Windows\winsxs\x86_microsoft-windows-ntfs_31bf3856ad364e35_6.1.7601.17577_none_a83ab4fe7b5ba649\ntfs.sys

[2012-08-31 06:55] - [2011-03-11 06:39] - 1211264 ____A (Microsoft Corporation) 81189C3D7763838E55C397759D49007A

C:\Windows\winsxs\x86_microsoft-windows-ntfs_31bf3856ad364e35_6.1.7601.17514_none_a87893a87b2db29e\ntfs.sys

[2012-08-31 07:16] - [2010-11-20 13:30] - 1211264 ____A (Microsoft Corporation) 33C3093D09017CFE2E219F2472BFF6EB

C:\Windows\winsxs\x86_microsoft-windows-ntfs_31bf3856ad364e35_6.1.7600.20921_none_a70e0489972fb38f\ntfs.sys

[2012-08-31 06:55] - [2011-03-11 06:52] - 1210752 ____A (Microsoft Corporation) A7266D82DB9675AFBDED39695B69EDAC

C:\Windows\winsxs\x86_microsoft-windows-ntfs_31bf3856ad364e35_6.1.7600.16778_none_a65558427e3453b4\ntfs.sys

[2012-08-31 06:55] - [2011-03-11 06:44] - 1210240 ____A (Microsoft Corporation) 187002CE05693C306F43C873F821381F

C:\Windows\winsxs\x86_microsoft-windows-ntfs_31bf3856ad364e35_6.1.7600.16385_none_a6477fe07e3f2f04\ntfs.sys

[2009-07-14 00:12] - [2009-07-14 02:20] - 1210432 ____A (Microsoft Corporation) 3795DCD21F740EE799FB7223234215AF

C:\Windows\System32\userinit.exe

[2012-08-31 07:15] - [2010-11-20 13:17] - 0026624 ____A (Microsoft Corporation) 61AC3EFDFACFDD3F0F11DD4FD4044223

C:\Windows\System32\drivers\ntfs.sys

[2012-08-31 06:55] - [2011-03-11 06:39] - 1211264 ____A (Microsoft Corporation) 81189C3D7763838E55C397759D49007A

=== End Of Search ===

Länk till kommentar
Dela på andra webbplatser

Problemet är att om du kör något program som tar bort något som jag letar efter med olika program, så kommer jag att låta dig köra en massa program i onödan. Om du får något tips från någon annan så berätta det för mig så kan jag säga när det är lämpligt att köra det. Kommer du ihåg varifrån du hämtade Web Optimizer? Hittade programmet något?

Vare sig userinit.exe eller ntfs.sys verkar vara infekterade längre i alla fall.

1. Ladda ner den bifogade Fixlist.txt och spara den på USB-minnet.

Starta om datorn och gör som sist när du skulle köra FRST.

När FRST har startat klickar du på knappen "Fix".

När programmet är klart sparar det logfilen Fixlog.txt på USB-minnet. Klistra in den i ditt svar.

2. Försök köra ComboFix enligt tidigare anvisning. Klistra in loggen som skapas (C:\ComboFix.txt).

Fixlist.txt

Redigerad av Cecilia
Länk till kommentar
Dela på andra webbplatser

1. Vet du om Win Optimizer gjorde något med datorn, t ex tog bort något?

2. Kollade du om det finns någon ComboFix.txt i mappen C:\?

Är datorn omstartad sedan ComboFix körde?

3. Kommer du ihåg vad du gjorde med datorn 31 augusti, installation av service pack, reparationsinstallation? Det kom in enormt många Windows-filer då.

4. Försök med ComboFix en gång till.

5. Skanna datorn online på http://www.eset.com/onlinescan/

För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.

Avbocka alternativet Remove found threats

Bocka för Scan Archives

Klicka på Advanced Settings

Bocka för:

Scan for potentially unwanted applications

Scan for potentially unsafe applications

Enable Anti-Stealth Technology

Klicka på Scan

När skanningen är klar kopiera resultatet och klistra sedan in det i ditt svar.

Länk till kommentar
Dela på andra webbplatser

Svar på första frågan är, Win Opimizer hittade inget.

2. Hittar tyvärr ingen Combofix.txt i C. har letat men utan resultat. Däremot hittar programmet en fil som heter: C:\Windows\system32\services.exe som ska vara infekterad.

Jag tycker det är konstigt, varje gång jag kör Combofix så hittar programmet en fil varje gång som är infekterad, men inte samma.

3. Fredagen den 31 augusti var jag på Akademiska sjukhuset för att få strålning och cellgifter för min sjukdom, däremot var 2 av mina barnbarn här, två grabbar 13 och 15 år, de var här hela helgen, och efter att jag ringde till dem i morse, innan de gick till skolan, har jag fått veta att de har installerat "om" Windows, för de tyckte att datorn var "seg". Därför kan det vara att stora mängder Windowsfiler laddats ner. De har tydligen laddat ner massor med skräp utan min vetskap.

Här kommer Esets logg. Skräpet verkar finnas på den andra hd.

Eset.txt.docx

Länk till kommentar
Dela på andra webbplatser

Tony... de filerna som ESET (enligt det bifogade dokumentet) hittat är troligen säkra. Det är trainers och patchar till spel... Av namnet att döma är det kända "spelhackers" som ligger bakom dessa. Det är VÄLDIGT vanligt att dessa "Trainers" uppfattas som virus då de är så kallade "memoryhooks". Man har igång dem under ett specifikt spel för att inte kunna dö, ha oändligt med ammo osv...

Länk till kommentar
Dela på andra webbplatser

Dina barnbarn verkar verkligen ha roat sig med datorn. Eftersom Windows installerades om för mindre än en månad sen, skulle jag verkligen rekommendera att det görs om i stället för att vi jagar runt efter något som gömmer sig. Är det något du kan tänka dig eller vill du fortsätta försöka rensa datorn?

Det som Manneman skriver stämmer säkert för de filerna där det står GameHack, däremot Hupigon är en trojan som öppnar en bakdörr till datorn, dvs för att det ska gå att komma åt den utifrån internet, samt ibland medföljer en keylogger.

Jag har sett det här med att ComboFix upptäcker olika filer som den anger som infekterade när hårddisken har varit dålig så att det har blivit läsfel från den. En dålig hårddisk gör ofta datorn seg. Är det så behöver den bytas ut.

Länk till kommentar
Dela på andra webbplatser

Var in och tittade för några dagar sen på diskhanteringen, och där står det att bägge hd är felfria. Kan det vara fel då.

Annars är det väl bara att skaffa en ny Hd och starta från grunden, om jag hinner.

Frågan om att forsätta ligger väl närmast hos er, om ni orkar och vill, annars får jag tackaer så mycket för den hjälp jag fått, och avsluta detta.

MVH

Tony J.

Länk till kommentar
Dela på andra webbplatser

För att vara säker på att hårddisken är hel måste man köra det testprogram som hårddisktillverkaren har tagit fram. Om du inte vet vilken tillverkare det är av hårddisken så kan man ofta få fram det genom att titta i Enhetshanteraren (högerklick på Den här datorn - Hantera), där brukar det stå åtminstone ett artikelnummer för hårddisken som man kan googla på för att få fram tillverkaren.

Det är oftare lättare att gå via sidan http://www.tacktech.com/display.cfm?ttid=287 för att hitta testprogrammet än att leta på tillverkarens webbplats. Säg till om du inte hittar tillverkare eller program.

Länk till kommentar
Dela på andra webbplatser

Delta i dialogen

Du kan skriva svaret nu och registrera dig senare, Om du har ett konto, logga in nu för att svara på inlägget.

Gäst
Svara i detta ämne...

×   Du har klistrat in innehåll med formatering.   Ta bort formatering

  Only 75 emoji are allowed.

×   Din länk har automatiskt bäddats in.   Visa som länk istället

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Skapa nytt...