Datorn startar om fel 1073741819?

2007-07-12, 22:39 #25

Medlem

Reg: Mar 2007

Inlägg: 12 238

ok men det var ingen popup utan en bild på skrivbordet, dvs malware kan ändra på bakgrunsbilden.
det kan även står så här på skrivbordet

Detected SPYware! System error #384
__________________________________________________ ________________________

Your IP address is 192.168.1.100. Using this address a remote computer has gained anaccess to your computer and probably is collecting the information about the sites you've visited and the files contained in the folder Temporary Internet Files. Attention! Ask for help or install the software for deleting secret information about the sites you visited.
__________________________________________________ ________________________
Your computer is full of evidences!

Citera

2007-07-12, 23:17 #26

Medlem

Reg: Aug 2005

Inlägg: 2 547

Citat:

Ursprungligen postat av 927

ok men det var ingen popup utan en bild på skrivbordet, dvs malware kan ändra på bakgrunsbilden.
det kan även står så här på skrivbordet

Detected SPYware! System error #384
__________________________________________________ ________________________

Your IP address is 192.168.1.100. Using this address a remote computer has gained anaccess to your computer and probably is collecting the information about the sites you've visited and the files contained in the folder Temporary Internet Files. Attention! Ask for help or install the software for deleting secret information about the sites you visited.
__________________________________________________ ________________________
Your computer is full of evidences!

Nej, det var inte alls någon sån text på skrivbordet.
Däremot kom det upp någon sån fejk-varning när jag stängde ner internetuppkopplingen (som ju fungerade till en början). Men jag lät den bero eftersom jag inte ville genera "klienten".

Men men.. jag ska forska vidare.

Citera

2007-07-13, 01:20 #27

Medlem

Reg: Mar 2007

Inlägg: 12 238

jag förstår men bara så du är medveten om att det finns så kallade desktop hijackers

http://www.google.se/search?num=30&h...S%C3%B6k&meta=
är det sasser eller nåt sånt så kan du använda stinger, det går att ställa in vad man vill att programmet ska göra med ev problemfiler, rename är nog det lättaste för programmet. jag vet inte om det listar det som hittats/ändrats, det kan ju va en fördel om det gäller en viktig windowsfil
http://download.nai.com/products/mca...rt/stinger.exe

Citera

2007-07-14, 10:29 #28

Medlem

Reg: Aug 2005

Inlägg: 2 547

Först försöker jag alltså reparera XP med installationsskivan.
Sen provar jag dessa olika program.

MSN Fix
Smitraud Fix
Hijackthis
Stinger

Något program som är klokt att börja med?

Citera

2007-07-14, 11:07 #29

Medlem

Reg: Mar 2007

Inlägg: 12 238

msn fix kan du styka helt för den tar bort malware du fått via msn så är ju inte fallet här.

förhoppningsvis funkar ju datorn ok efter reparationen, jag vet inte hur det funkar med systemåterställningen efter en reparation men det kan va en ide att inaktivera den så alla skitfiler försvinner. när datorn sen är ren/fungerar så kan man aktivera den igen. kom ihåg att inte ha nätverkskabeln i under windows installationen

det räcker om du postar en HJT logg när allt är klart

Citera

2007-07-14, 18:14 #30

Medlem

Reg: Aug 2005

Inlägg: 2 547

Det gick inte att göra en reparation av XP (Hade SP1 skivan, men när jag ska in och reparera så var det tvunget att vara ett administratörslösenord som ingen visste vad det var.
Jag gick istället in i felsäkert läge och scannade med hjälp av Stinger som jag blev tipsad om här i tråden. Korkad som jag är så hade jag inte uppdaterat det innan jag använde det så versionen var från april -07. Vad jag mer tyckte var konstigt var att det stod att den sökte efter 187st!? Virus, trojaner och annat. 187st låter väl väldigt lite, men å andra sidan. Jag vet ju inte riktigt vad stinger är heller.

Resultatet blev 0 (noll). Inget hittades efter dryga timmens sökande.

Körde också Smitfraudfix, även om jag inte förstår hur det programmet används.

Vad tror ni? Ska jag återkomma och ha med mig gamla hederliga AdAware från Lavasoft? Kan det lösa något?

Det här med lösenordet som behövdes för reparation, om jag inte har något lösen. Finns det då något att göra? Nyinstallation? Då försvinner väl ALLT sparat?

Citera

2007-07-14, 18:15 #31

Medlem

Reg: Aug 2005

Inlägg: 2 547

Här kommer början på Hijackthis loggen som jag också gjorde.

Logfile of Trend Micro HijackThis v2.0.0 (BETA)
Scan saved at 17:31:50, on 2007-07-14
Platform: Windows XP SP2 (WinNT 5.01.2600)
Boot mode: Safe mode

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
F:\HiJackThis_v2.exe
C:\Program\Internet Explorer\iexplore.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: (no name) - {1E614AFC-D54E-8CE0-4911-F98DCA26D2C8} - C:\WINDOWS\system32\lcdwffqi.dll
O2 - BHO: bho3 Class - {58FB2CBB-C874-45FC-A1C9-B62CC9E3BED9} - C:\WINDOWS\system32\71114374.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.5.0_09\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ST - {9394EDE7-C8B5-483E-8773-474BF36AF6E4} - C:\Program\MSN Apps\ST\01.03.0000.1005\en-xu\stmain.dll
O2 - BHO: Google Toolbar Helper - {AA58ED58-01DD-4d91-8333-CF10577473F7} - c:\program\google\googletoolbar3.dll
O2 - BHO: Google Toolbar Notifier BHO - {AF69DE43-7D58-4638-B6FA-CE66B5AD205D} - C:\Program\Google\GoogleToolbarNotifier\2.0.301.71 64\swg.dll
O2 - BHO: MSNToolBandBHO - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\01.02.4000.1001\sv\msntb.dll
O3 - Toolbar: MSN - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\MSN Apps\MSN Toolbar\01.02.4000.1001\sv\msntb.dll
O3 - Toolbar: &Google - {2318C2B1-4965-11d4-9B18-009027A5CD4F} - c:\program\google\googletoolbar3.dll
O4 - HKLM\..\Run: [xem] C:\WINDOWS\ServicePackFiles\winlogon.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Program\Messenger\msmsgs.exe" /background
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Gigaset WLAN Adapter Monitor.lnk = C:\Program\Siemens\Gigaset USB Adapter 108\Gcc.exe
O4 - Global Startup: InterVideo WinCinema Manager.lnk = C:\Program\InterVideo\Common\Bin\WinCinemaMgr.exe
O4 - Global Startup: Microsoft Office.lnk = C:\Program\Microsoft Office\Office10\OSA.EXE
O4 - Global Startup: Påminnelser för Kalendern i Microsoft Works.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.5.0_09\bin\npjpi150_09.dll
O9 - Extra button: Informationshanteraren - {9455301C-CF6B-11D3-A266-00C04F689C50} - C:\Program\Delade filer\Microsoft Shared\Reference 2001\EROProj.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll

Citera

2007-07-14, 18:16 #32

Medlem

Reg: Aug 2005

Inlägg: 2 547

Här fortsätter Hijackthis loggen

O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: rsvp322.dll
O10 - Unknown file in Winsock LSP: c:\windows\system32\xplokuacxrurz.dll
O16 - DPF: {17492023-C23A-453E-A040-C7C580BBF700} (Windows Genuine Advantage Validation Tool) - http://go.microsoft.com/fwlink/?linkid=39204
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsof...?1135380103468
O16 - DPF: {B38870E4-7ECB-40DA-8C6A-595F0A5519FF} (MsnMessengerSetupDownloadControl Class) - http://messenger.msn.com/download/Ms...Downloader.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{0798AA54-9DE9-4798-9957-2C40A51FF5F9}: NameServer = 81.92.1.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{2894C352-C139-4795-A572-86DE0BAC8AFF}: NameServer = 81.92.1.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{B50484ED-9ED1-4897-B1F5-FDE20E5C7A38}: NameServer = 81.92.1.3
O17 - HKLM\System\CCS\Services\Tcpip\..\{D841592F-7028-454F-8444-F8EC35D3613C}: NameServer = 81.92.1.3
O17 - HKLM\System\CS1\Services\Tcpip\..\{0798AA54-9DE9-4798-9957-2C40A51FF5F9}: NameServer = 81.92.1.3
O17 - HKLM\System\CS2\Services\Tcpip\..\{0798AA54-9DE9-4798-9957-2C40A51FF5F9}: NameServer = 81.92.1.3
O17 - HKLM\System\CS3\Services\Tcpip\..\{0798AA54-9DE9-4798-9957-2C40A51FF5F9}: NameServer = 81.92.1.3
O20 - Winlogon Notify: botreg - C:\Documents and Settings\All Users\Dokument\Settings\bot.dll
O20 - Winlogon Notify: rpcc - C:\WINDOWS\system32\rpcc.dll
O21 - SSODL: syshelps - {F070B2D0-12A7-401F-AA4F-E7F945002B68} - syshelps.dll (file missing)
O21 - SSODL: system32 - {55D56E45-8C21-4F5A-AC58-0920406BE69C} - sysprinters.dll (file missing)
O21 - SSODL: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - C:\WINDOWS\system32\ykydz.dll
O21 - SSODL: sbueA - {742EF949-DE84-53E3-8E41-0FE283AD7F76} - C:\WINDOWS\system32\djk.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\System32\browseui.dll
O22 - SharedTaskScheduler: DCOM Server 20509 - {2C1CD3D7-86AC-4068-93BC-A02304B20509} - C:\WINDOWS\system32\ykydz.dll
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Google Updater Service (gusvc) - Google - C:\Program\Google\Common\Google Updater\GoogleUpdaterService.exe
O23 - Service: ICF - Unknown owner - C:\WINDOWS\system32\svchost.exe:exe.exe (file missing)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPodService - Apple Computer, Inc. - C:\Program\iPod\bin\iPodService.exe
O23 - Service: Microsoft security update service (msupdate) - Unknown owner - c:\windows\system32\msvcrtd.exe
O23 - Service: Norman NJeeves - Unknown owner - C:\NORMAN\nvc\BIN\NJEEVES.EXE (file missing)
O23 - Service: Norman Type-R - Unknown owner - C:\Norman\Npf\BIN\NPFSVICE.EXE (file missing)
O23 - Service: Norman ZANDA - Unknown owner - C:\Norman\NVC\BIN\Zanda.exe (file missing)
O23 - Service: SmartLinkService (SLService) - - C:\WINDOWS\SYSTEM32\slserv.exe

--
End of file - 10841 bytes

Citera

2007-07-14, 19:34 #33

Medlem

Reg: Mar 2007

Inlägg: 12 238

stinger används för att scanna datorn efter dom störta problemen som funnits dom senste åren men den här datorn har andra och mycket "mindre vanliga" problem. dock så är den helt nerlusad och jag vet inte om det går att få den att funka men vi kan testa två program och ser hur mycket bättre det blir. jag rek absolut att inte logga in med den på nätet! (om det skulle gå vartefter)

det här är ett litet program och kommer rensa ut trojaner/maskar
http://downloads.andymanchesta.com/R...ools/SDFix.exe
spara SDFix.exe på skrivbordet >klicka på SDFix.exe >sdfixen packas upp här: C:\SDFix. gå hit: C:\SDFix >klicka på runthis.bat >välj y.

när scanningen är klar så tryck på valfri tangent för att starta om.
när det står finished så tryck på valfri tangent. en logg kommer automatiskt att visas, kopiera in loggen här.

känner användaren igen denna tyska ip 81.92.1.3 som ses som 017 i loggen.
även msn problemet finns så du se till att du har msn fix redo men det problemet är det minsta och kommer sist!

Citera

2007-07-21, 22:43 #34

Medlem

Reg: Aug 2005

Inlägg: 2 547

Nu har jag provat SDFix, detta är rapporten:

SDFix: Version 1.91

Run by Administrat”r on 2007-07-21 at 13:40

Microsoft Windows XP [Version 5.1.2600]

Running From: C:\SDFix

Safe Mode:
Checking Services:

Name:
ICF
msupdate
NtmlSvc
windev-2533-376
xpdx

ImagePath:
\??\C:\WINDOWS\system32\xpdx.sys

xpdx - Deleted

Killing PID 136 'smss.exe'
Killing PID 212 'winlogon.exe'

ndis.sys Infected!

Patched File copied to Backups Folder
Attempting to replace ndis.sys with original version...

Original ndis.sys Restored

Restoring Windows Registry Values
Restoring Windows Default Hosts File

Rebooting...

Normal Mode:
Checking Files:

Trojan Files Found:

C:\WINDOWS\system32\windev-2533-376.sys - Deleted
C:\WINDOWS\SYSTEM32\PF5607~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\PF9452~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFB0E0~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFCA7F~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFXZMT~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFXZMT~2.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFXZMT~3.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFXZMT~4.DLL - Deleted
C:\Documents and Settings\Evelina\Lokala inst„llningar\Temp\1.dllb - Deleted
C:\Documents and Settings\Evelina\Lokala inst„llningar\Temp\2.dllb - Deleted
C:\Documents and Settings\Evelina\Lokala inst„llningar\Temp\5.dllb - Deleted
C:\Documents and Settings\Evelina\Lokala inst„llningar\Temp\6.dllb - Deleted
C:\Documents and Settings\Evelina\Lokala inst„llningar\Temp\7.dllb - Deleted
C:\WINDOWS\system32\gmc.exe.exe - Deleted
C:\WINDOWS\ServicePackFiles\www.google.com\favicon.ico - Deleted
C:\WINDOWS\ServicePackFiles\www.google.com\index.html - Deleted
C:\WINDOWS\ServicePackFiles\www.google.com\thank.html - Deleted
C:\WINDOWS\ServicePackFiles\www.google.com\Google_files\hp0.gif - Deleted
C:\WINDOWS\ServicePackFiles\www.google.com\Google_files\hp1.gif - Deleted
C:\WINDOWS\ServicePackFiles\www.google.com\Google_files\hp2.gif - Deleted
C:\WINDOWS\ServicePackFiles\www.google.com\Google_files\hp3.gif - Deleted
C:\Program\Delade filer\Microsoft Shared\Web Folders\ibm00001.dll - Deleted
C:\Program\Delade filer\Microsoft Shared\Web Folders\ibm00002.dll - Deleted
C:\install\credits.bat - Deleted
C:\install\ghost.exe - Deleted
C:\install\install.exe - Deleted
C:\WINDOWS\b122.exe - Deleted
C:\WINDOWS\b128.exe - Deleted
C:\WINDOWS\desktop.html - Deleted
C:\WINDOWS\myalbum2007.zip - Deleted
C:\WINDOWS\retadpu27.exe - Deleted
C:\WINDOWS\retadpu420.exe - Deleted
C:\WINDOWS\retadpu444.exe - Deleted
C:\WINDOWS\ServicePackFiles\mm7059.exe - Deleted
C:\WINDOWS\ServicePackFiles\services.exe - Deleted
C:\WINDOWS\system32\arcac.exe - Deleted
C:\WINDOWS\system32\arcac.exe.bak - Deleted
C:\WINDOWS\system32\drivers\asc3550u.sys - Deleted
C:\WINDOWS\system32\drivers\etc\hosts.tim - Deleted
C:\WINDOWS\system32\max1d1164v.exe - Deleted
C:\WINDOWS\system32\msvcrtd.exe - Deleted
C:\WINDOWS\system32\rpcc.dll - Deleted
C:\WINDOWS\system32\spoolsvv.exe - Deleted
C:\WINDOWS\system32\svcp.csv - Deleted
C:\WINDOWS\system32\syshelps.dll - Deleted
C:\WINDOWS\system32\sysprinters.dll - Deleted
C:\WINDOWS\system32\vx.tll - Deleted
C:\WINDOWS\system32\windev-peers.ini - Deleted
C:\WINDOWS\system32\winsub.xml - Deleted
C:\WINDOWS\Temp\$_2341233.TMP - Deleted
C:\WINDOWS\Temp\$_2341234.TMP - Deleted
C:\WINDOWS\Temp\$b17a2e8.tmp - Deleted
C:\WINDOWS\winvip.exe - Deleted
C:\WINDOWS\wr.txt - Deleted
C:\WINDOWS\xpupdate.exe - Deleted
C:\SDFix\backups_old1\1.dllb - Deleted
C:\SDFix\backups_old1\2.dllb - Deleted
C:\SDFix\backups_old1\5.dllb - Deleted
C:\SDFix\backups_old1\6.dllb - Deleted
C:\SDFix\backups_old1\7.dllb - Deleted
C:\WINDOWS\system32\xpdx.sys - Deleted

Folder C:\Program\InetGet2 - Removed
Folder C:\WINDOWS\ServicePackFiles\www.google.com - Removed

Removing Temp Files...

ADS Check:

C:\WINDOWS
No streams found.

C:\WINDOWS\system32
No streams found.

C:\WINDOWS\system32\svchost.exe
No streams found.

C:\WINDOWS\system32\ntoskrnl.exe
No streams found.

Final Check:

Remaining Services:
------------------

Authorized Application Key Export:

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\standard profile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

[HKEY_LOCAL_MACHINE\system\currentcontrolset\servic es\sharedaccess\parameters\firewallpolicy\domainpr ofile\authorizedapplications\list]
"%windir%\\system32\\sessmgr.exe"="%windir%\\syste m32\\sessmgr.exe:*:enabled:@xpsp2res.dll,-22019"

Remaining Files:
---------------

Backups Folder: - C:\SDFix\backups\backups.zip

Files with Hidden Attributes:

C:\Documents and Settings\All Users\Dokument\Settings\bot.dll
C:\Documents and Settings\Evelina\Application Data\?asks\?hkdsk.exe
C:\Program\Common Files\T?sks\winlogon.exe
C:\Program\Common Files\T?sks\winlogon.exe~
C:\Program\Delade filer\Yazzle1122OinAdmin.exe
C:\Program\Delade filer\Yazzle1122OinUninstaller.exe
C:\System Volume Information\_restore{AB37CA35-D5E5-4C09-8173-B56A93CC4D61}\RP903\A0223860.exe
C:\System Volume Information\_restore{AB37CA35-D5E5-4C09-8173-B56A93CC4D61}\RP908\A0232170.exe
C:\System Volume Information\_restore{AB37CA35-D5E5-4C09-8173-B56A93CC4D61}\RP910\A0234370.exe
C:\Documents and Settings\Evelina\Skrivbord\Evelina\~WRL1431.tmp
C:\Documents and Settings\Evelina\Skrivbord\Evelina\~WRL3417.tmp
C:\Documents and Settings\Gabriel\Skrivbord\Arbeten\Eng\~WRL0544.tm p
C:\Documents and Settings\Gabriel\Skrivbord\Arbeten\Eng\~WRL1006.tm p
C:\Documents and Settings\Gabriel\Skrivbord\Arbeten\Eng\~WRL3414.tm p
C:\Program Files\InterActual\InterActual Player\iti2.tmp
C:\Documents and Settings\Gabriel\Lokala inst„llningar\Temp\Tempor„r katalog 1 f”r 060720_Segling_Small.zip\060720_Segling_Small\Thum bs.db

Finished

Citera

2007-07-21, 22:54 #35

Medlem

Reg: Aug 2005

Inlägg: 2 547

Efter detta loggade jag in som vanligt på ett av användarkontona, installerade Adaware från Lavasoft och körde en scan. Mellan 900 och 1000 infekterade saker hittades. Jag fick något felmeddelande från Adaware "Service Error:6000" när jag tog bort filerna och körde scan igen, återigen mellan 900-1000 infections.

Stardade om och körde programmet 3 ggr till. Till slut var allt tydligen borta, ingenting hittades och datorn var inte alls seg och program öppnades som de skulle.

Hittar ni något fel i SDfixen? Som jag alltså körde före Adaware.

Skriver jag krångligt?

Citera

2007-07-22, 00:47 #36

Medlem

Reg: Mar 2007

Inlägg: 12 238

sdfix radera dessa tjänster:
ICF
msupdate
NtmlSvc
windev-2533-376
xpdx

tog bort dessa filer som är ett rootkit:
C:\WINDOWS\system32\xpdx.sys
C:\WINDOWS\system32\windev-2533-376.sys

denna windowsfilen hade blivit modifierad och togs
bort och ersätts av en icke modifierad:
ndis.sys

trojaner, som togs bort:
C:\WINDOWS\SYSTEM32\PF5607~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\PF9452~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFB0E0~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFCA7F~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFXZMT~1.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFXZMT~2.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFXZMT~3.DLL - Deleted
C:\WINDOWS\SYSTEM32\PFXZMT~4.DLL - Deleted
C:\Documents and Settings\Evelina\Lokala inst„llningar\Temp\1.dllb - Deleted
C:\Documents and Settings\Evelina\Lokala inst„llningar\Temp\2.dllb - Deleted
C:\Documents and Settings\Evelina\Lokala inst„llningar\Temp\5.dllb - Deleted
C:\Documents and Settings\Evelina\Lokala inst„llningar\Temp\6.dllb - Deleted
C:\Documents and Settings\Evelina\Lokala inst„llningar\Temp\7.dllb - Deleted
C:\WINDOWS\system32\gmc.exe.exe - Deleted
C:\WINDOWS\ServicePackFiles\www.google.com\favicon.ico - Deleted
C:\WINDOWS\ServicePackFiles\www.google.com\index.html - Deleted
C:\WINDOWS\ServicePackFiles\www.google.com\thank.html - Deleted
C:\WINDOWS\ServicePackFiles\www.google.com\Google_files\hp0.gif - Deleted
C:\WINDOWS\ServicePackFiles\www.google.com\Google_files\hp1.gif - Deleted
C:\WINDOWS\ServicePackFiles\www.google.com\Google_files\hp2.gif - Deleted
C:\WINDOWS\ServicePackFiles\www.google.com\Google_files\hp3.gif - Deleted
C:\Program\Delade filer\Microsoft Shared\Web Folders\ibm00001.dll - Deleted
C:\Program\Delade filer\Microsoft Shared\Web Folders\ibm00002.dll - Deleted
C:\install\credits.bat - Deleted
C:\install\ghost.exe - Deleted
C:\install\install.exe - Deleted
C:\WINDOWS\b122.exe - Deleted
C:\WINDOWS\b128.exe - Deleted
C:\WINDOWS\desktop.html - Deleted
C:\WINDOWS\myalbum2007.zip - Deleted
C:\WINDOWS\retadpu27.exe - Deleted
C:\WINDOWS\retadpu420.exe - Deleted
C:\WINDOWS\retadpu444.exe - Deleted
C:\WINDOWS\ServicePackFiles\mm7059.exe - Deleted
C:\WINDOWS\ServicePackFiles\services.exe - Deleted
C:\WINDOWS\system32\arcac.exe - Deleted
C:\WINDOWS\system32\arcac.exe.bak - Deleted
C:\WINDOWS\system32\drivers\asc3550u.sys - Deleted
C:\WINDOWS\system32\drivers\etc\hosts.tim - Deleted
C:\WINDOWS\system32\max1d1164v.exe - Deleted
C:\WINDOWS\system32\msvcrtd.exe - Deleted
C:\WINDOWS\system32\rpcc.dll - Deleted
C:\WINDOWS\system32\spoolsvv.exe - Deleted
C:\WINDOWS\system32\svcp.csv - Deleted
C:\WINDOWS\system32\syshelps.dll - Deleted
C:\WINDOWS\system32\sysprinters.dll - Deleted
C:\WINDOWS\system32\vx.tll - Deleted
C:\WINDOWS\system32\windev-peers.ini - Deleted
C:\WINDOWS\system32\winsub.xml - Deleted
C:\WINDOWS\Temp\$_2341233.TMP - Deleted
C:\WINDOWS\Temp\$_2341234.TMP - Deleted
C:\WINDOWS\Temp\$b17a2e8.tmp - Deleted
C:\WINDOWS\winvip.exe - Deleted
C:\WINDOWS\wr.txt - Deleted
C:\WINDOWS\xpupdate.exe - Deleted
C:\SDFix\backups_old1\1.dllb - Deleted
C:\SDFix\backups_old1\2.dllb - Deleted
C:\SDFix\backups_old1\5.dllb - Deleted
C:\SDFix\backups_old1\6.dllb - Deleted
C:\SDFix\backups_old1\7.dllb - Deleted

mappar som togs bort:
Folder C:\Program\InetGet2 - Removed
Folder C:\WINDOWS\ServicePackFiles\www.google.com - Removed

fortfarande är datorn full med malware så:
hämta detta program >spara på skrivbordet> klicka på filen.
hittas problem så kommer datorn att starta om.
när allt är klart så kommer minst en loggfil öppnas, kopiera in den
http://www.uploads.ejvindh.net/rustbfix.exe

***
hämta, installera och uppdatera programmet avg anti-spyware.
starta om i felsäkert läge >starta programmet >scanner >settings > klicka på den blåa "länken" och välj quarantine >välj fliken scan >complete system scan (helst)>... >apply all actions >save report.
http://www.grisoft.cz/filedir/inst/a...p-7.5.1.43.exe

starta om normalt. starta avg antispyware > reports >markera aktuell rapport >kopiera allt du ser i det högra fönstret och kopiera in hela loggen här (det är inte nödvändigt att ta med de cookies som finns i loggen).

efter det så tippar jag på att det går åt 3-4 åtgärder till

Citera

Datorn startar om fel 1073741819?

Skapa ett konto eller logga in för att kommentera

Skapa ett konto

Logga in