Akvatisk Biodiversitet. --2013 Jag lämnar Sweclockers forum. Det är tamejfan högre nivå på Flashback. Verkar hänga mest kids här som inte kan läsa utan bara svamlar. --
Guide: Hur man blir av med "Polisen har blockerat din dator!"
Alltså fan vad ni gör det krångligt.
Trådskaparens "guide" är EXTREMT krånglig helt i onödan, och den där farbar recovery tool skiten är också extremt krånglig helt i onödan, för att inte tala om att återställa datorn osv osv..
Felsäkert läge> scanna med malwarebytes anti-malware= klart.
2 steg.
Vad är problemet?
Surfa var du vill utan att vara orolig, skiten går att fixa på 2 sekunder ändå, big deal.
Citera flera
Citera
Skrivet av Blackbird_CaD_:
Alltså fan vad ni gör det krångligt.
Trådskaparens "guide" är EXTREMT krånglig helt i onödan, och den där farbar recovery tool skiten är också extremt krånglig helt i onödan, för att inte tala om att återställa datorn osv osv..
Felsäkert läge> scanna med malwarebytes anti-malware= klart.
2 steg.
Vad är problemet?
Surfa var du vill utan att vara orolig, skiten går att fixa på 2 sekunder ändå, big deal.
I år är det normalt omöjligt att få Windows att fungera i felsäkert läge när datorn är infekterad av polistrojanen. Polistrojanen kan numera blockera även felsäkert läge.
Citera flera
Citera
Skrivet av Blackbird_CaD_:
Alltså fan vad ni gör det krångligt.
Trådskaparens "guide" är EXTREMT krånglig helt i onödan,
Felsäkert läge> scanna med malwarebytes anti-malware= klart.
2 steg.
Vad är problemet?
Skrivet av CeciliaB:
Polistrojanen kan numera blockera även felsäkert läge.
Problemet är
-När personer som inte kan någonting, inte ens läsa kommer in i tråden hela tiden
-att Blackbird inte har en aning om vad skadlig kod gör med målsystem som exempelvis Windows + adminkonton.
För att göra det ännu mer allvarligt: Det finns virus idag som t om kan plantera sig i återställnings-partitioner etc och Windows säkerhetskopior.
Man blåser en dator och återinstallerar i tron om att det är borta.... Mest drabbade är paradoxalt nog den typiske "datorkillen" som sitter hela sommarlovet och lirar, och tror han vet så mycket.
Tar mig friheten att citera mig själv. Mellan varje klokt inlägg spammas det in ungefär 7 stycken inlägg med desinformation.
Skrivet av AnimalScribax:
Det är en sorts Trojan som genom att tvinga fram en skärmbild lurar användaren att tro Operativet är låst
Steg 1 Man skall stänga ner datorn och fysiskt bryta den från in/utgående Nätverkstrafik.
Peta bort Wifi knappen alltså. Har man en nätverkskabel eller usb-modem disconnectar du dessa.
Steg 2 är Informationshantering (Orientera läget) . Söka runt på flera tips och forum och sortera fram resultat andra lyckats med som har liknande miljö som du själv har...samma operativ,webbläsare
Steg 4. Är att starta i felsäkert läge / Eller hellre starta utan att boota operativet. Läs endast som" slave" dvs via usbminnen/annan värddator
utan nätverk och helt enkelt initiera din åtgärdsplan. Kan se mycket olika ut, men innan man hämtar hem random programvara kan man faktiskt
manuellt leta efter nya .exe filer samt med stor sannolikhet få bort bilden genom att kolla msconfig /autostarten.
Steg 5. Är alltså då att göra en uppföljning . Är allting borta? Och hur ska man undvika det i framtiden
Mvh
otrevlig formulering borttagen
Visa signatur
Citera flera
Citera
(2)
Skrivet av AnimalScribax:
Problemet är
-När personer som inte kan någonting, inte ens läsa kommer in i tråden hela tiden
-att Blackbird inte har en aning om vad skadlig kod gör med målsystem som exempelvis Windows + adminkonton.
För att göra det ännu mer allvarligt: Det finns virus idag som t om kan plantera sig i återställnings-partitioner etc och Windows säkerhetskopior.
Man blåser en dator och återinstallerar i tron om att det är borta.... Mest drabbade är paradoxalt nog den typiske "datorkillen" som sitter hela sommarlovet och lirar, och tror han vet så mycket.
Tar mig friheten att citera mig själv. Mellan varje klokt inlägg spammas det in ungefär 7 stycken inlägg med desinformation.
Mvh
Jag har fått den där polistrojanen många gånger, och varje gång har metoden som jag beskrev funkat. Jag talade av egen erfarenhet.
svar på borttaget inlägg borttaget
Citera flera
Citera
Skrivet av Blackbird_CaD_:
Jag har fått den där polistrojanen många gånger, och varje gång har metoden som jag beskrev funkat. Jag talade av egen erfarenhet.
Det låter som att du behöver kolla upp vad du har för säkerhetshål i datorn, för normalt utnyttjar den säkerhetshål för att ta sig in i datorn.
Låt Secunias Software Inspector kolla upp datorn och fixa de problem som den rapporterar. Den engelska sidan http://www.bleepingcomputer.com/tutorials/detect-vulnerable-p... beskriver hur man installerar och använder programmet.
Citera flera
Citera
Skrivet av Blackbird_CaD_:
Jag har fått den där polistrojanen många gånger, och varje gång har metoden som jag beskrev funkat. Jag talade av egen erfarenhet.
...Att du fått Polistrojanen flera gånger tyder en hel del på man inte bör lyssna på dig. Eller hur?
Det tragikomiska är att du garanterat har andra trojaner som hittar in samma väg, Men dom lägger ju inte upp en skärmbild och stänger ner iexplorer.exe för dig så du lever i en falsk intryggad värld att du har kontroll.
vidare: Du som alla andra är antagligen inloggade med administratörrättigheter. Både Ukash trojanen med de andra (som du garanterat har) har då nämligen varit nere i registernycklar och ändrat saker. Och detta skrivs som bekant i RAM minnet varvid det inte påverkas av systemåterställningar eller andra åtgärder i usermode på operativet.
...Suckar högt
Visa signatur
Akvatisk Biodiversitet. --2013 Jag lämnar Sweclockers forum. Det är tamejfan högre nivå på Flashback. Verkar hänga mest kids här som inte kan läsa utan bara svamlar. --
Citera flera
Citera
(3)
Skrivet av AnimalScribax:
...Att du fått Polistrojanen flera gånger tyder en hel del på man inte bör lyssna på dig. Eller hur?
Det tragikomiska är att du garanterat har andra trojaner som hittar in samma väg, Men dom lägger ju inte upp en skärmbild och stänger ner iexplorer.exe för dig så du lever i en falsk intryggad värld att du har kontroll.
vidare: Du som alla andra är antagligen inloggade med administratörrättigheter. Både Ukash trojanen med de andra (som du garanterat har) har då nämligen varit nere i registernycklar och ändrat saker. Och detta skrivs som bekant i RAM minnet varvid det inte påverkas av systemåterställningar eller andra åtgärder i usermode på operativet.
...Suckar högt
Windows-registret ligger på hårddisken och är en av de saker som återställs vid en systemåterställning. Sådant som ligger i RAM-minnet försvinner när datorn stängs av.
Citera flera
Citera
(2)
Skrivet av AnimalScribax:
...Att du fått Polistrojanen flera gånger tyder en hel del på man inte bör lyssna på dig. Eller hur?
Det tragikomiska är att du garanterat har andra trojaner som hittar in samma väg, Men dom lägger ju inte upp en skärmbild och stänger ner iexplorer.exe för dig så du lever i en falsk intryggad värld att du har kontroll.
vidare: Du som alla andra är antagligen inloggade med administratörrättigheter. Både Ukash trojanen med de andra (som du garanterat har) har då nämligen varit nere i registernycklar och ändrat saker. Och detta skrivs som bekant i RAM minnet varvid det inte påverkas av systemåterställningar eller andra åtgärder i usermode på operativet.
...Suckar högt
Haha att jag har andra trojaner är det sista du behöver oroa dig över. Du är rolig du.
Citera flera
Citera
ahha jag fick denna idag, vilka minnen från 1995-2000
Guide hur man blir a med skiten (win8)
1)
Tryck Ctrl-alt-del
2)
Håll nere skift och tryck "starta om"
3)
Kör systemåterställning någon dag eller två bakåt i tiden
KLART!
4)
Scanna av datorn om du känner dig osäker
Citera flera
Citera
Skrivet av rularn:
ahha jag fick denna idag, vilka minnen från 1995-2000
Guide hur man blir a med skiten (win8)
1)
Tryck Ctrl-alt-del
2)
Håll nere skift och tryck "starta om"
3)
Kör systemåterställning någon dag eller två bakåt i tiden
KLART!
4)
Scanna av datorn om du känner dig osäker
Det finns inte bara en sorts polistrojan utan de varierar. Generellt är en systemåterställning inte en säker metod för att bli av med skadliga program eftersom de t ex ofta lägger in sig i sådana privata mappar som inte berörs av en systemåterställning.
Du bör kolla upp vad du har för säkerhetshål i datorn för det är den vägen de kommer in och det är ju dumt att bli infekterad av samma sak en gång till. Gamla version av Java och Flash är vanliga vägar in för polistrojanen.
Låt t ex Secunias Software Inspector kolla upp datorn och fixa de problem som den rapporterar. Den engelska sidan http://www.bleepingcomputer.com/tutorials/detect-vulnerable-p... beskriver hur man installerar och använder programmet.
Citera flera
Citera
Här är min logg:
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 19-06-2013
Ran by SYSTEM on 19-06-2013 11:49:40
Running from I:\
Windows 7 Home Premium Service Pack 1 (X64) OS Language: Swedish
Internet Explorer Version 9
Boot Mode: Recovery
The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.
==================== Registry (Whitelisted) ==================
HKLM\...\Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe -s [7560296 2011-12-12] (Realtek Semiconductor)
HKLM\...\Run: [MSC] "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey [1281512 2013-01-27] (Microsoft Corporation)
HKLM-x32\...\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [284440 2011-04-29] (Intel Corporation)
HKLM-x32\...\Run: [ASUS Camera ScreenSaver] C:\Windows\ASScrProlog.exe [37232 2012-05-08] ()
HKLM-x32\...\Run: [Acrobat Assistant 8.0] "D:\Program\Adobe CS3\Acrobat 8.0\Acrobat\Acrotray.exe" [x]
HKLM-x32\...\Run: [] [x]
HKLM-x32\...\Run: [ApnUpdater] "C:\Program Files (x86)\Ask.com\Updater\Updater.exe" [1561768 2012-05-04] (Ask)
HKLM-x32\...\Run: [TkBellExe] "c:\program files (x86)\real\realplayer\Update\realsched.exe" -osboot [295072 2012-12-22] (RealNetworks, Inc.)
HKLM-x32\...\Run: [BambooCore] C:\Program Files (x86)\Bamboo Dock\BambooCore.exe [646744 2012-10-16] ()
HKLM-x32\...\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [926896 2012-09-23] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Razer Synapse] "C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe" [609640 2013-05-21] (Razer Inc.)
HKLM-x32\...\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" [253816 2013-03-12] (Oracle Corporation)
HKU\Marcus\...\Run: [Spotify Web Helper] "C:\Users\Marcus\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [1104384 2013-06-11] (Spotify Ltd)
HKU\Marcus\...\Run: [DAEMON Tools Pro Agent] "D:\Program\DAEMON Tools Pro\DTAgent.exe" -autorun [x]
HKU\Marcus\...\Run: [{94486267-CC47-AD41-E231-7493F1F6578E}] C:\Users\Marcus\AppData\Roaming\Demeoh\fiuker.exe [x]
HKU\Marcus\...\Run: [Steam] "C:\Program Files (x86)\Steam\Steam.exe" -silent [1641896 2013-06-06] (Valve Corporation)
HKU\Marcus\...\Run: [ctfmon32.exe] C:\PROGRA~3\rundll32.exe C:\PROGRA~3\jehl4.dat,XFG00 [229376 2013-06-19] (?????????? ??????????)
Startup: C:\ProgramData\Start Menu\Programs\Startup\BankID säkerhetsprogram.lnk
ShortcutTarget: BankID säkerhetsprogram.lnk -> C:\Program Files (x86)\Personal\bin\Personal.exe (Technology Nexus AB)
Startup: C:\ProgramData\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files (x86)\McAfee Security Scan\3.0.318\SSScheduler.exe (McAfee, Inc.)
Startup: C:\ProgramData\Start Menu\Programs\Startup\WDDMStatus.lnk
ShortcutTarget: WDDMStatus.lnk -> C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe (WDC)
Startup: C:\ProgramData\Start Menu\Programs\Startup\WDSmartWare.lnk
ShortcutTarget: WDSmartWare.lnk -> C:\Program Files (x86)\Western Digital\WD SmartWare\Front Parlor\WDSmartWare.exe (Western Digital)
Startup: C:\Users\Marcus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\regmonstd.lnk
ShortcutTarget: regmonstd.lnk -> C:\PROGRA~3\jehl4.dat (?????????? ??????????)
==================== Services (Whitelisted) =================
S2 asComSvc; C:\Program Files (x86)\ASUS\AXSP\1.00.18\atkexComSvc.exe [918448 2011-10-29] ()
S2 asHmComSvc; C:\Program Files (x86)\ASUS\AAHM\1.00.17\aaHMSvc.exe [947328 2011-12-08] (ASUSTeK Computer Inc.)
S2 jhi_service; C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe [161560 2011-12-16] (Intel Corporation)
S2 McAfee SiteAdvisor Service; c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe [103472 2012-12-04] (McAfee, Inc.)
S3 McComponentHostService; C:\Program Files (x86)\McAfee Security Scan\3.0.318\McCHSvc.exe [235216 2013-02-05] (McAfee, Inc.)
S2 MsMpSvc; C:\Program Files\Microsoft Security Client\MsMpEng.exe [22056 2013-01-27] (Microsoft Corporation)
S3 NisSrv; C:\Program Files\Microsoft Security Client\NisSrv.exe [379360 2013-01-27] (Microsoft Corporation)
S2 PnkBstrA; C:\Windows\SysWow64\PnkBstrA.exe [75136 2012-07-12] ()
S2 RealNetworks Downloader Resolver Service; C:\Program Files (x86)\RealNetworks\RealDownloader\rndlresolversvc.exe [38608 2012-11-29] ()
S2 WTabletServiceCon; C:\Program Files\Tablet\Pen\WTabletServiceCon.exe [619904 2012-11-14] (Wacom Technology, Corp.)
==================== Drivers (Whitelisted) ====================
S1 AsIO; C:\Windows\SysWow64\drivers\AsIO.sys [13440 2010-08-24] ()
S1 AsIO; C:\Windows\SysWow64\drivers\AsIO.sys [13440 2010-08-24] ()
S1 dtsoftbus01; C:\Windows\System32\DRIVERS\dtsoftbus01.sys [283200 2012-05-11] (DT Soft Ltd)
S0 MpFilter; C:\Windows\System32\DRIVERS\MpFilter.sys [230320 2013-01-20] (Microsoft Corporation)
S2 NisDrv; C:\Windows\System32\DRIVERS\NisDrvWFP.sys [130008 2013-01-20] (Microsoft Corporation)
S3 rzendpt; C:\Windows\System32\DRIVERS\rzendpt.sys [31232 2013-05-17] (Razer Inc)
S3 cpuz135; \??\C:\Windows\TEMP\cpuz135\cpuz135_x64.sys [x]
==================== NetSvcs (Whitelisted) ===================
==================== One Month Created Files and Folders ========
2013-06-19 11:49 - 2013-06-19 11:49 - 00000000 ____D C:\FRST
2013-06-19 10:42 - 2013-06-19 10:42 - 00002645 ____A C:\ProgramData\4lhej.js
2013-06-19 10:00 - 2013-06-19 10:03 - 00000000 ____D C:\Users\Marcus\AppData\Local\NPE
2013-06-19 10:00 - 2013-06-19 10:00 - 02990584 ____A (Symantec Corporation) C:\Users\Marcus\Downloads\NPE.exe
2013-06-19 10:00 - 2013-06-19 10:00 - 00000000 ____D C:\ProgramData\Norton
2013-06-19 09:41 - 2013-06-19 10:42 - 95023320 ___AT C:\ProgramData\4lhej.pad
2013-06-19 09:41 - 2013-06-19 10:42 - 00000000 ____A C:\ProgramData\kjhy64.txt
2013-06-19 09:41 - 2013-06-19 09:41 - 95023320 ___AT C:\ProgramData\ejinolod.pad
2013-06-19 09:41 - 2013-06-19 09:41 - 00229376 ____A (?????????? ??????????) C:\ProgramData\jehl4.dat
2013-06-19 09:41 - 2013-06-19 09:41 - 00229376 ____A (?????????? ??????????) C:\ProgramData\dolonije.dat
2013-06-19 09:41 - 2013-06-19 09:41 - 00044544 ____A (Microsoft Corporation) C:\ProgramData\rundll32.exe
2013-06-19 09:41 - 2013-06-19 09:41 - 00000151 ____A C:\ProgramData\4lhej.reg
2013-06-19 09:41 - 2013-06-19 09:41 - 00000056 ____A C:\ProgramData\4lhej.bat
2013-06-19 08:05 - 2013-06-19 10:42 - 00000380 ____A C:\Windows\Tasks\RNUpgradeHelperLogonPrompt_Marcus.job
2013-06-19 08:05 - 2013-06-19 09:44 - 00000374 ____A C:\Windows\Tasks\ReclaimerUpdateFiles_Marcus.job
2013-06-19 08:05 - 2013-06-19 09:44 - 00000370 ____A C:\Windows\Tasks\ReclaimerUpdateXML_Marcus.job
2013-06-12 21:59 - 2013-05-17 05:05 - 17824768 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-06-12 21:59 - 2013-05-17 04:27 - 10926080 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-06-12 21:59 - 2013-05-17 04:09 - 02312704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-06-12 21:59 - 2013-05-17 04:02 - 01392128 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-06-12 21:59 - 2013-05-17 04:02 - 01346560 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-06-12 21:59 - 2013-05-17 04:01 - 01494528 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2013-06-12 21:59 - 2013-05-17 04:00 - 00237056 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2013-06-12 21:59 - 2013-05-17 03:58 - 00085504 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-06-12 21:59 - 2013-05-17 03:56 - 00599040 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2013-06-12 21:59 - 2013-05-17 03:56 - 00173056 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2013-06-12 21:59 - 2013-05-17 03:55 - 00816640 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-06-12 21:59 - 2013-05-17 03:54 - 00729088 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-06-12 21:59 - 2013-05-17 03:53 - 02147840 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-06-12 21:59 - 2013-05-17 03:51 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-06-12 21:59 - 2013-05-17 03:51 - 00096768 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2013-06-12 21:59 - 2013-05-17 03:46 - 00248320 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-06-12 21:59 - 2013-05-17 00:08 - 12329984 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-06-12 21:59 - 2013-05-16 23:49 - 09738752 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-06-12 21:59 - 2013-05-16 23:39 - 01800704 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-06-12 21:59 - 2013-05-16 23:28 - 01129472 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-06-12 21:59 - 2013-05-16 23:28 - 01104384 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-06-12 21:59 - 2013-05-16 23:27 - 01427968 ____A (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2013-06-12 21:59 - 2013-05-16 23:26 - 00231936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\url.dll
2013-06-12 21:59 - 2013-05-16 23:23 - 00065024 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-06-12 21:59 - 2013-05-16 23:21 - 00717824 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-06-12 21:59 - 2013-05-16 23:21 - 00142848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2013-06-12 21:59 - 2013-05-16 23:20 - 00420864 ____A (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2013-06-12 21:59 - 2013-05-16 23:19 - 00607744 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-06-12 21:59 - 2013-05-16 23:17 - 01796096 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-06-12 21:59 - 2013-05-16 23:17 - 00073216 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2013-06-12 21:59 - 2013-05-16 23:16 - 02382848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-06-12 21:59 - 2013-05-16 23:12 - 00176640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-06-12 15:53 - 2013-05-13 06:51 - 01464320 ____A (Microsoft Corporation) C:\Windows\System32\crypt32.dll
2013-06-12 15:53 - 2013-05-13 06:51 - 00184320 ____A (Microsoft Corporation) C:\Windows\System32\cryptsvc.dll
2013-06-12 15:53 - 2013-05-13 06:51 - 00139776 ____A (Microsoft Corporation) C:\Windows\System32\cryptnet.dll
2013-06-12 15:53 - 2013-05-13 06:50 - 00052224 ____A (Microsoft Corporation) C:\Windows\System32\certenc.dll
2013-06-12 15:53 - 2013-05-13 05:45 - 01160192 ____A (Microsoft Corporation) C:\Windows\SysWOW64\crypt32.dll
2013-06-12 15:53 - 2013-05-13 05:45 - 00140288 ____A (Microsoft Corporation) C:\Windows\SysWOW64\cryptsvc.dll
2013-06-12 15:53 - 2013-05-13 05:45 - 00103936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\cryptnet.dll
2013-06-12 15:53 - 2013-05-13 04:43 - 01192448 ____A (Microsoft Corporation) C:\Windows\System32\certutil.exe
2013-06-12 15:53 - 2013-05-13 04:08 - 00903168 ____A (Microsoft Corporation) C:\Windows\SysWOW64\certutil.exe
2013-06-12 15:53 - 2013-05-13 04:08 - 00043008 ____A (Microsoft Corporation) C:\Windows\SysWOW64\certenc.dll
2013-06-12 15:53 - 2013-05-10 06:49 - 00030720 ____A (Microsoft Corporation) C:\Windows\System32\cryptdlg.dll
2013-06-12 15:53 - 2013-05-10 04:20 - 00024576 ____A (Microsoft Corporation) C:\Windows\SysWOW64\cryptdlg.dll
2013-06-12 15:53 - 2013-05-08 07:39 - 01910632 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\tcpip.sys
2013-06-12 15:53 - 2013-04-26 06:51 - 00751104 ____A (Microsoft Corporation) C:\Windows\System32\win32spl.dll
2013-06-12 15:53 - 2013-04-26 05:55 - 00492544 ____A (Microsoft Corporation) C:\Windows\SysWOW64\win32spl.dll
2013-06-10 09:55 - 2013-06-10 10:20 - 00000000 ____D C:\Users\Marcus\Desktop\Framkalla
2013-06-07 14:48 - 2013-06-11 10:10 - 00000220 ____A C:\Users\Marcus\Desktop\Sid Meier's Civilization V.url
2013-06-07 14:44 - 2013-06-19 10:42 - 00000000 ____D C:\Program Files (x86)\Steam
2013-06-07 14:44 - 2013-06-07 14:44 - 01669632 ____A C:\Users\Marcus\Downloads\SteamInstall.msi
2013-06-07 14:44 - 2013-06-07 14:44 - 00000921 ____A C:\Users\Public\Desktop\Steam.lnk
2013-05-24 17:38 - 2013-05-24 17:38 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-05-20 17:42 - 2013-05-20 17:42 - 00075825 ____A C:\Users\Marcus\Desktop\Projektarbete 2b.pptx
2013-05-20 12:29 - 2013-05-20 12:29 - 00034340 ____A C:\Users\Marcus\Downloads\handel-gothic-bt.ttf
2013-05-20 12:21 - 2013-05-20 12:21 - 00517305 ____A C:\Users\Marcus\Downloads\SFF04_SYMBOL_COLOUR.EPS
==================== One Month Modified Files and Folders =======
2013-06-19 11:49 - 2013-06-19 11:49 - 00000000 ____D C:\FRST
2013-06-19 10:42 - 2013-06-19 10:42 - 00002645 ____A C:\ProgramData\4lhej.js
2013-06-19 10:42 - 2013-06-19 09:41 - 95023320 ___AT C:\ProgramData\4lhej.pad
2013-06-19 10:42 - 2013-06-19 09:41 - 00000000 ____A C:\ProgramData\kjhy64.txt
2013-06-19 10:42 - 2013-06-19 08:05 - 00000380 ____A C:\Windows\Tasks\RNUpgradeHelperLogonPrompt_Marcus.job
2013-06-19 10:42 - 2013-06-07 14:44 - 00000000 ____D C:\Program Files (x86)\Steam
2013-06-19 10:42 - 2012-12-22 21:10 - 00000990 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-06-19 10:42 - 2012-05-08 15:18 - 00000000 ____D C:\ProgramData\NVIDIA
2013-06-19 10:42 - 2009-07-14 06:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-06-19 10:42 - 2009-07-14 05:51 - 00061481 ____A C:\Windows\setupact.log
2013-06-19 10:13 - 2012-05-08 18:12 - 01301586 ____A C:\Windows\WindowsUpdate.log
2013-06-19 10:13 - 2009-07-14 05:45 - 00022064 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-06-19 10:13 - 2009-07-14 05:45 - 00022064 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-06-19 10:10 - 2011-04-12 15:28 - 00661706 ____A C:\Windows\System32\perfh01D.dat
2013-06-19 10:10 - 2011-04-12 15:28 - 00141508 ____A C:\Windows\System32\perfc01D.dat
2013-06-19 10:10 - 2009-07-14 06:13 - 01574032 ____A C:\Windows\System32\PerfStringBackup.INI
2013-06-19 10:03 - 2013-06-19 10:00 - 00000000 ____D C:\Users\Marcus\AppData\Local\NPE
2013-06-19 10:00 - 2013-06-19 10:00 - 02990584 ____A (Symantec Corporation) C:\Users\Marcus\Downloads\NPE.exe
2013-06-19 10:00 - 2013-06-19 10:00 - 00000000 ____D C:\ProgramData\Norton
2013-06-19 09:44 - 2013-06-19 08:05 - 00000374 ____A C:\Windows\Tasks\ReclaimerUpdateFiles_Marcus.job
2013-06-19 09:44 - 2013-06-19 08:05 - 00000370 ____A C:\Windows\Tasks\ReclaimerUpdateXML_Marcus.job
2013-06-19 09:41 - 2013-06-19 09:41 - 95023320 ___AT C:\ProgramData\ejinolod.pad
2013-06-19 09:41 - 2013-06-19 09:41 - 00229376 ____A (?????????? ??????????) C:\ProgramData\jehl4.dat
2013-06-19 09:41 - 2013-06-19 09:41 - 00229376 ____A (?????????? ??????????) C:\ProgramData\dolonije.dat
2013-06-19 09:41 - 2013-06-19 09:41 - 00044544 ____A (Microsoft Corporation) C:\ProgramData\rundll32.exe
2013-06-19 09:41 - 2013-06-19 09:41 - 00000151 ____A C:\ProgramData\4lhej.reg
2013-06-19 09:41 - 2013-06-19 09:41 - 00000056 ____A C:\ProgramData\4lhej.bat
2013-06-19 09:40 - 2012-05-10 17:00 - 00000000 ____D C:\Users\Marcus\AppData\Roaming\Spotify
2013-06-19 09:33 - 2012-05-08 15:41 - 00000868 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-06-19 09:30 - 2012-12-22 21:10 - 00000994 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-06-15 13:32 - 2012-05-10 17:00 - 00000000 ____D C:\Users\Marcus\AppData\Local\Spotify
2013-06-15 13:13 - 2012-05-09 12:26 - 00000000 ____D C:\Users\Marcus\AppData\Roaming\vlc
2013-06-13 12:47 - 2009-07-14 04:20 - 00000000 ____D C:\Windows\rescache
2013-06-12 21:58 - 2012-05-11 16:42 - 75825640 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-06-12 17:33 - 2012-05-08 15:41 - 00692104 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-06-12 17:33 - 2012-05-08 15:41 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-06-11 10:10 - 2013-06-07 14:48 - 00000220 ____A C:\Users\Marcus\Desktop\Sid Meier's Civilization V.url
2013-06-10 10:20 - 2013-06-10 09:55 - 00000000 ____D C:\Users\Marcus\Desktop\Framkalla
2013-06-07 15:26 - 2012-12-10 21:01 - 00000000 ____D C:\Users\Marcus\AppData\Local\My Games
2013-06-07 15:26 - 2012-05-11 18:44 - 00000000 ____D C:\Users\Marcus\Documents\My Games
2013-06-07 15:25 - 2012-05-09 13:12 - 00337330 ____A C:\Windows\DirectX.log
2013-06-07 14:44 - 2013-06-07 14:44 - 01669632 ____A C:\Users\Marcus\Downloads\SteamInstall.msi
2013-06-07 14:44 - 2013-06-07 14:44 - 00000921 ____A C:\Users\Public\Desktop\Steam.lnk
2013-06-07 14:44 - 2012-05-08 18:12 - 00000000 ____D C:\users\Marcus
2013-06-03 12:11 - 2012-05-22 07:58 - 00002006 ___AH C:\Users\Marcus\Documents\Default.rdp
2013-06-01 18:21 - 2012-05-08 15:09 - 00191632 ____A C:\Windows\DPINST.LOG
2013-05-25 15:45 - 2012-05-08 15:24 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2013-05-24 17:38 - 2013-05-24 17:38 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-05-21 08:40 - 2009-07-14 05:45 - 02960376 ____A C:\Windows\System32\FNTCACHE.DAT
2013-05-20 17:42 - 2013-05-20 17:42 - 00075825 ____A C:\Users\Marcus\Desktop\Projektarbete 2b.pptx
2013-05-20 14:06 - 2012-05-08 15:05 - 00326544 ____A C:\Users\Marcus\AppData\Local\GDIPFONTCACHEV1.DAT
2013-05-20 12:29 - 2013-05-20 12:29 - 00034340 ____A C:\Users\Marcus\Downloads\handel-gothic-bt.ttf
2013-05-20 12:21 - 2013-05-20 12:21 - 00517305 ____A C:\Users\Marcus\Downloads\SFF04_SYMBOL_COLOUR.EPS
Files to move or delete:
====================
C:\ProgramData\rundll32.exe
C:\ProgramData\4lhej.bat
C:\ProgramData\4lhej.pad
C:\ProgramData\4lhej.reg
C:\ProgramData\dolonije.dat
C:\ProgramData\ejinolod.pad
C:\ProgramData\jehl4.dat
==================== Known DLLs (Whitelisted) ================
==================== Bamital & volsnap Check =================
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
==================== EXE ASSOCIATION =====================
HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK
==================== Restore Points =========================
Restore point made on: 2013-05-31 14:41:22
Restore point made on: 2013-06-04 11:22:32
Restore point made on: 2013-06-07 14:44:53
Restore point made on: 2013-06-07 14:45:03
Restore point made on: 2013-06-07 15:25:37
Restore point made on: 2013-06-11 14:50:28
Restore point made on: 2013-06-12 21:58:00
Restore point made on: 2013-06-16 08:58:38
==================== Memory info ===========================
Percentage of memory in use: 10%
Total physical RAM: 8159.14 MB
Available physical RAM: 7307.73 MB
Total Pagefile: 8157.34 MB
Available Pagefile: 7327.27 MB
Total Virtual: 8192 MB
Available Virtual: 8191.84 MB
==================== Drives ================================
Drive c: (SSDn) (Fixed) (Total:111.69 GB) (Free:35.42 GB) NTFS (Disk=1 Partition=2)
Drive d: (Reserverad av systemet) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS (Disk=1 Partition=1) ==>[System with boot components (obtained from reading drive)]
Drive g: (WD SmartWare) (CDROM) (Total:0.63 GB) (Free:0 GB) UDF
Drive h: (My Book) (Fixed) (Total:930.86 GB) (Free:484.85 GB) NTFS (Disk=2 Partition=1)
Drive i: () (Removable) (Total:1.8 GB) (Free:1.8 GB) FAT (Disk=3 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
Drive y: (Big Boy) (Fixed) (Total:372.6 GB) (Free:255.13 GB) NTFS (Disk=0 Partition=1)
==================== MBR & Partition Table ==================
========================================================
Disk: 0 (Size: 373 GB) (Disk ID: 3E243E24)
Partition 1: (Active) - (Size=373 GB) - (Type=07 NTFS)
========================================================
Disk: 1 (MBR Code: Windows 7 or 8) (Size: 112 GB) (Disk ID: A997615E)
Partition 1: (Active) - (Size=100 MB) - (Type=07 NTFS)
Partition 2: (Not Active) - (Size=112 GB) - (Type=07 NTFS)
========================================================
Disk: 2 (MBR Code: Windows XP) (Size: 931 GB) (Disk ID: 0002AE3F)
Partition 1: (Not Active) - (Size=931 GB) - (Type=07 NTFS)
========================================================
Disk: 3 (Size: 2 GB) (Disk ID: 2444041F)
Partition 1: (Not Active) - (Size=2 GB) - (Type=06)
LastRegBack: 2013-06-13 12:40
==================== End Of Log ============================
Citera flera
Citera
Skrivet av makl5021:
Här är min logg:
Starta Anteckningar.
Kopiera alla rader i rutan:
HKU\Marcus\...\Run: [{94486267-CC47-AD41-E231-7493F1F6578E}] C:\Users\Marcus\AppData\Roaming\Demeoh\fiuker.exe [x]
HKU\Marcus\...\Run: [ctfmon32.exe] C:\PROGRA~3\rundll32.exe C:\PROGRA~3\jehl4.dat,XFG00 [229376 2013-06-19] (?????????? ??????????)
Startup: C:\Users\Marcus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\regmonstd.lnk
ShortcutTarget: regmonstd.lnk -> C:\PROGRA~3\jehl4.dat (?????????? ??????????)
2013-06-19 10:42 - 2013-06-19 10:42 - 00002645 ____A C:\ProgramData\4lhej.js
2013-06-19 09:41 - 2013-06-19 10:42 - 95023320 ___AT C:\ProgramData\4lhej.pad
2013-06-19 09:41 - 2013-06-19 10:42 - 00000000 ____A C:\ProgramData\kjhy64.txt
2013-06-19 09:41 - 2013-06-19 09:41 - 95023320 ___AT C:\ProgramData\ejinolod.pad
2013-06-19 09:41 - 2013-06-19 09:41 - 00229376 ____A (?????????? ??????????) C:\ProgramData\jehl4.dat
2013-06-19 09:41 - 2013-06-19 09:41 - 00229376 ____A (?????????? ??????????) C:\ProgramData\dolonije.dat
2013-06-19 09:41 - 2013-06-19 09:41 - 00044544 ____A (Microsoft Corporation) C:\ProgramData\rundll32.exe
2013-06-19 09:41 - 2013-06-19 09:41 - 00000151 ____A C:\ProgramData\4lhej.reg
2013-06-19 09:41 - 2013-06-19 09:41 - 00000056 ____A C:\ProgramData\4lhej.bat
och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.
Spara filen på USB-minnet med namnet fixlist.txt.
Starta FRST (32-bitars Windows) resp. FRST64 (64-bitars Windows) på samma sätt som sist.
Klicka på knappen Fix.
Vänta tills programmet är klart.
Programmet skapar en logg Fixlog.txt på USB-minnet.
Klistra in innehållet i den i ditt svar.
Pröva om den infekterade datorn nu startar normalt.
I så fall följ anvisningarna i tråden Till dig med virus eller andra skadliga program i datorn så gott det går för fortsatt rensning.
Citera flera
Citera
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 19-06-2013
Ran by SYSTEM at 2013-06-19 12:41:51 Run:1
Running from I:\
Boot Mode: Recovery
==============================================
Ukash poppar inte längre upp vid windowsstart! Tack så jättemycket Cecilia!
HKU\Marcus\Software\Microsoft\Windows\CurrentVersion\Run\\{94486267-CC47-AD41-E231-7493F1F6578E} => Value deleted successfully.
HKU\Marcus\Software\Microsoft\Windows\CurrentVersion\Run\\ctfmon32.exe => Value deleted successfully.
C:\Users\Marcus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\regmonstd.lnk => Moved successfully.
C:\PROGRA~3\jehl4.dat => Moved successfully.
C:\ProgramData\4lhej.js => File/Directory not found.
C:\ProgramData\4lhej.pad => Moved successfully.
C:\ProgramData\kjhy64.txt => Moved successfully.
C:\ProgramData\ejinolod.pad => Moved successfully.
C:\ProgramData\jehl4.dat => File/Directory not found.
C:\ProgramData\dolonije.dat => Moved successfully.
C:\ProgramData\rundll32.exe => Moved successfully.
C:\ProgramData\4lhej.reg => Moved successfully.
C:\ProgramData\4lhej.bat => Moved successfully.
==== End of Fixlog ====
Citera flera
Citera
Skrivet av makl5021:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 19-06-2013
Ran by SYSTEM at 2013-06-19 12:41:51 Run:1
Running from I:\
Boot Mode: Recovery
==============================================
Ukash poppar inte längre upp vid windowsstart! Tack så jättemycket Cecilia!
HKU\Marcus\Software\Microsoft\Windows\CurrentVersion\Run\\{94486267-CC47-AD41-E231-7493F1F6578E} => Value deleted successfully.
HKU\Marcus\Software\Microsoft\Windows\CurrentVersion\Run\\ctfmon32.exe => Value deleted successfully.
C:\Users\Marcus\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\regmonstd.lnk => Moved successfully.
C:\PROGRA~3\jehl4.dat => Moved successfully.
C:\ProgramData\4lhej.js => File/Directory not found.
C:\ProgramData\4lhej.pad => Moved successfully.
C:\ProgramData\kjhy64.txt => Moved successfully.
C:\ProgramData\ejinolod.pad => Moved successfully.
C:\ProgramData\jehl4.dat => File/Directory not found.
C:\ProgramData\dolonije.dat => Moved successfully.
C:\ProgramData\rundll32.exe => Moved successfully.
C:\ProgramData\4lhej.reg => Moved successfully.
C:\ProgramData\4lhej.bat => Moved successfully.
==== End of Fixlog ====
Bra
Men det är bäst att kolla upp om det är något mer i datorn som ska bort samt vad för säkerhetshål det finns i datorn eftersom det är ett sådant som polistrojanen brukar komma in genom. Därför tittar jag gärna på en DDS-logg. Använd gärna Spoiler-knappen när du klistrar in loggen.
Citera flera
Citera
DDS-loggen:
DDS (Ver_2012-11-20.01) - NTFS_AMD64
Internet Explorer: 9.0.8112.16490 BrowserJavaVersion: 10.21.2
Run by Marcus at 10:29:11 on 2013-06-20
Microsoft Windows 7 Home Premium 6.1.7601.1.1252.46.1053.18.8159.6059 [GMT 2:00]
.
AV: Microsoft Security Essentials *Enabled/Updated* {3F839487-C7A2-C958-E30C-E2825BA31FB5}
SP: Windows Defender *Disabled/Updated* {D68DDC3A-831F-4fae-9E44-DA132C1ACF46}
SP: Microsoft Security Essentials *Enabled/Updated* {84E27563-E198-C6D6-D9BC-D9F020245508}
.
============== Running Processes ===============
.
C:\Windows\system32\lsm.exe
C:\Windows\system32\svchost.exe -k DcomLaunch
C:\Windows\system32\nvvsvc.exe
C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe
C:\Windows\system32\svchost.exe -k RPCSS
C:\Program Files\Microsoft Security Client\MsMpEng.exe
C:\Windows\System32\svchost.exe -k LocalServiceNetworkRestricted
C:\Windows\System32\svchost.exe -k LocalSystemNetworkRestricted
C:\Windows\system32\svchost.exe -k netsvcs
C:\Windows\system32\svchost.exe -k LocalService
C:\Program Files\Tablet\Pen\WTabletServiceCon.exe
C:\Program Files\NVIDIA Corporation\Display\nvxdsync.exe
C:\Windows\system32\nvvsvc.exe
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Windows\system32\svchost.exe -k NetworkService
C:\Windows\System32\spoolsv.exe
C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\armsvc.exe
C:\Program Files (x86)\ASUS\AXSP\1.00.18\atkexComSvc.exe
C:\Windows\system32\taskhost.exe
C:\Windows\SYSTEM32\WISPTIS.EXE
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files (x86)\ASUS\AAHM\1.00.17\aaHMSvc.exe
C:\Program Files (x86)\Bonjour\mDNSResponder.exe
C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe
C:\Program Files\Microsoft Security Client\msseces.exe
C:\Users\Marcus\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe
C:\Program Files\Intel\iCLS Client\HeciServer.exe
C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\jhi_service.exe
c:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe
C:\Windows\SysWOW64\PnkBstrA.exe
C:\Windows\system32\rundll32.exe
C:\Windows\system32\rundll32.exe
C:\Program Files (x86)\RealNetworks\RealDownloader\rndlresolversvc.exe
C:\Windows\system32\svchost.exe -k imgsvc
C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe
C:\Program Files (x86)\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe
C:\Windows\SysWOW64\rundll32.exe
C:\Program Files (x86)\Steam\Steam.exe
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
C:\Program Files (x86)\Personal\bin\Personal.exe
C:\Program Files (x86)\McAfee Security Scan\3.0.318\SSScheduler.exe
C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
C:\Program Files (x86)\Western Digital\WD SmartWare\Front Parlor\WDSmartWare.exe
D:\Program\Adobe CS3\Acrobat 8.0\Acrobat\acrotray.exe
C:\Program Files (x86)\Ask.com\Updater\Updater.exe
C:\Program Files (x86)\Real\RealPlayer\Update\realsched.exe
C:\Program Files (x86)\Bamboo Dock\BambooCore.exe
C:\Program Files\Microsoft Security Client\NisSrv.exe
C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe
C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe
C:\Program Files\NVIDIA Corporation\Display\nvtray.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\svchost.exe -k LocalServiceAndNoImpersonation
C:\Program Files (x86)\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe
C:\Program Files (x86)\Common Files\Steam\SteamService.exe
C:\Windows\system32\SearchIndexer.exe
C:\Program Files\Tablet\Pen\Pen_TabletUser.exe
C:\Program Files\Tablet\Pen\WacomHost.exe
C:\Program Files\Tablet\Pen\Pen_Tablet.exe
C:\Program Files\Tablet\Pen\Pen_TouchUser.exe
C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe
C:\Windows\servicing\TrustedInstaller.exe
C:\Windows\system32\wbem\wmiprvse.exe
C:\Windows\system32\taskeng.exe
C:\Program Files (x86)\Mozilla Firefox\firefox.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Program Files (x86)\Mozilla Firefox\plugin-container.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe
C:\Windows\SysWOW64\Macromed\Flash\FlashPlayerPlugin_11_7_700_224.exe
C:\Program Files\Microsoft Security Client\MpCmdRun.exe
c:\PROGRA~2\mcafee\SITEAD~1\saui.exe
C:\Windows\system32\taskhost.exe
C:\Windows\system32\SearchProtocolHost.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Windows\System32\cscript.exe
.
============== Pseudo HJT Report ===============
.
uWindow Title = Internet Explorer, optimized for Bing and MSN
uURLSearchHooks: UrlSearchHook Class: {00000000-6E41-4FD3-8538-502F5495E5FC} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
uURLSearchHooks: McAfee SiteAdvisor Toolbar: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\Program Files (x86)\McAfee\SiteAdvisor\McIEPlg.dll
mWinlogon: Userinit = userinit.exe
BHO: MSS+ Identifier: {0E8A89AD-95D7-40EB-8D9D-083EF7066A01} - C:\Program Files (x86)\McAfee Security Scan\3.0.318\McAfeeMSS_IE.dll
BHO: Adobe PDF Link Helper: {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Program Files (x86)\Common Files\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
BHO: RealNetworks Download and Record Plugin for Internet Explorer: {3049C3E9-B461-4BC5-8870-4C09146192CA} - C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\IE\rndlbrowserrecordplugin.dll
BHO: Java(tm) Plug-In SSV Helper: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files (x86)\Java\jre7\bin\ssv.dll
BHO: Adobe PDF Conversion Toolbar Helper: {AE7CD045-E861-484f-8273-0445EE161910} - D:\Program\Adobe CS3\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
BHO: McAfee SiteAdvisor BHO: {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\Program Files (x86)\McAfee\SiteAdvisor\McIEPlg.dll
BHO: Office Document Cache Handler: {B4F3A835-0E21-4959-BA22-42B3008E02FF} - C:\Program Files (x86)\Microsoft Office\Office14\URLREDIR.DLL
BHO: Ask Toolbar: {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files (x86)\Java\jre7\bin\jp2ssv.dll
TB: Adobe PDF: {47833539-D0C5-4125-9FA8-0819E2EAAC93} - D:\Program\Adobe CS3\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
TB: Ask Toolbar: {D4027C7F-154A-4066-A1AD-4243D8127440} - C:\Program Files (x86)\Ask.com\GenericAskToolbar.dll
TB: McAfee SiteAdvisor Toolbar: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\Program Files (x86)\McAfee\SiteAdvisor\McIEPlg.dll
EB: Adobe PDF: {182EC0BE-5110-49C8-A062-BEB1D02A220B} - D:\Program\Adobe CS3\Acrobat 8.0\Acrobat\AcroIEFavClient.dll
uRun: [Spotify Web Helper] "C:\Users\Marcus\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe"
uRun: [DAEMON Tools Pro Agent] "D:\Program\DAEMON Tools Pro\DTAgent.exe" -autorun
uRun: [Steam] "C:\Program Files (x86)\Steam\Steam.exe" -silent
mRun: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe
mRun: [ASUS Camera ScreenSaver] C:\Windows\ASScrProlog.exe
mRun: [Acrobat Assistant 8.0] "D:\Program\Adobe CS3\Acrobat 8.0\Acrobat\Acrotray.exe"
mRun: [ApnUpdater] "C:\Program Files (x86)\Ask.com\Updater\Updater.exe"
mRun: [TkBellExe] "c:\program files (x86)\real\realplayer\Update\realsched.exe" -osboot
mRun: [BambooCore] C:\Program Files (x86)\Bamboo Dock\BambooCore.exe
mRun: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe"
mRun: [Razer Synapse] "C:\Program Files (x86)\Razer\Synapse\RzSynapse.exe"
mRun: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe"
StartupFolder: C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\Startup\BANKID~1.LNK - C:\Program Files (x86)\Personal\bin\Personal.exe
StartupFolder: C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\Startup\MCAFEE~1.LNK - C:\Program Files (x86)\McAfee Security Scan\3.0.318\SSScheduler.exe
StartupFolder: C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\Startup\WDDMST~1.LNK - C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMStatus.exe
StartupFolder: C:\PROGRA~3\MICROS~1\Windows\STARTM~1\Programs\Startup\WDSMAR~1.LNK - C:\Program Files (x86)\Western Digital\WD SmartWare\Front Parlor\WDSmartWare.exe
mPolicies-Explorer: NoActiveDesktop = dword:1
mPolicies-Explorer: NoActiveDesktopChanges = dword:1
mPolicies-System: ConsentPromptBehaviorAdmin = dword:5
mPolicies-System: ConsentPromptBehaviorUser = dword:3
mPolicies-System: EnableUIADesktopToggle = dword:0
IE: Append to existing PDF - D:\Program\Adobe CS3\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert link target to Adobe PDF - D:\Program\Adobe CS3\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert link target to existing PDF - D:\Program\Adobe CS3\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert selected links to Adobe PDF - D:\Program\Adobe CS3\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECaptureSelLinks.html
IE: Convert selected links to existing PDF - D:\Program\Adobe CS3\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppendSelLinks.html
IE: Convert selection to Adobe PDF - D:\Program\Adobe CS3\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: Convert selection to existing PDF - D:\Program\Adobe CS3\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIEAppend.html
IE: Convert to Adobe PDF - D:\Program\Adobe CS3\Acrobat 8.0\Acrobat\AcroIEFavClient.dll/AcroIECapture.html
IE: E&xportera till Microsoft Excel - D:\Program\MICROS~1\Office14\EXCEL.EXE/3000
IE: Ski&cka till OneNote - D:\Program\MICROS~1\Office14\ONBttnIE.dll/105
IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIE.dll
IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - C:\Program Files (x86)\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
DPF: {0E5F0222-96B9-11D3-8997-00104BD12D94} - hxxp://utilities.pcpitstop.com/Nirvana/controls/pcmatic.cab
TCP: NameServer = 83.255.245.11 193.150.193.150
TCP: Interfaces\{8A0F78BA-F1DA-4DD9-8715-F1F5FFBCFE76} : DHCPNameServer = 83.255.245.11 193.150.193.150
Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files (x86)\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files (x86)\McAfee\SiteAdvisor\McIEPlg.dll
Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files (x86)\McAfee\SiteAdvisor\McIEPlg.dll
SSODL: WebCheck - <orphaned>
mASetup: {8A69D345-D564-463c-AFF1-A69D9E530F96} - "C:\Program Files (x86)\Google\Chrome\Application\27.0.1453.116\Installer\chrmstp.exe" --configure-user-settings --verbose-logging --system-level --multi-install --chrome
x64-BHO: Java(tm) Plug-In SSV Helper: {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre7\bin\ssv.dll
x64-BHO: McAfee SiteAdvisor BHO: {B164E929-A1B6-4A06-B104-2CD0E90A88FF} - c:\Program Files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll
x64-BHO: Office Document Cache Handler: {B4F3A835-0E21-4959-BA22-42B3008E02FF} - D:\Program\Microsoft Office\Office14\URLREDIR.DLL
x64-BHO: Java(tm) Plug-In 2 SSV Helper: {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Program Files\Java\jre7\bin\jp2ssv.dll
x64-TB: McAfee SiteAdvisor Toolbar: {0EBBBE48-BAD4-4B4C-8E5A-516ABECAE064} - c:\Program Files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll
x64-Run: [RTHDVCPL] C:\Program Files\Realtek\Audio\HDA\RtkNGUI64.exe -s
x64-Run: [MSC] "C:\Program Files\Microsoft Security Client\msseces.exe" -hide -runkey
x64-IE: {2670000A-7350-4f3c-8081-5663EE0C6C49} - {48E73304-E1D6-4330-914C-F5F514E3486C} - D:\Program\Microsoft Office\Office14\ONBttnIE.dll
x64-IE: {789FE86F-6FC4-46A1-9849-EDE0DB0C95CA} - {FFFDC614-B694-4AE6-AB38-5D6374584B52} - D:\Program\Microsoft Office\Office14\ONBttnIELinkedNotes.dll
x64-DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxp://fpdownload2.macromedia.com/get/shockwave/cabs/flash/sw...
x64-Filter: text/xml - {807573E5-5146-11D5-A672-00B0D022E945} - C:\Program Files\Common Files\Microsoft Shared\OFFICE14\MSOXMLMF.DLL
x64-Handler: dssrequest - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll
x64-Handler: sacore - {5513F07E-936B-4E52-9B00-067394E91CC5} - c:\Program Files (x86)\McAfee\SiteAdvisor\x64\McIEPlg.dll
x64-SSODL: WebCheck - <orphaned>
.
================= FIREFOX ===================
.
FF - ProfilePath - C:\Users\Marcus\AppData\Roaming\Mozilla\Firefox\Profiles\yz837f4d.default\
FF - prefs.js: browser.search.selectedEngine - Ask.com
FF - prefs.js: browser.startup.homepage - hxxp://www.google.se/
FF - prefs.js: keyword.URL - hxxp://websearch.ask.com/redirect?client=ff&src=kw&tb=ORJ&o=&...
FF - plugin: C:\PROGRA~2\MICROS~2\Office14\NPAUTHZ.DLL
FF - plugin: C:\PROGRA~2\MICROS~2\Office14\NPSPWRAP.DLL
FF - plugin: C:\Program Files (x86)\Adobe\Reader 11.0\Reader\AIR\nppdf32.dll
FF - plugin: C:\Program Files (x86)\Battlelog Web Plugins\1.122.0\npesnlaunch.dll
FF - plugin: C:\Program Files (x86)\Battlelog Web Plugins\Sonar\0.70.4\npesnsonar.dll
FF - plugin: C:\Program Files (x86)\Google\Update\1.3.21.145\npGoogleUpdate3.dll
FF - plugin: C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIIPT.dll
FF - plugin: C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\IPT\npIntelWebAPIUpdater.dll
FF - plugin: C:\Program Files (x86)\Java\jre7\bin\plugin2\npjp2.dll
FF - plugin: C:\Program Files (x86)\McAfee Security Scan\3.0.318\npMcAfeeMSS.dll
FF - plugin: C:\Program Files (x86)\McAfee\SiteAdvisor\NPMcFFPlg32.dll
FF - plugin: C:\Program Files (x86)\Microsoft Silverlight\5.1.20125.0\npctrlui.dll
FF - plugin: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dv.dll
FF - plugin: C:\Program Files (x86)\NVIDIA Corporation\3D Vision\npnv3dvstreaming.dll
FF - plugin: C:\Program Files (x86)\Personal\bin\np_prsnl.dll
FF - plugin: C:\Program Files (x86)\Personal\bin\np_prsnl64.dll
FF - plugin: c:\program files (x86)\real\realplayer\Netscape6\nprpplugin.dll
FF - plugin: C:\Program Files (x86)\TabletPlugins\npWacomTabletPlugin.dll
FF - plugin: C:\Program Files\TabletPlugins\npWacomTabletPlugin.dll
FF - plugin: C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlchromebrowserrecordext.dll
FF - plugin: C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlhtml5videoshim.dll
FF - plugin: C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\MozillaPlugins\nprndlpepperflashvideoshim.dll
FF - plugin: C:\ProgramData\RealNetworks\RealDownloader\BrowserPlugins\npdlplugin.dll
FF - plugin: C:\Windows\SysWOW64\Macromed\Flash\NPSWF32_11_7_700_224.dll
.
============= SERVICES / DRIVERS ===============
.
R0 MpFilter;Microsoft Malware Protection Driver;C:\Windows\System32\drivers\MpFilter.sys [2013-1-20 230320]
R1 dtsoftbus01;DAEMON Tools Virtual Bus Driver;C:\Windows\System32\drivers\dtsoftbus01.sys [2012-5-11 283200]
R2 asComSvc;ASUS Com Service;C:\Program Files (x86)\ASUS\AXSP\1.00.18\atkexComSvc.exe [2011-10-29 918448]
R2 asHmComSvc;ASUS HM Com Service;C:\Program Files (x86)\ASUS\AAHM\1.00.17\aaHMSvc.exe [2011-12-8 947328]
R2 IAStorDataMgrSvc;Intel(R) Rapid Storage Technology;C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe [2012-5-8 13592]
R2 Intel(R) Capability Licensing Service Interface;Intel(R) Capability Licensing Service Interface;C:\Program Files\Intel\iCLS Client\HeciServer.exe [2011-12-8 607456]
R2 jhi_service;Intel(R) Dynamic Application Loader Host Interface Service;C:\Program Files (x86)\Intel\Intel(R) Management Engine Components\DAL\Jhi_service.exe [2012-5-8 161560]
R2 McAfee SiteAdvisor Service;McAfee SiteAdvisor Service;C:\PROGRA~2\mcafee\SITEAD~1\mcsacore.exe [2013-4-10 103472]
R2 NisDrv;Microsoft Network Inspection System;C:\Windows\System32\drivers\NisDrvWFP.sys [2012-3-20 130008]
R2 RealNetworks Downloader Resolver Service;RealNetworks Downloader Resolver Service;C:\Program Files (x86)\RealNetworks\RealDownloader\rndlresolversvc.exe [2012-11-29 38608]
R2 Stereo Service;NVIDIA Stereoscopic 3D Driver Service;C:\Program Files (x86)\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe [2013-1-18 383264]
R2 WDDMService;WD SmartWare Drive Manager Service;C:\Program Files\Western Digital\WD SmartWare\WD Drive Manager\WDDMService.exe [2009-10-14 116224]
R2 WDSmartWareBackgroundService;WD SmartWare Background Service;C:\Program Files (x86)\Western Digital\WD SmartWare\Front Parlor\WDSmartWareBackgroundService.exe [2009-6-16 20480]
R2 WTabletServiceCon;Wacom Consumer Service;C:\Program Files\Tablet\Pen\WTabletServiceCon.exe [2013-1-16 619904]
R3 asmthub3;ASMedia USB3 Hub Service;C:\Windows\System32\drivers\asmthub3.sys [2011-11-3 130536]
R3 asmtxhci;ASMEDIA XHCI Service;C:\Windows\System32\drivers\asmtxhci.sys [2011-11-3 395752]
R3 hidkmdf;KMDF Driver;C:\Windows\System32\drivers\hidkmdf.sys [2013-1-16 13728]
R3 NisSrv;Microsoft Nätverkskontroll;C:\Program Files\Microsoft Security Client\NisSrv.exe [2013-1-27 379360]
R3 RTL8167;Realtek 8167 NT Driver;C:\Windows\System32\drivers\Rt64win7.sys [2012-5-8 646248]
R3 rzendpt;rzendpt;C:\Windows\System32\drivers\rzendpt.sys [2013-5-17 31232]
R3 rzudd;Razer Mouse Driver;C:\Windows\System32\drivers\rzudd.sys [2013-5-17 126464]
R3 WacHidRouter;Wacom Hid Router;C:\Windows\System32\drivers\wachidrouter.sys [2013-1-16 81312]
R3 wacomrouterfilter;Wacom Router Filter Driver;C:\Windows\System32\drivers\wacomrouterfilter.sys [2013-1-16 15776]
R3 WDC_SAM;WD SCSI Pass Thru driver;C:\Windows\System32\drivers\wdcsam64.sys [2009-2-13 14464]
S2 clr_optimization_v4.0.30319_32;Microsoft .NET Framework NGEN v4.0.30319_X86;C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe [2010-3-18 130384]
S2 clr_optimization_v4.0.30319_64;Microsoft .NET Framework NGEN v4.0.30319_X64;C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe [2010-3-18 138576]
S3 Futuremark SystemInfo Service;Futuremark SystemInfo Service;C:\Program Files (x86)\Futuremark\Futuremark SystemInfo\FMSISvc.exe [2012-9-4 136896]
S3 McComponentHostService;McAfee Security Scan Component Host Service;C:\Program Files (x86)\McAfee Security Scan\3.0.318\McCHSvc.exe [2013-2-5 235216]
S3 ose64;Office 64 Source Engine;C:\Program Files\Common Files\Microsoft Shared\Source Engine\OSE.EXE [2010-1-9 174440]
S3 TsUsbFlt;TsUsbFlt;C:\Windows\System32\drivers\TsUsbFlt.sys [2010-11-21 59392]
S3 TsUsbGD;Remote Desktop Generic USB Device;C:\Windows\System32\drivers\TsUsbGD.sys [2010-11-21 31232]
S3 WatAdminSvc;Aktiveringsteknologier för Windows-tjänst;C:\Windows\System32\Wat\WatAdminSvc.exe [2012-5-15 1255736]
.
=============== Created Last 30 ================
.
2013-06-19 10:49:37 -------- d-----w- C:\FRST
2013-06-19 09:00:31 -------- d-----w- C:\Users\Marcus\AppData\Local\NPE
2013-06-19 09:00:31 -------- d-----w- C:\ProgramData\Norton
2013-06-18 18:48:17 9552976 ----a-w- C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{6295C2B8-E12E-49B9-9813-47525EC40639}\mpengine.dll
2013-06-17 09:26:45 9460464 ------w- C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2013-06-14 16:39:03 964552 ------w- C:\ProgramData\Microsoft\Microsoft Antimalware\Definition Updates\{B58D1FA3-BCBD-4A17-BF99-31907A261358}\gapaengine.dll
2013-06-12 14:53:50 1910632 ----a-w- C:\Windows\System32\drivers\tcpip.sys
2013-06-07 13:44:57 -------- d-----w- C:\Program Files (x86)\Steam
2013-06-07 13:44:57 -------- d-----w- C:\Program Files (x86)\Common Files\Steam
.
==================== Find3M ====================
.
2013-06-12 16:33:14 71048 ----a-w- C:\Windows\SysWow64\FlashPlayerCPLApp.cpl
2013-06-12 16:33:14 692104 ----a-w- C:\Windows\SysWow64\FlashPlayerApp.exe
2013-05-17 03:17:30 126464 ----a-w- C:\Windows\System32\drivers\rzudd.sys
2013-05-17 03:17:28 31232 ----a-w- C:\Windows\System32\drivers\rzendpt.sys
2013-05-17 03:14:34 56832 ----a-w- C:\Windows\SysWow64\rzdevinfo.dll
2013-05-17 03:14:34 154112 ----a-w- C:\Windows\SysWow64\rztouchdll.dll
2013-05-17 03:14:30 766976 ----a-w- C:\Windows\SysWow64\rzdevicedll.dll
2013-05-17 03:14:30 117248 ----a-w- C:\Windows\SysWow64\rzdisplaydll.dll
2013-05-17 03:14:28 296448 ----a-w- C:\Windows\SysWow64\rzaudiodll.dll
2013-05-17 03:09:56 2312704 ----a-w- C:\Windows\System32\jscript9.dll
2013-05-17 03:02:29 1392128 ----a-w- C:\Windows\System32\wininet.dll
2013-05-17 03:01:13 1494528 ----a-w- C:\Windows\System32\inetcpl.cpl
2013-05-17 02:56:09 173056 ----a-w- C:\Windows\System32\ieUnatt.exe
2013-05-17 02:56:00 599040 ----a-w- C:\Windows\System32\vbscript.dll
2013-05-17 02:51:27 2382848 ----a-w- C:\Windows\System32\mshtml.tlb
2013-05-16 22:39:39 1800704 ----a-w- C:\Windows\SysWow64\jscript9.dll
2013-05-16 22:28:26 1129472 ----a-w- C:\Windows\SysWow64\wininet.dll
2013-05-16 22:27:30 1427968 ----a-w- C:\Windows\SysWow64\inetcpl.cpl
2013-05-16 22:21:37 142848 ----a-w- C:\Windows\SysWow64\ieUnatt.exe
2013-05-16 22:20:30 420864 ----a-w- C:\Windows\SysWow64\vbscript.dll
2013-05-16 22:16:57 2382848 ----a-w- C:\Windows\SysWow64\mshtml.tlb
2013-05-13 05:51:01 184320 ----a-w- C:\Windows\System32\cryptsvc.dll
2013-05-13 05:51:00 1464320 ----a-w- C:\Windows\System32\crypt32.dll
2013-05-13 05:51:00 139776 ----a-w- C:\Windows\System32\cryptnet.dll
2013-05-13 05:50:40 52224 ----a-w- C:\Windows\System32\certenc.dll
2013-05-13 04:45:55 140288 ----a-w- C:\Windows\SysWow64\cryptsvc.dll
2013-05-13 04:45:55 1160192 ----a-w- C:\Windows\SysWow64\crypt32.dll
2013-05-13 04:45:55 103936 ----a-w- C:\Windows\SysWow64\cryptnet.dll
2013-05-13 03:43:55 1192448 ----a-w- C:\Windows\System32\certutil.exe
2013-05-13 03:08:10 903168 ----a-w- C:\Windows\SysWow64\certutil.exe
2013-05-13 03:08:06 43008 ----a-w- C:\Windows\SysWow64\certenc.dll
2013-05-10 05:49:27 30720 ----a-w- C:\Windows\System32\cryptdlg.dll
2013-05-10 03:20:54 24576 ----a-w- C:\Windows\SysWow64\cryptdlg.dll
2013-05-02 15:29:56 278800 ------w- C:\Windows\System32\MpSigStub.exe
2013-04-26 05:51:36 751104 ----a-w- C:\Windows\System32\win32spl.dll
2013-04-26 04:55:21 492544 ----a-w- C:\Windows\SysWow64\win32spl.dll
2013-04-13 05:49:23 135168 ----a-w- C:\Windows\apppatch\AppPatch64\AcXtrnal.dll
2013-04-13 05:49:19 350208 ----a-w- C:\Windows\apppatch\AppPatch64\AcLayers.dll
2013-04-13 05:49:19 308736 ----a-w- C:\Windows\apppatch\AppPatch64\AcGenral.dll
2013-04-13 05:49:19 111104 ----a-w- C:\Windows\apppatch\AppPatch64\acspecfc.dll
2013-04-13 04:45:16 474624 ----a-w- C:\Windows\apppatch\AcSpecfc.dll
2013-04-13 04:45:15 2176512 ----a-w- C:\Windows\apppatch\AcGenral.dll
2013-04-12 14:45:08 1656680 ----a-w- C:\Windows\System32\drivers\ntfs.sys
2013-04-10 06:01:54 265064 ----a-w- C:\Windows\System32\drivers\dxgmms1.sys
2013-04-10 06:01:53 983400 ----a-w- C:\Windows\System32\drivers\dxgkrnl.sys
2013-04-10 03:30:50 3153920 ----a-w- C:\Windows\System32\win32k.sys
2013-04-04 03:35:05 95648 ----a-w- C:\Windows\SysWow64\WindowsAccessBridge-32.dll
.
============= FINISH: 10:29:19,34 ===============
Dold text
Citera flera
Citera
Skrivet av makl5021:
DDS-loggen:
Avinstallera Ask Toolbar pga http://www.systemlookup.com/CLSID/56968-GenericAskToolbar_dll...
Starta om datorn.
Spara AdwCleaner av Xplode på Skrivbordet: http://general-changelog-team.fr/fr/downloads/finish/20-outil...
Stäng alla program, inklusive webbläsare.
Dubbelklicka på AdwCleaner för att starta programmet.
Klicka på Search-knappen.
Vänta tills sökningen är klar.
En rapport kommer upp, kopiera innehållet och klistra in i ditt svar.
Om rapporten inte kommer upp, så finns den även som C:\AdwCleaner[R1].txt
Citera flera
Citera
Skrivet av CeciliaB:
I år är det normalt omöjligt att få Windows att fungera i felsäkert läge när datorn är infekterad av polistrojanen. Polistrojanen kan numera blockera även felsäkert läge.
Kör man "felsäkettläge med kommandotolken" så kan den inte logga ut dig ut felsäkert läge. Väl där inne minimerar ni kommandotonen. Sen kör man aktivitetshanteraren -> kör -> bläddra... så kan man komma åt alla filer på datorn.
Citera flera
Citera
AdwCleaner logg:
# AdwCleaner v2.303 - Logfile created 06/20/2013 at 18:32:23
# Updated 08/06/2013 by Xplode
# Operating system : Windows 7 Home Premium Service Pack 1 (64 bits)
# User : Marcus - ULTRA
# Boot Mode : Normal
# Running from : C:\Users\Marcus\Desktop\adwcleaner.exe
# Option [Search]
***** [Services] *****
***** [Files / Folders] *****
File Found : C:\Users\Marcus\AppData\Roaming\Mozilla\Firefox\Profiles\yz837f4d.default\searchplugins\Askcom.xml
Folder Found : C:\ProgramData\Ask
***** [Registry] *****
***** [Internet Browsers] *****
-\\ Internet Explorer v9.0.8112.16490
[OK] Registry is clean.
-\\ Mozilla Firefox v21.0 (sv-SE)
File : C:\Users\Marcus\AppData\Roaming\Mozilla\Firefox\Profiles\yz837f4d.default\prefs.js
Found : user_pref("browser.search.order.1", "Ask.com");
Found : user_pref("browser.search.selectedEngine", "Ask.com");
-\\ Google Chrome v27.0.1453.116
File : C:\Users\Marcus\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] File is clean.
*************************
AdwCleaner[R1].txt - [1058 octets] - [20/06/2013 18:32:23]
########## EOF - C:\AdwCleaner[R1].txt - [1118 octets] ##########
Dold text
Citera flera
Citera
Skrivet av makl5021:
AdwCleaner logg:
1. Stäng alla program, inklusive webbläsare.
Dubbelklicka på AdwCleaner för att starta programmet.
Klicka på Delete-knappen.
Tryck på OK.
Datorn kommer att startas om.
En rapport kommer upp, kopiera innehållet och klistra in i ditt svar.
Om rapporten inte kommer upp, så finns den även som C:\AdwCleaner[S1].txt
2. Skanna datorn online på http://www.eset.com/onlinescan/
För att inte skannern ska ta för lång tid på sig stäng av ditt antivirusprogram under tiden.
Avbocka alternativet Remove found threats
Bocka för Scan Archives
Klicka på Advanced Settings
Bocka för:
Scan for potentially unwanted applications
Scan for potentially unsafe applications
Enable Anti-Stealth Technology
Klicka på Scan
När skanningen är klar kopiera resultatet och klistra sedan in det i ditt svar.
Citera flera
Citera
Jag avinstallerade ask toolbar men det verkar inte som jag lyckades helt. ESET hittade nån ask-skit iaf.
AdwCleaner logg:
# AdwCleaner v2.303 - Logfile created 06/20/2013 at 19:24:30
# Updated 08/06/2013 by Xplode
# Operating system : Windows 7 Home Premium Service Pack 1 (64 bits)
# User : Marcus - ULTRA
# Boot Mode : Normal
# Running from : C:\Users\Marcus\Desktop\adwcleaner.exe
# Option [Delete]
***** [Services] *****
***** [Files / Folders] *****
File Deleted : C:\Users\Marcus\AppData\Roaming\Mozilla\Firefox\Profiles\yz837f4d.default\searchplugins\Askcom.xml
Folder Deleted : C:\ProgramData\Ask
***** [Registry] *****
***** [Internet Browsers] *****
-\\ Internet Explorer v9.0.8112.16490
[OK] Registry is clean.
-\\ Mozilla Firefox v21.0 (sv-SE)
File : C:\Users\Marcus\AppData\Roaming\Mozilla\Firefox\Profiles\yz837f4d.default\prefs.js
Deleted : user_pref("browser.search.order.1", "Ask.com");
Deleted : user_pref("browser.search.selectedEngine", "Ask.com");
-\\ Google Chrome v27.0.1453.116
File : C:\Users\Marcus\AppData\Local\Google\Chrome\User Data\Default\Preferences
[OK] File is clean.
*************************
AdwCleaner[R1].txt - [1187 octets] - [20/06/2013 18:32:23]
AdwCleaner[S1].txt - [1126 octets] - [20/06/2013 19:24:30]
########## EOF - C:\AdwCleaner[S1].txt - [1186 octets] ##########
Dold text
ESET-resultat:
C:\Users\Marcus\AppData\Local\Temp\APNStub.exe a variant of Win32/Bundled.Toolbar.Ask application
C:\Users\Marcus\AppData\Local\Temp\ICReinstall\cnet2_DAEMONToolsPro510-0333_exe.exe a variant of Win32/InstallCore.D application
C:\Users\Marcus\AppData\Local\Temp\is1598539481\685230_Setup.DAT Win32/OpenCandy application
C:\Users\Marcus\AppData\Local\Temp\is1598539481\BuzzdockSetup-Silent.exe multiple threats
C:\Users\Marcus\AppData\Local\Temp\is1598539481\MyBabylonTB.exe Win32/Toolbar.Babylon application
C:\Users\Marcus\AppData\Local\Temp\oohPardPuss\netsWordy.class a variant of Java/Exploit.Agent.NFX trojan
C:\Users\Marcus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\33\1fc35721-533d691c Java/Exploit.CVE-2012-1723.KH trojan
C:\Users\Marcus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\4\51383844-7f8d13c3 a variant of Java/Exploit.Agent.NFX trojan
C:\Users\Marcus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\5\37737145-51b88d97 a variant of Java/Exploit.Agent.NFX trojan
C:\Users\Marcus\AppData\LocalLow\Sun\Java\Deployment\cache\6.0\60\5d0c58fc-601582e1 a variant of Java/Exploit.Agent.NFX trojan
C:\Users\Marcus\AppData\Roaming\Real\Update\UpgradeHelper\RealPlayer\10.50\agent\stub_data\stubinst_pkg_en-eu.cab Win32/OpenCandy application
C:\Users\Marcus\Downloads\cnet2_DAEMONToolsPro510-0333_exe.exe a variant of Win32/InstallCore.D application
C:\Users\Marcus\Downloads\DAEMONToolsPro510-0333.exe Win32/OpenCandy application
D:\Mina dokument\Nyladdat\Unlocker1%5B1%5D.9.0.exe Win32/Adware.ADON application
Dold text
Citera flera
Citera
Skrivet av makl5021:
Jag avinstallerade ask toolbar men det verkar inte som jag lyckades helt. ESET hittade nån ask-skit iaf.
AdwCleaner logg:
ESET-resultat:
Avinstallationsprogram är sällan så bra som man önskar.
1. De första fem filerna som Esets skanner hittade är antagligen rester från installationer av olika program där det ingår toolbars och liknade. Du kan ta bort alla filer och mappar som finns i mappen C:\Users\Marcus\AppData\Local\Temp eftersom mappen endast ska innehålla tillfälliga filer. Säg till om du behöver någon hjälp med det (det finns program som kan göra det åt dig också).
Sedan kommer fyra filer som visar att datorn har kommit till en webbsida som utnyttjat säkerhetshål i Java för att infektera datorn, troligen då polistrojanen. Avinstallera alla Java-versioner som finns i datorn, om du inte redan gjort det, och ta sedan bort mappen C:\Users\Marcus\AppData\LocalLow\Sun\Java efter en omstart av datorn. Säg till om du behöver någon hjälp med det. De flesta klarar sig bra utan att ha Java installerat men om man nu måste ha det är det mycket viktigt att alltid ha den senaste versionen.
Filen därefter visar att RealPlayer innehåller en toolbar eller något liknande.
De tre avslutande filerna är installationsprogram som innehåller toolbars eller liknande för att t ex visa annonser.
2. Stäng alla program, inklusive webbläsare.
Dubbelklicka på AdwCleaner för att starta programmet.
Klicka på Uninstall-knappen.
3. Släng DDS och dess loggar i papperskorgen.
4. Ta bort samtliga systemåterställningspunkter eftersom dessa kan vara infekterade.
Börja med att skapa en ny systemåterställningspunkt:
Högerklick på Datorn - Egenskaper - Systemskydd
Tryck på Skapa.
Ta sedan bort alla gamla systemåterställningspunkter genom att köra diskrensningsprogrammet.
Högerklicka på C: i Den här datorn/Utforskaren och välj Egenskaper.
På fliken Allmänt finns det en knapp som heter Diskrensning. Välj den.
Efter några minuter kommer programmet upp och då väljer du en flik som heter Fler alternativ eller något likande. Tryck på den Rensa-knapp som tar bort alla systemåterställningspunkter utom den senaste.
Beroende på Windows kan du behöva välja något om att du vill ta bort filer som gäller hela datorn/Windows innan den rätta fliken dyker upp.
5. Förbättra skyddet i datorn, se mina Råd för en säkrare dator: http://ceciliasec.wordpress.com/rad/
Det är mycket viktigt att hålla alla småprogram i datorn uppdaterade, gamla versioner av t ex Flash, Java och Adobe Reader innehåller kända säkerhetshål, vilka kan användas av en webbsida för att infektera datorn. Jag tycker att Secunias program (länk på min webbsida) är en bra hjälp för att kontrollera hur det står till med säkerhetshål i datorn och ange vad som behöver åtgärdas.
Citera flera
Citera
Ska inleda med en privat uppmaning ej relaterad till tråden.
Cecilia som sitter och snackar skit om Sweclockers på andra forum kan väl ta och avregistrera sitt konto här för att bespara oss tonårsdramatiken, uppenbarligen anser ju du att SweC medlemmar "inte är seriösa när det gäller skadliga program" och du har säkert rätt. Men eftersom du då anser dig vara så seriös kan du ju omöjligt höra hemma här, inte sant? För övrigt bör du söka jobb på PC för Alla, du är helt rätt person för dom! (med all välmening, jag gillar dom)
Angående skadliga program liknande detta "polisvirus" finns det en uppsjö olika vägar att gå för att nå samma mål. Ingen är mer rätt än någon annan, vissa kan bara upplevas som mer eller mindre krångliga. Varför ni börjar tjaffsa som småbarn om vad som är enklast när ni istället ska försöka hjälpa personen här är verkligen oförståeligt. Som någon skrivit tidigare är det bra om man har en usb-sticka förberedd med bra-att-ha program för dessa ändamål.
Att kalla "polisviruset" ett virus är ju dessvärre någon form av komplimang till upphovsmakaren av denna sörja med extremt slarvigt skriven kod och instruktioner. Den gör ju verkligen inget farligt och absolut inget ni inte manuellt kan ta bort.
Att inte kunna ta sig in i felsäkert läge har väl aldrig varit något problem tidigare? Har väl nämnts säkert 40 vägar runt detta bara under min tid här på SweC forum. Och skulle det mot förmodan upplevas som ett problem är det väl bara läsa på nätet. Google är er bästa vän och både teknik samt kunskapsnivån har gått raskt framåt de senaste åren. Ceciilia och PC för Alla är er bästa vän om ni vill ta genvägar till snabba lösningar och simpla guider med glitter på kanterna utan att verkligen lära er något som kommer hjälpa er i framtiden.
Slutligen,
Även om det återkommande rådet "håll er uppdaterade, speciellt plugins/windows/surf" är pinsamt uttjatat av ja... precis alla? .. så är det också mycket-jävla-sant. Kan vara bra att minnas detta om en vecka, så lägg det på minnet.
Råd till Makl5021: Om du ska köra pro versionerna av olika program skulle jag starkt rekommendera dig att faktiskt betala för dom också eller köra testperioden ut och sedan nöja dig med gratis versionerna. Daemon-tools är ett sådant exempel på ett program som faktiskt är extremt värt att betala för. Att sitta och tanka hem olika unlockers och keygens (vilket skrider mot en hel del lagar och förordningar) kommer fortsättningsvis alltid öka risken lavinartat för att du ska snappa upp all världens e-skräp; precis som du lyckades med denna gång.
Tack för mig och en trevlig kväll!
nedlåtande kommentar borttagen
Citera flera
Citera
Om det är så att CecilliaB tycker att vi medlemmar här inte är seriösa när det gäller skadlig kod tycker jag det är komiskt. Den som tror att den vet allt kan inte så mycket.
Visst att kunskap hos medlemmar inte alltid är så hög kan jag hålla med om. Men man vet inget från början. Men de flesta här är intresserad av datorer här och lyssnar på det man har att säga om det är något vettigt.
Någon som vet var man kan ladda ner tojanen?
Skickades från m.sweclockers.com
Citera flera
Citera
Skrivet av Orfi:
Ska inleda med en privat uppmaning ej relaterad till tråden.
Cecilia som sitter och snackar skit om Sweclockers på andra forum kan väl ta och avregistrera sitt konto här för att bespara oss tonårsdramatiken, uppenbarligen anser ju du att SweC medlemmar "inte är seriösa när det gäller skadliga program" och du har säkert rätt. Men eftersom du då anser dig vara så seriös kan du ju omöjligt höra hemma här, inte sant? För övrigt bör du söka jobb på PC för Alla, du är helt rätt person för dom! (med all välmening, jag gillar dom)
Min förhoppning är att Sweclockers kan bli mer seriöst när det gäller skadliga program så att de datorer som har blivit infekterade verkligen blir rena och förblir det också. Någon skrev i det här forumet att han hade tagit bort polistrojanen ett flertal gånger från sin egen dator, då kan det ju vara bra med lite mer långsiktiga tips än att bara köra diverse rescue-skivor med antivirusprogram.
Citatet är hämtat från tråden http://www.alltomwindows.se/forum/topic/27289-nytt-polis-viru... som svar till en som skrev:
Citat:
Jag hamna på sweklockers, blev förvånad över att så många sitter och gissar?!
PC för Alla anställer ingen för att svara på frågor i deras forum eller jobba med datorsupport i någon annan form, däremot har jag svarat på frågor i Eforum (numera PC för Allas forum, tidigare hela IDGs forum) i snart 10 år.
Citera flera
Citera
Skrivet av w4nt3n:
Om det är så att CecilliaB tycker att vi medlemmar här inte är seriösa när det gäller skadlig kod tycker jag det är komiskt. Den som tror att den vet allt kan inte så mycket.
Visst att kunskap hos medlemmar inte alltid är så hög kan jag hålla med om. Men man vet inget från början. Men de flesta här är intresserad av datorer här och lyssnar på det man har att säga om det är något vettigt.
Någon som vet var man kan ladda ner tojanen?
Skickades från m.sweclockers.com
Jag tror inte jag kan allt, däremot har jag hjälpt folk att bli av med skadlig kod i snart 10 år och under tiden lärt mig mycket från dem som forskar i vad skadliga program har för sig och vad som är bästa sättet att bli av med dem samt från dem som hjälper till i de stora engelska forumen för rensning av skadlig kod.
Pröva lite länkar på http://www.malwaredomainlist.com/ om du vill få en infekterad dator. Du behöver en gammal Java-version också eftersom det är genom säkerhetshål i den som polistrojanen kommer in i datorn.
Citera flera
Citera
Tack så jättemycket Cecilia för att du tog dig tid! Väldigt skönt som omväxling att få svar och hjälp istället för att bli ombedd att googla det som om man vore efterbliven. Jag kan också sitta några timmar och leta upp svar på olika platser på nätet, men det sparar ju mig en massa värdefull tid om jag kan slippa det. Nu vet jag vart jag ska vända mig nästa gång det skiter sig. Tack än en gång!
Citera flera
Citera
Skrivet av upr0426:
Guide för att minska risken att få trojanen.
Gå inte in på porr
Om ni vill se på något avsnitt av en TV-serie på nätet gör inte det om det inte är tv4 play eller någonting.
Ladda inte ner från pirate bay utan att kolla på kommentarerna under om torrenten.
Om man har ett antivirusprogram, senaste versionerna av webbläsaren, flash och java så minskar risken stort att få skit på datorn, och så klart ska man alltid vara försiktig med nedladdade filer.
Visa signatur
Stationär dator | AMD RYZEN 7 5700G | G.SKILL Flare X 16GB 3200MHz CL14 | ASUS PRIME X470-PRO | Samsung 970 EVO 250GB | WD Green 120GB M.2 | Fractal Design Newton R3 600W | Manjaro - KDE Plasma |
HP ENVY x360 | AMD RYZEN 5 2500u | 8GB | 256GB SSD |
OnePlus 6
Citera flera
Citera
Skrivet av makl5021:
Tack så jättemycket Cecilia för att du tog dig tid! Väldigt skönt som omväxling att få svar och hjälp istället för att bli ombedd att googla det som om man vore efterbliven. Jag kan också sitta några timmar och leta upp svar på olika platser på nätet, men det sparar ju mig en massa värdefull tid om jag kan slippa det. Nu vet jag vart jag ska vända mig nästa gång det skiter sig. Tack än en gång!
Tack själv för vänliga ord
Det har varit trevligt att hjälpa dig.
Polisen uppskattar om man polisanmäler detta bedrägeriförsök såg jag i en tidningsartikel. Ju fler som anmäler desto mer resurser kan de lägga på att försöka komma åt dem som ligger bakom.
Citera flera
Citera
För mig så låste den felsäkert läge helt, men då funkade en "hård" omstart:
ryck nätkabeln (vägguttag,230V) - - >>felsäkert med kommandotolk - - - >>> msconfig - - - ->> systemåterställning - - - >> omstart och kör MBAM och AVG-antivirus - - - ->> funkade för mig!
Visa signatur
Ryzen 7 3700x stock.
Citera flera
Citera
Hårdvara
Mjukvara
Datorkomponenter
Ljud, bild och kommunikation
- Gamingdator, 15-20k6
- Asus ville ha 30 000 för trasig kontakt på 40904
- Ny dator för spel och Keras/Tensorflow1
- Behöver hjälp med VPN9
- PizzaClockers - pizzans hemligheter!1410
- Köp Samsungs 114 tums TV – få en till på köpet47
- Tråden om PlayStation 514661
- Tråden om Xbox Series X|S7567
- Fundering kring Samsung tv och surroundsystem2
- Apple ber om ursäkt för kritiserad reklam67
- Säljes Sennheiswr GSP 370
- Skänkes Logitech Harmony + Telldus fjärrströmbrytare
- Säljes Beyerdynamic DT 700 Pro X
- Säljes i7-8700K, RTX 2080, 32GB 3200MHz DDR4, 1TB+500GB SSD, EKWB custom loop
- Skänkes Fractal Design Core 2500
- Säljes Speldator Både snabb och tyst. Med mycket lagring.
- Säljes Philips Hue White Ambiance GU10
- Säljes Be Quiet! TFX Power 3 Gold 300W
- Säljes BenQ GW2780 + G.Skill DDR5 6000 MHZ CL30 (2x16GB)
- Säljes i5 4670k, 16GB RAM, Sapphire Nitro RX580 4GB
- Asus ville ha 30 000 för trasig kontakt på 40905
- Hemmabygge slår samman 256 RISC‑V‑kretsar15
- Microsofts spelbutik för mobiler lanseras i sommar9
- Fullproppat uppdateringspaket på gång till Steam Deck16
- Krönika: Tanken av att prata med AI i spel gör mig deprimerad47
- Stack Overflow-användare ilsknar till efter Open AI-affär20
- Windows skärmdumpverktyg får QR‑kodläsare2
- Helgsnack: Kommer AMD kunna slå Nvidia igen?94
- Microsoft jobbar på ny widget-funktion i Start‑menyn26
- "Långsiktighet" är orsaken till Microsofts nedskärningar24
