raWrz Skrevet 29. mars 2012 Del Skrevet 29. mars 2012 Slik eg forstår det kan det altså vere at det har lagt seg eit virus i boot-mappa. Og at dette legg seg inn på RAM'en når ein prøvar å boote maskina? Dersom eg puttar i ein Windows disc, og formaterar samtlige partisjonar, og reinstallerar windows. Vil då dette vere vekke, eller kan det ligge igjen på RAM'en? Submit: Det er ikkje so farleg for meg å formatere, det er noko eg gjerne gjer. I alle fall viss eg kan vere sikker på at det vert fjerna. Men fins det ein annan måte som er betre? For guds skyld, ikke gjør et lite virus problem så kompleks... Hvis denne "boot" mappa skal bli kjørt så må windows bootes. Windows bootes ikke når du starter en eks. boot CD. Og det er helt opp til deg om du har lyst til å formatere. Det kan fungere å følge guiden som er linket øverst i signaturen min også om du har litt tid på hånda. ~ Submit Lenke til kommentar
afirm Skrevet 29. mars 2012 Forfatter Del Skrevet 29. mars 2012 Eg er no komen heim, og ser på loggen frå Windows Care. Der står det at to filer er overførte. AWCSetup_major.exe 6543984 bytes og AA_v3.exe 718640 bytes. Der står også to lange MD5-fingeravtrykk. Nokon som har efaring frå Windows Care? Vil ein kunne sjå om desse filene har blitt kjørt? Begge filene ligg no på skrivebordet på datamaskina. Lenke til kommentar
afirm Skrevet 29. mars 2012 Forfatter Del Skrevet 29. mars 2012 (endret) Har kjørt gjennom forskjellege program no, og prøvar meg på å leggje ut loggane her. Hijack this: Logfile of Trend Micro HijackThis v2.0.4 Scan saved at 20:23:22, on 29.03.2012 Platform: Windows 7 SP1 (WinNT 6.00.3505) MSIE: Internet Explorer v9.00 (9.00.8112.16421) Boot mode: Normal Running processes: C:\Program Files (x86)\Hewlett-Packard\HP Odometer\hpsysdrv.exe C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe C:\Program Files (x86)\Skype\Phone\Skype.exe C:\Users\Bruker\AppData\Local\LOGMEI~1\LMIR0001.tmp\LMI_Rescue.exe C:\Program Files (x86)\Hp\HP Software Update\hpwuschd2.exe C:\Program Files (x86)\AVG\AVG2012\avgtray.exe C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe C:\Program Files (x86)\Brother\ControlCenter3\brccMCtl.exe C:\Program Files (x86)\AVG Secure Search\vprot.exe C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe C:\Program Files (x86)\Brother\Brmfcmon\BrMfimon.exe C:\Users\Bruker\Desktop\HijackThis.exe R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://search.condui...&ctid=CT2801948 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft....k/?LinkId=69157 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft....k/?LinkId=54896 R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft....k/?LinkId=54896 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://g.uk.msn.com/CQCON/8 R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page = C:\Windows\SysWOW64\blank.htm R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = R3 - URLSearchHook: NCH EN Toolbar - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files (x86)\NCH_EN\prxtbNCH_.dll O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll O2 - BHO: NCH EN - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files (x86)\NCH_EN\prxtbNCH_.dll O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files (x86)\AVG\AVG2012\avgssie.dll O2 - BHO: Search Helper - {6EBF7485-159F-4bff-A14F-B9E3AAC4465B} - C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Search Helper\SEPsearchhelperie.dll O2 - BHO: Groove GFS Browser Helper - {72853161-30C5-4D22-B7F9-0BBC1D38A37E} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveShellExtensions.dll O2 - BHO: Påloggingshjelp for Windows Live ID - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files (x86)\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll O2 - BHO: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\10.2.0.3\AVG Secure Search_toolbar.dll O2 - BHO: Bing Bar BHO - {d2ce3e00-f94a-4740-988e-03dc2f38c34f} - C:\Program Files (x86)\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll O2 - BHO: Java™ Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre6\bin\jp2ssv.dll O3 - Toolbar: @C:\Program Files (x86)\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll,-100 - {8dcb7100-df86-4384-8842-8fa844297b3f} - C:\Program Files (x86)\MSN Toolbar\Platform\6.0.2282.0\npwinext.dll O3 - Toolbar: DAEMON Tools Toolbar - {32099AAC-C132-4136-9E9A-4E364A424E17} - C:\Program Files (x86)\DAEMON Tools Toolbar\DTToolbar.dll O3 - Toolbar: (no name) - {CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) O3 - Toolbar: AVG Security Toolbar - {95B7759C-8C7F-4BF1-B163-73684A933233} - C:\Program Files (x86)\AVG Secure Search\10.2.0.3\AVG Secure Search_toolbar.dll O3 - Toolbar: NCH EN Toolbar - {37483b40-c254-4a72-bda4-22ee90182c1e} - C:\Program Files (x86)\NCH_EN\prxtbNCH_.dll O4 - HKLM\..\Run: [startCCC] "c:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun O4 - HKLM\..\Run: [PDF Complete] C:\Program Files (x86)\PDF Complete\pdfsty.exe O4 - HKLM\..\Run: [Norton Online Backup] C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuClient.exe O4 - HKLM\..\Run: [HP Software Update] c:\Program Files (x86)\HP\HP Software Update\HPWuSchd2.exe O4 - HKLM\..\Run: [Microsoft Default Manager] "C:\Program Files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" -resume O4 - HKLM\..\Run: [Easybits Recovery] C:\Program Files (x86)\EasyBits For Kids\ezRecover.exe O4 - HKLM\..\Run: [AVG_TRAY] "C:\Program Files (x86)\AVG\AVG2012\avgtray.exe" O4 - HKLM\..\Run: [brMfcWnd] C:\Program Files (x86)\Brother\Brmfcmon\BrMfcWnd.exe /AUTORUN O4 - HKLM\..\Run: [ControlCenter3] C:\Program Files (x86)\Brother\ControlCenter3\brctrcen.exe /autorun O4 - HKLM\..\Run: [sunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" O4 - HKLM\..\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" O4 - HKLM\..\Run: [GrooveMonitor] "C:\Program Files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" O4 - HKLM\..\Run: [vProt] "C:\Program Files (x86)\AVG Secure Search\vprot.exe" O4 - HKLM\..\Run: [ROC_roc_dec12] "C:\Program Files (x86)\AVG Secure Search\ROC_roc_dec12.exe" /PROMPT /CMPID=roc_dec12 O4 - HKLM\..\Run: [Family Tree Builder Update] C:\Program Files (x86)\MyHeritage\Bin\FTBCheckUpdates.exe O4 - HKLM\..\Run: [brStsMon00] C:\Program Files (x86)\Browny02\Brother\BrStMonW.exe /AUTORUN O4 - HKCU\..\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe" -autorun O4 - HKCU\..\Run: [LightScribe Control Panel] C:\Program Files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe -hidden O4 - HKCU\..\Run: [skype] "C:\Program Files (x86)\Skype\Phone\Skype.exe" /nosplash /minimized O8 - Extra context menu item: E&ksporter til Microsoft Excel - res://C:\PROGRA~2\MICROS~1\Office12\EXCEL.EXE/3000 O8 - Extra context menu item: E&xport to Microsoft Excel - res://C:\PROGRA~1\MICROS~2\Office14\EXCEL.EXE/3000 O8 - Extra context menu item: Se&nd to OneNote - res://C:\PROGRA~1\MICROS~2\Office14\ONBttnIE.dll/105 O9 - Extra button: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1004 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra 'Tools' menuitem: @C:\Program Files (x86)\Windows Live\Writer\WindowsLiveWriterShortcuts.dll,-1003 - {219C3416-8CB2-491a-A3C7-D9FCDDC9D600} - C:\Program Files (x86)\Windows Live\Writer\WriterBrowserExtension.dll O9 - Extra button: Send til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll O9 - Extra 'Tools' menuitem: S&end til OneNote - {2670000A-7350-4f3c-8081-5663EE0C6C49} - C:\PROGRA~2\MICROS~1\Office12\ONBttnIE.dll O9 - Extra button: Research - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~2\MICROS~1\Office12\REFIEBAR.DLL O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll O10 - Unknown file in Winsock LSP: c:\program files (x86)\common files\microsoft shared\windows live\wlidnsp.dll O11 - Options group: [ACCELERATED_GRAPHICS] Accelerated graphics O18 - Protocol: grooveLocalGWS - {88FED34C-F0CA-4636-A375-3CB6248B04CD} - C:\Program Files (x86)\Microsoft Office\Office12\GrooveSystemServices.dll O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files (x86)\AVG\AVG2012\avgpp.dll O18 - Protocol: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - C:\Program Files (x86)\Common Files\AVG Secure Search\ViProtocolInstaller\10.2.0\ViProtocol.dll O18 - Protocol: wlpg - {E43EF6CD-A37A-4A9B-9E6F-83F89B8E6324} - C:\Program Files (x86)\Windows Live\Photo Gallery\AlbumDownloadProtocolHandler.dll O23 - Service: Adobe Acrobat Update Service (AdobeARMservice) - Adobe Systems Incorporated - C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe O23 - Service: @%SystemRoot%\system32\Alg.exe,-112 (ALG) - Unknown owner - C:\Windows\System32\alg.exe (file missing) O23 - Service: AMD External Events Utility - Unknown owner - C:\Windows\system32\atiesrxx.exe (file missing) O23 - Service: AVG Security Toolbar Service - Unknown owner - C:\Program Files (x86)\AVG\AVG10\Toolbar\ToolbarBroker.exe O23 - Service: AVGIDSAgent - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG2012\AVGIDSAgent.exe O23 - Service: AVG WatchDog (avgwd) - AVG Technologies CZ, s.r.o. - C:\Program Files (x86)\AVG\AVG2012\avgwdsvc.exe O23 - Service: BrYNSvc - Brother Industries, Ltd. - C:\Program Files (x86)\Browny02\BrYNSvc.exe O23 - Service: @%SystemRoot%\system32\efssvc.dll,-100 (EFS) - Unknown owner - C:\Windows\System32\lsass.exe (file missing) O23 - Service: Easybits Services for Windows (ezSharedSvc) - EasyBits Software AS - C:\Windows\System32\ezSharedSvcHost.exe O23 - Service: @%systemroot%\system32\fxsresm.dll,-118 (Fax) - Unknown owner - C:\Windows\system32\fxssvc.exe (file missing) O23 - Service: GameConsoleService - WildTangent, Inc. - C:\Program Files (x86)\HP Games\HP Game Console\GameConsoleService.exe O23 - Service: Google-oppdatering-tjenesten (gupdate) (gupdate) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe O23 - Service: Google-oppdatering-tjenesten (gupdatem) (gupdatem) - Google Inc. - C:\Program Files (x86)\Google\Update\GoogleUpdate.exe O23 - Service: HP Support Assistant Service - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe O23 - Service: HP Quick Synchronization Service (HPDrvMntSvc.exe) - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe O23 - Service: HP Software Framework Service (hpqwmiex) - Hewlett-Packard Company - C:\Program Files (x86)\Hewlett-Packard\Shared\hpqwmiex.exe O23 - Service: @keyiso.dll,-100 (KeyIso) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: LightScribeService Direct Disc Labeling Service (LightScribeService) - Hewlett-Packard Company - c:\Program Files (x86)\Common Files\LightScribe\LSSrvc.exe O23 - Service: LogMeIn Rescue (9e8f8453-c30c-4bc8-86fa-bae05d0dcf1c) (LMIRescue_9e8f8453-c30c-4bc8-86fa-bae05d0dcf1c) - LogMeIn, Inc. - C:\Users\Bruker\AppData\Local\LOGMEI~1\LMIR0001.tmp\LMI_Rescue_srv.exe O23 - Service: @comres.dll,-2797 (MSDTC) - Unknown owner - C:\Windows\System32\msdtc.exe (file missing) O23 - Service: @%SystemRoot%\System32\netlogon.dll,-102 (Netlogon) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: Norton Online Backup (NOBU) - Symantec Corporation - C:\Program Files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe O23 - Service: PDF Document Manager (pdfcDispatcher) - PDF Complete Inc - C:\Program Files (x86)\PDF Complete\pdfsvc.exe O23 - Service: @%systemroot%\system32\psbase.dll,-300 (ProtectedStorage) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%systemroot%\system32\Locator.exe,-2 (RpcLocator) - Unknown owner - C:\Windows\system32\locator.exe (file missing) O23 - Service: @%SystemRoot%\system32\samsrv.dll,-1 (SamSs) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\snmptrap.exe,-3 (SNMPTRAP) - Unknown owner - C:\Windows\System32\snmptrap.exe (file missing) O23 - Service: @%systemroot%\system32\spoolsv.exe,-1 (Spooler) - Unknown owner - C:\Windows\System32\spoolsv.exe (file missing) O23 - Service: @%SystemRoot%\system32\sppsvc.exe,-101 (sppsvc) - Unknown owner - C:\Windows\system32\sppsvc.exe (file missing) O23 - Service: @%SystemRoot%\system32\ui0detect.exe,-101 (UI0Detect) - Unknown owner - C:\Windows\system32\UI0Detect.exe (file missing) O23 - Service: @%SystemRoot%\system32\vaultsvc.dll,-1003 (VaultSvc) - Unknown owner - C:\Windows\system32\lsass.exe (file missing) O23 - Service: @%SystemRoot%\system32\vds.exe,-100 (vds) - Unknown owner - C:\Windows\System32\vds.exe (file missing) O23 - Service: @%systemroot%\system32\vssvc.exe,-102 (VSS) - Unknown owner - C:\Windows\system32\vssvc.exe (file missing) O23 - Service: vToolbarUpdater10.2.0 - Unknown owner - C:\Program Files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\10.2.0\ToolbarUpdater.exe O23 - Service: @%SystemRoot%\system32\Wat\WatUX.exe,-601 (WatAdminSvc) - Unknown owner - C:\Windows\system32\Wat\WatAdminSvc.exe (file missing) O23 - Service: @%systemroot%\system32\wbengine.exe,-104 (wbengine) - Unknown owner - C:\Windows\system32\wbengine.exe (file missing) O23 - Service: @%Systemroot%\system32\wbem\wmiapsrv.exe,-110 (wmiApSrv) - Unknown owner - C:\Windows\system32\wbem\WmiApSrv.exe (file missing) O23 - Service: @%PROGRAMFILES%\Windows Media Player\wmpnetwk.exe,-101 (WMPNetworkSvc) - Unknown owner - C:\Program Files (x86)\Windows Media Player\wmpnetwk.exe (file missing) -- End of file - 12945 bytes Her er log frå Combofix: ComboFix 12-03-29.02 - Bruker 29.03.2012 20:32:52.2.2 - x64 Microsoft Windows 7 Home Premium 6.1.7601.1.1252.47.1044.18.3839.2804 [GMT 2:00] Kjører fra: F:\ComboFix.exe AV: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {5A2746B1-DEE9-F85A-FBCD-ADB11639C5F0} SP: AVG Anti-Virus Free Edition 2012 *Disabled/Updated* {E146A755-F8D3-F7D4-C17D-96C36DBE8F4D} SP: Windows Defender *Disabled/Outdated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46} . . ((((((((((((((((((((((((((( Filer Opprettet Fra 2012-02-28 til 2012-03-29 ))))))))))))))))))))))))))))))))) . . 2012-03-29 18:39 . 2012-03-29 18:39 -------- d-----w- c:\users\Default\AppData\Local\temp 2012-03-29 15:41 . 2012-03-29 15:41 -------- d-----w- c:\users\Bruker\AppData\Roaming\Malwarebytes 2012-03-29 15:41 . 2012-03-29 15:41 -------- d-----w- c:\program files (x86)\Malwarebytes' Anti-Malware 2012-03-29 15:41 . 2012-03-29 15:41 -------- d-----w- c:\programdata\Malwarebytes 2012-03-29 15:41 . 2011-12-10 13:24 23152 ----a-w- c:\windows\system32\drivers\mbam.sys 2012-03-27 14:03 . 2012-03-27 14:03 -------- d-----w- c:\program files (x86)\IObit 2012-03-27 13:52 . 2012-03-27 13:52 -------- d-----w- c:\users\Bruker\AppData\Local\LogMeIn Rescue Applet 2012-03-25 13:58 . 2012-03-25 13:58 592824 ----a-w- c:\program files (x86)\Mozilla Firefox\gkmedias.dll 2012-03-25 13:58 . 2012-03-25 13:58 44472 ----a-w- c:\program files (x86)\Mozilla Firefox\mozglue.dll 2012-03-14 02:03 . 2011-11-19 15:20 5559152 ----a-w- c:\windows\system32\ntoskrnl.exe 2012-03-14 02:03 . 2011-11-19 14:50 3968368 ----a-w- c:\windows\SysWow64\ntkrnlpa.exe 2012-03-14 02:03 . 2011-11-19 14:50 3913584 ----a-w- c:\windows\SysWow64\ntoskrnl.exe 2012-03-13 21:26 . 2012-02-10 06:36 1544192 ----a-w- c:\windows\system32\DWrite.dll 2012-03-13 21:26 . 2012-02-10 05:38 1077248 ----a-w- c:\windows\SysWow64\DWrite.dll 2012-03-13 21:26 . 2012-02-03 04:34 3145728 ----a-w- c:\windows\system32\win32k.sys 2012-03-13 21:25 . 2012-01-25 06:38 77312 ----a-w- c:\windows\system32\rdpwsx.dll 2012-03-13 21:25 . 2012-01-25 06:38 149504 ----a-w- c:\windows\system32\rdpcorekmts.dll 2012-03-13 21:25 . 2012-01-25 06:33 9216 ----a-w- c:\windows\system32\rdrmemptylst.exe 2012-03-13 21:25 . 2012-02-17 06:38 1031680 ----a-w- c:\windows\system32\rdpcore.dll 2012-03-13 21:25 . 2012-02-17 05:34 826880 ----a-w- c:\windows\SysWow64\rdpcore.dll 2012-03-13 21:25 . 2012-02-17 04:58 210944 ----a-w- c:\windows\system32\drivers\rdpwd.sys 2012-03-13 21:25 . 2012-02-17 04:57 23552 ----a-w- c:\windows\system32\drivers\tdtcp.sys 2012-03-04 18:52 . 2012-03-04 18:52 -------- d-----w- c:\program files (x86)\Conduit 2012-03-04 18:52 . 2012-03-04 18:52 -------- d-----w- c:\users\Bruker\AppData\Local\Conduit 2012-03-04 18:52 . 2012-03-04 18:52 -------- d-----w- c:\program files (x86)\NCH_EN 2012-03-04 18:52 . 2012-03-04 18:52 -------- d-----w- c:\programdata\NCH Software 2012-03-04 18:52 . 2012-03-04 18:52 -------- d-----w- c:\program files (x86)\NCH Software 2012-03-04 18:52 . 2012-03-04 19:07 -------- d-----w- c:\users\Bruker\AppData\Roaming\NCH Software . . . (((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2012-01-17 08:29 . 2012-01-17 08:29 76800 ----a-w- c:\windows\SysWow64\SetIEInstalledDate.exe 2012-01-17 08:29 . 2012-01-17 08:29 74752 ----a-w- c:\windows\SysWow64\RegisterIEPKEYs.exe 2012-01-17 08:29 . 2012-01-17 08:29 48640 ----a-w- c:\windows\SysWow64\mshtmler.dll 2012-01-17 08:29 . 2012-01-17 08:29 161792 ----a-w- c:\windows\SysWow64\msls31.dll 2012-01-17 08:29 . 2012-01-17 08:29 110592 ----a-w- c:\windows\SysWow64\IEAdvpack.dll 2012-01-17 08:29 . 2012-01-17 08:29 86528 ----a-w- c:\windows\SysWow64\iesysprep.dll 2012-01-17 08:29 . 2012-01-17 08:29 74752 ----a-w- c:\windows\SysWow64\iesetup.dll 2012-01-17 08:29 . 2012-01-17 08:29 63488 ----a-w- c:\windows\SysWow64\tdc.ocx 2012-01-17 08:29 . 2012-01-17 08:29 367104 ----a-w- c:\windows\SysWow64\html.iec 2012-01-17 08:29 . 2012-01-17 08:29 23552 ----a-w- c:\windows\SysWow64\licmgr10.dll 2012-01-17 08:29 . 2012-01-17 08:29 152064 ----a-w- c:\windows\SysWow64\wextract.exe 2012-01-17 08:29 . 2012-01-17 08:29 150528 ----a-w- c:\windows\SysWow64\iexpress.exe 2012-01-17 08:29 . 2012-01-17 08:29 89088 ----a-w- c:\windows\system32\RegisterIEPKEYs.exe 2012-01-17 08:29 . 2012-01-17 08:29 420864 ----a-w- c:\windows\SysWow64\vbscript.dll 2012-01-17 08:29 . 2012-01-17 08:29 35840 ----a-w- c:\windows\SysWow64\imgutil.dll 2012-01-17 08:29 . 2012-01-17 08:29 142848 ----a-w- c:\windows\SysWow64\ieUnatt.exe 2012-01-17 08:29 . 2012-01-17 08:29 11776 ----a-w- c:\windows\SysWow64\mshta.exe 2012-01-17 08:29 . 2012-01-17 08:29 101888 ----a-w- c:\windows\SysWow64\admparse.dll 2012-01-17 08:29 . 2012-01-17 08:29 49664 ----a-w- c:\windows\system32\imgutil.dll 2012-01-17 08:29 . 2012-01-17 08:29 222208 ----a-w- c:\windows\system32\msls31.dll 2012-01-17 08:29 . 2012-01-17 08:29 173056 ----a-w- c:\windows\system32\ieUnatt.exe 2012-01-17 08:29 . 2012-01-17 08:29 12288 ----a-w- c:\windows\system32\mshta.exe 2012-01-17 08:29 . 2012-01-17 08:29 114176 ----a-w- c:\windows\system32\admparse.dll 2012-01-17 08:29 . 2012-01-17 08:29 91648 ----a-w- c:\windows\system32\SetIEInstalledDate.exe 2012-01-17 08:29 . 2012-01-17 08:29 85504 ----a-w- c:\windows\system32\iesetup.dll 2012-01-17 08:29 . 2012-01-17 08:29 76800 ----a-w- c:\windows\system32\tdc.ocx 2012-01-17 08:29 . 2012-01-17 08:29 48640 ----a-w- c:\windows\system32\mshtmler.dll 2012-01-17 08:29 . 2012-01-17 08:29 448512 ----a-w- c:\windows\system32\html.iec 2012-01-17 08:29 . 2012-01-17 08:29 30720 ----a-w- c:\windows\system32\licmgr10.dll 2012-01-17 08:29 . 2012-01-17 08:29 135168 ----a-w- c:\windows\system32\IEAdvpack.dll 2012-01-17 08:29 . 2012-01-17 08:29 111616 ----a-w- c:\windows\system32\iesysprep.dll 2012-01-17 08:29 . 2012-01-17 08:29 603648 ----a-w- c:\windows\system32\vbscript.dll 2012-01-17 08:29 . 2012-01-17 08:29 165888 ----a-w- c:\windows\system32\iexpress.exe 2012-01-17 08:29 . 2012-01-17 08:29 160256 ----a-w- c:\windows\system32\wextract.exe 2012-01-17 07:55 . 2009-07-14 02:36 152576 ----a-w- c:\windows\SysWow64\msclmd.dll 2012-01-17 07:55 . 2009-07-14 02:36 175616 ----a-w- c:\windows\system32\msclmd.dll 2012-01-04 10:44 . 2012-02-15 08:33 509952 ----a-w- c:\windows\system32\ntshrui.dll 2012-01-04 08:58 . 2012-02-15 08:33 442880 ----a-w- c:\windows\SysWow64\ntshrui.dll . . ((((((((((((((((((((((((((((( SnapShot@2012-03-29_16.07.05 ))))))))))))))))))))))))))))))))))))))))) . - 2009-07-14 04:54 . 2012-03-29 16:06 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat + 2009-07-14 04:54 . 2012-03-29 18:40 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Roaming\Microsoft\Windows\Cookies\index.dat - 2009-07-14 04:54 . 2012-03-29 16:06 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat + 2009-07-14 04:54 . 2012-03-29 18:40 32768 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat - 2009-07-14 04:54 . 2012-03-29 16:06 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat + 2009-07-14 04:54 . 2012-03-29 18:40 16384 c:\windows\SysWOW64\config\systemprofile\AppData\Local\Microsoft\Windows\History\History.IE5\index.dat + 2011-05-19 13:41 . 2012-03-29 18:19 47136 c:\windows\system32\wdi\ShutdownPerformanceDiagnostics_SystemData.bin + 2009-07-14 05:10 . 2012-03-29 18:19 37332 c:\windows\system32\wdi\BootPerformanceDiagnostics_SystemData.bin + 2011-05-19 13:16 . 2012-03-29 18:19 13236 c:\windows\system32\wdi\{86432a0b-3c7d-4ddf-a89c-172faa90485d}\S-1-5-21-3250107626-1042971914-2343422995-1000_UserData.bin - 2011-02-01 18:56 . 2012-03-29 15:55 77234 c:\windows\system32\perfc014.dat + 2011-02-01 18:56 . 2012-03-29 18:21 77234 c:\windows\system32\perfc014.dat + 2012-03-29 18:39 . 2012-03-29 18:39 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat - 2012-03-29 16:06 . 2012-03-29 16:06 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive1.dat + 2012-03-29 18:39 . 2012-03-29 18:39 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat - 2012-03-29 16:06 . 2012-03-29 16:06 2048 c:\windows\ServiceProfiles\LocalService\AppData\Local\lastalive0.dat - 2011-02-01 18:56 . 2012-03-29 15:55 456728 c:\windows\system32\perfh014.dat + 2011-02-01 18:56 . 2012-03-29 18:21 456728 c:\windows\system32\perfh014.dat - 2009-07-14 02:36 . 2012-03-29 15:55 616032 c:\windows\system32\perfh009.dat + 2009-07-14 02:36 . 2012-03-29 18:21 616032 c:\windows\system32\perfh009.dat + 2009-07-14 02:36 . 2012-03-29 18:21 106412 c:\windows\system32\perfc009.dat - 2009-07-14 02:36 . 2012-03-29 15:55 106412 c:\windows\system32\perfc009.dat - 2009-07-14 05:01 . 2012-03-29 16:05 390680 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat + 2009-07-14 05:01 . 2012-03-29 18:39 390680 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-System.dat - 2011-05-19 13:38 . 2012-03-29 16:05 2805140 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3250107626-1042971914-2343422995-1000-8192.dat + 2011-05-19 13:38 . 2012-03-29 18:39 2805140 c:\windows\ServiceProfiles\LocalService\AppData\Local\FontCache-S-1-5-21-3250107626-1042971914-2343422995-1000-8192.dat . (((((((((((((((((((((((((((((((( Oppstartspunkter I Registeret ))))))))))))))))))))))))))))))))))))))))))))) . . *Merk* tomme oppføringer & gyldige standardoppføringer vises ikke REGEDIT4 . [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\URLSearchHooks] "{37483b40-c254-4a72-bda4-22ee90182c1e}"= "c:\program files (x86)\NCH_EN\prxtbNCH_.dll" [2011-05-09 176936] . [HKEY_CLASSES_ROOT\clsid\{37483b40-c254-4a72-bda4-22ee90182c1e}] . [HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{37483b40-c254-4a72-bda4-22ee90182c1e}] 2011-05-09 08:49 176936 ----a-w- c:\program files (x86)\NCH_EN\prxtbNCH_.dll . [HKEY_LOCAL_MACHINE\Wow6432Node\~\Browser Helper Objects\{95B7759C-8C7F-4BF1-B163-73684A933233}] 2012-03-12 23:33 1869152 ----a-w- c:\program files (x86)\AVG Secure Search\10.2.0.3\AVG Secure Search_toolbar.dll . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Internet Explorer\Toolbar] "{95B7759C-8C7F-4BF1-B163-73684A933233}"= "c:\program files (x86)\AVG Secure Search\10.2.0.3\AVG Secure Search_toolbar.dll" [2012-03-12 1869152] "{37483b40-c254-4a72-bda4-22ee90182c1e}"= "c:\program files (x86)\NCH_EN\prxtbNCH_.dll" [2011-05-09 176936] . [HKEY_CLASSES_ROOT\clsid\{95b7759c-8c7f-4bf1-b163-73684a933233}] [HKEY_CLASSES_ROOT\AVG Secure Search.PugiObj.1] [HKEY_CLASSES_ROOT\AVG Secure Search.PugiObj] . [HKEY_CLASSES_ROOT\clsid\{37483b40-c254-4a72-bda4-22ee90182c1e}] . [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "DAEMON Tools Lite"="c:\program files (x86)\DAEMON Tools Lite\DTLite.exe" [2011-01-20 1305408] "LightScribe Control Panel"="c:\program files (x86)\Common Files\LightScribe\LightScribeControlPanel.exe" [2010-05-19 2736128] "Skype"="c:\program files (x86)\Skype\Phone\Skype.exe" [2010-05-07 26211624] . [HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run] "StartCCC"="c:\program files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" [2010-02-03 98304] "PDF Complete"="c:\program files (x86)\PDF Complete\pdfsty.exe" [2009-10-14 563736] "Norton Online Backup"="c:\program files (x86)\Symantec\Norton Online Backup\NOBuClient.exe" [2010-06-01 1155928] "HP Software Update"="c:\program files (x86)\HP\HP Software Update\HPWuSchd2.exe" [2008-12-08 54576] "Microsoft Default Manager"="c:\program files (x86)\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe" [2010-05-10 439568] "Easybits Recovery"="c:\program files (x86)\EasyBits For Kids\ezRecover.exe" [2010-04-25 61112] "AVG_TRAY"="c:\program files (x86)\AVG\AVG2012\avgtray.exe" [2012-01-24 2416480] "BrMfcWnd"="c:\program files (x86)\Brother\Brmfcmon\BrMfcWnd.exe" [2009-05-26 1159168] "ControlCenter3"="c:\program files (x86)\Brother\ControlCenter3\brctrcen.exe" [2008-12-24 114688] "SunJavaUpdateSched"="c:\program files (x86)\Common Files\Java\Java Update\jusched.exe" [2011-06-09 254696] "Adobe ARM"="c:\program files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [2012-01-03 843712] "GrooveMonitor"="c:\program files (x86)\Microsoft Office\Office12\GrooveMonitor.exe" [2009-02-26 30040] "vProt"="c:\program files (x86)\AVG Secure Search\vprot.exe" [2012-03-12 982880] "ROC_roc_dec12"="c:\program files (x86)\AVG Secure Search\ROC_roc_dec12.exe" [2012-01-19 928096] "Family Tree Builder Update"="c:\program files (x86)\MyHeritage\Bin\FTBCheckUpdates.exe" [2011-12-21 229376] "BrStsMon00"="c:\program files (x86)\Browny02\Brother\BrStMonW.exe" [2010-02-09 2621440] . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\system] "ConsentPromptBehaviorAdmin"= 5 (0x5) "ConsentPromptBehaviorUser"= 3 (0x3) "EnableUIADesktopToggle"= 0 (0x0) . [HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\policies\explorer] "EnableShellExecuteHooks"= 1 (0x1) . [hkey_local_machine\software\Wow6432Node\microsoft\windows\currentversion\explorer\ShellExecuteHooks] . [HKEY_LOCAL_MACHINE\software\wow6432node\microsoft\windows nt\currentversion\drivers32] "aux"=wdmaud.drv . [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager] BootExecute REG_MULTI_SZ autocheck autochk *\0c:\progra~2\AVG\AVG2012\avgrsa.exe /sync /restart . [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\lsa] Security Packages REG_MULTI_SZ kerberos msv1_0 schannel wdigest tspkg pku2u livessp . R2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;c:\windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-03-18 130384] R2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;c:\windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-03-18 138576] R2 gupdate;Google-oppdatering-tjenesten (gupdate);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-09-10 136176] R2 HP Support Assistant Service;HP Support Assistant Service;c:\program files (x86)\Hewlett-Packard\HP Support Framework\hpsa_service.exe [2011-09-09 86072] R3 ALSysIO;ALSysIO;c:\users\Bruker\AppData\Local\Temp\ALSysIO64.sys [x] R3 AmUStor;AM USB Stroage Driver;c:\windows\system32\drivers\AmUStor.SYS [x] R3 AVG Security Toolbar Service;AVG Security Toolbar Service;c:\program files (x86)\AVG\AVG10\Toolbar\ToolbarBroker.exe [2011-05-30 1025352] R3 BrYNSvc;BrYNSvc;c:\program files (x86)\Browny02\BrYNSvc.exe [2010-01-25 245760] R3 gupdatem;Google-oppdatering-tjenesten (gupdatem);c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-09-10 136176] R3 RSUSBSTOR;RtsUStor.Sys Realtek USB Card Reader;c:\windows\system32\Drivers\RtsUStor.sys [x] R3 TsUsbFlt;TsUsbFlt;c:\windows\system32\drivers\tsusbflt.sys [x] R3 WatAdminSvc;Windows Activation Technologies Service;c:\windows\system32\Wat\WatAdminSvc.exe [x] S0 AVGIDSEH;AVGIDSEH;c:\windows\system32\DRIVERS\AVGIDSEH.Sys [x] S0 Avgrkx64;AVG Anti-Rootkit Driver;c:\windows\system32\DRIVERS\avgrkx64.sys [x] S0 SMR162;Symantec SMR Utility Service 1.6.2;c:\windows\System32\drivers\SMR162.SYS [x] S1 Avgldx64;AVG AVI Loader Driver;c:\windows\system32\DRIVERS\avgldx64.sys [x] S1 Avgmfx64;AVG Mini-Filter Resident Anti-Virus Shield;c:\windows\system32\DRIVERS\avgmfx64.sys [x] S1 Avgtdia;AVG TDI Driver;c:\windows\system32\DRIVERS\avgtdia.sys [x] S1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;c:\windows\system32\DRIVERS\dtsoftbus01.sys [x] S2 AdobeARMservice;Adobe Acrobat Update Service;c:\program files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe [2012-01-03 63928] S2 AMD External Events Utility;AMD External Events Utility;c:\windows\system32\atiesrxx.exe [x] S2 AVGIDSAgent;AVGIDSAgent;c:\program files (x86)\AVG\AVG2012\AVGIDSAgent.exe [2011-10-12 4433248] S2 avgwd;AVG WatchDog;c:\program files (x86)\AVG\AVG2012\avgwdsvc.exe [2011-08-02 192776] S2 HPDrvMntSvc.exe;HP Quick Synchronization Service;c:\program files (x86)\Hewlett-Packard\Shared\HPDrvMntSvc.exe [2011-03-28 94264] S2 LMIRescue_9e8f8453-c30c-4bc8-86fa-bae05d0dcf1c;LogMeIn Rescue (9e8f8453-c30c-4bc8-86fa-bae05d0dcf1c);c:\users\Bruker\AppData\Local\LOGMEI~1\LMIR0001.tmp\LMI_Rescue_srv.exe [2012-03-27 2471296] S2 NOBU;Norton Online Backup;c:\program files (x86)\Symantec\Norton Online Backup\NOBuAgent.exe SERVICE [x] S2 pdfcDispatcher;PDF Document Manager;c:\program files (x86)\PDF Complete\pdfsvc.exe [2009-10-14 635416] S2 vToolbarUpdater10.2.0;vToolbarUpdater10.2.0;c:\program files (x86)\Common Files\AVG Secure Search\vToolbarUpdater\10.2.0\ToolbarUpdater.exe [2012-03-12 918880] S3 amdkmdag;amdkmdag;c:\windows\system32\DRIVERS\atipmdag.sys [x] S3 amdkmdap;amdkmdap;c:\windows\system32\DRIVERS\atikmpag.sys [x] S3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\DRIVERS\AVGIDSDriver.Sys [x] S3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\DRIVERS\AVGIDSFilter.Sys [x] S3 RTL8167;Realtek 8167 NT Driver;c:\windows\system32\DRIVERS\Rt64win7.sys [x] S3 usbfilter;AMD USB Filter Driver;c:\windows\system32\DRIVERS\usbfilter.sys [x] . . Innholdet i mappen 'Scheduled Tasks' (planlagte oppgaver) . 2012-03-29 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-09-10 18:06] . 2012-03-29 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job - c:\program files (x86)\Google\Update\GoogleUpdate.exe [2011-09-10 18:06] . 2012-03-14 c:\windows\Tasks\HPCeeScheduleForBRUKER-HP$.job - c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2010-09-14 06:15] . 2012-03-27 c:\windows\Tasks\HPCeeScheduleForBruker.job - c:\program files (x86)\Hewlett-Packard\HP Ceement\HPCEE.exe [2010-09-14 06:15] . . --------- x86-64 ----------- . . [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "FullScreen"="c:\block\CFG\flexbuild\FullScreen\launchFS.cmd" [bU] "hpsysdrv"="c:\program files (x86)\hewlett-packard\HP odometer\hpsysdrv.exe" [2008-11-20 62768] . ------- Tilleggsskanning ------- . uStart Page = hxxp://search.conduit.com?SearchSource=10&ctid=CT2801948 uLocal Page = c:\windows\system32\blank.htm mLocal Page = c:\windows\SysWOW64\blank.htm IE: E&ksporter til Microsoft Excel - c:\progra~2\MICROS~1\Office12\EXCEL.EXE/3000 IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office14\EXCEL.EXE/3000 IE: Se&nd to OneNote - c:\progra~1\MICROS~2\Office14\ONBttnIE.dll/105 TCP: DhcpNameServer = 193.213.112.4 130.67.15.198 Handler: viprotocol - {B658800C-F66E-4EF3-AB85-6C0C227862A9} - c:\program files (x86)\Common Files\AVG Secure Search\ViProtocolInstaller\10.2.0\ViProtocol.dll FF - ProfilePath - c:\users\Bruker\AppData\Roaming\Mozilla\Firefox\Profiles\gm0yrbk8.default\ FF - prefs.js: browser.search.defaulturl - hxxp://search.conduit.com/ResultsExt.aspx?ctid=CT2801948&SearchSource=3&q={searchTerms} FF - prefs.js: browser.search.selectedEngine - NCH EN Customized Web Search FF - prefs.js: browser.startup.homepage - hxxp://search.conduit.com/?ctid=CT2801948&SearchSource=13 FF - prefs.js: keyword.URL - hxxp://isearch.avg.com/search?cid=%7B577cd073-eec5-4689-a74c-a5bd3cb4be78%7D&mid=45febbc89b9947d1aba0b57816a549ed-1a3e46a6a97d990a99bcf6433f19adf03bdb2ab8&ds=AVG&v=10.0.0.7&lang=en&pr=fr&d=2011-10-26%2007%3A51%3A04&sap=ku&q= . - - - - TOMME PEKERE FJERNET - - - - . Toolbar-{CCC7A320-B3CA-4199-B1A6-9F516DD69829} - (no file) WebBrowser-{E7DF6BFF-55A5-4EB7-A673-4ED3E9456D39} - (no file) . . . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\pdfcDispatcher] "ImagePath"="c:\program files (x86)\PDF Complete\pdfsvc.exe /startedbyscm:66B66708-40E2BE4D-pdfcService" . --------------------- LÅSTE REGISTERNØKLER --------------------- . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}] @Denied: (A 2) (Everyone) @="FlashBroker" "LocalizedString"="@c:\\Windows\\system32\\Macromed\\Flash\\FlashUtil10d.exe,-101" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\Elevation] "Enabled"=dword:00000001 . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\LocalServer32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\FlashUtil10d.exe" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{19114156-8E9A-4D4E-9EE9-17A0E48D3BBB}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Shockwave Flash Object" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10d.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\MiscStatus] @="0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ProgID] @="ShockwaveFlash.ShockwaveFlash.10" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10d.ocx, 1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB6E-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="ShockwaveFlash.ShockwaveFlash" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}] @Denied: (A 2) (Everyone) @="Macromedia Flash Factory Object" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\InprocServer32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10d.ocx" "ThreadingModel"="Apartment" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ProgID] @="FlashFactory.FlashFactory.1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\ToolboxBitmap32] @="c:\\Windows\\SysWow64\\Macromed\\Flash\\Flash10d.ocx, 1" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\TypeLib] @="{D27CDB6B-AE6D-11cf-96B8-444553540000}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\Version] @="1.0" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\CLSID\{D27CDB70-AE6D-11cf-96B8-444553540000}\VersionIndependentProgID] @="FlashFactory.FlashFactory" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}] @Denied: (A 2) (Everyone) @="IFlashBroker3" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\ProxyStubClsid32] @="{00020424-0000-0000-C000-000000000046}" . [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\Wow6432Node\Interface\{1D4C8A81-B7AC-460A-8C23-98713C41D6B3}\TypeLib] @="{FAB3E735-69C7-453B-A446-B6823C6DF1C9}" "Version"="1.0" . [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\PCW\Security] @Denied: (Full) (Everyone) . ------------------------ Andre Kjørende Prosesser ------------------------ . c:\windows\SysWOW64\ezSharedSvcHost.exe c:\program files (x86)\Common Files\LightScribe\LSSrvc.exe c:\program files (x86)\Microsoft\Search Enhancement Pack\SeaPort\SeaPort.exe c:\users\Bruker\AppData\Local\LOGMEI~1\LMIR0001.tmp\LMI_Rescue.exe . ************************************************************************** . Tidspunkt ferdig: 2012-03-29 20:44:47 - maskinen ble startet på nytt ComboFix-quarantined-files.txt 2012-03-29 18:44 ComboFix2.txt 2012-03-29 16:11 . Pre-Run: 659 924 127 744 byte ledig Post-Run: 659 621 093 376 byte ledig . - - End Of File - - 719440402A5931A8C53FED4E23EAC32B log Combofix.txt Endret 29. mars 2012 av afirm Lenke til kommentar
Dr.Geek Skrevet 31. mars 2012 Del Skrevet 31. mars 2012 (endret) Hei, Dette ang. MBR "virus"; Ser mange her glemmer at den ligger i MBR som faktisk ligger på harddisken. Så lenge TS putter i windowsplata og wiper harddisken skal MBR bli borte og ikke lenger ha den oppføringen. @ Leifein18; RAM sletter all data den har på seg hvis dem mister strømmen. Hvis du bare hadde latt dataen din stå strømtom i ca 30 sekunder så ville det fungert. (Men har aldri hørt om malware som lagrer seg i RAM etter at dataen har skrudd seg av så tviler på at det faktisk var tilfellet) Om TS har lyst til å slippe å formatere harddisken kan du si ifra også skal du få de nødvendige skrittene for å få fjernet dette. ~ Submit Lol. Det alltid like more å lese kommentarer fra folk her. 1. Det finnes ikke noe Ram virus. Det finnes Bios virus som kan fjernes gjennom å resette Bios. 2. Nei, MBR Rootkits blir ikke borte "Så lenge TS putter i windowsplata og wiper harddisken skal MBR bli borte og ikke lenger ha den oppføringen." Malware MBR code fjernes gjennom å skrive MBR på nytt enten med spesial programmer eller Windows-CDen. Å formatere alene hjelper ikke da overlever MBR Malware. @afirm: Hvorfor i granskaugen skal Databutikken skifte ut Hardware i dataen??? Enten prøver de drar mest penger ut av dette eller...hmm. Post meg føgende logs så skal vi se på hva som virkelig er saken her: http://www.malwarebytes.org/ (free, full scan) http://www.surfright.nl/en http://support.kaspe.../?qid=208280684 Her kjører det en remote forbindelse:c:\users\Bruker\AppData\Local\LOGMEI~1\LMIR0001.tmp\LMI_Rescue. https://secure.logmeinrescue.com/ Endret 31. mars 2012 av TheGenius Lenke til kommentar
GeirGrusom Skrevet 31. mars 2012 Del Skrevet 31. mars 2012 Lol. Det alltid like more å lese kommentarer fra folk her. 1. Det finnes ikke noe Ram virus. Det finnes Bios virus som kan fjernes gjennom å resette Bios. 2. Nei, MBR Rootkits blir ikke borte "Så lenge TS putter i windowsplata og wiper harddisken skal MBR bli borte og ikke lenger ha den oppføringen." Malware MBR code fjernes gjennom å skrive MBR på nytt enten med spesial programmer eller Windows-CDen. Å formatere alene hjelper ikke da overlever MBR Malware. @afirm: Hvorfor i granskaugen skal Databutikken skifte ut Hardware i dataen??? Enten prøver de drar mest penger ut av dette eller...hmm. Post meg føgende logs så skal vi se på hva som virkelig er saken her: http://www.malwarebytes.org/ (free, full scan) http://www.surfright.nl/en http://support.kaspe.../?qid=208280684 Her kjører det en remote forbindelse:c:\users\Bruker\AppData\Local\LOGMEI~1\LMIR0001.tmp\LMI_Rescue. https://secure.logmeinrescue.com/ 1. Neppe. Du kan ikke resette BIOS: det er en ROM brikke (vanligvis FLASH eller EEPROM) med et ikke-portabelt program skrevet spesielt for maskinvaren på hovedkortet, som varierer helt vilt mye fra hovedkort til hovedkort. Lenke til kommentar
Malvado Skrevet 31. mars 2012 Del Skrevet 31. mars 2012 (endret) Geirgrusom : Host hark *CIH* var et Virus som kunne skade bios. Ellers så er det teknisk mulig å lage et virus som kan infisere en bios rom chip , bør være noe enklere i dag siden de største leverandørene av hovedkort (asus, gigabyte etc) har levert toolkits som faktisk tillater å skrive direkte til Bios fra Windows. Om den nye UEFI standaren kommer til å gjøre dette mer vanlig gjenstår å se... Med andre ord, skal man fjerne en infisert Bios må man skrive til den på nytt. Endret 31. mars 2012 av Malvado Lenke til kommentar
GeirGrusom Skrevet 31. mars 2012 Del Skrevet 31. mars 2012 (endret) Geirgrusom : Host hark *CIH* var et Virus som kunne skade bios. Ellers så er det teknisk mulig å lage et virus som kan infisere en bios rom chip , bør være noe enklere i dag siden de største leverandørene av hovedkort (asus, gigabyte etc) har levert toolkits som faktisk tillater å skrive direkte til Bios fra Windows. Om den nye UEFI standaren kommer til å gjøre dette mer vanlig gjenstår å se... Med andre ord, skal man fjerne en infisert Bios må man skrive til den på nytt. CIH slettet BIOS, eller ødela den. Stor forskjell. Det var payloaden til CIH som var et helt vanlig virus. Du kunne ikke deretter "resette" BIOS: du måtte reprogrammere EEPROM brikken som BIOS inneholder. Endret 31. mars 2012 av GeirGrusom Lenke til kommentar
Dr.Geek Skrevet 31. mars 2012 Del Skrevet 31. mars 2012 (endret) 1. Neppe. Du kan ikke resette BIOS: det er en ROM brikke (vanligvis FLASH eller EEPROM) med et ikke-portabelt program skrevet spesielt for maskinvaren på hovedkortet, som varierer helt vilt mye fra hovedkort til hovedkort. Lol. http://blog.webroot....it-in-the-wild/ http://www.ehow.com/...os-viruses.html http://www.ehow.com/...bios-virus.html bare noen eksempler... Endret 31. mars 2012 av TheGenius Lenke til kommentar
GeirGrusom Skrevet 1. april 2012 Del Skrevet 1. april 2012 (endret) Snedig. Men det var ikke noen eksempler, det var ett. Men jeg tok feil. Bortsett fra at du ikke kan resette BIOS fordi det er en FLASH eller EEPROM brikke. Endret 1. april 2012 av GeirGrusom Lenke til kommentar
Malvado Skrevet 1. april 2012 Del Skrevet 1. april 2012 (endret) Kan til og med gjøres fra Windows : http://techdows.com/...e-animator.html Tror du må oppdatere kunnskapene dine litt Geir. Edit : Ikke at det nødvendigvis fjerner viruset , men ved å skrive til BIOS med en firmware så kan man i de fleste tilfeller få fjernet viruset. Endret 1. april 2012 av Malvado Lenke til kommentar
GeirGrusom Skrevet 2. april 2012 Del Skrevet 2. april 2012 (endret) Du må skrive inn ny firmware ja. Det er et rootkit, så hensikten med BIOS saken er sannsynligvis å skjule malwaren, eller hindre den fra å bli fjernet. BIOS blir som kjent kopiert inn i det nederste delen av RAM-en under oppstart av PC-en. Det må være utrolig upraktisk dog, fordi den må ikke forstyrre det BIOS skal gjøre i utgangspunktet, som er kommunikasjon med en rekke forskjellige enheter på helt grunnleggende I/O nivå. edit: når jeg leser om dette, er det også langt ifra vanlig. Det er få dokumenterte tilfeller av BIOS malware. Endret 2. april 2012 av GeirGrusom Lenke til kommentar
GoldenBoy Skrevet 12. april 2012 Del Skrevet 12. april 2012 det samme har skjedd her i heimen. min mor gikk 5 på, så jeg driver nå å formaterer pc. det jeg lurer på er om det er mulig at de har fått tak i nettbank koder og lignende? nettbank har ikke blitt brukt etter at de var inne på dataen. vi har også en laptop som er koblet opp til samme nettverket er det noen mulighet at den har blitt infisert med noe lureri av samme folka? denne var da slått av mens de drev på. hu gikk også innpå western union for å overføre noe penger for programvaren som skulle "reparer" alle sikkerhetsfeila og skrev inn kortnummer på westernunion sia. Overføringen gikk heldigvis ikke gjennom. Dette har jo helt sikkert hackerne sett så de har fått med seg kortnummer (ikke kontonummer), så er det mulig at de kan få stjålet noe penger med denne informasjonen? ps. vil formatering av pc slette alle programmer de har lagt til?? håper virkelig det. Lenke til kommentar
Zorgeir Skrevet 24. april 2012 Del Skrevet 24. april 2012 (endret) Det har blitt skrevet litt foskjellig her nå, men jeg skal prøve å oppsumere litt. 1. Holdmaskinen borte fra innternett til den er blitt "ren igjen" 2. Hver rask til å endre passord på nettbank/mail og alle andre passord som kan være lagret på datamaskinen. Eer ikke sikert det har gått etter noe anet enn nettbank men det skader aldrig å endre passord.) 3. Du kan ikke få virus i RAM, alt som lagrs i slettes hver gang marskinen blir skrudd av. 4. Det er VIKTIG å huske forskjellen på å reinstallere og å formatere. Om bare setter i Windows DVD'en og reinnstalerer blir filene fortsatt liggende på disken. Det er også viktig og ta en "full formatering" og ikke "Hurtig formatering(det er litt forskjel på hva det kalles)" *merk: Er ikke sikert det kreves å Formatere/reinnstalere, men "better safe than sorry". Spesielt om datamaskinen brukes til nettbank. Endret 24. april 2012 av Zorgeir Lenke til kommentar
sogndal94 Skrevet 15. mai 2012 Del Skrevet 15. mai 2012 Endå ein gløppar, som datainstituttet har prøvd lure, ser eg. Dei driv med cowboy virksomheit, dei selde to 5 år(ish) gamle pcar som dei hadde på lager med singel core cpu, 80 gb hdd og 1 gb ram, og Windows 7 basic til ein gammal mann og ei gammal dame som vi hadde kurs for på frivillighetssentralen. triste greie. men mitt råd vil vere å reformatere maskina, spesielt i og med at det blir brukt itl nett bank. ser saka er nesten 3 veke gammal, men legge den inn uansett, slik at andre kan bli advara mot datainstituttet. Lenke til kommentar
Ar`Kritz Skrevet 15. mai 2012 Del Skrevet 15. mai 2012 Det er vel ikke snakk om denne siden? Det er uansett noe av det verste jeg har sett på Internett på minst 10 år. Lenke til kommentar
Malvado Skrevet 17. mai 2012 Del Skrevet 17. mai 2012 (endret) Ser ut som denne typen for lureri har tatt helt av, 3 / 3 som jeg jobber hos som personlig assistent og som er avhengig av fasttelefon har blitt oppringt... 1 Lot seg ikke lure , 2 hadde ikke pc (blinde brukere) som de brukte selv... Endret 17. mai 2012 av Malvado Lenke til kommentar
Jonic Skrevet 17. mai 2012 Del Skrevet 17. mai 2012 Skjønner ikke alt folk at så naive. Kilde Lenke til kommentar
droidy Skrevet 17. mai 2012 Del Skrevet 17. mai 2012 (endret) [..] Det er også viktig og ta en "full formatering" og ikke "Hurtig formatering(det er litt forskjel på hva det kalles)" "Quick format" / "hurtigformatering" duger vel lenge? Alt den gjør i tillegg ved fullformatering er jo å sjekke for dårlige sektorer.. --- Angående "Data Insituttet" - og påstanden om at RAM-en måtte byttes (what the fuck?), sånne luringer gjør meg eitrende forbanna. Hadde jeg vært en av de sure og streikende bøndene på "brødjakt", i Sogn og Fjordane, så kunne jeg kommet til å deise en høyball inn i lokalet til disse tullingene/svindlerne. Nettsiden ser forøvrig ut som den er lagd på 90-tallet, av en eller annen blind pissetrengt suppegjøk. Det kan høres krast ut, men når de tydeligvis ikke klarer å lage bedre - har de ingen rett til å kalle seg for et institutt, eller hevde at de har særlig til greie på datamaskiner og Internett. (For å gi hjelp, og beskytte mot Internett-svindel, må man i utgangspunktet først vite hvordan noe faktisk fungerer..) EDIT: Brukere med dårlig peiling på data (som moren til trådstarter), burde kun benytte kontoer uten administrasjonsrettigheter! Da er man litt mer "idiotsikret".. Endret 17. mai 2012 av droidy Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå