Fått Viruset wvutrpp.dll, Pcen funker nesten ikke

[BLU3kp]

hei, fikk nettopp et virus på pcen. Viruset heter wvutrpp.dll. Det funker ikke å fjerne det med Norton Antivirus, for der står det "Unable to Repair" og jeg har prøvd å slette filen også, men filen ligger i system32 mappa. Da jeg prøvde å slette det, så kom det at det var programmer som var i bruk elns, det gikk ikke an å slette det. Har prøvd Systemgjennoppretning, men det har endt med at det stod "ufullført" at ingen endringer var blitt gjort osv!

 

Hva skal jeg gjøre? Har ikke formatert ennå, for jeg vet ikke hvordan jeg skal gjøre det

, har en Packard Bell pc btw, fra Elkjøp

 

MVH en som trenger hjelp

Endret 17. juni 2007 av gattuso

[norbat]

Hei, gattuso

 

Last ned Vundofix, start programmet og klikk "Scan for Vundo"-knappen.

Når programmet er kjørt ferdig, klikker du på knappen "Remove vundo".

 

deretter last du ned SAS, installer, oppdater og kjør en full (Complete) scan.

 

Når SAS er ferdig og etter restart:

 

Last ned Hijackthis. Legg det i en egen mappe på skrivebordet.

Start programmet, velg "Do a system scan and save a logfile".

 

Loggfilen kopierer du og poster sammen med loggen fra SAS (preferences->statistics/logs) og Vundofix-loggen (C:\vundofix.txt)

Endret 17. juni 2007 av norbat

[BLU3kp]

Hei, gattuso

 

Last ned Vundofix, start programmet og klikk "Scan for Vundo"-knappen.

Når programmet er kjørt ferdig, klikker du på knappen "Remove vundo".

 

deretter last du ned SAS, installer, oppdater og kjør en full (Complete) scan.

 

Når SAS er ferdig og etter restart:

 

Last ned Hijackthis. Legg det i en egen mappe på skrivebordet.

Start programmet, velg "Do a system scan and save a logfile".

 

Loggfilen kopierer du og poster sammen med loggen fra SAS (preferences->statistics/logs) og Vundofix-loggen (C:\vundofix.txt)

8882390[/snapback]

 

 

Jeg skjønte ikke helt hva du mente med den siste delen... den med loggen.. men har nå kjørt vundofix, og den har funnet en del virus. men har ikke fjernet alle sammen...

 

og btw, det funka ikke å installere SAS, fordi jeg kjører i sikkermodus. PCen går så utrolig treigt når den skal starte vanlig, det funker ikke!

Endret 17. juni 2007 av gattuso

[norbat]

SAS må nok installeres i normal tilstand (men scanningen kan tas i sikker modus).

 

Uansett, se om du får laget en logg vha. hijackthis (se tidligere post for linkt)

[BLU3kp]

SAS må nok installeres i normal tilstand (men scanningen kan tas i sikker modus).

 

Uansett, se om du får laget en logg vha. hijackthis (se tidligere post for linkt)

8882716[/snapback]

 

 

hm har en logg på skrivebordet som heter hijackthis, hva skal jeg med loggen? Men det er jo umulig å installere SAS i normal tilstand. jeg får ikke gjort noe da...

Endret 17. juni 2007 av gattuso

[norbat]

Kopier innholdet i loggen og lim den inn her.

[BLU3kp]

SAS må nok installeres i normal tilstand (men scanningen kan tas i sikker modus).

 

Uansett, se om du får laget en logg vha. hijackthis (se tidligere post for linkt)

8882716[/snapback]

 

Logfile of Trend Micro HijackThis v2.0.0 (BETA)

Scan saved at 19:54:57, on 17.06.2007

Platform: Windows XP SP2 (WinNT 5.01.2600)

Boot mode: Safe mode with network support

 

Running processes:

C:\WINDOWS\System32\smss.exe

C:\WINDOWS\system32\winlogon.exe

C:\WINDOWS\system32\services.exe

C:\WINDOWS\system32\lsass.exe

C:\WINDOWS\system32\svchost.exe

C:\WINDOWS\system32\svchost.exe

C:\Apps\Softex\OmniPass\OPXPApp.exe

C:\WINDOWS\Explorer.EXE

C:\Programfiler\Mozilla Firefox\firefox.exe

C:\Programfiler\WinRAR\WinRAR.exe

D:\Documents and Settings\Administrator\Skrivebord\HiJackThis_v2.exe

 

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Bar = http://us.rd.yahoo.com/customize/ie/defaul...rch/search.html

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896

R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Koblinger

O2 - BHO: Yahoo! Toolbar Helper - {02478D38-C3F9-4EFB-9B51-7695ECA05670} - C:\Programfiler\Yahoo!\Companion\Installs\cpn\yt.dll

O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll

O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programfiler\Spybot - Search & Destroy\SDHelper.dll

O2 - BHO: Malicious Scripts Scanner - {55EA1964-F5E4-4D6A-B9B2-125B37655FCB} - D:\Documents and Settings\All Users\Programdata\Prevx\pxbho.dll

O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\system32\yvwluwmf.dll (file missing)

O2 - BHO: Yahoo! IE Services Button - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programfiler\Yahoo!\Common\yiesrvc.dll

O2 - BHO: (no name) - {8A61098D-612B-4EF2-943D-64E920684061} - C:\WINDOWS\system32\wvutrpp.dll

O2 - BHO: (no name) - {8D7D6EE4-74A9-441E-9508-6739310CBC82} - C:\WINDOWS\system32\ssqrq.dll

O2 - BHO: NAV Helper - {BDF3E430-B101-42AD-A544-FADC6B084872} - C:\Programfiler\Norton AntiVirus\NavShExt.dll

O2 - BHO: (no name) - {E1F1F282-8354-4C67-B44E-42B76C56B912} - C:\WINDOWS\system32\jdulurpy.dll

O3 - Toolbar: Yahoo! Toolbar - {EF99BD32-C1FB-11D2-892F-0090271D4F88} - C:\Programfiler\Yahoo!\Companion\Installs\cpn\yt.dll

O3 - Toolbar: Norton AntiVirus - {42CDD1BF-3FFB-4238-8AD1-7859DF00B1D6} - C:\Programfiler\Norton AntiVirus\NavShExt.dll

O4 - HKLM\..\Run: [Alcmtr] ALCMTR.EXE

O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup

O4 - HKLM\..\Run: [sunJavaUpdateSched] C:\Programfiler\Java\jre1.5.0_04\bin\jusched.exe

O4 - HKLM\..\Run: [iSUSPM Startup] C:\PROGRA~1\FELLES~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup

O4 - HKLM\..\Run: [LVCOMSX] C:\WINDOWS\system32\LVCOMSX.EXE

O4 - HKLM\..\Run: [LogitechVideoRepair] C:\Programfiler\Logitech\Video\ISStart.exe

O4 - HKLM\..\Run: [webscan] C:\Programfiler\Acceleration Software\Anti-Virus\stopsignav.exe -k

O4 - HKLM\..\Run: [ccApp] C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe

O4 - HKLM\..\Run: [ccRegVfy] C:\Programfiler\Fellesfiler\Symantec Shared\ccRegVfy.exe

O4 - HKLM\..\Run: [Advanced Tools Check] C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE

O4 - HKLM\..\Run: [Logitech Utility] Logi_MwX.Exe

O4 - HKLM\..\Run: [MessengerPlus3] "C:\Programfiler\MessengerPlus! 3\MsgPlus.exe"

O4 - HKLM\..\Run: [Find meow thunk peak] D:\Documents and Settings\All Users\Programdata\MPEG TRAY FIND MEOW\once loud.exe

O4 - HKLM\..\Run: [QuickTime Task] "C:\Programfiler\QuickTime\qttask.exe" -atboottime

O4 - HKLM\..\Run: [PrevxOne] "C:\Programfiler\Prevx2\PXConsole.exe"

O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\pafhynej.dll",realset

O4 - HKLM\..\RunOnce: [VundoFix] "D:\Documents and Settings\Administrator\Skrivebord\vundofix.exe"

O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe

O4 - HKCU\..\Run: [MSMSGS] "C:\Programfiler\Messenger\msmsgs.exe" /background

O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')

O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETTVERKSTJENESTE')

O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')

O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')

O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programfiler\Java\jre1.5.0_04\bin\npjpi150_04.dll

O9 - Extra button: Yahoo! Services - {5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897} - C:\Programfiler\Yahoo!\Common\yiesrvc.dll

O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe (file missing)

O9 - Extra button: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programfiler\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra 'Tools' menuitem: Yahoo! Messenger - {E5D12C4E-7B4F-11D3-B5C9-0050045C3C96} - C:\Programfiler\Yahoo!\Messenger\YahooMessenger.exe

O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programfiler\Messenger\msmsgs.exe

O14 - IERESET.INF: START_PAGE_URL=file://C:\APPS\IE\offline\nor.htm

O16 - DPF: {00B71CFB-6864-4346-A978-C0A14556272C} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab31267.cab

O16 - DPF: {14B87622-7E19-4EA8-93B3-97215F77A6BC} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {20A60F0D-9AFA-4515-A0FD-83BD84642501} (Checkers Class) - http://messenger.zone.msn.com/binary/msgrchkr.cab56986.cab

O16 - DPF: {2917297F-F02B-4B9D-81DF-494B6333150B} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab31267.cab

O16 - DPF: {30528230-99f7-4bb4-88d8-fa1d4f56a2ab} (YInstStarter Class) - C:\Programfiler\Yahoo!\Common\yinsthelper.dll

O16 - DPF: {5C051655-FCD5-4969-9182-770EA5AA5565} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab56986.cab

O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab31267.cab

O16 - DPF: {B8BE5E93-A60C-4D26-A2DC-220313175592} (ZoneIntro Class) - http://messenger.zone.msn.com/binary/ZIntro.cab53083.cab

O16 - DPF: {C3F79A2B-B9B4-4A66-B012-3EE46475B072} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/Messe...nt.cab56907.cab

O16 - DPF: {D1E7CBDA-E60E-4970-A01C-37301EF7BF98} (Measurement Services Client v.3.11) - http://gameadvisor.futuremark.com/global/msc311.cab

O16 - DPF: {F5A7706B-B9C0-4C89-A715-7A0C6B05DD48} (Minesweeper Flags Class) - http://messenger.zone.msn.com/binary/MineS...er.cab56986.cab

O16 - DPF: {F6BF0D00-0B2A-4A75-BF7B-F385591623AF} (Solitaire Showdown Class) - http://messenger.zone.msn.com/binary/Solit...wn.cab31267.cab

O18 - Protocol: bw+0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw+0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw-0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw-0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw00 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw00s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw10 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw10s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw20 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw20s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw30 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw30s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw40 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw40s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw50 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw50s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw60 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw60s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw70 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw70s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw80 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw80s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw90 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bw90s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwa0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwa0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwb0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwb0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwc0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwc0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwd0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwd0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwe0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwe0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwf0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwf0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwfile-8876480 - {9462A756-7B47-47BC-8C80-C34B9B80B32B} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\GAPlugProtocol-8876480.dll

O18 - Protocol: bwg0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwg0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwh0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwh0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwi0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwi0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwj0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwj0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwk0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwk0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwl0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwl0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwm0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwm0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwn0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwn0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwo0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwo0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwp0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwp0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwq0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwq0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwr0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwr0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bws0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bws0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwt0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwt0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwu0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwu0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwv0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwv0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bww0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bww0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwx0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwx0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwy0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwy0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwz0 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: bwz0s - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O18 - Protocol: offline-8876480 - {06597993-4841-4564-9363-06C49964526C} - C:\Program Files\Logitech\Desktop Messenger\8876480\Program\BWPlugProtocol-8876480.dll

O20 - Winlogon Notify: ssqrq - C:\WINDOWS\system32\ssqrq.dll

O20 - Winlogon Notify: wvutrpp - C:\WINDOWS\SYSTEM32\wvutrpp.dll

O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll

O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll

O23 - Service: Symantec Event Manager (ccEvtMgr) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccEvtMgr.exe

O23 - Service: Symantec Password Validation Service (ccPwdSvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\ccPwdSvc.exe

O23 - Service: CyberLink Background Capture Service (CBCS) (CLCapSvc) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLCapSvc.exe

O23 - Service: CyberLink Task Scheduler (CTS) (CLSched) - Unknown owner - c:\APPS\Powercinema\Kernel\TV\CLSched.exe

O23 - Service: CyberLink Media Library Service - Cyberlink - c:\APPS\Powercinema\Kernel\CLML_NTService\CLMLServer.exe

O23 - Service: iPod Service - Apple Computer, Inc. - C:\Programfiler\iPod\bin\iPodService.exe

O23 - Service: Norton AntiVirus Auto Protect Service (navapsvc) - Symantec Corporation - C:\Programfiler\Norton AntiVirus\navapsvc.exe

O23 - Service: Norton Unerase Protection (NProtectService) - Symantec Corporation - C:\Programfiler\Norton AntiVirus\AdvTools\NPROTECT.EXE

O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

O23 - Service: Softex OmniPass Service (omniserv) - Softex Inc. - C:\Apps\Softex\OmniPass\Omniserv.exe

O23 - Service: Prevx Agent (PREVXAgent) - Prevx - C:\Programfiler\Prevx2\PXAgent.exe

O23 - Service: ScriptBlocking Service (SBService) - Symantec Corporation - C:\PROGRA~1\FELLES~1\SYMANT~1\SCRIPT~1\SBServ.exe

O23 - Service: Symantec Network Drivers Service (SNDSrvc) - Symantec Corporation - C:\Programfiler\Fellesfiler\Symantec Shared\SNDSrvc.exe

O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Programfiler\Fellesfiler\Ulead Systems\DVD\ULCDRSvr.exe

O23 - Service: USBDeviceService - Unknown owner - C:\Programfiler\Sonic\DigitalMedia LE v7\MyDVD LE\USBDeviceService.exe

 

--

End of file - 21757 bytes

[norbat]

Du har noen forskjellige infeksjoner liggende. Hvis det er slik at du ikke får gjort noen verdens ting i normal tilstand, så kan du prøve en av online-scanneren som finnes.

 

Eks. http://housecall.trendmicro.com/

 

Før du gjør dette kan du forsøke følgende:

 

Start HJT, velg "Do a system scan only", sett merke framfor følgende linjer og klikk 'Fix checked':

O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\system32\yvwluwmf.dll (file missing)

O2 - BHO: (no name) - {8A61098D-612B-4EF2-943D-64E920684061} - C:\WINDOWS\system32\wvutrpp.dll

O2 - BHO: (no name) - {8D7D6EE4-74A9-441E-9508-6739310CBC82} - C:\WINDOWS\system32\ssqrq.dll

O2 - BHO: (no name) - {E1F1F282-8354-4C67-B44E-42B76C56B912} - C:\WINDOWS\system32\jdulurpy.dll

O4 - HKLM\..\Run: [Find meow thunk peak] D:\Documents and Settings\All Users\Programdata\MPEG TRAY FIND MEOW\once loud.exe

O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\pafhynej.dll",realset

O20 - Winlogon Notify: ssqrq - C:\WINDOWS\system32\ssqrq.dll

O20 - Winlogon Notify: wvutrpp - C:\WINDOWS\SYSTEM32\wvutrpp.dll

 

Sørg for at du kan se skjulte filer og mapper (kontrollpanel->mappealt.->vis->"vis skjulte filer og mapper")

 

Bruk utforsker til å finne og slette (i fet):

D:\Documents and Settings\All Users\Programdata\MPEG TRAY FIND MEOW

C:\WINDOWS\system32\pafhynej.dll

 

Kjør så online-scanneren (link over).

 

Når den er kjørt, restarter du til normal tilstand.

 

Kjør Vundofix en gang til

 

Se om du får lastet ned SAS. Hvis, kjører du en full scan.

 

Post en ny HJT-logg (sammen med evt. SAS-loggen)

[BLU3kp]

Du har noen forskjellige infeksjoner liggende. Hvis det er slik at du ikke får gjort noen verdens ting i normal tilstand, så kan du prøve en av online-scanneren som finnes.

 

Eks. http://housecall.trendmicro.com/

 

Før du gjør dette kan du forsøke følgende:

 

Start HJT, velg "Do a system scan only", sett merke framfor følgende linjer og klikk 'Fix checked':

O2 - BHO: (no name) - {5ADF3862-9E2E-4ad3-86F7-4510E6550CD0} - C:\WINDOWS\system32\yvwluwmf.dll (file missing)

O2 - BHO: (no name) - {8A61098D-612B-4EF2-943D-64E920684061} - C:\WINDOWS\system32\wvutrpp.dll

O2 - BHO: (no name) - {8D7D6EE4-74A9-441E-9508-6739310CBC82} - C:\WINDOWS\system32\ssqrq.dll

O2 - BHO: (no name) - {E1F1F282-8354-4C67-B44E-42B76C56B912} - C:\WINDOWS\system32\jdulurpy.dll

O4 - HKLM\..\Run: [Find meow thunk peak] D:\Documents and Settings\All Users\Programdata\MPEG TRAY FIND MEOW\once loud.exe

O4 - HKLM\..\Run: [GPLv3] rundll32.exe "C:\WINDOWS\system32\pafhynej.dll",realset

O20 - Winlogon Notify: ssqrq - C:\WINDOWS\system32\ssqrq.dll

O20 - Winlogon Notify: wvutrpp - C:\WINDOWS\SYSTEM32\wvutrpp.dll

 

Sørg for at du kan se skjulte filer og mapper (kontrollpanel->mappealt.->vis->"vis skjulte filer og mapper")

 

Bruk utforsker til å finne og slette (i fet):

D:\Documents and Settings\All Users\Programdata\MPEG TRAY FIND MEOW

C:\WINDOWS\system32\pafhynej.dll

 

Kjør så online-scanneren (link over).

 

Når den er kjørt, restarter du til normal tilstand.

 

Kjør Vundofix en gang til

 

Se om du får lastet ned SAS. Hvis, kjører du en full scan.

 

Post en ny HJT-logg (sammen med evt. SAS-loggen)

8882882[/snapback]

 

 

gjorde alt der der, helt til normal tilstand.. har prøvd nå å kjøre pcen i normal tilstand. Men det funker ikke, pcen står helt stille i skrivebordet elns. Jeg kjørte Online-scanneren.. og fikk slette en del tror jeg, men det var 2 stk igjen som ikke ble sletta, fordi det ikke funka å slette dem elns. prøvde å slette den ene filen manuelt, men det stod at det var skrivebeskyttet, eller at det var noe programmer som kjørte den..

 

 

Btw jeg fikk opp oppgavebehandlinga, og der så jeg et prossesnavn som heter PXAgent.exe som tok nesten 100 CPU hele tiden, har prøvd å avslutte den prosessen, men funker ikke det eller..

Endret 19. juni 2007 av gattuso

[norbat]

Hente DrWeb (engangsscanner), legg den på skrivebordet

 

Fra Sikker modus:

 

Kjør drweb-cureit.exe (si ja til å kjøre en express scan)

Når dette er ferdig klikker du på Option -> Change settings.

Under fanearket Scan, fjerner du haken ved Heuristic analysis.

Under fanearket Actions, skal alle punkt under Malware settes til Rename.

Velg partisjon du vil scanne og klikk deretter på den grønne pilen for

å starte scanningen. Velg "yes to all" når det finner noe for første gang.

[BLU3kp]

Hente DrWeb (engangsscanner), legg den på skrivebordet

 

Fra Sikker modus:

 

Kjør drweb-cureit.exe (si ja til å kjøre en express scan)

Når dette er ferdig klikker du på Option -> Change settings.

Under fanearket Scan, fjerner du haken ved Heuristic analysis.

Under fanearket Actions, skal alle punkt under Malware settes til Rename.

Velg partisjon du vil scanne og klikk deretter på den grønne pilen for

å starte scanningen. Velg "yes to all" når det finner noe for første gang.

8896466[/snapback]

 

 

Jeg har nå kjørt programmet 2 ganger, og det som har skjedd er at wvutrpp.dll og ssqrq.dll ikke har blitt kurert eller slettet ennå. Og nå som jeg prøver å kjøre pcen i normal tilstand så funker ikke det eller. Er det mulig å få vekk det viruset wvutrpp.dll?

 

Og burde ikke gjenopprettning av systemet funke også?

[norbat]

Systemgjenoppretting kan fungere, men ofte sitter infeksjonene slik til at det ikke hjelper.

 

Vi kjører bare på....

 

Prøv og kjør Combofix:

Hent Combofix, og legg det på skrivebordet

 

Kjør combofix.exe, og følg veiledningen.

Du må ikke klikke på vinduet mens programmet kjører.

 

Post loggfilen fra combofix. (vanligvis c:\combofix.txt)

 

Hvis ikke, hent Silent Runner.vbs og legg det i en egen mappe på skrivebordet. Kjør scriptet. Det vil lage en logg som du legger inn her.

[BLU3kp]

ComboFix 07-06-21.3 - D:\Documents and Settings\Administrator\Skrivebord\ComboFix.exe

"Administrator" - 2007-06-21 17:37:01 - Service Pack 2 NTFS [sAFE MODE]

 

 

(((((((((((((((((((((((((((((((((((((((((((( V Log )))))))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

C:\WINDOWS\system32\htygetam.dll

C:\WINDOWS\system32\qrqss.bak2

C:\WINDOWS\system32\qrqss.ini

C:\WINDOWS\system32\ssqrq.dll

C:\WINDOWS\system32\wvutrpp.dll

 

 

* * * POST RUN FILES/FOLDERS * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *

 

 

C:\WINDOWS\system32\ssqrq.dll

C:\WINDOWS\system32\wvutrpp.dll

 

((((((((((((((((((((((((( Files Created from 2007-05-21 to 2007-06-21 )))))))))))))))))))))))))))))))

 

 

2007-06-21 17:30 49,152 --a------ C:\WINDOWS\nircmd.exe

2007-06-20 17:54 <DIR> d-------- D:\DOCUME~1\ADMINI~1\DoctorWeb

2007-06-19 13:27 <DIR> d-------- D:\DOCUME~1\ADMINI~1\.housecall6.6

2007-06-17 19:46 <DIR> d-------- C:\VundoFix Backups

2007-06-17 19:29 <DIR> d-------- D:\DOCUME~1\ADMINI~1\PROGRA~1\Lavasoft

2007-06-17 18:40 263,220 --------- C:\WINDOWS\system32\ssqrq.dll

2007-06-17 18:34 <DIR> d-------- D:\DOCUME~1\ADMINI~1\PROGRA~1\Talkback

2007-06-17 18:30 <DIR> d-------- D:\DOCUME~1\ADMINI~1\PROGRA~1\Prevx

2007-06-17 18:19 1,048,576 --ah----- D:\DOCUME~1\ADMINI~1\NTUSER.DAT

2007-06-17 18:19 <DIR> dr-h----- D:\DOCUME~1\ADMINI~1\Siste

2007-06-17 18:19 <DIR> dr-h----- D:\DOCUME~1\ADMINI~1\Programdata

2007-06-17 18:19 <DIR> dr------- D:\DOCUME~1\ADMINI~1\Start-meny

2007-06-17 18:19 <DIR> dr------- D:\DOCUME~1\ADMINI~1\Skrivebord

2007-06-17 18:19 <DIR> dr------- D:\DOCUME~1\ADMINI~1\Mine dokumenter

2007-06-17 18:19 <DIR> dr------- D:\DOCUME~1\ADMINI~1\Favoritter

2007-06-17 18:19 <DIR> d--h----- D:\DOCUME~1\ADMINI~1\Skrivere

2007-06-17 18:19 <DIR> d--h----- D:\DOCUME~1\ADMINI~1\Maler

2007-06-17 18:19 <DIR> d--h----- D:\DOCUME~1\ADMINI~1\Lokale innstillinger

2007-06-17 18:19 <DIR> d--h----- D:\DOCUME~1\ADMINI~1\AndrMask

2007-06-15 15:52 <DIR> d-------- D:\DOCUME~1\FAMILI~1\PROGRA~1\Prevx

2007-06-15 15:51 77,312 --a------ C:\WINDOWS\ua2.dll

2007-06-15 15:51 <DIR> d-------- D:\DOCUME~1\ALLUSE~1\PROGRA~1\Prevx

2007-06-15 15:51 <DIR> d-------- C:\Programfiler\Prevx2

2007-06-15 15:45 <DIR> d-------- D:\DOCUME~1\FAMILI~1\PROGRA~1\Help

2007-06-15 15:35 37,484 --a------ D:\DOCUME~1\FAMILI~1\art.exe

2007-06-15 15:35 33,302 --------- C:\WINDOWS\system32\wvutrpp.dll

2007-06-15 15:35 147,456 --a------ D:\DOCUME~1\FAMILI~1\psetup.exe

2007-06-15 15:32 2,636 --a------ C:\WINDOWS\art.exe

2007-06-15 15:32 147,456 --a------ C:\WINDOWS\psetup.exe

2007-05-30 21:55 <DIR> d-------- D:\DOCUME~1\FAMILI~1\PROGRA~1\Ventrilo

2007-05-30 21:55 <DIR> d-------- C:\Programfiler\Ventrilo

2007-05-30 21:54 <DIR> d-------- C:\Programfiler\Fellesfiler\Wise Installation Wizard

 

 

(((((((((((((((((((((((((((((((((((((((( Find3M Report ))))))))))))))))))))))))))))))))))))))))))))))))))))

 

2007-06-17 15:52:51 -------- d-----w C:\Programfiler\Fellesfiler\Symantec Shared

2007-06-15 13:45:33 -------- d-----w C:\Programfiler\MSN Messenger

2007-06-15 13:45:22 -------- d-----w C:\Programfiler\Norton AntiVirus

2007-06-01 11:20:35 -------- d-----w C:\Programfiler\Incomplete

2007-06-01 11:20:22 -------- d-----w C:\Programfiler\LimeWire

2007-05-16 15:19:43 683,520 ----a-w C:\WINDOWS\system32\inetcomm.dll

2007-05-11 11:36:01 -------- d-----w C:\Programfiler\EA GAMES

2007-05-09 19:15:06 3,578 ----a-w C:\WINDOWS\mozver.dat

2007-05-09 19:15:05 -------- d-----w C:\Programfiler\DivX

2007-05-04 17:52:07 -------- d-----w C:\Programfiler\Jasc Software Inc

2007-04-25 14:23:31 144,896 ----a-w C:\WINDOWS\system32\schannel.dll

2007-04-18 16:15:14 2,854,400 ----a-w C:\WINDOWS\system32\msi.dll

2007-03-25 06:47:23 70,906 ----a-w C:\WINDOWS\system32\perfc014.dat

2007-03-25 06:47:23 405,254 ----a-w C:\WINDOWS\system32\perfh014.dat

 

 

((((((((((((((((((((((((((((((((((((( Reg Loading Points ))))))))))))))))))))))))))))))))))))))))))))))))))

 

 

*Note* empty entries & legit default entries are not shown

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects]

{02478D38-C3F9-4EFB-9B51-7695ECA05670}=C:\Programfiler\Yahoo!\Companion\Installs\cpn\yt.dll [2006-09-07 16:28]

{06849E9F-C8D7-4D59-B87D-784B7D6BE0B3}=C:\Programfiler\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll [2004-12-14 01:56]

{53707962-6F74-2D53-2644-206D7942484F}=C:\Programfiler\Spybot - Search & Destroy\SDHelper.dll [2005-05-31 01:04]

{55EA1964-F5E4-4D6A-B9B2-125B37655FCB}=D:\Documents and Settings\All Users\Programdata\Prevx\pxbho.dll [2006-01-10 12:09]

{5BAB4B5B-68BC-4B02-94D6-2FC0DE4A7897}=C:\Programfiler\Yahoo!\Common\yiesrvc.dll [2006-07-31 15:32]

{8A61098D-612B-4EF2-943D-64E920684061}=C:\WINDOWS\system32\wvutrpp.dll [2007-06-15 15:35]

{BDF3E430-B101-42AD-A544-FADC6B084872}=C:\Programfiler\Norton AntiVirus\NavShExt.dll [2002-08-26 23:36]

{EAF70AFC-35EE-4A40-A644-D3ABDC801A5C}=C:\WINDOWS\system32\ssqrq.dll [2007-06-17 18:40]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"Alcmtr"="ALCMTR.EXE" [2005-05-03 18:43 C:\WINDOWS\Alcmtr.exe]

"SunJavaUpdateSched"="C:\Programfiler\Java\jre1.5.0_04\bin\jusched.exe" [2005-06-03 03:52]

"ISUSPM Startup"="C:\PROGRA~1\FELLES~1\INSTAL~1\UPDATE~1\ISUSPM.exe" []

"LogitechVideoRepair"="C:\Programfiler\Logitech\Video\ISStart.exe" [2005-01-18 17:47]

"webscan"="C:\Programfiler\Acceleration Software\Anti-Virus\stopsignav.exe" []

"ccApp"="C:\Programfiler\Fellesfiler\Symantec Shared\ccApp.exe" [2002-08-19 23:22]

"ccRegVfy"="C:\Programfiler\Fellesfiler\Symantec Shared\ccRegVfy.exe" [2002-08-19 23:23]

"Advanced Tools Check"="C:\PROGRA~1\NORTON~1\AdvTools\ADVCHK.EXE" [2002-08-26 23:35]

"Logitech Utility"="Logi_MwX.Exe" [2003-12-17 10:50 C:\WINDOWS\LOGI_MWX.EXE]

"MessengerPlus3"="C:\Programfiler\MessengerPlus! 3\MsgPlus.exe" [2007-01-27 00:14]

"QuickTime Task"="C:\Programfiler\QuickTime\qttask.exe" [2006-10-25 19:58]

"PrevxOne"="C:\Programfiler\Prevx2\PXConsole.exe" [2007-06-14 12:36]

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-04 14:00]

"MSMSGS"="C:\Programfiler\Messenger\msmsgs.exe" [2004-10-13 18:24]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\runonce]

"combofix"=C:\WINDOWS\system32\cmd.exe /c C:\ComboFix\Combobatch.bat

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{8A61098D-612B-4EF2-943D-64E920684061}"="C:\WINDOWS\system32\wvutrpp.dll" [2007-06-15 15:35]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\OPXPGina]

C:\Apps\Softex\OmniPass\opxpgina.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqrq]

C:\WINDOWS\system32\ssqrq.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvutrpp]

wvutrpp.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupfolder\D:^Documents and Settings^All Users^Start-meny^Programmer^Oppstart^Logitech Desktop Messenger.lnk]

path=D:\Documents and Settings\All Users\Start-meny\Programmer\Oppstart\Logitech Desktop Messenger.lnk

backup=C:\WINDOWS\pss\Logitech Desktop Messenger.lnkCommon Startup

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ACTIVBOARD]

c:\apps\ABoard\ABoard.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\DetectorApp]

C:\Programfiler\Sonic\DigitalMedia LE v7\MyDVD LE\DetectorApp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\IMJPMIG8.1]

"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE /Spoil /RemAdvDef /Migration32"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\ISUSScheduler]

"C:\Programfiler\Fellesfiler\InstallShield\UpdateService\issch.exe" -start

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\iTunesHelper]

"C:\Programfiler\iTunes\iTunesHelper.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LDM]

C:\Program Files\Logitech\Desktop Messenger\8876480\Program\LogitechDesktopMessenger.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechSoftwareUpdate]

C:\Programfiler\Logitech\Video\ManifestEngine.exe boot

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\LogitechVideoTray]

C:\Programfiler\Logitech\Video\LogiTray.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\MessengerPlus3]

"C:\Programfiler\MessengerPlus! 3\MsgPlus.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\NvMediaCenter]

RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\nwiz]

nwiz.exe /install

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Octoshape Streaming Services]

"C:\Programfiler\Octoshape Streaming Services\familiens\OctoshapeClient.exe" -inv:bootrun

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\OmniPass]

C:\Apps\Softex\OmniPass\scureapp.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PCMService]

"c:\APPS\Powercinema\PCMService.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002A]

C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\PHIME2002ASync]

C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\QuickTime Task]

"C:\Programfiler\QuickTime\qttask.exe" -atboottime

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Remote 4]

D:\DOCUME~1\FAMILI~1\PROGRA~1\ITCHOW~1\Exitflag.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\RTHDCPL]

RTHDCPL.EXE

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\SmpcSys]

C:\APPS\SMP\SmpSys.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Symantec NetDriver Monitor]

C:\PROGRA~1\SYMNET~1\SNDMon.exe

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Vade Retro Outlook Express]

"C:\PROGRA~1\GOTOSO~1\VADERE~1\Vaderetro_oe.exe"

 

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\startupreg\Yahoo! Pager]

"C:\Programfiler\Yahoo!\Messenger\YahooMessenger.exe" -quiet

 

 

Contents of the 'Scheduled Tasks' folder

2007-06-17 17:01:12 C:\WINDOWS\tasks\A603ED0A91846836.job

2007-06-08 18:18:10 C:\WINDOWS\tasks\Norton AntiVirus - Scan my computer.job

2007-06-21 15:34:39 C:\WINDOWS\tasks\Symantec NetDetect.job

 

**************************************************************************

 

catchme 0.3.721 W2K/XP/Vista - userland rootkit detector by Gmer, http://www.gmer.net

Rootkit scan 2007-06-21 17:40:12

Windows 5.1.2600 Service Pack 2 NTFS

 

scanning hidden processes ...

 

scanning hidden autostart entries ...

 

scanning hidden files ...

 

C:\WINDOWS\TEMP

 

scan completed successfully

hidden files: 1

 

**************************************************************************

 

Completion time: 2007-06-21 17:40:58 - machine was rebooted

C:\ComboFix-quarantined-files.txt ... 2007-06-21 17:40

 

--- E O F ---

[norbat]

Sørg for at du kan se skjulte filer og mapper (kontrollpanel->mappealt.->vis->"vis skjulte filer og mapper")

 

Vi skal en tur ut i registeret. Forsiktig!! Dobbeltsjekk at du fjerner riktige ting.

 

Klikk: Start->Kjør

Skriv: regedit

 

Finn følgende registreringer og slett (i fet) hvis de finnes:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{8A61098D-612B-4EF2-943D-64E920684061}"="C:\WINDOWS\system32\wvutrpp.dll "

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqrq ]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvutrpp ]

 

Lukk regedit

 

Bruk utforsker til å finne og slette (i fet), hvis de finnes:

C:\WINDOWS\system32\ssqrq.dll

C:\WINDOWS\system32\wvutrpp.dll

 

Restart pc'n til normal tilstand

Lag en HJT-logg fra normal tilstand og legg den ut her.

[BLU3kp]

Sørg for at du kan se skjulte filer og mapper (kontrollpanel->mappealt.->vis->"vis skjulte filer og mapper")

 

Vi skal en tur ut i registeret. Forsiktig!!  Dobbeltsjekk at du fjerner riktige ting.

 

Klikk: Start->Kjør

Skriv: regedit

 

Finn følgende registreringer og slett (i fet) hvis de finnes:

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]

"{8A61098D-612B-4EF2-943D-64E920684061}"="C:\WINDOWS\system32\wvutrpp.dll "

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\ssqrq ]

 

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\wvutrpp ]

 

Lukk regedit

 

Bruk utforsker til å finne og slette (i fet), hvis de finnes:

C:\WINDOWS\system32\ssqrq.dll

C:\WINDOWS\system32\wvutrpp.dll

 

Restart pc'n til normal tilstand

Lag en HJT-logg fra normal tilstand og legg den ut her.

8914577[/snapback]

 

Gjort alt det øverste helt til

"Bruk utforsker til å finne og slette (i fet), hvis de finnes:

C:\WINDOWS\system32\ssqrq.dll

C:\WINDOWS\system32\wvutrpp.dll "

 

Det som skjer når jeg prøver å slette de filene er at det kommer opp

"Kan ikke slette "filen" : Filen brukes av en annen person eller et annet program.

Lukk programmer som kanskje bruker filen og prøv på nytt"

[Znoken]

Last ned Unlocker og installer...Prøv og slett filene med den....Har funket for meg...

[norbat]

Får du startet pc'n i normal tilstand?

Hvis, kunne du poste en HJT-logg fra normal tilstand?

 

Hvis det fortsatt er probl. med å start i normal tilstand, kan følgende være verdt et forsøk:

 

1. Du nevnte tidligere at en prosess tok det meste av CPU'n. Den prosessen tilhører Prevx. Avinstaller/slett Prevx om mulig og se om dette ikke gjør at pc'n klarer å kjøre fra normal tilstand

 

2. Se om du får kjørt en systemgjenoppretting fra Sikker modus. Velg selvfølgelig en dato før du fikke infeksjonen. Hvis dette ikke går og det fortsatt er problemer:

 

3. En reinstallering kan muligens gjøres på følgende måte: Under oppstart av pc'n trykker du på F11. Dette vil muligens gi deg et valg om å starte gjenoppretting av pc'n til frabrikktilstand. Du vil muligens få spm. om du skal beholde innstillinger etc. eller om du skal ta en full reinstallering. Ta en full reinstallering om du ikke har noe på pc'n som du trenger å ta vare på.

 

Punkt 3 vil løse problemet, men vil slette alt av egne data (dokumenter, bilder, programmer etc.). Prøv derfor de 2 første alt. først.

Endret 21. juni 2007 av norbat

[BLU3kp]

Får du startet pc'n i normal tilstand?

Hvis, kunne du poste en HJT-logg fra normal tilstand?

 

Hvis det fortsatt er probl. med å start i normal tilstand, kan følgende være verdt et forsøk:

 

1. Du nevnte tidligere at en prosess tok det meste av CPU'n. Den prosessen tilhører Prevx. Avinstaller/slett Prevx om mulig og se om dette ikke gjør at pc'n klarer å kjøre fra normal tilstand

 

2. Se om du får kjørt en systemgjenoppretting fra Sikker modus. Velg selvfølgelig en dato før du fikke infeksjonen. Hvis dette ikke går og det fortsatt er problemer:

 

3. En reinstallering kan muligens gjøres på følgende måte: Under oppstart av pc'n trykker du på F11. Dette vil muligens gi deg et valg om å starte gjenoppretting av pc'n til frabrikktilstand. Du vil muligens få spm. om du skal beholde innstillinger etc. eller om du skal ta en full reinstallering. Ta en full reinstallering om du ikke har noe på pc'n som du trenger å ta vare på.

 

Punkt 3 vil løse problemet, men vil slette alt av egne data (dokumenter, bilder, programmer etc.). Prøv derfor de 2 første alt. først.

8915330[/snapback]

 

 

1. Jeg fikk sletta Prevx, og fikk kjøre i normal tilstand. Men det er bare det at Pcen går så ufattelig treigt. Og det blir brukt 100% CPU hele tiden ( hvis det hjelper no )

Og jeg har mistanker om at det er "Navapsvc.exe" som gjør det.

Og det ser ut som jeg ikke kan åpne Firefox osv...

 

2. Gjorde det nå akkurat .....

"Gjenoppretting ufullstendig. Ingen endringer er gjort på datamaskin"

Det funker eller ikke..

 

Ser ut som jeg må ta alternativ 3?

Endret 21. juni 2007 av gattuso

[johome]

Hvis du har bestemt deg for å reinstallere råder jeg deg til å gjøre følgende :

 

Behold Norton som antivirus program.

Har du ikke firewall så råder jeg deg til å laste ned Kerio Firewall . Brenn så Firewallen på en CD.

 

Før du begynner å reinstallere trekker du ut nettverkskabelen.

Reinstaller windows.

Installer Norton og Kerio.

 

Sjekk etter om Pc'en funker normalt.

 

Koble til Nettverkskabelen.

Kom deg på nettet og oppdater Norton antivirus.

 

Lykke til.

 

[norbat]

Får du laget en HJT-logg fra normal tilstand?

Hvis, post den

 

Hvis ikke, ja, se om ikke F11 er riktig tast

Endret 21. juni 2007 av norbat