[Løst]Virus problem på min PC, div spørsmål

brg · 28. januar 2009

Hei

fikk virus på maskinen igår og Avast gikk amokk. Masse varsler. Har gjør scanning i Avast og satt det den fant i karantene. Men hver gang jeg scanner finner den mer. Har også scannet ved oppstart.

Symtom: Sikkerhetsenteret sluttet å virke. Avast sluttet å virke fram til restart. Automatiske oppdateringer er slått av ifølge sikkerhetssenteret. Ikke mulig å slå på igjen.

Etter restert virket Avast igjen og jeg fikk scannet. Tok self. ut nettverks kabel. Når jeg satte den inn igjen virket ikke IE korekt, kommer ikke på nett og utseende er endret litt.

Nå er jeg i sikkerhetsmodus med nettverk og kommer på nett. Følger Veiledingen og har kjørt Malvarebytes programmet. Fan en del der. Valgte fjern som foreslått og restartet. Er fremdeles i sikkerhetsmodus.

Log:

Klikk for å se/fjerne innholdet nedenfor

Malwarebytes' Anti-Malware 1.33

Databaseversjon: 1702

Windows 5.1.2600 Service Pack 3

28.01.2009 19:27:13

mbam-log-2009-01-28 (19-27-13).txt

Skanntype: Rask Skann

Objekter skannet: 58571

Tid tilbakelagt: 2 minute(s), 1 second(s)

Minneprosesser infisert: 0

Minnemoduler infisert: 3

Registernøkler infisert: 12

Registerverdier infisert: 3

Registerfiler infisert: 2

Mapper infisert: 1

Filer infisert: 10

Minneprosesser infisert:

(Ingen mistenkelige filer funnet)

Minnemoduler infisert:

G:\WINDOWS\system32\xxyayYOI.dll (Trojan.Vundo.H) -> Delete on reboot.

G:\WINDOWS\system32\khfDstuV.dll (Trojan.Vundo) -> Delete on reboot.

G:\WINDOWS\system32\crypts.dll (Trojan.Agent) -> Delete on reboot.

Registernøkler infisert:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{571c85de-e409-4f8b-80d5-c3b6550e14fa} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{571c85de-e409-4f8b-80d5-c3b6550e14fa} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\khfdstuv (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_CLASSES_ROOT\CLSID\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Ext\Stats\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\crypt (Trojan.Agent) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\contim (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\instkey (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\rdfa (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> Quarantined and deleted successfully.

Registerverdier infisert:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\b88f9035 (Trojan.Vundo.H) -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{6d794cb4-c7cd-4c6f-bfdc-9b77afbdc02c} (Trojan.Vundo) -> Quarantined and deleted successfully.

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cogad (Trojan.Agent) -> Quarantined and deleted successfully.

Registerfiler infisert:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Notification Packages (Trojan.Vundo.H) -> Data: g:\windows\system32\xxyayyoi -> Quarantined and deleted successfully.

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA\Authentication Packages (Trojan.Vundo) -> Data: g:\windows\system32\xxyayyoi -> Quarantined and deleted successfully.

Mapper infisert:

G:\Documents and Settings\Bjørn Roger Gjervik\Programdata\cogad (Trojan.Agent) -> Quarantined and deleted successfully.

Filer infisert:

G:\WINDOWS\system32\xxyayYOI.dll (Trojan.Vundo.H) -> Delete on reboot.

G:\WINDOWS\system32\IOYyayxx.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.

G:\WINDOWS\system32\IOYyayxx.ini2 (Trojan.Vundo.H) -> Quarantined and deleted successfully.

G:\WINDOWS\system32\khfDstuV.dll (Trojan.Vundo.H) -> Delete on reboot.

G:\WINDOWS\system32\ufuqagro.dll (Trojan.Vundo.H) -> Quarantined and deleted successfully.

G:\WINDOWS\system32\orgaqufu.ini (Trojan.Vundo.H) -> Quarantined and deleted successfully.

G:\Documents and Settings\Bjørn Roger Gjervik\Programdata\cogad\cogad.exe (Trojan.Agent) -> Quarantined and deleted successfully.

G:\WINDOWS\system32\crypts.dll (Trojan.Agent) -> Delete on reboot.

G:\WINDOWS\system32\pac.txt (Malware.Trace) -> Quarantined and deleted successfully.

G:\WINDOWS\system32\nnnkLbbB.dll (Backdoor.Agent) -> Quarantined and deleted successfully.

Prøver å kjøre ComboFix nå men den kommer med Advarsel om ar Virusprogrammet kjører og at det må deaktiveres før kjøring.

Har vært inne under tjenester og der står alle de 4 tjenestene som har med Avast som ikke oppstartet.

Hva gjør jeg videre??

Har også en feilmelding på sjermen: Finner ikke 32788R22FWJFW/nircmd.com

raWrz · 28. januar 2009

virker dataen i normal modus etter mbam skannen?

brg · 28. januar 2009

virker dataen i normal modus etter mbam skannen?

Har ikke turt å prøve ennå, kan prøve nå.

brg · 28. januar 2009

Da er jeg inne på normalt nivå.

Valgte å gjøre Malvarebytes på nytt og under kjøringe kom Avast opp med 2 advarseler om Root kit virus.

Filene 2E36.tmp og C563.tmp under windows/temp/. Avast klasifiserte dem som win32.rootkit-gen.

Valgte slett på begge disse og Malvarebytes fant ingen ting.

Fikk også kjørt Combofix:

Log:

Klikk for å se/fjerne innholdet nedenfor

ComboFix 09-01-21.04 - Bjørn Roger Gjervik 2009-01-28 20:07:29.1 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1044.18.2558.1988 [GMT 1:00]

Kjører fra: g:\documents and settings\Bjørn Roger Gjervik\Skrivebord\ComboFix.exe

AV: avast! antivirus 4.8.1296 [VPS 090127-0] *On-access scanning disabled* (Updated)

* Opprettet nytt gjenopprettingspunkt

ADVARSEL -DENNE MASKINEN HAR IKKE GJENOPPRETTINGSKONSOLLEN INSTALLERT !!

.

((((((((((((((((((((((((((((((((((((((( Andre slettinger )))))))))))))))))))))))))))))))))))))))))))))))))

.

g:\documents and settings\All Users\Programdata\Microsoft\Network\Downloader\qmgr0.dat

g:\documents and settings\All Users\Programdata\Microsoft\Network\Downloader\qmgr1.dat

g:\documents and settings\Bjørn Roger Gjervik\Lokale innstillinger\Temporary Internet Files\fbk.sts

g:\windows\Downloaded Program Files\setup.dll

g:\windows\system32\tmp73.tmp

g:\windows\system32\uninstall.exe

g:\windows\Tasks\lvuihglu.job

----- BITS: Mulige infiserte sider -----

hxxp://childhe.com

.

((((((((((((((((((((((((((( Filer Opprettet Fra 2008-12-28 til 2009-01-28 )))))))))))))))))))))))))))))))))

.

2009-01-28 19:24 . 2009-01-28 19:24 <DIR> d-------- g:\programfiler\Malwarebytes' Anti-Malware

2009-01-28 19:24 . 2009-01-28 19:24 <DIR> d-------- g:\documents and settings\Bjørn Roger Gjervik\Programdata\Malwarebytes

2009-01-28 19:24 . 2009-01-28 19:24 <DIR> d-------- g:\documents and settings\All Users\Programdata\Malwarebytes

2009-01-28 19:24 . 2009-01-14 16:11 38,496 --a------ g:\windows\system32\drivers\mbamswissarmy.sys

2009-01-28 19:24 . 2009-01-14 16:11 15,504 --a------ g:\windows\system32\drivers\mbam.sys

2009-01-27 19:42 . 2009-01-27 22:07 <DIR> d-------- g:\windows\system32\m3V15

2009-01-27 19:42 . 2009-01-27 19:42 <DIR> d-------- g:\windows\system32\aNR

2009-01-27 19:42 . 2009-01-27 19:42 141,312 --a------ g:\windows\system32\msicore.dll

2009-01-22 23:25 . 2009-01-22 23:25 <DIR> d-------- g:\programfiler\MWSnap

2009-01-20 08:08 . 2009-01-20 08:08 410,984 --a------ g:\windows\system32\deploytk.dll

2009-01-15 19:36 . 2009-01-15 19:36 <DIR> d-------- g:\programfiler\RivaTuner v2.22

2009-01-15 19:34 . 2009-01-15 19:34 <DIR> d-------- g:\documents and settings\All Users\Programdata\NVIDIA Corporation

2009-01-15 19:33 . 2009-01-15 19:33 <DIR> d-------- G:\CUDA

2009-01-15 19:33 . 2009-01-15 19:33 151,552 --a------ g:\windows\system32\nvRegDev.dll

2009-01-15 19:28 . 2009-01-15 19:28 <DIR> d-------- g:\documents and settings\All Users\Programdata\nView_Profiles

2009-01-15 19:25 . 2009-01-15 19:25 <DIR> d-------- g:\windows\system32\AGEIA

2009-01-15 19:25 . 2009-01-15 19:27 <DIR> d-------- g:\windows\nview

2009-01-15 19:25 . 2009-01-15 19:25 <DIR> d-------- g:\programfiler\Fellesfiler\Wise Installation Wizard

2009-01-15 19:25 . 2009-01-15 19:25 <DIR> d-------- g:\programfiler\AGEIA Technologies

2009-01-15 19:25 . 2008-12-26 00:08 206,755 --a------ g:\windows\system32\nvapps.nvb

2009-01-15 19:25 . 2009-01-28 20:09 200,790 --a------ g:\windows\system32\nvapps.xml

2009-01-15 19:25 . 2008-12-26 00:08 18,725 --a------ g:\windows\system32\nvdisp.nvu

2009-01-10 18:03 . 2009-01-10 18:03 <DIR> d-------- g:\programfiler\Free Download Manager

2009-01-10 18:03 . 2009-01-28 19:27 <DIR> d-------- g:\documents and settings\Bjørn Roger Gjervik\Programdata\Free Download Manager

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-28 18:58 --------- d-----w g:\programfiler\LogMeIn

2009-01-27 18:24 --------- d-----w g:\programfiler\daTax

2009-01-27 07:27 --------- d-----w g:\programfiler\PaperMaster Pro 7.0

2009-01-20 07:08 --------- d-----w g:\programfiler\Java

2009-01-17 17:35 --------- d-----w g:\programfiler\Folding@Home Windows SMP Client V1.01

2009-01-15 16:46 --------- d-----w g:\programfiler\NVIDIA Corporation

2009-01-15 16:29 --------- d-----w g:\programfiler\RivaTuner v2.11

2009-01-07 18:56 --------- d-----w g:\programfiler\Brother's Keeper 6

2008-12-25 23:08 6,301,344 ----a-w g:\windows\system32\drivers\nv4_mini.sys

2008-12-19 22:49 --------- d-----w g:\documents and settings\All Users\Programdata\Apple Computer

2008-12-19 22:46 --------- d-----w g:\programfiler\Kodak

2008-12-19 22:46 --------- d-----w g:\documents and settings\All Users\Programdata\Kodak

2008-12-13 12:50 --------- d--h--w g:\programfiler\InstallShield Installation Information

2008-12-11 10:57 333,952 ------w g:\windows\system32\drivers\srv.sys

2008-11-28 21:57 --------- d-----w g:\programfiler\Windows Home Server

2008-02-02 11:07 67,696 ------w g:\programfiler\mozilla firefox\components\jar50.dll

2008-02-02 11:07 54,376 ------w g:\programfiler\mozilla firefox\components\jsd3250.dll

2008-02-02 11:07 34,952 ------w g:\programfiler\mozilla firefox\components\myspell.dll

2008-02-02 11:07 46,720 ------w g:\programfiler\mozilla firefox\components\spellchk.dll

2008-02-02 11:07 172,144 ------w g:\programfiler\mozilla firefox\components\xpinstal.dll

2008-05-07 17:48 32,768 --sh--w g:\windows\system32\config\systemprofile\Lokale innstillinger\Logg\History.IE5\MSHist012008050720080508\index.dat

.

(((((((((((((((((((((((((((((((( Oppstartspunkter I Registeret )))))))))))))))))))))))))))))))))))))))))))))

.

*Merk* tomme oppføringer & gyldige standardoppføringer vises ikke

REGEDIT4

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="g:\windows\system32\ctfmon.exe" [2008-04-14 15360]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"NVIDIA nTune"="g:\programfiler\NVIDIA Corporation\nTune\nTuneCmd.exe" [2006-09-13 81920]

"HPUsageTracking"="g:\programfiler\HP\HP UT\bin\hppusg.exe" [2005-02-07 36864]

"avast!"="g:\progra~1\ALWILS~1\Avast4\ashDisp.exe" [2008-11-26 81000]

"SunJavaUpdateSched"="g:\programfiler\Java\jre6\bin\jusched.exe" [2009-01-20 136600]

"Telenorhjelpen"="g:\programfiler\Telenor\Telenorhjelpen\Telenor.exe" [2008-02-07 189120]

"CanonSolutionMenu"="g:\programfiler\Canon\SolutionMenu\CNSLMAIN.exe" [2007-10-25 652624]

"CanonMyPrinter"="g:\programfiler\Canon\MyPrinter\BJMyPrt.exe" [2007-09-13 1603152]

"SSBkgdUpdate"="g:\programfiler\Fellesfiler\Scansoft Shared\SSBkgdUpdate\SSBkgdupdate.exe" [2006-10-25 210472]

"OpwareSE4"="g:\programfiler\ScanSoft\OmniPageSE4\OpwareSE4.exe" [2007-06-13 73728]

"WrtMon.exe"="g:\windows\system32\spool\drivers\w32x86\3\WrtMon.exe" [2006-09-20 20480]

"HP Software Update"="g:\programfiler\HP\HP Software Update\HPWuSchd2.exe" [2007-05-08 54840]

"LogMeIn GUI"="g:\programfiler\LogMeIn\x86\LogMeInSystray.exe" [2008-02-28 63048]

"RivaTunerStartupDaemon"="g:\programfiler\RivaTuner v2.22\RivaTuner.exe" [2008-12-29 2732032]

"Adobe Reader Speed Launcher"="g:\programfiler\Adobe\Reader 8.0\Reader\Reader_sl.exe" [2008-10-15 39792]

"NvCplDaemon"="g:\windows\system32\NvCpl.dll" [2008-12-26 13680640]

"NvMediaCenter"="g:\windows\system32\NvMcTray.dll" [2008-12-26 86016]

"TomcatStartup 2.5"="g:\programfiler\Hewlett-Packard\Toolbox\hpbpsttp.exe" [2004-11-12 245760]

"nwiz"="nwiz.exe" [2008-12-26 g:\windows\system32\nwiz.exe]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="g:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

g:\documents and settings\Bj›rn Roger Gjervik\Start-meny\Programmer\Oppstart\

Mamut Teamwork.lnk - g:\documents and settings\Bj›rn Roger Gjervik\Programdata\Microsoft\Installer\{B1A0C792-C497-44AD-8030-A46A9D4A2792}\_2cd672ae.exe [2007-10-06 3638]

PaperMaster Live Menu 7.0.lnk - g:\programfiler\PaperMaster Pro 7.0\J2GDllCmd.exe [2004-12-22 17920]

PaperMaster Tray Menu 7.0.lnk - g:\programfiler\PaperMaster Pro 7.0\J2GTray.exe [2004-12-22 253952]

g:\documents and settings\All Users\Start-meny\Programmer\Oppstart\

DynDNS Updater.lnk - g:\programfiler\DynDNS Updater\DynUpPs.exe [2008-06-23 94208]

HP Digital Imaging Monitor.lnk - g:\programfiler\HP\Digital Imaging\bin\hpqtra08.exe [2004-11-04 258048]

HP Image Zone Hurtigstart.lnk - g:\programfiler\HP\Digital Imaging\bin\hpqthb08.exe [2004-11-04 53248]

Windows Home Server.lnk - g:\windows\Installer\{21E49794-7C13-4E84-8659-55BD378267D5}\WHSTrayApp.exe [2008-08-19 552296]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\LMIinit]

2008-10-17 16:25 87352 g:\windows\system32\LMIinit.dll

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\drivers32]

"vidc.ffds"= ffdshow.ax

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"g:\\Programfiler\\Hewlett-Packard\\Toolbox\\jre\\bin\\javaw.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"g:\\Programfiler\\Folding@Home Windows SMP Client V1.01\\mpiexec.exe"=

"g:\\Programfiler\\Messenger\\msmsgs.exe"=

"g:\\Programfiler\\Telenor\\Telenorhjelpen\\Telenor.exe"=

"g:\\Programfiler\\Windows Home Server\\Discovery.exe"=

"g:\\WINDOWS\\system32\\smpd.exe"=

R1 aswSP;avast! Self Protection;g:\windows\system32\drivers\aswSP.sys [2008-04-06 111184]

R4 aswFsBlk;aswFsBlk;g:\windows\system32\drivers\aswFsBlk.sys [2008-04-06 20560]

R4 LMIRfsDriver;LogMeIn Remote File System Driver;g:\windows\system32\drivers\LMIRfsDriver.sys [2008-09-07 47640]

R4 mpich2_smpd;MPICH2 Process Manager, Argonne National Lab;g:\windows\system32\smpd.exe [2007-08-17 1135616]

R4 WHSConnector;Windows Home Server Connector Service;g:\programfiler\Windows Home Server\WHSConnector.exe [2008-10-31 325480]

S3 cmeu0wdm;CardMan 2020;g:\windows\system32\drivers\cmeu0wdm.sys [2007-11-13 42537]

S3 HPPLSBULK;HPPLSBULK;g:\windows\system32\drivers\hpplsbulk.sys [2007-06-02 9344]

S3 NPF;NetGroup Packet Filter Driver;g:\windows\system32\drivers\npf.sys [2005-08-02 32512]

S4 FAH@G:+Programfiler+Folding@Home Windows SMP Client V1.01+fah.exe;FAH@G:+Programfiler+Folding@Home Windows SMP Client V1.01+fah.exe;g:\programfiler\Folding@Home Windows SMP Client V1.01\fah.exe -svcstart --> g:\programfiler\Folding@Home Windows SMP Client V1.01\fah.exe -svcstart [?]

S4 LMIInfo;LogMeIn Kernel Information Provider;g:\programfiler\LogMeIn\x86\rainfo.sys [2008-09-07 12856]

S4 LMIRfsClientNP;LMIRfsClientNP; [x]

[HKEY_CURRENT_USER\software\microsoft\windows\currentversion\explorer\mountpoints2\{8dc14540-10fa-11dc-96f6-00044b0548f0}]

\Shell\AutoRun\command - e:\player\DVR_Player.exe ..\20080411\102210\NORMAL\[000001].drv -DT210 -M32

.

- - - - TOMME PEKERE FJERNET - - - -

HKCU-Run-Vidalia - g:\programfiler\Vidalia Bundle\Vidalia\vidalia.exe

HKLM-Run-Telenor Online Start - g:\programfiler\Telenor\Online Start\Telenor.exe

.

------- Tilleggsskanning -------

.

uStart Page = hxxp://www.sol.no/

uInternet Settings,ProxyOverride = <local>

IE: Download all with Free Download Manager - file://g:\programfiler\Free Download Manager\dlall.htm

IE: Download selected with Free Download Manager - file://g:\programfiler\Free Download Manager\dlselected.htm

IE: Download video with Free Download Manager - file://g:\programfiler\Free Download Manager\dlfvideo.htm

IE: Download with Free Download Manager - file://g:\programfiler\Free Download Manager\dllink.htm

IE: E&ksporter til Microsoft Excel - g:\progra~1\MICROS~2\OFFICE11\EXCEL.EXE/3000

DPF: {B91AEDBE-93DF-4017-8BB3-F1C300C0EC51} - hxxp://www.buypass.no/Installasjoner/Buypass_installasjonsprogram/setup.exe

FF - ProfilePath -

.

**************************************************************************

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-28 20:11:18

Windows 5.1.2600 Service Pack 3 NTFS

skanner skjulte prosesser ...

skanner skjulte autostart-oppføringer ...

skanner skjulte filer ...

skanning vellykket

skjulte filer: 0

**************************************************************************

"ServiceDll"="g:\windows\system32\es.dll"

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\FAH@G:+Programfiler+Folding@Home Windows SMP Client V1.01+fah.exe]

.

--------------------- DLL'er Lastet Av Kjørende Prosesser ---------------------

- - - - - - - > 'winlogon.exe'(900)

g:\windows\system32\LMIinit.dll

g:\windows\system32\LMIRfsClientNP.dll

.

------------------------ Andre Kjørende Prosesser ------------------------

.

g:\programfiler\Alwil Software\Avast4\aswUpdSv.exe

g:\programfiler\Alwil Software\Avast4\ashServ.exe

g:\windows\system32\scardsvr.exe

g:\programfiler\Java\jre6\bin\jqs.exe

g:\programfiler\Fellesfiler\Microsoft Shared\VS7DEBUG\MDM.EXE

g:\programfiler\NVIDIA Corporation\nTune\nTuneService.exe

g:\windows\system32\nvsvc32.exe

g:\windows\system32\HPZipm12.exe

g:\programfiler\NVIDIA Corporation\System Update\UpdateCenterService.exe

g:\programfiler\Windows Media Player\wmpnetwk.exe

g:\windows\system32\wbem\wmiapsrv.exe

g:\windows\system32\spool\drivers\w32x86\3\WrtProc.exe

g:\windows\system32\rundll32.exe

g:\programfiler\HP\Digital Imaging\bin\hpqgalry.exe

g:\programfiler\Mamut Teamwork\Mamut Teamwork\Mamut Teamwork.exe

g:\progra~1\HEWLET~1\Toolbox\STATUS~1\STATUS~1.EXE

g:\programfiler\Hewlett-Packard\Toolbox\jre\bin\javaw.exe

g:\windows\system32\wscntfy.exe

.

**************************************************************************

.

Tidspunkt ferdig: 2009-01-28 20:12:55 - maskinen ble startet på nytt [bjørn Roger Gjervik]

ComboFix-quarantined-files.txt 2009-01-28 19:12:53

Pre-Run: 18,554,757,120 byte ledig

Post-Run: 19,147,137,024 byte ledig

195 --- E O F --- 2009-01-13 22:11:45

Betyr dette at jeg er virusfri nå??

Har hatt PC siden 1985 og det er første gang jeg støter på virus. Et sjokk, må jeg si :ohmy:

Ser at Combofix anbefaler en gjennopprettnings consoll. Hadde ikke maskinen på nett da jeg kjøret denne så jeg innstalerte den ikke. Bør jeg gjøre det og hvor finner jeg den uten å kjøre Combofix(går ikke på nett uten kjørende virus programvare).

Endret 28. januar 2009 av brg

r2d290 · 28. januar 2009

Legg merke til at alle instruksjonene som blir gitt i denne tråden er skreddersydd for denne maskinen, og at verktøyene som blir brukt her, kan forårsake skade på en annen maskin med andre typer infeksjoner.

Hvis du tror du har det samme problemet, bør du følge veiledningen til norbat, og poste loggene i en ny tråd.

Hallo

Mitt navn er r2d290, og jeg skal være med på å hjelpe deg med å fjerne alle infeksjoner du måtte ha på PC-en.

Det kommer til å bli gitt en rekke instruksjoner som må bli fulgt i den rekkefølgen vi skriver dem i.
Ikke prøv å fjerne problemet på egenhånd. Når vi først er i gang med en prosess er det viktig at den blir gjort "uten avbrytelser".
Hvis det er en instruksjon du ikke forstår, du er usikker på noe, eller det skjer noe uventet, må du ikke gjette/gå videre, men skrive en post på forumet der du spør om det du lurer på.
Ikke start flere tråder (hverken her på diskusjon.no eller på andre forum). Dette vil bare forvirre oss som driver support.
Det kan hende at opperasjonen vil gå i flere ledd, og det kan hende det tar litt tid før du får svar, men vi gir oss ikke hvis ikke du gjør det.
Ikke gi opp og formater PC-en (selvom noen sier at det er det eneste som hjelper). Det er svært usansynlig at man må formatere grunnet virus.
I noen tilfeller hender det at tråder går oss hus forbi, så hvis du ikke har fått svar innen 24 timer kan det være lurt å skrive en liten "purre-post" så tråden din havner øverst på lista.

Hvis du følger disse instruksjonene, skal vi nok få fikset problemet med maskinen.

Jeg analyserer loggene dine nå, og vil komme tilbake med respons så snart jeg kan...

PS: Det kan hende at sikkerhetsprogrammene dine gir advarsler på noen av verktøyene vi ber deg om å bruke.

sikkerhetsprogrammene kan ikke vite om verktøyene har gode eller dårlige hensikter. Verktøyene blir brukt av profesjonelle rundt om i hele verden, så du kan stole på at programmene er trygge.

brg · 28. januar 2009

Tuen takk r2d290, jeg venter i spenning :thumbup:

r2d290 · 28. januar 2009

Når det gjelder gjenoprettingskonsollen... Har du en XP-cd i nærheten, vil den kunne gjøre samme nytten som den gjenoprettingsconsollen, så vet ikke helt om du trenger det. De fleste som bruker combofix på dette forumet pleier ikke å installere den. Den vil gjøre at hvis det mot formodning skulle skje noe galt under opprensingen, vil du kunne ha mulighet til å sette pc-en tilbake. Men hvis du ønsker, har du veiledningen her: http://support.microsoft.com/kb/216417

Kjenner du til innholdet i G:\CUDA?

Gå til http://virusscan.jotti.org , trykk på Browse, og last opp følgende fil til analyse:

g:\windows\system32\msicore.dll

g:\programfiler\DynDNS Updater\DynUpPs.exe

Deretter trykker du på Submit. Godta at filen blir scannet. Til slutt kopierer du resultatet, og limer det inn i din neste post, så jeg kan se på den, og vurdere hva som må gjøres videre.

Trykk Start - Alle Programmer - Tilbehør - Notisblokk

Kopier og Lim inn teksten i kodeboksen nedenfor, inn i Notisblokken:

Dirlook:
g:\windows\system32\m3V15
g:\windows\system32\aNR

Lagre det som CFScript på Skrivebordet

Dra CFScript over ComboFix.exe som ligger på Skrivebordet, slik animasjonen nedenfor viser.

Dette vil starte ComboFix igjen. Hvis maskinen ber om en omstart, lar du den gjøre det med én gang.

Post innholdet til ComboFix.txt inn i ditt neste svar på forumet.

brg · 28. januar 2009

Ja jeg har XP CD, så da er det greit.

G:\Cuda er programspråk til Nvidias skjermdrivere og er innstalert av meg iforbindelse med Folding(evt. se sign)

Scann fra jotti:

Klikk for å se/fjerne innholdet nedenfor

File: msicore.dll

Status: INFECTED/MALWARE (Note: this file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5: 5d58601e3e7641b64b52e3d2508c3f41

Packers detected: -

Scanner results

Scan taken on 28 Jan 2009 21:16:38 (GMT)

A-Squared Found nothing

AntiVir Found HEUR/Malware

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found DLOADER.Trojan (probable variant)

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found nothing

G DATA Found nothing

Ikarus Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

Panda Antivirus Found nothing

Sophos Antivirus Found Troj/Inject-DY

VirusBuster Found nothing

VBA32 Found nothing

File: DynUpPs.exe

Status: OK(Note: file has been scanned before. Therefore, this file's scan results will not be stored in the database)

MD5: 7047c580242150c23bb1fafe76b4c568

Packers detected: -

Scanner results

Scan taken on 28 Jan 2009 21:19:13 (GMT)

A-Squared Found nothing

AntiVir Found nothing

ArcaVir Found nothing

Avast Found nothing

AVG Antivirus Found nothing

BitDefender Found nothing

ClamAV Found nothing

CPsecure Found nothing

Dr.Web Found nothing

F-Prot Antivirus Found nothing

F-Secure Anti-Virus Found nothing

G DATA Found nothing

Ikarus Found nothing

Kaspersky Anti-Virus Found nothing

NOD32 Found nothing

Norman Virus Control Found nothing

Panda Antivirus Found nothing

Sophos Antivirus Found nothing

VirusBuster Found nothing

VBA32 Found nothing

og ny log fra Combofix:

Klikk for å se/fjerne innholdet nedenfor

ComboFix 09-01-21.04 - Bjørn Roger Gjervik 2009-01-28 22:23:15.2 - NTFSx86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.1.1044.18.2558.1882 [GMT 1:00]

Kjører fra: g:\documents and settings\Bjørn Roger Gjervik\Skrivebord\ComboFix.exe

Command switches brukt :: g:\documents and settings\Bjørn Roger Gjervik\Skrivebord\CFScript.txt

AV: avast! antivirus 4.8.1296 [VPS 090128-0] *On-access scanning disabled* (Updated)