Virus på pc'en til mor!

mbruun · 6. oktober 2010

Dere vet hvordan det er med "eldre" mennesker og pc :-s

Hadde veldig kort tid på å sjekke hva det var idag, så jeg må tilbake imorgen.

Uansett.. Bruker Avira (free), som ifølge mor ikke har oppdaget noe. Har kjørt en scan og hun mener det "kanskje dukket opp noe greier" som hun klikket ok på.

Slik jeg opplever problemene på pc'en, så resolver ikke ip til kjente antivirus/malware/spyware sider slik som www.malwarebytes.org (Malwarebytes) og www.safer-networking.org (spybot). Da dukker det bare opp "could not locate/connect"

Google dukker opp i hytt og pine.

Kommer inn på vanlige sider slik som vg og dagbladet samt download.com slik at jeg fikk lastet ned malwarebytes og spybot.

Spybot krever nettverkstilgang for å fullføre installasjonen og gjør dette via http. Her resolver ikke ip igjen, slik at installasjonen ikke går gjennom.

Malwarebytes fikk jeg installert, men den vil ikke fyre hverken i sikkerhetsmodus eller ved vanlig modus.

Noget usikker på hvor den "riktige" hostfila i windows ligger, men jeg fant to filer (mener at den ene lå under windows/system og den andre under windows/system32, men begge inneholdt kun 127.0.0.1 og ingen andre ip adresser eller hostnames.

Fikk beskjed om at maskinen var infisert med noe som lignet på windows defender, men den directa til en ipadresse i internet explorer. Trykket cancel på alt av dette og "knakk" prosessen(e) iexplore.exe

Er noget usikker på hvor mye min kjære mor har trykket ok på til nå.

Da jeg ikke er ved pc'en hennes nå, men på jobb ba jeg henne bare kjøre flere runder med avira og "rense" dersom hun fikk beskjed om at det fantes virus.

Et stort problem er jo at jeg ikke får fyra opp malwarebytes.

Noen som har noen innspill/meninger på hva jeg kan gjøre her? (bortsett fra å sette av god tid :-s )

Takker og bukker :-)

-Morten

thomit · 6. oktober 2010

Tja.... finnes det en mulighet for å ta backup av viktige filer, er det vel best å formatere og reinstallere, tenker jeg.

jonskja · 6. oktober 2010

SUPERantispyware fungerte hos meg da kompisen min hadde virus. Hvilket operativsystem kjører moren din? Du starter opp i Sikkerhetsmodus og installerer SUPERantispyware i fra en minnepenn som du har lastet programmet ned på med en annen maskin. Så kjører du en komplett sjekk og så skal det være over. Pass på at det ikke er flere antivirus installert om gangen. Har moren din opplevd at pc`n krasjer eller ser ut som at den krasjer og skrur seg av?

mbruun · 6. oktober 2010

SUPERantispyware fungerte hos meg da kompisen min hadde virus. Hvilket operativsystem kjører moren din? Har moren din opplevd at pc`n krasjer eller ser ut som at den krasjer og skrur seg av?

Hei, og takk for svar.

Skal finne frem minnepennen min og installe superantispyware. :-)

Nå ble jeg brått usikker. Hun kjører enten XP eller Vista.

Har ikke fått beskjed om at pc'en kræsjer i det hele tatt.

-Morten

cocopara · 6. oktober 2010

SUPERantispyware fungerte hos meg da kompisen min hadde virus. Hvilket operativsystem kjører moren din? Har moren din opplevd at pc`n krasjer eller ser ut som at den krasjer og skrur seg av?

Hei, og takk for svar.

Skal finne frem minnepennen min og installe superantispyware. :-)

Nå ble jeg brått usikker. Hun kjører enten XP eller Vista.

Har ikke fått beskjed om at pc'en kræsjer i det hele tatt.

-Morten

Last ned Hitmanpro (hitmanpro.nl) også. Dette programmet er fantastisk, lett og kjører gjennom skyen. Den vil finne det SAS mistet om den mistet noe i det hele tatt. Den gir ingen popups, oppdaterer seg selv. Den eneste gangen jeg ser den poppe opp er rett etter PC startup for da oppdaterer den seg og skanner.

Du kan få den i 30 dagers trial

mbruun · 6. oktober 2010

Da takker jeg for svar :-)

Skal teste både SAS og hitman imorgen. Rapporterer om resultatene :-)

Takk igjen.

-Morten

norbat · 6. oktober 2010

Ang. SAS - du bør laste ned den portable versjonen. Den lagres med et random navn som gjør at malware ikke gjenkjenner programnavnet.

mbruun · 7. oktober 2010

Ang. SAS - du bør laste ned den portable versjonen. Den lagres med et random navn som gjør at malware ikke gjenkjenner programnavnet.

Gjorde det :-)

Vel, det tok sin tid.. Men, jeg tror jeg fikk vekk møkka fra pc'en hennes.

Lastet ned SAS og Hitmanpro på en minnepinne.

Fyrte opp pc i sikkermodus og satte igang en scan med SAS. Denne fant 6 oppføringer med "Trojan.DNS-Changer (HI-Jacked DNS)" samt ørten cookie oppføringer.

Slettet disse.

Forsøkte å fyre opp malwarebytes samt spybot, men de reagerte ikke i det hele tatt. Ville ikke starte.

Kjørte så en scan med Hitman pro som fant et rootkit virus (husker ikke navnet på stående fot) som jeg slet lenge med. Den hadde infisert kbdclass.sys filen i windows\system32\drivers og lot seg ikke fjerne dersom jeg ikke hadde win cd tilgjengelig.

Ringte en kollega av meg som har samme OS (XP-norsk) og fikk han til å sende meg filen per mail.

La inn filen i ..\drivers mappen, men der eksisterte det allerede en fil med det navnet.

Renamet kbdclass.sys (den med viruset) til kbdclassvirus.sys og forsøkte å rename den "rene" filen til kbdclass.sys. Fikk da beskjed om at det ikke gikk, da det allerede eksisterte en fil med navnet kbdclass.sys

Søkte etter filer med det navnet på pc'en og jaggu fant jeg ikke en fil med navnet kbdclass.sys i ..\drivers mappen.

Slettet filen med virus (shift+delete) og forsøkte igjen å rename den "rene" filen, men fikk igjen beskjed om at det allerede eksisterte en fil med det navnet.

Den kopierte seg selv ved renaming/sletting.

Jeg løste problemet med å være "kjappere" enn viruset. Tok opp et cmd vindu og la klar kommandoen "ren kbdclass1.sys kbdclass.sys"

Tok "shift+delete" og med en gang jeg hadde bekreftet sletting av filen, trykket jeg enter i cmd vinduet, slik at den nye "rene" filen ble renamet til kbdclass.sys

Scannet maskinen på nytt med hitmanpro som da ikke fant noen feil.

Restartet maskinen og fikk nå startet opp malwarebytes.

Scannet og fant "Trojan.Agent" og "Backdoor.bot" som ble fjernet.

Bootet maskinen på nytt og fant da ingenting med malwarebytes.

Så, da regner jeg med at denne saken ble løst :-)

-Morten

Endret 7. oktober 2010 av mbruun

thomit · 7. oktober 2010

Så bra. Men kanskje du burde lære opp din mor i litt sunt nettvett også - hun har tydeligvis klikket på saker og ting hun ikke burde :hmm:

norbat · 7. oktober 2010

Hent Combofix, og legg det på skrivebordet

Kjør combofix.exe, og følg veiledningen.

Post loggfilen fra combofix (c:\combofix.txt)

mbruun · 7. oktober 2010

Hent Combofix, og legg det på skrivebordet

Kjør combofix.exe, og følg veiledningen.

Post loggfilen fra combofix (c:\combofix.txt)

Sitter ikke foran pc'en hennes nå, så jeg får ikke gjort det før imorgen :-)

Poster kombofix loggen da :-)

-Morten

mbruun · 7. oktober 2010

Hent Combofix, og legg det på skrivebordet

Kjør combofix.exe, og følg veiledningen.

Post loggfilen fra combofix (c:\combofix.txt)

ComboFix 10-10-06.03 - HP_Administrator 07.10.2010 19:01:10.1.2 - x86

Microsoft Windows XP Home Edition 5.1.2600.3.1252.47.1044.18.1015.618 [GMT 2:00]

Kjører fra: c:\documents and settings\HP_Administrator\Skrivebord\ComboFix.exe

AV: AntiVir Desktop *On-access scanning disabled* (Updated) {AD166499-45F9-482A-A743-FDD3350758C7}

ADVARSEL -DENNE MASKINEN HAR IKKE GJENOPPRETTINGSKONSOLLEN INSTALLERT !!

.

((((((((((((((((((((((((((((((((((((((( Andre slettinger )))))))))))))))))))))))))))))))))))))))))))))))))

.

G:\Autorun.inf

.

((((((((((((((((((((((((((( Filer Opprettet Fra 2010-09-07 til 2010-10-07 )))))))))))))))))))))))))))))))))

.

2010-10-07 14:48 . 2010-10-07 14:48 -------- d--h--r- c:\documents and settings\HP_Administrator\Siste

2010-10-07 13:24 . 2010-10-07 13:24 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\SUPERAntiSpyware.com

2010-10-07 13:22 . 2010-10-07 15:45 -------- d-----w- c:\documents and settings\All Users\Programdata\Spybot - Search & Destroy

2010-10-07 13:22 . 2010-10-07 14:50 -------- d-----w- c:\programfiler\Spybot - Search & Destroy

2010-10-07 13:20 . 2010-04-29 13:39 38224 ----a-w- c:\windows\system32\drivers\mbamswissarmy.sys

2010-10-07 13:20 . 2010-04-29 13:39 20952 ----a-w- c:\windows\system32\drivers\mbam.sys

2010-10-07 13:00 . 2010-10-07 14:12 16968 ----a-w- c:\windows\system32\drivers\hitmanpro35.sys

2010-10-07 12:59 . 2010-10-07 13:07 -------- d-----w- c:\documents and settings\All Users\Programdata\Hitman Pro

2010-10-07 12:59 . 2010-10-07 12:59 -------- d-----w- c:\programfiler\Hitman Pro 3.5

2010-10-07 12:17 . 2010-10-07 12:17 -------- d-----w- c:\documents and settings\All Users\Programdata\SUPERAntiSpyware.com

2010-10-07 12:17 . 2010-10-07 12:17 -------- d-----w- c:\documents and settings\Administrator\Programdata\SUPERAntiSpyware.com

2010-10-06 13:39 . 2010-10-06 13:39 -------- d--h--r- c:\documents and settings\Administrator\Siste

2010-10-06 13:31 . 2010-10-07 13:20 -------- d-----w- c:\programfiler\Malwarebytes' Anti-Malware

2010-10-06 13:29 . 2010-10-06 13:29 -------- d-sh--w- c:\documents and settings\Administrator\PrivacIE

2010-10-04 08:06 . 2010-10-05 08:19 -------- d-----w- c:\documents and settings\HP_Administrator\Lokale innstillinger\Programdata\Turtix

2010-10-03 08:07 . 2010-10-03 08:07 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Artifex Mundi

2010-10-01 11:29 . 2010-10-01 11:40 -------- d-----w- c:\documents and settings\All Users\Programdata\Farm Fishes

2010-10-01 09:03 . 2010-10-01 09:04 -------- d-----w- c:\programfiler\Twisted Lands - Shadow Town Collector's Edition

2010-09-30 14:52 . 2010-09-30 14:52 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Vast Studios

2010-09-30 14:21 . 2010-09-30 14:23 -------- d-----w- c:\documents and settings\All Users\TheFallTrilogyEp2-BF

2010-09-28 16:11 . 2010-09-28 16:13 -------- d-----w- c:\programfiler\Tornado - The secret of the magic cave

2010-09-28 15:47 . 2010-09-28 15:47 -------- d-----w- c:\documents and settings\All Users\Programdata\Exorcist DS 9

2010-09-28 10:00 . 2010-09-28 10:00 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Elephant Games

2010-09-27 16:43 . 2010-09-27 16:43 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\G-HeadGames

2010-09-27 10:00 . 2010-09-27 10:03 -------- d-----w- c:\programfiler\The Treasures of Mystery Island - The Gates of Fate

2010-09-27 08:45 . 2010-09-27 08:45 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\KingArthur

2010-09-25 09:29 . 2010-09-25 09:29 -------- d-----w- c:\documents and settings\HP_Administrator\Lokale innstillinger\Programdata\Astar Games

2010-09-23 09:06 . 2010-09-23 09:06 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\funkitron

2010-09-20 12:36 . 2010-09-20 20:47 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\ElementalsTheMagicKey

2010-09-19 16:19 . 2010-09-19 16:33 -------- d-----w- c:\documents and settings\All Users\Programdata\FarmFrenzy3_Arctica

2010-09-19 14:45 . 2010-09-19 15:30 -------- d-----w- c:\documents and settings\All Users\Programdata\FarmFrenzy3

2010-09-18 12:58 . 2010-09-18 12:58 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Fugazo

2010-09-18 07:35 . 2010-09-18 07:35 -------- d-----w- c:\documents and settings\HP_Administrator\GameHouse

2010-09-17 15:00 . 2010-09-17 15:01 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Brunhilda_spintop

2010-09-17 11:59 . 2010-09-17 11:59 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Floodlight Games

2010-09-17 11:59 . 2010-09-17 11:59 -------- d-----w- c:\documents and settings\All Users\Programdata\Floodlight Games

2010-09-17 07:40 . 2010-09-17 07:40 -------- d-----w- c:\documents and settings\All Users\Programdata\Fugazo

2010-09-15 17:05 . 2010-09-15 17:05 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\2monkeys

2010-09-13 08:56 . 2010-09-13 08:56 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Ten Heavens

2010-09-09 09:33 . 2010-09-09 09:35 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\TOMI2.THE GATES OF FATE

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2010-10-07 14:41 . 2009-09-13 06:54 -------- d-----w- c:\programfiler\RealArcade

2010-10-07 14:37 . 2010-06-01 06:39 -------- d-----w- c:\programfiler\Hostile Makeover

2010-10-07 13:49 . 2008-04-14 08:50 24448 ----a-w- c:\windows\system32\drivers\kbdclass.sys

2010-10-07 13:22 . 2009-09-13 07:02 -------- d-----w- c:\programfiler\Google

2010-10-07 13:17 . 2010-03-24 16:57 -------- d-----w- c:\programfiler\MyHeritage

2010-10-07 13:17 . 2010-03-24 16:58 -------- d-----w- c:\programfiler\Family Toolbar

2010-10-07 13:16 . 2009-07-28 16:26 -------- d-----w- c:\programfiler\LogMeIn

2010-10-06 13:38 . 2009-09-24 15:32 -------- d-----w- c:\programfiler\CCleaner

2010-10-06 09:50 . 2009-02-13 03:18 -------- d---a-w- c:\documents and settings\All Users\Programdata\Temp

2010-10-05 08:37 . 2009-09-29 18:30 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\FlyWheelGames

2010-10-02 10:43 . 2009-09-09 11:02 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Big Fish Games

2010-09-29 08:38 . 2010-08-08 18:24 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Vogat Interactive

2010-09-26 17:32 . 2009-11-15 17:25 -------- d-----w- c:\documents and settings\All Users\Programdata\Alawar Stargaze

2010-09-25 10:02 . 2010-03-25 07:17 -------- d-----w- c:\programfiler\Jigsaw365

2010-09-24 09:17 . 2009-10-16 14:13 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Artogon

2010-09-22 18:56 . 2009-11-11 12:19 1 ----a-w- c:\documents and settings\HP_Administrator\Programdata\OpenOffice.org\3\user\uno_packages\cache\stamp.sys

2010-09-20 11:53 . 2010-02-03 14:32 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Total Eclipse

2010-09-19 07:27 . 2009-10-12 16:20 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Enki Games

2010-09-18 07:21 . 2009-09-28 17:25 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\PoBros

2010-09-18 07:21 . 2009-09-28 17:25 -------- d-----w- c:\documents and settings\All Users\Programdata\PoBros

2010-09-17 08:03 . 2009-12-20 10:36 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\JoyBits

2010-09-17 07:06 . 2010-04-20 16:46 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Friday's games

2010-09-15 11:07 . 2010-02-02 16:03 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\BigFishv1002

2010-09-15 10:52 . 2009-08-17 11:01 -------- d-----w- c:\programfiler\bfgclient

2010-09-15 10:52 . 2010-03-17 12:56 3964328 ----a-w- c:\documents and settings\All Users\Programdata\BigFishGamesCache\Upgrade\Unpack\bfgsetup_s1_l1.exe

2010-09-12 11:17 . 2010-08-25 12:54 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\ERS Game Studios

2010-09-11 22:05 . 2009-11-10 09:18 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\V-Games

2010-09-06 08:16 . 2010-09-06 08:16 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Ghost Ship Studios

2010-09-06 07:09 . 2010-09-06 07:09 -------- d-----w- c:\programfiler\Fellesfiler\Java

2010-09-06 07:09 . 2010-09-06 07:09 503808 ----a-w- c:\documents and settings\HP_Administrator\Programdata\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7758967d-n\msvcp71.dll

2010-09-06 07:09 . 2010-09-06 07:09 499712 ----a-w- c:\documents and settings\HP_Administrator\Programdata\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7758967d-n\jmc.dll

2010-09-06 07:09 . 2010-09-06 07:09 348160 ----a-w- c:\documents and settings\HP_Administrator\Programdata\Sun\Java\Deployment\SystemCache\6.0\4\7ec4bf04-7758967d-n\msvcr71.dll

2010-09-06 07:09 . 2010-09-06 07:09 61440 ----a-w- c:\documents and settings\HP_Administrator\Programdata\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5902d69e-n\decora-sse.dll

2010-09-06 07:09 . 2010-09-06 07:09 12800 ----a-w- c:\documents and settings\HP_Administrator\Programdata\Sun\Java\Deployment\SystemCache\6.0\42\4488892a-5902d69e-n\decora-d3d.dll

2010-09-06 07:09 . 2009-11-11 12:16 -------- d-----w- c:\programfiler\Java

2010-09-05 18:34 . 2010-09-05 18:34 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\quickclick

2010-09-03 08:53 . 2009-08-28 06:53 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\PlayFirst

2010-09-03 08:53 . 2009-08-28 06:53 -------- d-----w- c:\documents and settings\All Users\Programdata\PlayFirst

2010-09-02 11:56 . 2010-09-02 11:55 -------- d-----w- c:\documents and settings\All Users\Programdata\Exorcist DS 1

2010-09-01 08:33 . 2010-04-22 06:10 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Specialbit

2010-08-27 11:26 . 2010-08-27 11:26 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Mariaglorum

2010-08-27 06:40 . 2009-12-11 07:31 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Gamers Digital

2010-08-27 06:40 . 2009-12-11 07:31 -------- d-----w- c:\documents and settings\All Users\Programdata\Gamers Digital

2010-08-26 12:46 . 2010-08-26 12:43 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\PeaceCraft2

2010-08-25 15:06 . 2010-08-25 15:06 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Enlightenus2SE_BFG

2010-08-25 14:25 . 2010-08-25 14:25 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\AlderGames

2010-08-25 07:37 . 2010-05-02 18:36 -------- d-----w- c:\documents and settings\All Users\Programdata\Deadtime Stories

2010-08-24 19:16 . 2010-08-24 19:16 -------- d-----w- c:\documents and settings\All Users\Programdata\cerasus.media

2010-08-24 19:16 . 2010-03-16 08:44 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\cerasus.media

2010-08-23 07:54 . 2010-08-23 07:54 -------- d-----w- c:\documents and settings\All Users\Programdata\FarmFrenzy2

2010-08-23 05:37 . 2010-08-23 05:37 -------- d-----w- c:\documents and settings\All Users\Programdata\TERMINAL Studio

2010-08-23 05:13 . 2009-10-28 08:38 -------- d-----w- c:\documents and settings\All Users\Programdata\Gogii

2010-08-22 21:10 . 2010-05-20 14:01 -------- d-----w- c:\programfiler\Angela Youngs Dream Adventure

2010-08-22 21:10 . 2010-06-15 12:22 -------- d-----w- c:\programfiler\The Three Stooges Treasure Hunt Hijinks

2010-08-22 21:08 . 2010-05-18 13:53 -------- d-----w- c:\programfiler\National Geographic Games Herods Lost Tomb

2010-08-22 21:07 . 2010-05-21 07:07 -------- d-----w- c:\programfiler\Mushroom Age

2010-08-22 21:07 . 2010-05-04 07:15 -------- d-----w- c:\programfiler\House Of Wonders The Kitty Kat Wedding

2010-08-22 17:36 . 2010-08-22 17:36 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\MagicIndie

2010-08-17 13:17 . 2009-01-12 02:31 58880 ----a-w- c:\windows\system32\spoolsv.exe

2010-08-17 07:47 . 2010-08-17 07:47 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\ShaoLin

2010-08-17 01:38 . 2010-08-17 01:38 143392 ----a-w- c:\documents and settings\All Users\Programdata\BigFishGamesCache\Upgrade\stub\robins-quest_s1_l1_gF5927T1L1_d1005305558[1].exe

2010-08-17 01:38 . 2010-08-17 01:38 143392 ----a-w- c:\documents and settings\All Users\Programdata\BigFishGamesCache\Upgrade\stub\mahjongg-ancient-egypt_s1_l1_gF5712T1L1_d1007215322[1].exe

2010-08-16 18:23 . 2010-08-16 18:23 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\MysteriousCaseOfJekyllAndHyde

2010-08-16 14:59 . 2010-08-16 14:57 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Brunhilda_bfg

2010-08-16 07:53 . 2010-08-16 07:53 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\SunRay Games

2010-08-15 21:57 . 2009-01-12 02:31 75618 ----a-w- c:\windows\system32\perfc014.dat

2010-08-15 21:57 . 2009-01-12 02:31 435668 ----a-w- c:\windows\system32\perfh014.dat

2010-08-15 15:05 . 2009-12-02 15:55 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Orneon

2010-08-09 08:30 . 2010-08-09 08:30 -------- d-----w- c:\documents and settings\HP_Administrator\Programdata\Anarchy

2010-07-22 15:46 . 2009-01-12 02:31 590848 ----a-w- c:\windows\system32\rpcrt4.dll

2010-07-22 06:19 . 2008-05-05 05:25 5120 ----a-w- c:\windows\system32\xpsp4res.dll

2010-07-17 03:00 . 2010-09-06 07:09 423656 ----a-w- c:\windows\system32\deployJava1.dll

.

(((((((((((((((((((((((((((((((( Oppstartspunkter I Registeret )))))))))))))))))))))))))))))))))))))))))))))

.

*Merk* tomme oppføringer & gyldige standardoppføringer vises ikke

REGEDIT4

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"IgfxTray"="c:\windows\system32\igfxtray.exe" [2008-10-26 141848]

"HotKeysCmds"="c:\windows\system32\hkcmd.exe" [2008-10-26 166424]

"CanonSolutionMenu"="c:\programfiler\Canon\SolutionMenu\CNSLMAIN.exe" [2007-10-26 652624]

"CanonMyPrinter"="c:\programfiler\Canon\MyPrinter\BJMyPrt.exe" [2007-09-14 1603152]

"avgnt"="c:\programfiler\Avira\AntiVir Desktop\avgnt.exe" [2009-03-02 209153]

"HP Software Update"="c:\programfiler\Hp\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576]

"SunJavaUpdateSched"="c:\programfiler\Fellesfiler\Java\Java Update\jusched.exe" [2010-05-14 248552]

"Malwarebytes Anti-Malware (reboot)"="c:\programfiler\Malwarebytes' Anti-Malware\mbam.exe" [2010-04-29 1090952]

c:\documents and settings\HP_Administrator\Start-meny\Programmer\Oppstart\

OpenOffice.org 3.1.lnk - c:\programfiler\OpenOffice.org 3\program\quickstart.exe [2009-8-18 384000]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Adobe Reader Speed Launcher]

2008-01-11 21:16 39792 ----a-w- c:\programfiler\Adobe\Reader 8.0\Reader\reader_sl.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Alcmtr]

2008-10-26 21:47 57344 ----a-w- c:\windows\ALCMTR.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MSMSGS]

2008-04-14 08:23 1695232 ------w- c:\programfiler\Messenger\msmsgs.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Persistence]

2008-10-26 21:48 137752 ----a-w- c:\windows\system32\igfxpers.exe

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

2008-10-26 21:48 17021440 ----a-w- c:\windows\RTHDCPL.EXE

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\UpdateP2GoShortCut]

2008-12-03 21:15 218408 ------w- c:\programfiler\Cyberlink\Power2Go\MUITransfer\MUIStartMenu.exe

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"%windir%\\system32\\sessmgr.exe"=

R1 SASDIFSV;SASDIFSV;\??\c:\docume~1\ADMINI~1\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS --> c:\docume~1\ADMINI~1\LOKALE~1\Temp\SAS_SelfExtract\SASDIFSV.SYS [?]

R1 SASKUTIL;SASKUTIL;\??\c:\docume~1\ADMINI~1\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.SYS --> c:\docume~1\ADMINI~1\LOKALE~1\Temp\SAS_SelfExtract\SASKUTIL.SYS [?]

R2 AntiVirSchedulerService;Avira AntiVir Scheduler;c:\programfiler\Avira\AntiVir Desktop\sched.exe [30.09.2009 14:33 108289]

S2 LMIGuardianSvc;LMIGuardianSvc;c:\programfiler\LogMeIn\x86\LMIGuardianSvc.exe [03.10.2010 08:36 374152]

S3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [13.02.2009 05:01 712704]

.

------- Tilleggsskanning -------

.

uStart Page = hxxp://www.vg.no/

IE: Google Sidewiki - c:\programfiler\Google\Google Toolbar\Component\GoogleToolbarDynamic_mui_en_89D8574934B26AC4.dll/cmsidewiki.html

DPF: {6218F7B5-0D3A-48BA-AE4C-49DCFA63D400} - hxxp://www.myheritage.no/Genoogle/Components/ActiveX/SearchEngineQuery.dll

.

- - - - TOMME PEKERE FJERNET - - - -

WebBrowser-{FD2FD708-1F6F-4B68-B141-C5778F0C19BB} - (no file)

MSConfigStartUp-Family Tree Builder Update - c:\programfiler\MyHeritage\Bin\FTBCheckUpdates.exe

MSConfigStartUp-swg - c:\programfiler\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe

.

--------------------- LÅSTE REGISTERNØKLER ---------------------

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}]

@Denied: (A 2) (Everyone)

@="FlashBroker"

"LocalizedString"="@c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe,-101"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\Elevation]

"Enabled"=dword:00000001

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\LocalServer32]

@="c:\\WINDOWS\\system32\\Macromed\\Flash\\FlashUtil10i_ActiveX.exe"

[HKEY_LOCAL_MACHINE\software\Classes\CLSID\{A483C63A-CDBC-426E-BF93-872502E8144E}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}]

@Denied: (A 2) (Everyone)

@="IFlashBroker4"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\ProxyStubClsid32]

@="{00020424-0000-0000-C000-000000000046}"

[HKEY_LOCAL_MACHINE\software\Classes\Interface\{E3F2C3CB-5EB8-4A04-B22C-7E3B4B6AF30F}\TypeLib]

@="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}"

"Version"="1.0"

.

Tidspunkt ferdig: 2010-10-07 19:07:03

ComboFix-quarantined-files.txt 2010-10-07 17:07

Pre-Run: 135 048 843 264 byte ledig

Post-Run: 135 150 530 560 byte ledig

- - End Of File - - 967734937FE01313DAB18A20C1BB6655

Her er loggen fra Malwarebytes:

Malwarebytes' Anti-Malware 1.46

www.malwarebytes.org

Databaseversjon: 4770

Windows 5.1.2600 Service Pack 3

Internet Explorer 8.0.6001.18702

07.10.2010 18:39:54

mbam-log-2010-10-07 (18-39-54).txt

Skanntype: Hurtigsøk

Objekter skannet: 150187

Tid tilbakelagt: 16 minutt(er), 42 sekund(er)

Minneprosesser infisert: 0

Minnemoduler infisert: 0

Registernøkler infisert: 0

Registerverdier infisert: 0

Registerfiler infisert: 0

Mapper infisert: 0

Filer infisert 2

Minneprosesser infisert: