Infekterade med spionprogram

GRÖNGÖLING · #1 8 april 2008, 18:17

Jag har blivit smittad med någon form av Spyware / Adware, har jag följt flera av de trådar postat här som hade en liknande sak men till ingen nytta.

Adware: Changed mitt skrivbord till ett meddelande som säger "Spyware hot har upptäckts, klicka här för att köra en fullständig genomsökning", även den håller på att dyka upp med en bubbla i hörnet berättade om samma saker.

Jag har försökt ladda ner och köra en massa program:

SmitFraudFix
Combofix
ATF-Cleaner
CCleaner
SpyBotSearch & Destroy

Men ingen av dem tycks ha fast någonting ...

snälla hjälp!

Jag har bifogat en massa de senaste loggarna.

Grön

**evilfantasy** · #2 8 april 2008, 22:49

Välkommen till CJ Greenhorn

Ta bort dessa filer / mappar på följande sätt:

1. Gå till Start > Springa > Typ Notepad.exe och klicka OK att öppna Anteckningar.
Den måste vara Anteckningar inte WordPad.

Klicka Start Och sedan Springa
Typ notepad.exe i rutan Kör.

2. Kopiera texten i nedanstående nummer fält genom att markera all text och trycka på Ctrl + C

Kod:

Killall:: Folder:: C: \ WINDOWS \ FLEOK File:: C: \ WINDOWS \ didduid.ini C: \ WINDOWS \ system32 \ wmsdkns.exe

3. Gå till Notepad-fönstret och klicka på Redigera > Klistra in
4. Klicka sedan på Fil > Spara
5. Namnge filen CFScript.txt - Spara filen på skrivbordet
6. Dra sedan CFScript (håll nere vänster musknapp medan du drar filen) och släppa det (release vänster musknapp) i ComboFix.exe som du ser i skärmdumpen nedan. Viktigt: Utför denna instruktion noga!

ComboFix kommer att börja köra, bara följ anvisningarna.
Efter omstart (om man begär att starta om), kommer att ta fram en logga åt dig.
Post som log (Combofix.txt) i din nästa replik.

Obs! Don't mouseclick combofix fönster medan det körs. Det kan göra att ditt system fryser

----------

Öppna HijackThis och välj Gör ett system scan bara.

Placera en bock bredvid följande uppgifter: (om det)

O2 - BHO: (no name) - (00000250-0320-4dd4-be4f-7566d2314352) - (no file)
O2 - BHO: (no name) - (13197ace-6851-45c3-a7ff-c281324d5489) - (no file)
O2 - BHO: (no name) - (15651c7c-e812-44a2-a9ac-b467a2233e7d) - (no file)
O2 - BHO: (no name) - (4e1075f4-eec4-4a86-add7-cd5f52858c31) - (no file)
O2 - BHO: (no name) - (4e7bd74f-2b8d-469e-92c6-ce7eb590a94d) - (no file)
O2 - BHO: (no name) - (5929cd6e-2062-44a4-b2c5-2c7e78fbab38) - (no file)
O2 - BHO: (no name) - (5dafd089-24b1-4c5e-bd42-8ca72550717b) - (no file)
O2 - BHO: (no name) - (5fa6752a-c4a0-4222-88c2-928ae5ab4966) - (no file)
O2 - BHO: (no name) - (622cc208-b014-4fe0-801b-874a5e5e403a) - (no file)
O2 - BHO: (no name) - (8674aea0-9d3d-11d9-99dc-00600f9a01f1) - (no file)
O2 - BHO: (no name) - (965a592f-8efa-4250-8630-7960230792f1) - (no file)
O2 - BHO: (no name) - (9c5b2f29-1f46-4639-a6b4-828942301d3e) - (no file)
O2 - BHO: (no name) - (cf021f40-3e14-23a5-cba2-717765728274) - (no file)
O2 - BHO: (no name) - (fc3a74e5-f281-4f10-ae1e-733078684f3c) - (no file)
O2 - BHO: (no name) - (ffff0001-0002-101A-a3c9-08002b2f49fb) - (no file)
O4 - HKLM \ .. \ Run: [SB Audigy 2 Startup Menu] / L: ENG<- Om du inte behöver den ska köras vid start, vilket normalt inte behövs.

Viktigt: Stäng alla fönster förutom HijackThis och klicka sedan på Fix kontrolleras.

Avsluta HijackThis.

----------

Hämta ATF Cleaner av Atribune. ATF Cleaner.exe

Se till att alla webbläsarens fönster är stängda.

Enligt Huvudsaklig fliken sätta kontrollera bredvid Välj Alla.
Klicka på Empty Selected knappen. (Obs! Om du tar bort cookies, automatisk inloggning på forum och platser kommer att vara avstängt. Om du inte vill detta avmarkerar Cookies)
Om du använder Firefox webbläsare:
Klicka på Firefox högst upp och sätta en kontroll bredvid Välj Alla.
Om du vill hålla dina sparade lösenord, klicka på Nej vid prompten.
Klicka på Empty Selected knappen. (Obs! Om du tar bort cookies, automatisk inloggning på forum och platser kommer att vara avstängt. Om du inte vill detta avmarkerar Cookies)
Om du använder Opera webbläsare:
Klicka på Opera högst upp och sätta en kontroll bredvid Välj Alla.
Om du vill hålla dina sparade lösenord, klicka på Nej vid prompten.
Klicka på Empty Selected knappen. (Obs! Om du tar bort cookies, automatisk inloggning på forum och platser kommer att vara avstängt. Om du inte vill detta avmarkerar Cookies)

Viktigt: Starta om datorn innan du fortsätter.

----------

Viktigt: Avinstallera den version av HijackThis du har. Det är den gamla Beta version och vi måste ha den nya versionen och döpte om det till sniper.

First go HÄR och göra dessa steg i ordning.

Steg tre -- Malwarebytes' Anti-Malware (MBAM)
Steg fyra -- Uppdatera Java
Steg Sex -- HijackThis

Kör nu en ny HijackThis scan och posta loggen tillsammans med de andra.

----------

Nästa post lägg till
Combofix log
MBAM log
NYA HijackThis logg

GRÖNGÖLING · #3 9 april 2008, 11:51

Hej, tack för det varma välkomnandet och snabbt svar, även beröm till dig för råd!

Jag har följt alla instruktioner som du sa, efter att ha lagt till skriptet comofix viruset tycktes försvinna, men jag följde resten av stegen ändå att makesure.

Jag gjorde jag hijackthis! scan, men filerna du bad mig att ta bort var inte där längre, så jag gissar att ComboFix måste för blev av med dem.

Jag körde en Malware byte också, och man hittade några filer som jag hade det bort.

Seems like it's all good nu, inga fler Bakgrund Ad eller bubbla popups, har jag bifogat stockar som begärts. Tvungen att komprimera 2 av dem eftersom de var över filesize gränsen, komprimerade med Winrar då döps om. Zip, hoppas det är ok.

Tack igen Evilfantasy.

ComboFix 08-04-08.7 - Ashton 2008-04-09 18:21:02.3 - NTFSx86
Microsoft Windows XP Home Edition 5.1.2600.2.1252.1.1033.18.682 [GMT 1:00]
Running from: C: \ Documents and Settings \ Ashton \ Desktop \ ComboFix.exe
Kommandoradsväxlar används:: C: \ Documents and Settings \ Ashton \ Desktop \ CFScript.txt
* Skapat en ny återställningspunkt
* Resident AV är aktiva

VARNING-Den här maskinen har inte Återställningskonsolen INSTALLERADE!

FILE:
C: \ WINDOWS \ didduid.ini
C: \ WINDOWS \ system32 \ wmsdkns.exe
.

((((((((((((((((((((((((((((((((((((((( Andra Strykningar ))))))))) ))))))))))))))))))))))))))))))))))))))))
.

C: \ Program Files \ 180search assistent
C: \ Program Files \ 180search assistent \ 180sa.exe
C: \ Program Files \ 180search assistent \ sau.exe
C: \ Program Files \ 180searchassistant
C: \ Program Files \ 180searchassistant \ saap.exe
C: \ Program Files \ 180searchassistant \ sac.exe
C: \ Program Files \ 180solutions
C: \ Program Files \ 180solutions \ sais.exe
C: \ Program Files \ seekmo
C: \ Program Files \ seekmo \ seekmohook.dll
C: \ Program Files \ STC
C: \ Program Files \ stc \ csv5p070.exe
C: \ Program Files \ Sysmnt
C: \ Program Files \ Sysmnt \ Ssmgr.exe
C: \ Program Files \ zango
C: \ Program \ Zango \ zango.exe
C: \ WINDOWS \ 180ax.exe
C: \ WINDOWS \ 2020search.dll
C: \ WINDOWS \ 2020search2.dll
C: \ WINDOWS \ bjam.dll
C: \ WINDOWS \ bokja.exe
C: \ WINDOWS \ cdsm32.dll
C: \ WINDOWS \ default.htm
C: \ WINDOWS \ didduid.ini
C: \ WINDOWS \ FLEOK
C: \ WINDOWS \ FLEOK \ 180ax.exe
C: \ WINDOWS \ mspphe.dll
C: \ WINDOWS \ mssvr.exe
C: \ WINDOWS \ saiemod.dll
C: \ WINDOWS \ salm.exe
C: \ WINDOWS \ stcloader.exe
C: \ WINDOWS \ swin32.dll
C: \ WINDOWS \ system32 \ msixu.dll
C: \ WINDOWS \ system32 \ wer8274.dll
C: \ WINDOWS \ system32 \ wmsdkns.exe
C: \ WINDOWS \ TEMP \ salm.exe
C: \ WINDOWS \ updatetc.exe
C: \ WINDOWS \ voiceip.dll

.
((((((((((((((((((((((((( Files Created från 2008-03-09 till 2008-04-09 ))))))))))) ))))))))))))))))))))
.

2008-04-09 08:52. 2008-04-09 08:52 <KAT> d -------- C: \ Program Files \ Sun
2008-04-09 08:36. 2008-04-09 08:36 <KAT> d -------- C: \ Program Files \ Trend Micro
2008-04-09 08:35. 2008-04-09 08:35 <KAT> d -------- C: \ Program Files \ Malwarebytes 'Anti-Malware
2008-04-09 08:35. 2008-04-09 08:35 <KAT> d -------- C: \ Documents and Settings \ Ashton \ Application Data \ Malwarebytes
2008-04-09 08:35. 2008-04-09 08:35 <KAT> d -------- C: \ Documents and Settings \ All Users \ Application Data \ Malwarebytes
2008-04-09 08:31. 2008-04-09 08:31 <KAT> d -------- C: \ Program Files \ Common Files \ Authentium
2008-04-09 08:31. 2008-04-09 18:11 53.192 - a ------ C: \ WINDOWS \ system32 \ drivers \ rp_skt32.sys
2008-04-09 08:31. 2007-04-19 11:36 48.384 - a ------ C: \ WINDOWS \ system32 \ drivers \ rp_pkt32.sys
2008-04-09 08:30. 2008-04-09 08:30 <KAT> d -------- C: \ Program Files \ Raxco
2008-04-09 08:30. 2008-04-09 18:07 <KAT> d -------- C: \ Program Files \ Common Files \ Scanner
2008-04-09 08:30. 2008-04-09 08:30 <KAT> d -------- C: \ Documents and Settings \ All Users \ Application Data \ Raxco
2008-04-09 08:28. 2008-04-09 08:28 <KAT> d -------- C: \ Documents and Settings \ Ashton \ Application Data \ InstallShield
2008-04-09 08:25. 2008-04-09 08:30 <KAT> d -------- C: \ Program Files \ Virgin Bredband
2008-04-09 01:42. 2008-04-09 01:42 <KAT> d -------- C: \ Documents and Settings \ All Users \ Application Data \ Yahoo! Följeslagare
2008-04-09 01:14. 2008-04-09 01:14 <KAT> d -------- C: \ Program Files \ Yahoo!
2008-04-09 01:13. 2008-04-09 01:15 <KAT> d -------- C: \ Program Files \ CCleaner
2008-04-09 00:43. 2008-04-09 01:52 3.314 - a ------ C: \ WINDOWS \ system32 \ tmp.reg
2008-04-09 00:42. 2007-09-06 00:22 289.144 - a ------ C: \ WINDOWS \ system32 \ VCCLSID.exe
2008-04-09 00:42. 2006-04-27 17:49 288.417 - a ------ C: \ WINDOWS \ system32 \ SrchSTS.exe
2008-04-09 00:42. 2008-03-29 00:19 86.528 - a ------ C: \ WINDOWS \ system32 \ VACFix.exe
2008-04-09 00:42. 2008-04-08 22:44 82.432 - a ------ C: \ WINDOWS \ system32 \ IEDFix.exe
2008-04-09 00:42. 2003-06-05 21:13 53.248 - a ------ C: \ WINDOWS \ system32 \ Process.exe
2008-04-09 00:42. 2004-07-31 18:50 51.200 - a ------ C: \ WINDOWS \ system32 \ dumphive.exe
2008-04-09 00:42. 2007-10-04 00:36 25.600 - a ------ C: \ WINDOWS \ system32 \ WS2Fix.exe
2008-04-09 00:01. 2008-04-09 00:01 <KAT> d -------- C: \ Documents and Settings \ All Users \ Application Data \ FlexNet
2008-04-08 23:57. 2008-04-08 23:57 <KAT> d -------- C: \ Program Files \ Spybot - Search & Destroy
2008-04-08 23:57. 2008-04-09 00:46 <KAT> d -------- C: \ Documents and Settings \ All Users \ Application Data \ Spybot - Search & Destroy
2008-04-08 23:50. 2008-04-08 23:50 <KAT> d -------- C: \ Documents and Settings \ All Users \ Application Data \ ALM
2008-04-08 23:47. 2008-04-08 23:47 <KAT> d -------- C: \ Program Files \ Bonjour
2008-04-08 23:29. 2008-04-08 23:29 <KAT> d -------- C: \ Program Files \ Common Files \ Macrovision Shared
2008-04-08 22:42. 2008-04-08 22:42 <KAT> d -------- C: \ Program Files \ PowerISO
2008-04-07 01:56. 2008-04-07 01:56 1.110 - a ------ C: \ WINDOWS \ mozver.dat
2008-04-01 22:42. 2008-04-01 22:42 <KAT> d - h ----- C: \ Documents and Settings \ All Users \ Application Data \ (0E8E33D8-193A-414A-A909-0F101A142D26)
2008-04-01 22:38. 2008-04-01 22:38 <KAT> d -------- C: \ Program Files \ Stardock Games
2008-03-28 18:39. 2008-03-28 18:39 <KAT> d -------- C: \ Documents and Settings \ Ashton \ Application Data \ dvdcss
2008-03-14 07:04. 2008-03-14 07:04 46.652 - a ------ C: \ WINDOWS \ system32 \ drivers \ scdemu.sys
2008-03-13 23:07. 2008-03-13 23:07 <KAT> d -------- C: \ Program \ Delade filer \ NSV

.
(((((((((((((((((((((((((((((((((((((((( Find3M Report )))))))) ))))))))))))))))))))))))))))))))))))))))))))
.
2008-04-09 07:54 --------- d ----- w C: \ Program \ Java
2008-04-09 07:30 --------- d ----- w C: \ Program Files \ CA
2008-04-09 07:29 --------- d ----- w C: \ Documents and Settings \ All Users \ Application Data \ Virgin Bredband
2008-04-09 07:28 --------- d - h - w C: \ Program Files \ InstallShield Installation Information
2008-04-09 01:58 --------- d ----- w C: \ Documents and Settings \ Ashton \ Application Data \ Virgin Bredband
2008-04-08 22:47 --------- d ----- w C: \ Program Files \ Common Files \ Adobe
2008-02-26 20:59 --------- d ----- w C: \ Documents and Settings \ Ashton \ Application Data \ ATI
2008-02-26 20:59 --------- d ----- w C: \ Documents and Settings \ All Users \ Application Data \ ATI
2008-02-26 20:50 --------- d ----- w C: \ Program Files \ ATI Technologies
2008-02-26 01:30 --------- d ----- w C: \ Program Files \ Spel-Masters.com
2008-02-25 09:39 --------- d ----- w C: \ Program Files \ Common Files \ INCA Shared
2008-02-25 09:19 --------- d ----- w C: \ Program Files \ GameTribe
2008-02-24 03:18 --------- d ----- w C: \ Program Files \ Temp.p
2008-02-23 22:31 --------- d ----- w C: \ Program \ Delade filer \ DirectX
2008-02-23 22:26 --------- d ----- w C: \ Documents and Settings \ All Users \ Application Data \ Kontiki
2008-02-23 21:42 --------- d ----- w C: \ Program Files \ OGPlanet
2008-02-22 19:06 --------- d ----- w C: \ Documents and Settings \ Ashton \ Application Data \ AdobeUM
2008-02-21 19:33 --------- d ----- w C: \ Program Files \ Three Rings Design
2008-02-20 22:40 --------- d ----- w C: \ Documents and Settings \ All Users \ Application Data \ Channel4
2008-02-15 19:17 --------- d ----- w C: \ Program Files \ Winamp
2008-02-15 18:00 --------- d ----- w C: \ Program Files \ Hidden City Games
2008-02-15 16:55 --------- d ----- w C: \ Program Files \ SealOnlineUSA
2008-02-13 21:44 --------- d ----- w C: \ Program Files \ Funcom
2007-12-23 19:41 32 ---- ar C: \ Documents and Settings \ All Users \ hash.dat
2004-02-02 10:31 236.510-c - aw C: \ Documents and Settings \ Ashton \ DIAG.EXE
2004-01-30 18:21 62.480-c - aw C: \ Documents and Settings \ Ashton \ FETODI.COM
2004-01-09 14:28 51.356-c - aw C: \ Documents and Settings \ Ashton \ FETND3.sys
2004-01-09 14:27 53.136-c - aw C: \ Documents and Settings \ Ashton \ FETND4.sys
2004-01-09 14:24 40.960-c - aw C: \ Documents and Settings \ Ashton \ FETND5A.sys
2004-01-09 14:23 42.496-c - aw C: \ Documents and Settings \ Ashton \ FETND5B.sys
2003-11-27 15:01 57.344-c - aw C: \ Documents and Settings \ Ashton \ winsetup.exe
2002-10-09 16:29 147.456-c - aw C: \ Documents and Settings \ Ashton \ NTUTIL.DLL
2002-02-20 11:04 15.552-c - aw C: \ Documents and Settings \ Ashton \ WINNDI.DLL
.

((((((((((((((((((((((((((((( Snapshot @ 2008-04-09_ 1.41.00.14 ))))))))))) ))))))))))))))))))))))))))))))
.
- 2008-04-08 22:11:46 29.696 ---- aw C: \ WINDOWS \ apphelp32.dll
+ 2008-04-09 17:08:03 9.472 ---- aw C: \ WINDOWS \ apphelp32.dll
- 2008-04-08 22:11:46 14.592 ---- aw C: \ WINDOWS \ asferror32.dll
+ 2008-04-09 17:08:03 8.448 ---- aw C: \ WINDOWS \ asferror32.dll
- 2008-04-08 22:11:46 29.952 ---- aw C: \ WINDOWS \ asycfilt32.dll
+ 2008-04-09 17:08:03 12.800 ---- aw C: \ WINDOWS \ asycfilt32.dll
- 2008-04-08 22:11:46 20.480 ---- aw C: \ WINDOWS \ athprxy32.dll
+ 2008-04-09 17:08:03 18.432 ---- aw C: \ WINDOWS \ athprxy32.dll
- 2008-04-08 22:11:46 17.408 ---- aw C: \ WINDOWS \ ati2dvaa32.dll
+ 2008-04-09 17:08:03 16.896 ---- aw C: \ WINDOWS \ ati2dvaa32.dll
- 2008-04-08 22:11:46 10.752 ---- aw C: \ WINDOWS \ ati2dvag32.dll
+ 2008-04-09 17:08:03 20.480 ---- aw C: \ WINDOWS \ ati2dvag32.dll
- 2008-04-08 22:11:46 22.016 ---- aw C: \ WINDOWS \ audiosrv32.dll
+ 2008-04-09 17:08:03 10.496 ---- aw C: \ WINDOWS \ audiosrv32.dll
- 2008-04-08 22:11:47 22.272 ---- aw C: \ WINDOWS \ autodisc32.dll
+ 2008-04-09 17:08:03 30.464 ---- aw C: \ WINDOWS \ autodisc32.dll
- 2008-04-08 22:11:47 12.288 ---- aw C: \ WINDOWS \ avifile32.dll
+ 2008-04-09 17:08:04 25.856 ---- aw C: \ WINDOWS \ avifile32.dll
- 2008-04-08 22:11:47 27.392 ---- aw C: \ WINDOWS \ avisynthex32.dll
+ 2008-04-09 17:08:04 23.296 ---- aw C: \ WINDOWS \ avisynthex32.dll
- 2008-04-08 22:11:47 23.808 ---- aw C: \ WINDOWS \ aviwrap32.dll
+ 2008-04-09 17:08:04 11.776 ---- aw C: \ WINDOWS \ aviwrap32.dll
- 2008-04-08 22:11:47 17.920 ---- aw C: \ WINDOWS \ browserad.dll
+ 2008-04-09 17:08:04 18.944 ---- aw C: \ WINDOWS \ browserad.dll
- 2008-04-08 22:11:45 31.488 ---- aw C: \ WINDOWS \ changeurl_30.dll
+ 2008-04-09 17:08:03 29.696 ---- aw C: \ WINDOWS \ changeurl_30.dll
- 2007-10-10 15:36:22 10.134 ---- ar C: \ WINDOWS \ Installer \ (05BCCF27-DC23-4ED9-87A2-F8D5B244B4C4) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:00 10.134 ---- ar C: \ WINDOWS \ Installer \ (05BCCF27-DC23-4ED9-87A2-F8D5B244B4C4) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:18 26.582 ---- ar C: \ WINDOWS \ Installer \ (212F5777-1190-4DEF-8E4D-6B2F313B45E7) \ PerfectDisk.exe
+ 2008-04-09 07:30:56 26.582 ---- ar C: \ WINDOWS \ Installer \ (212F5777-1190-4DEF-8E4D-6B2F313B45E7) \ PerfectDisk.exe
- 2007-10-10 15:36:46 10.134 ---- ar C: \ WINDOWS \ Installer \ (324D4909-7A7B-45CD-B199-E975DC108249) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:31 10.134 ---- ar C: \ WINDOWS \ Installer \ (324D4909-7A7B-45CD-B199-E975DC108249) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:53 10.134 ---- ar C: \ WINDOWS \ Installer \ (3A836186-46F8-4388-9830-820E35C02992) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:45 10.134 ---- ar C: \ WINDOWS \ Installer \ (3A836186-46F8-4388-9830-820E35C02992) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:53 25.214 ---- ar C: \ WINDOWS \ Installer \ (3A836186-46F8-4388-9830-820E35C02992) \ Sm_En_DiagD_7C6BED816D7E4AD1AEAF5A1A DB6C8676.exe
+ 2008-04-09 07:31:45 25.214 ---- ar C: \ WINDOWS \ Installer \ (3A836186-46F8-4388-9830-820E35C02992) \ Sm_En_DiagD_7C6BED816D7E4AD1AEAF5A1A DB6C8676.exe
- 2007-10-10 15:36:52 10.134 ---- ar C: \ WINDOWS \ Installer \ (3AFF4279-A590-4010-8C8A-3B096A220CFC) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:43 10.134 ---- ar C: \ WINDOWS \ Installer \ (3AFF4279-A590-4010-8C8A-3B096A220CFC) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:59 10.134 ---- ar C: \ WINDOWS \ Installer \ (3C441434-737C-4D54-8EAB-B409BE54E734) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:50 10.134 ---- ar C: \ WINDOWS \ Installer \ (3C441434-737C-4D54-8EAB-B409BE54E734) \ ARPPRODUCTICON.exe
- 2007-10-10 15:37:00 10.134 ---- ar C: \ WINDOWS \ Installer \ (53C32728-D434-4143-9C9D-D73D68D00893) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:52 10.134 ---- ar C: \ WINDOWS \ Installer \ (53C32728-D434-4143-9C9D-D73D68D00893) \ ARPPRODUCTICON.exe
- 2007-10-10 15:37:02 10.134 ---- ar C: \ WINDOWS \ Installer \ (5E7EBB6D-F44B-4D8B-9C52-F0F9173FD166) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:55 10.134 ---- ar C: \ WINDOWS \ Installer \ (5E7EBB6D-F44B-4D8B-9C52-F0F9173FD166) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:48 10.134 ---- ar C: \ WINDOWS \ Installer \ (6EA0ABC4-172B-48D4-AF26-93322D7FDE72) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:36 10.134 ---- ar C: \ WINDOWS \ Installer \ (6EA0ABC4-172B-48D4-AF26-93322D7FDE72) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:50 10.134 ---- ar C: \ WINDOWS \ Installer \ (A542D695-16D3-4F89-A6F1-091F009B8ABA) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:42 10.134 ---- ar C: \ WINDOWS \ Installer \ (A542D695-16D3-4F89-A6F1-091F009B8ABA) \ ARPPRODUCTICON.exe
- 2007-10-10 15:35:46 10.134 ---- ar C: \ WINDOWS \ Installer \ (AFE0D559-DAC2-4DF0-B432-4CBA15769AA9) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:30:07 10.134 ---- ar C: \ WINDOWS \ Installer \ (AFE0D559-DAC2-4DF0-B432-4CBA15769AA9) \ ARPPRODUCTICON.exe
- 2007-10-10 15:35:46 25.214 ---- ar C: \ WINDOWS \ Installer \ (AFE0D559-DAC2-4DF0-B432-4CBA15769AA9) \ Desktop_En_Rps_A64EE928C7A645A784CE5 9FBDBDD9D1B.exe
+ 2008-04-09 07:30:07 25.214 ---- ar C: \ WINDOWS \ Installer \ (AFE0D559-DAC2-4DF0-B432-4CBA15769AA9) \ Desktop_En_Rps_A64EE928C7A645A784CE5 9FBDBDD9D1B.exe
- 2007-10-10 15:35:46 25.214 ---- ar C: \ WINDOWS \ Installer \ (AFE0D559-DAC2-4DF0-B432-4CBA15769AA9) \ Sm_En_Rps_A64EE928C7A645A784CE59FBDB DD9D1B.exe
+ 2008-04-09 07:30:07 25.214 ---- ar C: \ WINDOWS \ Installer \ (AFE0D559-DAC2-4DF0-B432-4CBA15769AA9) \ Sm_En_Rps_A64EE928C7A645A784CE59FBDB DD9D1B.exe
- 2007-10-10 15:36:49 10.134 ---- ar C: \ WINDOWS \ Installer \ (B5C0FD16-3A5D-40D5-8B59-4B43279BB5D0) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:41 10.134 ---- ar C: \ WINDOWS \ Installer \ (B5C0FD16-3A5D-40D5-8B59-4B43279BB5D0) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:57 10.134 ---- ar C: \ WINDOWS \ Installer \ (C831972C-3834-4D9D-A095-8350B324AC3C) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:47 10.134 ---- ar C: \ WINDOWS \ Installer \ (C831972C-3834-4D9D-A095-8350B324AC3C) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:07 10.134 ---- ar C: \ WINDOWS \ Installer \ (D8AEA1D1-78FE-4CE1-9405-D7E55E797C4D) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:30:29 10.134 ---- ar C: \ WINDOWS \ Installer \ (D8AEA1D1-78FE-4CE1-9405-D7E55E797C4D) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:11 10.134 ---- ar C: \ WINDOWS \ Installer \ (DD1C392B-226D-42C9-B8E6-2A9BEF7583B4) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:30:50 10.134 ---- ar C: \ WINDOWS \ Installer \ (DD1C392B-226D-42C9-B8E6-2A9BEF7583B4) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:32 10.134 ---- ar C: \ WINDOWS \ Installer \ (ECBDDBD7-43CC-417C-B87A-943AFED8EB57) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:10 10.134 ---- ar C: \ WINDOWS \ Installer \ (ECBDDBD7-43CC-417C-B87A-943AFED8EB57) \ ARPPRODUCTICON.exe
- 2007-10-10 15:36:09 10.134 ---- ar C: \ WINDOWS \ Installer \ (EE1D5780-AF29-4DC4-A107-3FD5F79AC63A) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:30:32 10.134 ---- ar C: \ WINDOWS \ Installer \ (EE1D5780-AF29-4DC4-A107-3FD5F79AC63A) \ ARPPRODUCTICON.exe
- 2007-10-10 15:37:01 10.134 ---- ar C: \ WINDOWS \ Installer \ (FD2EC356-DB5E-40AE-907A-9A1D38F9396D) \ ARPPRODUCTICON.exe
+ 2008-04-09 07:31:53 10.134 ---- ar C: \ WINDOWS \ Installer \ (FD2EC356-DB5E-40AE-907A-9A1D38F9396D) \ ARPPRODUCTICON.exe
- 1998-10-29 16:45:06 306.688 ---- aw C: \ WINDOWS \ IsUninst.exe
+ 1998-10-29 15:45:06 306.688 ---- aw C: \ WINDOWS \ IsUninst.exe
- 2008-04-08 22:11:49 14.080 ---- aw C: \ WINDOWS \ msa64chk.dll
+ 2008-04-09 17:08:06 11.776 ---- aw C: \ WINDOWS \ msa64chk.dll
- 2008-04-08 22:11:49 26.368 ---- aw C: \ WINDOWS \ msapasrc.dll
+ 2008-04-09 17:08:06 26.624 ---- aw C: \ WINDOWS \ msapasrc.dll
- 2008-04-08 22:11:48 25.344 ---- aw C: \ WINDOWS \ ntnut.exe
+ 2008-04-09 17:08:05 8.960 ---- aw C: \ WINDOWS \ ntnut.exe
- 2008-04-08 22:11:47 18.432 ---- aw C: \ WINDOWS \ shdocpe.dll
+ 2008-04-09 17:08:05 32.000 ---- aw C: \ WINDOWS \ shdocpe.dll
- 2008-04-08 22:11:48 21.504 ---- aw C: \ WINDOWS \ shdocpl.dll
+ 2008-04-09 17:08:05 27.904 ---- aw C: \ WINDOWS \ shdocpl.dll
- 2007-09-24 22:30:28 135.168 ---- aw C: \ WINDOWS \ system32 \ java.exe
+ 2008-02-22 00:23:35 135.168 ---- aw C: \ WINDOWS \ system32 \ java.exe
- 2007-09-24 22:30:30 135.168 ---- aw C: \ WINDOWS \ system32 \ javaw.exe
+ 2008-02-22 00:23:39 135.168 ---- aw C: \ WINDOWS \ system32 \ javaw.exe
- 2007-09-24 23:31:42 139.264 ---- aw C: \ WINDOWS \ system32 \ javaws.exe
+ 2008-02-22 01:33:32 139.264 ---- aw C: \ WINDOWS \ system32 \ javaws.exe
- 2008-04-08 22:11:50 9.984 ---- aw C: \ WINDOWS \ system32 \ MSNSA32.dll
+ 2008-04-09 17:08:07 14.336 ---- aw C: \ WINDOWS \ system32 \ MSNSA32.dll
- 2008-04-08 22:11:48 31.488 ---- aw C: \ WINDOWS \ system32 \ ntnut32.exe
+ 2008-04-09 17:08:05 28.928 ---- aw C: \ WINDOWS \ system32 \ ntnut32.exe
- 2008-04-08 22:11:48 21.760 ---- aw C: \ WINDOWS \ system32 \ shdocpe.dll
+ 2008-04-09 17:08:05 26.880 ---- aw C: \ WINDOWS \ system32 \ shdocpe.dll
- 2008-04-08 22:11:48 19.712 ---- aw C: \ WINDOWS \ system32 \ SIPSPI32.dll
+ 2008-04-09 17:08:06 30.720 ---- aw C: \ WINDOWS \ system32 \ SIPSPI32.dll
- 2008-04-08 22:11:47 12.800 ---- aw C: \ WINDOWS \ winsb.dll
+ 2008-04-09 17:08:04 18.432 ---- aw C: \ WINDOWS \ winsb.dll
- 2007-10-10 15:35:42 1.233.920 ---- aw C: \ WINDOWS \ WinSxS \ x86_Microsoft.MSXML2_6bd6b9abf34 5378f_4.20.9818.0_x-ww_8ff50c5d \ msxml4.dll
+ 2008-04-09 07:30:03 1.233.920 ---- aw C: \ WINDOWS \ WinSxS \ x86_Microsoft.MSXML2_6bd6b9abf34 5378f_4.20.9818.0_x-ww_8ff50c5d \ msxml4.dll
- 2007-10-10 15:35:42 82.432 ---- aw C: \ WINDOWS \ WinSxS \ x86_Microsoft.MSXML2R_6bd6b9abf3 45378f_4.1.0.0_x-ww_29c3ad6a \ Msxml4r.dll
+ 2008-04-09 07:30:03 82.432 ---- aw C: \ WINDOWS \ WinSxS \ x86_Microsoft.MSXML2R_6bd6b9abf3 45378f_4.1.0.0_x-ww_29c3ad6a \ Msxml4r.dll
.
- Snapshot reset till dagens datum --
.
((((((((((((((((((((((((((((((((((((( Reg Loading Points )))))))))) ))))))))))))))))))))))))))))))))))))))))
.
.
* Not * tomma poster & legit default poster visas inte
REGEDIT4

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curre ntVersion \ Run]
"MsnMsgr" = "C: \ Program Files \ MSN Messenger \ MsnMsgr.Exe" [2007-01-19 12:54 5674352]
"SB Audigy 2 Startup Menu" = "/ L: ENG" []
"CTFMON.EXE" = "C: \ WINDOWS \ system32 \ CTFMON.EXE" [2004-08-04 08:56 15360]

[HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Windows \ Curre ntVersion \ RunOnce]
"IndexCleaner" = "C: \ Program Files \ Virgin Bredband \ PCguard \ IdxClnR.exe" [2007-09-05 14:09 61168]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ Run]
"DLA" = "C: \ WINDOWS \ system32 \ dla \ tfswctrl.exe" [2004-03-15 01:04 122933]
"UpdateManager" = "C: \ Program Files \ Common Files \ Sonic \ Update Manager \ sgtray.exe" [2003-08-19 01:01 110592]
"CTsysVol" = "C: \ Program Files \ Creative \ SBAudigy2 \ Surround Mixer \ CTSysVol.exe" [2002-10-29 09:18 49152]
"CTDVDDet" = "C: \ Program Files \ Creative \ SBAudigy2 \ DVDAudio \ CTDVDDet.EXE" [2002-09-30 01:00 45056]
"CTHELPER" = "CTHELPER.EXE" [2003-02-20 23:45 28672 C: \ WINDOWS \ system32 \ CTHELPER.EXE]
"AsioReg" = "regsvr32.exe" [2004-08-04 08:56 11776 C: \ WINDOWS \ system32 \ regsvr32.exe]
"UpdReg" = "C: \ WINDOWS \ UpdReg.EXE" [2000-05-11 01:00 90112]
"SoundMan" = "C: \ Program Files \ ATI Technologies \ ATI Control Panel \ SOUNDMAN.EXE" [2004-05-25 22:35 335872]
"BJCFD" = "C: \ Program Files \ BroadJump \ Client Foundation \ CFD.exe" [2003-01-27 17:16 376912]
"NvMediaCenter" = "C: \ Program Files \ Winamp \ winampa.exe" [2008-01-15 23:54 37376]
"StartCCC" = "C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ CLIStart.exe" [2006-11-10 13:35 90112]
"PWRISOVM.EXE" = "C: \ Program Files \ PowerISO \ PWRISOVM.EXE" [2008-03-15 00:50 233472]
"workflow" = "D: \ installs \ workflow.exe" []
"Broadbandadvisor.exe" = "C: \ Program Files \ Virgin Bredband \ rådgivare \ Broadbandadvisor.exe" [2007-08-07 18:49 2061552]
"PCguard" = "C: \ Program Files \ Virgin Bredband \ PCguard \ Rps.exe" [2007-09-05 14:10 310000]
"-FreedomNeedsReboot" = "C: \ Program Files \ Virgin Bredband \ PCguard \ ZkRunOnceR.exe" [2007-09-05 14:10 13552]
"SunJavaUpdateSched" = "C: \ Program \ Java \ jre1.6.0_05 \ bin \ jusched.exe" [2008-02-22 04:25 144784]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ Curr entVersion \ RunOnce]
"IndexCleaner" = "C: \ Program Files \ Virgin Bredband \ PCguard \ IdxClnR.exe" [2007-09-05 14:09 61168]

[HKEY_USERS \. DEFAULT \ Software \ Microsoft \ Windows \ Cur rentVersion \ Run]
"CTFMON.EXE" = "C: \ WINDOWS \ system32 \ CTFMON.EXE" [2004-08-04 08:56 15360]

C: \ Documents and Settings \ All Users \ Start-meny \ Program \ Autostart \
Adobe Reader Speed Launcher.lnk - C: \ Program Files \ Adobe \ Acrobat 7.0 \ Reader \ jusched.exe [2004-12-14 05:44:06 29696]
Microsoft Office.lnk - C: \ Program \ Microsoft Office \ Office \ OSA9.EXE [2000-01-21 09:15:54 65588]

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows NT \ CurrentVersion \ drivers32]
"VIDC.X264" = x264vfw.dll
"msacm.ac3acm" = AC3ACM.acm
"msacm.scg726" = scg726.acm
"msacm.alf2cd" = alf2cd.acm
"vidc.dvsd" = mcdvd_32.dll

[HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Shared Tools \ msconfig \ startupreg \ ÖVERDÄNGARE Verktyg]
- a ------ 2007-08-29 16:09 171464 C: \ Program Files \ DAEMON Tools \ daemon.exe

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile]
"EnableFirewall" = 0 (0x0)

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ AuthorizedApplications \ List]
"% windir% \ \ system32 \ \ sessmgr.exe" =
"C: \ \ Program Files \ \ Messenger \ \ msmsgs.exe" =
"% windir% \ \ Network Diagnostic \ \ xpnetdiag.exe" =
"C: \ \ Program Files \ \ Skype \ \ Phone \ \ Skype.exe" =
"C: \ \ Program Files \ \ MSN Messenger \ \ msnmsgr.exe" =
"C: \ \ Program Files \ \ MSN Messenger \ \ livecall.exe" =
"C: \ \ Program Files \ \ Stardock Games \ \ Sins of en Solar Empire \ \ Sins of en Solar Empire.exe" =
"C: \ \ Program \ \ Bonjour \ \ mDNSResponder.exe" =

[HKLM \ ~ \ Services \ SharedAccess \ Parameters \ firewallpo licy \ standardprofile \ GloballyOpenPorts \ List]
"15.808: TCP" = 15808: TCP: BitComet 15808 TCP
"15.808: UDP" = 15808: UDP: BitComet 15808 UDP
"3724: TCP" = 3724: TCP: Blizzard Downloader: 3724

S3 iadusb; GlobespanVirata USB IAD LAN Modem, C: \ WINDOWS \ system32 \ drivers \ glauiad.sys [2004-07-02 09:20]
S3 Radialpoint Security Services, Virgin Broadband PCguard C: \ WINDOWS \ system32 \ Dllhost.exe [2004-08-04 08:56]
S3 XDva037; XDva037 C: \ WINDOWS \ system32 \ XDva037.sys []

.
Innehållet i "Schemalagda aktiviteter" mapp
"2008-04-03 19:15:02 C: \ WINDOWS \ Tasks \ AppleSoftwareUpdate.job"
- C: \ Program Files \ Apple Software Update \ SoftwareUpdate.exe
.
************************************************** ************************

CatchMe 0.3.1351 W2K/XP/Vista - rootkit / stealth malware detector av Gmer, http://www.gmer.net
Rootkit scan 2008-04-09 18:26:36
Windows 5.1.2600 Service Pack 2 NTFS

scanning dolda processer ...

scanning dold autostart poster ...

scanning dolda filer ...

scan completed successfully
dolda filer: 0

************************************************** ************************
.
------------------------ Andra pågående processer ----------------------- --
.
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ Program Files \ Virgin Bredband \ PCguard \ Fws.exe
C: \ WINDOWS \ system32 \ Ati2evxx.exe
C: \ Program Files \ Bonjour \ mDNSResponder.exe
C: \ WINDOWS \ System32 \ CTsvcCDA.exe
C: \ Program Files \ Common Files \ Authentium \ AntiVirus \ dvpapi.exe
C: \ Program \ CA \ PPRT \ bin \ ITMRTSVC.exe
C: \ Program Files \ Raxco \ PerfectDisk \ PDAgent.exe
C: \ WINDOWS \ system32 \ PnkBstrA.exe
C: \ Program Files \ Analog Devices \ SoundMAX \ spkrmon.exe
C: \ WINDOWS \ system32 \ wdfmgr.exe
C: \ WINDOWS \ System32 \ MsPMSPSv.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ MOM.EXE
C: \ Program Files \ Raxco \ PerfectDisk \ PDEngine.exe
C: \ Program Files \ Virgin Bredband \ rådgivare \ BroadbandadvisorComHandler.exe
C: \ Program Files \ Virgin Bredband \ PCguard \ rpsupdaterR.exe
C: \ Program Files \ ATI Technologies \ ATI.ACE \ Core-Static \ ccc.exe
C: \ Program Files \ MSN Messenger \ usnsvc.exe
.
************************************************** ************************
.
Completion time: 2008-04-09 18:31:56 - maskinen startas
ComboFix-quarantined-files.txt 2008-04-09 17:31:47
ComboFix2.txt 2008-04-09 00:59:01
ComboFix3.txt 2008-04-09 00:41:25
Pre-Run: 12340674560 byte ledigt
Post-Run: 12324302848 byte ledigt
.
2008-03-22 04:20:29 --- EOF ---

**evilfantasy** · #4 9 april 2008, 12:02

Ser bra ut. Nu kör ATF Cleaner igen för att bli av med skadliga filer i Temp-mapparna.

Jag sätter ComboFix logga in på tjänsten. Jag är säker på att du kan se här: VARNING-Den här maskinen har inte Återställningskonsolen INSTALLERADE! Detta är gemensamma och du kan installera Återställningskonsolen om du väljer genom att följa anvisningarna HÄR

Dags att göra vissa rena och säkra det arbete ni har gjort.

Klicka START sedan RUN
Nu typ Combofix / u i runbox
Kontrollera att det finns ett utrymme mellan Combofix och / u
Då drabbades Ange.

Ovanstående förfarande:

Stryk:
- ComboFix och dess tillhörande filer och mappar.
- VundoFix säkerhetskopior, om det finns
- C: \ Deckard mapp, om det finns
- C: _OtMoveIt mapp, om det finns
Ställ om klockan inställningar.
Dölj filtillägg vid behov.
Dölj System / dolda filer, om det behövs.
Ställ en ny, ren Restore Point.

Ladda ner OTMoveIt2 av OldTimer OTMoveIt2.exe och placera den på skrivbordet. (såvida du inte redan har det)

1. Dubbelklicka OTMoveIt2.exe att starta den.
Vista-användare högerklicka och välja Kör som administratör
2. Klicka på Clean! knappen.
3. OTMoveIt2 kommer att hämta en lista från internet, om din brandvägg eller andra defensiva program varnar dig, ge den tillträde.
4. Klicka JA vid nästa prompten (listan hämtas Vill du börja sanering process?)

När du är klar utträde ur OTMoveIt2

Ställ en ny återställningspunkt för att förhindra eventuella nytt från en gammal en
Ställ en ny återställningspunkt efter rengöring ditt system gör det möjligt för datorn att backa tillbaka till en ren fungerande tillstånd om det behövs.

Gå till Start > Program > Tillbehör > Systemverktyg och klicka Systemåterställning
Välj knappen märkt Skapa en återställningspunkt på den första skärmen klicka på Nästa Ge återställningspunkt ett namn klicka sedan på Skapa.
Den nya återställningspunkt kommer att stämplas med dagens datum och tid. Håll en logg på detta så hittar du det lätt om du skulle behöva använda Systemåterställning.
Nästa gå till Start > Springa och typ Cleanmgr
Klicka OK
Klicka på Fler alternativ Tab.
Klicka Clean Up i System Restore avsnitt för att ta bort alla tidigare återställningspunkter utom den nyinrättade rengöra en.

Använd Secunia Software Inspector för att leta efter föråldrad programvara.
Föråldrad programvara har säkerhetsproblem som malware kan utnyttja.

Klicka Börja nu
Markera rutan bredvid Aktivera grundlig system inspektion.
Klicka Start
Låt den skanna till slut och bläddra ner för att se om alla uppdateringar som behövs.
Uppdatering någonting anges.

Kolla in Håll dig säker På webben för tips och gratis verktyg för att hålla dig säker i framtiden.

Se även Långsam dator? Det kanske inte är Malware för rengöring / underhåll verktyg för att hjälpa datorns smidig.

Låt mig veta om något annat dyker upp.

**evilfantasy** · #5 9 april 2008, 12:14

Glömde nästan, behöver du installera antivirusprogram ASAP.

Jag rekommenderar Avast. Det är gratis och fungerar mycket bra. Se HÄR för mer information om den nya versionen.

Liknande Trådar
Tråd	Thread Starter	Forum	Svar	Senaste Inlägg
Smittad dator	duskmon10	Virus, spionprogram och säkerhet	22	28 NOVEMBER 2009 12:27
Min dator är infekterad tror jag? Kanna någon hjälp?	lawt555	Virus, spionprogram och säkerhet	5	16 mars 2009 04:59
Kids st smittade?	redden137	Virus, spionprogram och säkerhet	6	4 januari 2009 15:10
Jag är inte säker på om min dator är infekterad eller inte	Rob1	Virus, spionprogram och säkerhet	4	4 februari 2008 15:14