Avatar billede deathblow Nybegynder
25. juni 2011 - 00:43 Der er 38 kommentarer og
2 løsninger

Hjælp til Hijackthis log (har kørt ccleaner/virus/spyware)

Hej Eksperten,

Jeg har indtil nu fulgt denne guide jeg fandt (http://www.spywarefri.dk/vejledning-til-rensning/). Guiden foreslog at køre følgende programmer:
Ccleaner
Avira virus scan
ESET online scan
Malwarebytes anti-malware
Superantispyware

Hvilket jeg så har gjort. Nu har jeg så efter dette kørt hijackthis og håber der er en venlig sjæl der kan hjælpe mig med at rydde lidt op i rodet.

---------------------------------------------

Hijack log:
Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 00:21:18, on 25-06-2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.17098)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programmer\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\D-Tools\daemon.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\Windows Defender\MSASCui.exe
D:\Programmer\Winamp\winampa.exe
D:\Programmer\Avira\AntiVir Desktop\avgnt.exe
C:\Programmer\Windows Live\Messenger\msnmsgr.exe
D:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programmer\Logitech\SetPoint\SetPoint.exe
D:\Programmer\Digsby\lib\digsby-app.exe
D:\Programmer\Avira\AntiVir Desktop\avguard.exe
C:\Programmer\Java\jre6\bin\jqs.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
C:\Programmer\Fælles filer\Logishrd\KHAL2\KHALMNPR.EXE
D:\Programmer\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Skype\Plugin Manager\skypePM.exe
C:\Programmer\Windows Live\Contacts\wlcomm.exe
C:\WINDOWS\system32\wuauclt.exe
D:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\WINDOWS\system32\wscntfy.exe
d:\Programmer\KeePass Password Safe 2\KeePass.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\Programmer\Mozilla Firefox\plugin-container.exe
C:\WINDOWS\system32\wuauclt.exe
C:\WINDOWS\system32\msiexec.exe
D:\Programmer\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - d:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmer\Fælles filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - D:\Programmer\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - C:\Programmer\Java\jre6\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - C:\Programmer\Java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmer\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmer\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [WinampAgent] D:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [KeePass 2 PreLoad] "d:\Programmer\KeePass Password Safe 2\KeePass.exe" --preload
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmer\Fælles filer\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKLM\..\Run: [avgnt] "D:\Programmer\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKCU\..\Run: [StartCCC] C:\Programmer\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [SpybotSD TeaTimer] d:\Programmer\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SUPERAntiSpyware] D:\Programmer\SUPERAntiSpyware\SUPERAntiSpyware.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-21-1614895754-1897051121-682003330-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'postgres')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: digsby.lnk = D:\Programmer\Digsby\digsby.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programmer\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office 2003\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - D:\Games\CDPoker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - D:\Games\CDPoker\casino.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Documents and Settings\Insane\Skrivebord\PartyPoker.lnk
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Documents and Settings\Insane\Skrivebord\PartyPoker.lnk
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - d:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - d:\Programmer\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.danid.dk
O15 - Trusted Zone: http://*.danid.dk (HKLM)
O16 - DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} (PowerPlayer Control) - http://download.ppstream.com/bin/powerplayer.cab
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://flashpoker.ladbrokes.com/ladbrokes/FlashAX.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FLLESF~1\Skype\SKYPE4~1.DLL
O20 - Winlogon Notify: !SASWinLogon - D:\Programmer\SUPERAntiSpyware\SASWINLO.dll
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - D:\Programmer\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programmer\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: B-Service - Unknown owner - C:\Documents and Settings\Insane\Application Data\Mikogo\B-Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - C:\Programmer\Java\jre6\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programmer\Fælles filer\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: PostgreSQL Database Server 8.2 (pgsql-8.2) - PostgreSQL Global Development Group - D:\Programmer\PostgreSQL\bin\pg_ctl.exe
O23 - Service: postgresql-8.4 - PostgreSQL Server 8.4 (postgresql-8.4) - PostgreSQL Global Development Group - D:/Programmer/PostgreSQL/8.4/bin/pg_ctl.exe

--
End of file - 9463 bytes

------------------------------------------

På forhånd mange tak.

Ps. Ryger snart til køjs men tjekker selvfølgelig tråden i morgen og ser om der er "bid" :)
Avatar billede f-arn Guru
25. juni 2011 - 07:16 #1
Jeg undrer mig lidt - hvis du har fulgt vejledningen fra Spywarefri Forum, hvorfor læggger du så ikke de logs du lavet der?
Så ville vi jo kigge på dem.
Avatar billede deathblow Nybegynder
25. juni 2011 - 09:31 #2
Det var såmen en gammel vane. Har tidligere fået hjælp herinde til min hijack log så derfor jeg kom herind først. Inden jeg så postede ville jeg dog lige køre lidt diverse programmer igennem først for at lette arbejdet. Da jeg ikke er så skrap til de programmer søger jeg som regel efter lidt hjælp. Det er så lidt forskelligt hvad side jeg havner på. Det har førhen været blogs og forums der ikke omhandlede sikkerhed normalt men lige havde en enkelt post om det (stedet hvor jeg ikke kan få hjælp til hijack log). Så der har jeg fulgt guiderne og bagefter postet her for hjælp.

Oven i det manglede jeg stadig 2 programmer på listen og det var gået hen og blevet sent. Modsat de andre programmer havde jeg ikke hørt om de 2 sidste så tænkte det nok var godt nok nu og så kunne jeg poste loggen før sengetid :)

Sidst men ikke mindst så er det nok også tanken om at spørge om frivilligt hjælp i sin allerførste forum post på en ny bruger. Det kan virke utaknemligt for nogen hvis man bruger et forum til egen fordel uden selv at bidrage. Da jeg ikke har meget viden inden for sikkerhed er det svært for mig at bidrage. Det at man kan give point herinde gør det lidt lettere at spørge om hjælp da man så kan give lidt igen på den måde.

Så det er såmen blot derfor :)

Men kan da også godt se det kan virke utaknemligt at bruge en side til hjælp og så ikke støtte op om den ved at lave en bruger. Da det ikke var meningen at træde nogen over fødderne er jeg gået i gang med de sidste 2 programmer på listen og så kan jeg poste den på jeres side senere også :)

Mvh. DB
25. juni 2011 - 09:56 #3
... altså her i denne 'tråd' på Eksperten.dk eller ved Spywarefri.dk ??? - Ikke begge steder!

Under alle omstændigheder - følgende kommentar:

* WindowsUpdate - du mangler IE (Internet Explorer) 8.0
* WindowsUpdate - andre opdateringer

* Opdatér AcrobatReader -> http://get.adobe.com/dk/reader/  (FRAKlik det der Google halløj!)

*  PartyPoker.com + CDPoker ???
Avatar billede f-arn Guru
25. juni 2011 - 09:57 #4
Du kan sagtens fortsætte her - jeg undrede mig bare.
Jeg vil da gerne hjælpe dig her.

Hvad agnår "første post" - er det overhovedet ikke noget problem på Spywarefri!!!
Avatar billede f-arn Guru
25. juni 2011 - 10:02 #5
Jeg er selvfølgelig enig med "karise_larry"
Den skal ikke køre begge steder.
Avatar billede deathblow Nybegynder
25. juni 2011 - 15:00 #6
Okay holder det til eksperten så der kun er en enkelt tråd.

Har opdateret windows + IE samt Acrobat Reader som skrevet.

PartyPoker har jeg installeret på min computer men cd poker har jeg uninstalled for lang tid siden. Kan dog se de stadig på en eller anden måde har tilføjet noget til IE hvilket jeg da gerne vil have væk hvis muligt. Bruger dog normalt firefox så ikke super vigtigt.

Her er en ny Hijack log

------------------------------------------------

Logfile of Trend Micro HijackThis v2.0.4
Scan saved at 14:59:52, on 25-06-2011
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v8.00 (8.00.6001.18702)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programmer\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
D:\Programmer\Avira\AntiVir Desktop\avguard.exe
D:\Programmer\Java\bin\jqs.exe
C:\Programmer\D-Tools\daemon.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\Windows Defender\MSASCui.exe
D:\Programmer\Winamp\winampa.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
D:\Programmer\Avira\AntiVir Desktop\avgnt.exe
C:\Programmer\Windows Live\Messenger\msnmsgr.exe
D:\Programmer\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost.exe
C:\Programmer\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programmer\Logitech\SetPoint\SetPoint.exe
D:\Programmer\Digsby\lib\digsby-app.exe
C:\Programmer\Fælles filer\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programmer\Windows Live\Contacts\wlcomm.exe
C:\Programmer\Skype\Plugin Manager\skypePM.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\Programmer\Mozilla Firefox\plugin-container.exe
C:\Programmer\Internet Explorer\iexplore.exe
C:\Programmer\Internet Explorer\iexplore.exe
D:\Programmer\Trend Micro\HiJackThis\HiJackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Hyperlinks
O2 - BHO: AcroIEHelperStub - {18DF081C-E8AD-4283-A596-FA578C2EBDC3} - C:\Programmer\Fælles filer\Adobe\Acrobat\ActiveX\AcroIEHelperShim.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - (no file)
O2 - BHO: (no name) - {5C255C8A-E604-49b4-9D64-90988571CECB} - (no file)
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - D:\Programmer\Java\bin\ssv.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Programmer\Fælles filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: MegaIEMn - {bf00e119-21a3-4fd1-b178-3b8537e75c92} - D:\Programmer\Megaupload\Mega Manager\MegaIEMn.dll
O2 - BHO: Java(tm) Plug-In 2 SSV Helper - {DBC80044-A445-435b-BC74-9C25C1C588A9} - D:\Programmer\Java\bin\jp2ssv.dll
O2 - BHO: JQSIEStartDetectorImpl - {E7E6F031-17CE-4C07-BC86-EABFE594F69C} - D:\Programmer\Java\lib\deploy\jqs\ie\jqs_plugin.dll
O4 - HKLM\..\Run: [DAEMON Tools-1033] "C:\Programmer\D-Tools\daemon.exe"  -lang 1033
O4 - HKLM\..\Run: [WINDVDPatch] CTHELPER.EXE
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [Jet Detection] C:\Programmer\Creative\SBLive\PROGRAM\ADGJDet.exe
O4 - HKLM\..\Run: [AGRSMMSG] AGRSMMSG.exe
O4 - HKLM\..\Run: [Windows Defender] "C:\Programmer\Windows Defender\MSASCui.exe" -hide
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [WinampAgent] D:\Programmer\Winamp\winampa.exe
O4 - HKLM\..\Run: [KeePass 2 PreLoad] "d:\Programmer\KeePass Password Safe 2\KeePass.exe" --preload
O4 - HKLM\..\Run: [avgnt] "D:\Programmer\Avira\AntiVir Desktop\avgnt.exe" /min
O4 - HKLM\..\Run: [SunJavaUpdateSched] "D:\Programmer\Java\bin\jusched.exe"
O4 - HKLM\..\Run: [Adobe ARM] "C:\Programmer\Fælles filer\Adobe\ARM\1.0\AdobeARM.exe"
O4 - HKCU\..\Run: [StartCCC] C:\Programmer\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Programmer\Windows Live\Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Programmer\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [ctfmon.exe] C:\WINDOWS\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJENESTE')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETVÆRKSTJENESTE')
O4 - HKUS\S-1-5-21-1614895754-1897051121-682003330-1008\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'postgres')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: digsby.lnk = D:\Programmer\Digsby\digsby.exe
O4 - Global Startup: Logitech SetPoint.lnk = D:\Programmer\Logitech\SetPoint\SetPoint.exe
O4 - Global Startup: Microsoft Office.lnk = D:\Programmer\Microsoft Office 2003\Office10\OSA.EXE
O8 - Extra context menu item: E&xport to Microsoft Excel - res://D:\PROGRA~1\MICROS~2\Office10\EXCEL.EXE/3000
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmer\Java\bin\jp2iexp.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - D:\Programmer\Java\bin\jp2iexp.dll
O9 - Extra button: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - D:\Games\CDPoker\casino.exe (file missing)
O9 - Extra 'Tools' menuitem: CDPoker - {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - D:\Games\CDPoker\casino.exe (file missing)
O9 - Extra button: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Documents and Settings\Insane\Skrivebord\PartyPoker.lnk
O9 - Extra 'Tools' menuitem: PartyPoker.com - {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - C:\Documents and Settings\Insane\Skrivebord\PartyPoker.lnk
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programmer\Messenger\msmsgs.exe
O15 - Trusted Zone: http://*.danid.dk
O15 - Trusted Zone: http://*.danid.dk (HKLM)
O16 - DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} (PowerPlayer Control) - http://download.ppstream.com/bin/powerplayer.cab
O16 - DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - http://download.eset.com/special/eos/OnlineScanner.cab
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - https://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
O16 - DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} (FlashXControl Object) - https://flashpoker.ladbrokes.com/ladbrokes/FlashAX.cab
O16 - DPF: {D821DC4A-0814-435E-9820-661C543A4679} (CRLDownloadWrapper Class) - http://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
O16 - DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} (e-Safekey) - https://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
O18 - Protocol: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - C:\PROGRA~1\FLLESF~1\Skype\SKYPE4~1.DLL
O22 - SharedTaskScheduler: Browseui preloader - {438755C2-A8BA-11D1-B96B-00A0C90312E1} - C:\WINDOWS\system32\browseui.dll
O22 - SharedTaskScheduler: Component Categories cache daemon - {8C7461EF-2B13-11d2-BE35-3078302C2030} - C:\WINDOWS\system32\browseui.dll
O23 - Service: Avira AntiVir Scheduler (AntiVirSchedulerService) - Avira GmbH - D:\Programmer\Avira\AntiVir Desktop\sched.exe
O23 - Service: Avira AntiVir Guard (AntiVirService) - Avira GmbH - D:\Programmer\Avira\AntiVir Desktop\avguard.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: B-Service - Unknown owner - C:\Documents and Settings\Insane\Application Data\Mikogo\B-Service.exe
O23 - Service: Java Quick Starter (JavaQuickStarterService) - Sun Microsystems, Inc. - D:\Programmer\Java\bin\jqs.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Programmer\Fælles filer\Logishrd\Bluetooth\LBTServ.exe
O23 - Service: PostgreSQL Database Server 8.2 (pgsql-8.2) - PostgreSQL Global Development Group - D:\Programmer\PostgreSQL\bin\pg_ctl.exe
O23 - Service: postgresql-8.4 - PostgreSQL Server 8.4 (postgresql-8.4) - PostgreSQL Global Development Group - D:/Programmer/PostgreSQL/8.4/bin/pg_ctl.exe

--
End of file - 8855 bytes
25. juni 2011 - 15:30 #7
Så nævnte du selv [MalwareBytes] ? Loggen derfra ?
Avatar billede f-arn Guru
25. juni 2011 - 15:41 #8
Og loggen fra DDS?
Avatar billede deathblow Nybegynder
25. juni 2011 - 16:05 #9
MalwareBytes log:

Malwarebytes' Anti-Malware 1.51.0.1200
www.malwarebytes.org

Database version: 6940

Windows 5.1.2600 Service Pack 3
Internet Explorer 7.0.5730.11

24-06-2011 22:24:39
mbam-log-2011-06-24 (22-24-39).txt

Skanningstype: Fuldstændig skanning (C:\|D:\|E:\|)
Objekter skannet: 307896
Tid gået: 48 minut(ter), 35 sekund(er)

Hukommelses Processorer Inficeret: 0
Hukommelses Moduler Inficeret: 0
Registreringsdatabasenøgler Inficeret: 0
Registreringsdatabaseværdier Inficeret: 0
Registreringsdatabasedata Objekter Inficeret: 0
Inficerede Mapper: 0
Inficerede Filer: 3

Hukommelses Processorer Inficeret:
(Ingen skadelige objekter blev fundet)

Hukommelses Moduler Inficeret:
(Ingen skadelige objekter blev fundet)

Registreringsdatabasenøgler Inficeret:
(Ingen skadelige objekter blev fundet)

Registreringsdatabaseværdier Inficeret:
(Ingen skadelige objekter blev fundet)

Registreringsdatabasedata Objekter Inficeret:
(Ingen skadelige objekter blev fundet)

Inficerede Mapper:
(Ingen skadelige objekter blev fundet)

Inficerede Filer:
c:\system volume information\_restore{5228097e-46ba-4eb0-a0ca-471353418dc9}\RP1295\A0199880.exe (Trojan.Crypt) -> Quarantined and deleted successfully.
c:\system volume information\_restore{5228097e-46ba-4eb0-a0ca-471353418dc9}\RP1295\A0199882.exe (Trojan.Crypt) -> Quarantined and deleted successfully.
d:\programmer\pokertracker 3\Data\Plugins\bodogcommunicator.pt3 (Trojan.Agent) -> Quarantined and deleted successfully.

-------------------------------------------------------

DDS log

.
DDS (Ver_2011-06-23.01) - NTFSx86
Internet Explorer: 8.0.6001.18702  BrowserJavaVersion: 1.6.0_26
Run by Insane at 15:58:24 on 2011-06-25
Microsoft Windows XP Professional  5.1.2600.3.1252.45.1030.18.1023.193 [GMT 2:00]
.
AV: AntiVir Desktop *Enabled/Updated* {AD166499-45F9-482A-A743-FDD3350758C7}
.
============== Running Processes ===============
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\Programmer\Windows Defender\MsMpEng.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
C:\WINDOWS\system32\svchost.exe -k WudfServiceGroup
svchost.exe
svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
D:\Programmer\Avira\AntiVir Desktop\sched.exe
C:\WINDOWS\Explorer.EXE
svchost.exe
D:\Programmer\Avira\AntiVir Desktop\avguard.exe
D:\Programmer\Java\bin\jqs.exe
C:\Programmer\D-Tools\daemon.exe
C:\WINDOWS\system32\CTHELPER.EXE
C:\WINDOWS\AGRSMMSG.exe
C:\Programmer\Windows Defender\MSASCui.exe
D:\Programmer\Winamp\winampa.exe
C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
D:\Programmer\Avira\AntiVir Desktop\avgnt.exe
C:\Programmer\Windows Live\Messenger\msnmsgr.exe
D:\Programmer\Avira\AntiVir Desktop\avshadow.exe
C:\WINDOWS\system32\svchost.exe -k imgsvc
C:\Programmer\Skype\Phone\Skype.exe
C:\WINDOWS\system32\ctfmon.exe
D:\Programmer\Logitech\SetPoint\SetPoint.exe
D:\Programmer\Digsby\lib\digsby-app.exe
C:\Programmer\Fælles filer\Logishrd\KHAL2\KHALMNPR.EXE
C:\Programmer\Windows Live\Contacts\wlcomm.exe
C:\Programmer\Skype\Plugin Manager\skypePM.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\Programmer\Mozilla Firefox\plugin-container.exe
D:\Programmer\Malwarebytes' Anti-Malware\mbam.exe
C:\WINDOWS\system32\NOTEPAD.EXE
.
============== Pseudo HJT Report ===============
.
uStart Page = hxxp://www.google.com/
BHO: Adobe PDF Link Helper: {18df081c-e8ad-4283-a596-fa578c2ebdc3} - c:\programmer\fælles filer\adobe\acrobat\activex\AcroIEHelperShim.dll
BHO: WormRadar.com IESiteBlocker.NavFilter: {3ca2f312-6f6e-4b53-a66e-4e65e497c8c0} - AVG Safe Search
BHO: {5C255C8A-E604-49b4-9D64-90988571CECB} - No File
BHO: SSVHelper Class: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - d:\programmer\java\bin\ssv.dll
BHO: Windows Live Sign-in Helper: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\programmer\fælles filer\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: IeMonitorBho Class: {bf00e119-21a3-4fd1-b178-3b8537e75c92} - d:\programmer\megaupload\mega manager\MegaIEMn.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - d:\programmer\java\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - d:\programmer\java\lib\deploy\jqs\ie\jqs_plugin.dll
uRun: [StartCCC] c:\programmer\ati technologies\ati.ace\core-static\CLIStart.exe
uRun: [MsnMsgr] "c:\programmer\windows live\messenger\msnmsgr.exe" /background
uRun: [Skype] "c:\programmer\skype\phone\Skype.exe" /nosplash /minimized
uRun: [ctfmon.exe] c:\windows\system32\ctfmon.exe
mRun: [DAEMON Tools-1033] "c:\programmer\d-tools\daemon.exe"  -lang 1033
mRun: [WINDVDPatch] CTHELPER.EXE
mRun: [UpdReg] c:\windows\UpdReg.EXE
mRun: [Jet Detection] c:\programmer\creative\sblive\program\ADGJDet.exe
mRun: [AGRSMMSG] AGRSMMSG.exe
mRun: [Windows Defender] "c:\programmer\windows defender\MSASCui.exe" -hide
mRun: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
mRun: [WinampAgent] d:\programmer\winamp\winampa.exe
mRun: [KeePass 2 PreLoad] "d:\programmer\keepass password safe 2\KeePass.exe" --preload
mRun: [avgnt] "d:\programmer\avira\antivir desktop\avgnt.exe" /min
mRun: [SunJavaUpdateSched] "d:\programmer\java\bin\jusched.exe"
mRun: [Adobe ARM] "c:\programmer\fælles filer\adobe\arm\1.0\AdobeARM.exe"
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\docume~1\insane\menuen~1\progra~1\start\digsby.lnk - d:\programmer\digsby\digsby.exe
StartupFolder: c:\docume~1\alluse~1\menuen~1\progra~1\start\logite~1.lnk - d:\programmer\logitech\setpoint\SetPoint.exe
StartupFolder: c:\docume~1\alluse~1\menuen~1\progra~1\start\micros~1.lnk - d:\programmer\microsoft office 2003\office10\OSA.EXE
IE: E&xport to Microsoft Excel - d:\progra~1\micros~2\office10\EXCEL.EXE/3000
IE: {A68FC757-51CF-4f3c-B13A-BFB8CA69BB99} - d:\games\cdpoker\casino.exe
IE: {B7FE5D70-9AA2-40F1-9C6B-12A255F085E1} - c:\documents and settings\insane\skrivebord\PartyPoker.lnk
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programmer\messenger\msmsgs.exe
IE: {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBC} - d:\programmer\java\bin\jp2iexp.dll
Trusted Zone: danid.dk
Trusted Zone: danid.dk
DPF: Microsoft XML Parser for Java - file://c:\windows\java\classes\xmldso.cab
DPF: {17492023-C23A-453E-A040-C7C580BBF700} - hxxp://download.microsoft.com/download/5/b/0/5b0d4654-aa20-495c-b89f-c1c34c691085/LegitCheckControl.cab
DPF: {5EC7C511-CD0F-42E6-830C-1BD9882F3458} - hxxp://download.ppstream.com/bin/powerplayer.cab
DPF: {7530BFB8-7293-4D34-9923-61A11451AFC5} - hxxp://download.eset.com/special/eos/OnlineScanner.cab
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/polarbear/ultrashim.cab
DPF: {CAFEEFAC-0016-0000-0026-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_26-windows-i586.cab
DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} - hxxps://download.macromedia.com/pub/shockwave/cabs/flash/swflash.cab
DPF: {D8089245-3211-40F6-819B-9E5E92CD61A2} - hxxps://flashpoker.ladbrokes.com/ladbrokes/FlashAX.cab
DPF: {D821DC4A-0814-435E-9820-661C543A4679} - hxxp://drmlicense.one.microsoft.com/crlupdate/en/crlocx.ocx
DPF: {D8575CE3-3432-4540-88A9-85A1325D3375} - hxxps://netbank.danskebank.dk/html/activex/e-Safekey/DB/e-Safekey.cab
TCP: DhcpNameServer = 192.168.1.1
TCP: Interfaces\{AFC8AF5F-2D22-4844-8F9A-DB47C09A7D78} : DhcpNameServer = 192.168.1.1
Handler: skype4com - {FFC8B962-9B40-4DFF-9458-1830C7DD7F5D} - c:\progra~1\fllesf~1\skype\SKYPE4~1.DLL
Notify: AtiExtEvent - Ati2evxx.dll
Notify: LBTWlgn - c:\programmer\fælles filer\logishrd\bluetooth\LBTWlgn.dll
SSODL: WPDShServiceObj - {AAA288BA-9A4C-45B0-95D7-94D524869DB5} - c:\windows\system32\WPDShServiceObj.dll
SEH: Microsoft AntiMalware ShellExecuteHook: {091eb208-39dd-417d-a5dd-7e2c2d8fb9cb} - c:\progra~1\wifd1f~1\MpShHook.dll
.
================= FIREFOX ===================
.
FF - ProfilePath - c:\documents and settings\insane\application data\mozilla\firefox\profiles\a0u2orng.default\
FF - prefs.js: browser.startup.homepage - hxxp://www.google.com/firefox
FF - plugin: c:\programmer\java\jre6\bin\new_plugin\npdeployJava1.dll
FF - plugin: c:\programmer\microsoft silverlight\4.0.60531.0\npctrlui.dll
FF - plugin: c:\programmer\mozilla firefox\plugins\npdeployJava1.dll
FF - plugin: c:\programmer\mozilla firefox\plugins\npunagi2.dll
FF - plugin: c:\programmer\mozilla firefox\plugins\npwachk.dll
FF - plugin: c:\programmer\octoshape streaming services\insane\octoprogram-l03-nms0806260_sua_000\npoctoshape.dll
FF - plugin: c:\programmer\octoshape streaming services\insane\octoprogram-l03-nms0810164_sua_000\npoctoshape.dll
FF - plugin: c:\programmer\octoshape streaming services\insane\octoprogram-l03-nms1002010_sua_000\npoctoshape.dll
FF - plugin: c:\programmer\viewpoint\viewpoint experience technology\npViewpoint.dll
FF - plugin: d:\programmer\adobe\reader 10.0\reader\air\nppdf32.dll
FF - plugin: d:\programmer\adobe\reader 10.0\reader\browser\nppdf32.dll
FF - plugin: d:\programmer\java\bin\new_plugin\npdeployJava1.dll
FF - plugin: d:\programmer\java\bin\new_plugin\npjp2.dll
.
============= SERVICES / DRIVERS ===============
.
R0 d347bus;d347bus;c:\windows\system32\drivers\d347bus.sys [2007-5-6 155136]
R0 d347prt;d347prt;c:\windows\system32\drivers\d347prt.sys [2007-5-6 5248]
R1 atitray;atitray;c:\programmer\ray adams\ati tray tools\atitray.sys [2007-5-22 18088]
R1 avgio;avgio;d:\programmer\avira\antivir desktop\avgio.sys [2011-6-24 11608]
R2 AntiVirSchedulerService;Avira AntiVir Scheduler;d:\programmer\avira\antivir desktop\sched.exe [2011-6-24 136360]
R2 AntiVirService;Avira AntiVir Guard;d:\programmer\avira\antivir desktop\avguard.exe [2011-6-24 269480]
R2 avgntflt;avgntflt;c:\windows\system32\drivers\avgntflt.sys [2011-6-24 61960]
R2 postgresql-8.4;postgresql-8.4 - PostgreSQL Server 8.4;D:/Programmer/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N "postgresql-8.4" -D "D:/Programmer/PostgreSQL/8.4/data" -w --> D:/Programmer/PostgreSQL/8.4/bin/pg_ctl.exe runservice -N postgresql-8.4 [?]
R2 WinDefend;Windows Defender;c:\programmer\windows defender\MsMpEng.exe [2006-11-3 13592]
S1 SASKUTIL;SASKUTIL;\??\d:\programmer\superantispyware\saskutil.sys --> d:\programmer\superantispyware\SASKUTIL.sys [?]
S2 pgsql-8.2;PostgreSQL Database Server 8.2;d:\programmer\postgresql\bin\pg_ctl.exe runservice -w -n "pgsql-8.2" -d "d:\programmer\postgresql\data\" --> d:\programmer\postgresql\bin\pg_ctl.exe runservice -w -N pgsql-8.2 [?]
S3 B-Service;B-Service;c:\documents and settings\insane\application data\mikogo\B-Service.exe [2009-4-9 185640]
S3 MBAMSwissArmy;MBAMSwissArmy;c:\windows\system32\drivers\mbamswissarmy.sys [2011-6-24 39984]
.
=============== Created Last 30 ================
.
2011-06-25 12:52:17    --------    d-sh--w-    c:\documents and settings\insane\PrivacIE
2011-06-25 12:00:50    --------    d-sh--w-    c:\documents and settings\insane\IETldCache
2011-06-25 11:57:02    --------    dc-h--w-    c:\windows\ie8
2011-06-25 06:16:41    --------    d-----w-    c:\documents and settings\insane\lokale indstillinger\application data\Secunia PSI
2011-06-24 23:07:22    2106216    ----a-w-    c:\programmer\mozilla firefox\D3DCompiler_43.dll
2011-06-24 23:07:21    1998168    ----a-w-    c:\programmer\mozilla firefox\d3dx9_43.dll
2011-06-24 20:31:56    --------    d-----w-    c:\documents and settings\all users\application data\SUPERAntiSpyware.com
2011-06-24 20:31:42    --------    d-----w-    c:\documents and settings\insane\application data\SUPERAntiSpyware.com
2011-06-24 19:29:43    39984    ----a-w-    c:\windows\system32\drivers\mbamswissarmy.sys
2011-06-24 19:29:42    22712    ----a-w-    c:\windows\system32\drivers\mbam.sys
2011-06-24 15:34:55    --------    d-----w-    c:\windows\system32\NtmsData
2011-06-24 15:33:18    --------    d-----w-    c:\documents and settings\insane\application data\Avira
2011-06-24 15:29:40    61960    ----a-w-    c:\windows\system32\drivers\avgntflt.sys
2011-06-24 15:29:40    --------    d-----w-    c:\documents and settings\all users\application data\Avira
2011-06-24 15:06:11    388096    ----a-r-    c:\documents and settings\insane\application data\microsoft\installer\{45a66726-69bc-466b-a7a4-12fcba4883d7}\HiJackThis.exe
2011-06-24 06:06:22    7074640    ----a-w-    c:\documents and settings\all users\application data\microsoft\windows defender\definition updates\{07f84577-6fd4-494b-82dd-e211514d66aa}\mpengine.dll
2011-06-16 06:23:11    3698584    -c--a-w-    c:\windows\system32\dllcache\ieapfltr.dat
2011-06-16 06:21:09    759296    -c--a-w-    c:\windows\system32\dllcache\VGX.dll
2011-06-16 06:20:17    138496    -c----w-    c:\windows\system32\dllcache\afd.sys
2011-06-16 06:20:16    105472    -c----w-    c:\windows\system32\dllcache\mup.sys
2011-06-16 06:20:02    456320    -c----w-    c:\windows\system32\dllcache\mrxsmb.sys
2011-06-16 06:19:59    692736    -c----w-    c:\windows\system32\dllcache\inetcomm.dll
2011-06-15 08:08:08    --------    d-----w-    c:\documents and settings\all users\application data\{429CAD59-35B1-4DBC-BB6D-1DB246563521}
2011-06-06 10:55:30    183696    ----a-w-    c:\programmer\mozilla firefox\plugins\nppdf32.dll
2011-06-06 10:55:30    183696    ----a-w-    c:\programmer\internet explorer\plugins\nppdf32.dll
2011-05-28 11:50:32    --------    d-----w-    c:\documents and settings\insane\application data\go
2011-05-28 11:50:29    --------    d-----w-    c:\documents and settings\all users\application data\Easybits GO
.
==================== Find3M  ====================
.
2011-06-25 09:55:36    73728    ----a-w-    c:\windows\system32\javacpl.cpl
2011-06-25 09:55:36    472808    ----a-w-    c:\windows\system32\deployJava1.dll
2011-06-25 06:27:58    404640    ----a-w-    c:\windows\system32\FlashPlayerCPLApp.cpl
2011-05-24 17:14:10    222080    ------w-    c:\windows\system32\MpSigStub.exe
2011-05-02 15:32:15    692736    ----a-w-    c:\windows\system32\inetcomm.dll
2011-05-01 15:00:29    72080    ----a-w-    c:\documents and settings\insane\g2mdlhlpx.exe
2011-04-29 16:19:43    456320    ----a-w-    c:\windows\system32\drivers\mrxsmb.sys
2011-04-21 13:37:43    105472    ----a-w-    c:\windows\system32\drivers\mup.sys
.
=================== ROOTKIT  ====================
.
Stealth MBR rootkit/Mebroot/Sinowal/TDL4 detector 0.4.2 by Gmer, http://www.gmer.net
Windows 5.1.2600 Disk: ST3160023AS rev.3.20 -> Harddisk0\DR0 -> \Device\Ide\IdeDeviceP2T0L0-22
.
device: opened successfully
user: MBR read successfully
.
Disk trace:
called modules: ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x86BEBBD8]<<
_asm { JMP 0x4;  }
1 nt!IofCallDriver[0x804E13B9] -> \Device\Harddisk0\DR0[0x86FA5AB8]
3 CLASSPNP[0xF76AFFD7] -> nt!IofCallDriver[0x804E13B9] -> \Device\Ide\IdeDeviceP1T0L0-17[0x86F2DD98]
\Driver\atapi[0x86F31280] -> IRP_MJ_CREATE -> 0x86BEBBD8
kernel: MBR read successfully
_asm { XOR AX, AX; MOV SS, AX; MOV SP, 0x7c00; STI ; PUSH AX; POP ES; PUSH AX; POP DS; CLD ; MOV SI, 0x7c1b; MOV DI, 0x61b; PUSH AX; PUSH DI; MOV CX, 0x1e5; REP MOVSB ; RETF ; MOV BP, 0x7be; MOV CL, 0x4; CMP [BP+0x0], CH; JL 0x2e; JNZ 0x3a;  }
detected disk devices:
detected hooks:
\Driver\atapi -> 0x86bebbd8
user != kernel MBR !!!
Warning: possible MBR rootkit infection !
MBR rootkit infection detected ! Use: "mbr.exe -f" to fix.
.
============= FINISH: 15:59:08,89 ===============

--------------------------------------------------------------

Der var en til dds log også med programmer jeg har på computeren osv. Kunne ikke finde noget på listen jeg ikke kunne genkende men sig blot hvis i gerne vil se den og så smider jeg den op også.

Mvh DB
Avatar billede f-arn Guru
25. juni 2011 - 17:00 #10
Attach.txt skal ikke bruges lige nu.

------

Der er noget jeg gerne vil se lidt på:

Hent og gem ComboFix på dit skrivebord.

Kør så ComboFix.exe og følg anvisningerne.

Vigtigt--> Da ComboFix kan konflikte med dine sikkerhedsprogrammer er det vigtigt at du deaktiverer dem.

Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når ComboFix er færdig, og efter det (muligvis) har genstartet, skulle der gerne åbnes en logfil: ComboFix.txt
Indholdet af denne fil må du gerne lægge herind.

Den kan findes her:  C:\ComboFix.txt
Avatar billede deathblow Nybegynder
25. juni 2011 - 17:24 #11
Da jeg kørte ComboFix sagde den noget i stil med jeg ikke havde "Windows genoprettelses konsol" og om jeg ville installerer det. Trykkede ok men så kom der en fejl der sagde den ikke kunne og så fortsætte den.

Jeg kan ikke finde c:\ComboFix.txt
Der er en ComboFix "mappe" med et computerskærm ikon og når jeg trykker på den kommer jeg tilbage til "denne computer" hvor der i url'en står "c:\combofix" men det ligner som sagt "denne computer".

Der er kommet en mappe (c:\Qoobox) men kan heller ikke finde nogen ComboFix.txt derinde.

Skal jeg prøve at køre den igen eller kan den ligge andre steder?
Avatar billede f-arn Guru
25. juni 2011 - 17:33 #12
Den fejl kommer normalt kun, hvis ComboFix ikke er blevet færdig.
Prøv at genstarte manuelt, og se hvad den siger.

------

Du skal ikke køre ComboFix igen!
Avatar billede deathblow Nybegynder
25. juni 2011 - 17:50 #13
Fejlen kom ret hurtigt inde i processen hvorefter den så fortsatte et par minutter med at arbejde og skrive i det blå vindue der var åbent. Herefter genstartede den selv.

Jeg har dog lige prøvet at genstarte manuelt men stadig ingen c:\ComboFix.txt og programmet sagde heller ikke noget da jeg startede op (ikke nu, og heller ikke da den selv genstartede).
Avatar billede f-arn Guru
25. juni 2011 - 18:05 #14
OK - Hvad er status på din PC.
Har den stadig de ikoner?

Huskede du det med at deaktivere alt sikkerheds software?
Avatar billede deathblow Nybegynder
25. juni 2011 - 18:12 #15
Deaktiverede mit virus program. Skulle da ikke mene jeg har andet sikkerheds software end det. Med mindre du også tænkte på windows firewall for den glemte jeg da egentlig nu jeg tænker mig om :s

Ikonet på c:\ComboFix er stadig "denne computer" ikonet.
Avatar billede deathblow Nybegynder
25. juni 2011 - 18:22 #16
Glemte at sige at jeg har uninstalled SuperAntiSpyware og cccleaner efter jeg brugte dem så de kørte ikke i hvert fald. Malwarebytes kørte heller ikke. Der var ingen programmer i højre side af startmenuen som kørte. Virusprogrammet var deaktiveret.

Så tror kun det kan have været firewallen i windows hvis den har kunne lave knas i det.
Avatar billede f-arn Guru
26. juni 2011 - 05:05 #17
Beklager - jeg fik gæster i aftes.

La' os de hvad ComboFix gjorde:

Hent dette lille værktøj:

http://jpshortstuff.247fixes.com/SystemLook.exe
http://images.malwareremoval.com/jpshortstuff/SystemLook.exe (alternativ adresse)

2. Dobbeltklik på systemlook.exe - nu dukker der et lille vindue op, hvor du skal kopiere HELE indholdet med fed skrift ind:

:dir
C:\
C:\Windows\ERDNT /s


3. Luk så alle andre vinduer og klik på knappen Look. Programmet vil nu lede på din computer.

4. Når programmet er færdig med at lede, vil der dukke et notepad-vindue op, med en log fra SystemLook. Den skal du kopiere herind i forum i dit næste indlæg. Log'en kan også findes på dit Skrivebord med navnet: SystemLook.txt.
Avatar billede deathblow Nybegynder
26. juni 2011 - 08:48 #18
Godmorgen, det er såmen helt okay :)

Her er system look log:

SystemLook 04.09.10 by jpshortstuff
Log created at 08:45 on 26/06/2011 by Insane
Administrator - Elevation successful

========== dir ==========

C: - Parameters: "(none)"

---Files---
AUTOEXEC.BAT    --a---- 0 bytes    [12:29 16/04/2007]    [12:29 16/04/2007]
boot.ini    ---hs-- 304 bytes    [14:16 16/04/2007]    [16:49 14/05/2007]
Bootfont.bin    -rahs-- 4952 bytes    [12:00 25/04/2003]    [12:00 25/04/2003]
CONFIG.SYS    --a---- 0 bytes    [12:29 16/04/2007]    [12:29 16/04/2007]
customconditions.txt    --a---- 0 bytes    [11:59 04/05/2011]    [11:59 04/05/2011]
IO.SYS    -rahs-- 0 bytes    [12:29 16/04/2007]    [12:29 16/04/2007]
IPH.PH    --ah--- 1098 bytes    [20:27 19/08/2007]    [20:30 19/08/2007]
log.txt    --a---- 227694 bytes    [20:28 18/08/2007]    [17:45 29/10/2008]
MSDOS.SYS    -rahs-- 0 bytes    [12:29 16/04/2007]    [12:29 16/04/2007]
NTDETECT.COM    -rahs-- 47564 bytes    [20:38 03/08/2004]    [20:38 03/08/2004]
ntldr    -rahs-- 250576 bytes    [20:59 03/08/2004]    [20:02 01/02/2009]
pagefile.sys    --ahs-- 1610612736 bytes    [14:12 16/04/2007]    [06:36 26/06/2011]
sqmdata00.sqm    --ah--- 232 bytes    [05:26 23/05/2007]    [21:33 07/05/2009]
sqmdata01.sqm    --ah--- 232 bytes    [10:13 23/05/2007]    [21:49 07/05/2009]
sqmdata02.sqm    --ah--- 232 bytes    [08:06 24/05/2007]    [12:06 08/05/2009]
sqmdata03.sqm    --ah--- 232 bytes    [08:48 24/05/2007]    [22:31 08/05/2009]
sqmdata04.sqm    --ah--- 232 bytes    [18:42 24/05/2007]    [22:28 09/05/2009]
sqmdata05.sqm    --ah--- 232 bytes    [21:53 24/05/2007]    [17:28 10/05/2009]
sqmdata06.sqm    --ah--- 232 bytes    [17:53 25/05/2007]    [21:05 10/05/2009]
sqmdata07.sqm    --ah--- 232 bytes    [23:27 25/05/2007]    [20:19 11/05/2009]
sqmdata08.sqm    --ah--- 232 bytes    [22:30 26/05/2007]    [20:03 12/05/2009]
sqmdata09.sqm    --ah--- 232 bytes    [09:28 27/05/2007]    [20:38 13/05/2009]
sqmdata10.sqm    --ah--- 232 bytes    [00:38 28/05/2007]    [19:46 14/05/2009]
sqmdata11.sqm    --ah--- 232 bytes    [21:11 28/05/2007]    [15:49 15/05/2009]
sqmdata12.sqm    --ah--- 232 bytes    [05:48 29/05/2007]    [13:30 16/05/2009]
sqmdata13.sqm    --ah--- 232 bytes    [22:12 29/05/2007]    [18:51 30/04/2009]
sqmdata14.sqm    --ah--- 232 bytes    [21:44 30/05/2007]    [23:53 01/05/2009]
sqmdata15.sqm    --ah--- 232 bytes    [20:17 31/05/2007]    [01:21 03/05/2009]
sqmdata16.sqm    --ah--- 232 bytes    [02:49 02/06/2007]    [20:36 03/05/2009]
sqmdata17.sqm    --ah--- 232 bytes    [23:21 02/06/2007]    [19:24 04/05/2009]
sqmdata18.sqm    --ah--- 232 bytes    [16:41 03/06/2007]    [20:07 05/05/2009]
sqmdata19.sqm    --ah--- 232 bytes    [21:42 03/06/2007]    [21:25 06/05/2009]
sqmnoopt00.sqm    --ah--- 244 bytes    [05:26 23/05/2007]    [21:33 07/05/2009]
sqmnoopt01.sqm    --ah--- 244 bytes    [10:13 23/05/2007]    [21:49 07/05/2009]
sqmnoopt02.sqm    --ah--- 244 bytes    [08:06 24/05/2007]    [12:06 08/05/2009]
sqmnoopt03.sqm    --ah--- 244 bytes    [08:48 24/05/2007]    [22:31 08/05/2009]
sqmnoopt04.sqm    --ah--- 244 bytes    [18:42 24/05/2007]    [22:28 09/05/2009]
sqmnoopt05.sqm    --ah--- 244 bytes    [21:53 24/05/2007]    [17:28 10/05/2009]
sqmnoopt06.sqm    --ah--- 244 bytes    [17:53 25/05/2007]    [21:05 10/05/2009]
sqmnoopt07.sqm    --ah--- 244 bytes    [23:27 25/05/2007]    [20:19 11/05/2009]
sqmnoopt08.sqm    --ah--- 244 bytes    [22:30 26/05/2007]    [20:03 12/05/2009]
sqmnoopt09.sqm    --ah--- 244 bytes    [09:28 27/05/2007]    [20:38 13/05/2009]
sqmnoopt10.sqm    --ah--- 244 bytes    [00:38 28/05/2007]    [19:46 14/05/2009]
sqmnoopt11.sqm    --ah--- 244 bytes    [21:11 28/05/2007]    [15:49 15/05/2009]
sqmnoopt12.sqm    --ah--- 244 bytes    [05:48 29/05/2007]    [13:30 16/05/2009]
sqmnoopt13.sqm    --ah--- 244 bytes    [22:12 29/05/2007]    [18:51 30/04/2009]
sqmnoopt14.sqm    --ah--- 244 bytes    [21:44 30/05/2007]    [23:53 01/05/2009]
sqmnoopt15.sqm    --ah--- 244 bytes    [20:17 31/05/2007]    [01:21 03/05/2009]
sqmnoopt16.sqm    --ah--- 244 bytes    [02:49 02/06/2007]    [20:36 03/05/2009]
sqmnoopt17.sqm    --ah--- 244 bytes    [23:21 02/06/2007]    [19:24 04/05/2009]
sqmnoopt18.sqm    --ah--- 244 bytes    [16:41 03/06/2007]    [20:07 05/05/2009]
sqmnoopt19.sqm    --ah--- 244 bytes    [21:42 03/06/2007]    [21:25 06/05/2009]
StubInstaller.exe    --a---- 700416 bytes    [15:56 31/10/2005]    [15:56 31/10/2005]

---Folders---
ATI    d------    [14:45 16/04/2007]
ComboFix    d---s--    [15:08 25/06/2011]
Documents and Settings    d------    [14:17 16/04/2007]
Program Files    d------    [08:39 23/09/2007]
Programmer    dr-----    [14:18 16/04/2007]
Qoobox    d------    [15:08 25/06/2011]
RECYCLER    d--hs--    [12:53 16/04/2007]
System Volume Information    d--hs--    [14:17 16/04/2007]
WINDOWS    d------    [14:12 16/04/2007]

C:\Windows\ERDNT - Parameters: "/s"

---Files---
None found.

C:\Windows\ERDNT\Hiv-backup    d------    [15:09 25/06/2011]
default    --a---- 3350528 bytes    [15:09 25/06/2011]    [15:09 25/06/2011]
ERDNT.CON    --a---- 673 bytes    [15:09 25/06/2011]    [15:09 25/06/2011]
ERDNT.EXE    --a---- 163328 bytes    [15:09 25/06/2011]    [12:02 20/10/2005]
ERDNT.INF    --a---- 1560 bytes    [15:09 25/06/2011]    [15:09 25/06/2011]
ERDNTDOS.LOC    --a---- 2815 bytes    [15:09 25/06/2011]    [00:00 31/08/2000]
ERDNTWIN.LOC    --a---- 3275 bytes    [15:09 25/06/2011]    [00:00 31/08/2000]
SAM    --a---- 28672 bytes    [15:09 25/06/2011]    [15:09 25/06/2011]
SECURITY    --a---- 57344 bytes    [15:09 25/06/2011]    [15:09 25/06/2011]
software    --a---- 34328576 bytes    [15:09 25/06/2011]    [15:09 25/06/2011]
system    --a---- 6000640 bytes    [15:09 25/06/2011]    [15:09 25/06/2011]

C:\Windows\ERDNT\Hiv-backup\Users    d------    [15:09 25/06/2011]

C:\Windows\ERDNT\Hiv-backup\Users\00000001    d------    [15:09 25/06/2011]
NTUSER.DAT    --a---- 233472 bytes    [15:09 25/06/2011]    [15:09 25/06/2011]

C:\Windows\ERDNT\Hiv-backup\Users\00000002    d------    [15:09 25/06/2011]
UsrClass.dat    --a---- 8192 bytes    [15:09 25/06/2011]    [15:09 25/06/2011]

C:\Windows\ERDNT\Hiv-backup\Users\00000003    d------    [15:09 25/06/2011]
NTUSER.DAT    --a---- 229376 bytes    [15:09 25/06/2011]    [15:09 25/06/2011]

C:\Windows\ERDNT\Hiv-backup\Users\00000004    d------    [15:09 25/06/2011]
UsrClass.dat    --a---- 8192 bytes    [15:09 25/06/2011]    [15:09 25/06/2011]

C:\Windows\ERDNT\Hiv-backup\Users\00000005    d------    [15:09 25/06/2011]
NTUSER.DAT    --a---- 10178560 bytes    [15:09 25/06/2011]    [15:09 25/06/2011]

C:\Windows\ERDNT\Hiv-backup\Users\00000006    d------    [15:09 25/06/2011]
UsrClass.dat    --a---- 356352 bytes    [15:09 25/06/2011]    [15:09 25/06/2011]

C:\Windows\ERDNT\Hiv-backup\Users\00000007    d------    [15:09 25/06/2011]
NTUSER.DAT    --a---- 233472 bytes    [15:09 25/06/2011]    [15:09 25/06/2011]

C:\Windows\ERDNT\Hiv-backup\Users\00000008    d------    [15:09 25/06/2011]
UsrClass.dat    --a---- 8192 bytes    [15:09 25/06/2011]    [15:09 25/06/2011]

-= EOF =-
Avatar billede f-arn Guru
26. juni 2011 - 15:15 #19
Ok - hvis du stadig har ComboFix liggende, slet den.

Jeg vil gerne se lidt på om du har et Rootkit.

Hent og gem aswMBR på dit Skrivebord.

Start aswMBR og klik på "Scan"

Når den er færdig med at scanne, klikker du på "SAVE LOG" og sender loggen herind.
Avatar billede deathblow Nybegynder
26. juni 2011 - 16:36 #20
Jeg har slette combofix.exe som jeg hentede. Dog har jeg stadig mappen "combofix" på c: med "denne computer" ikonet. Ved ikke om du evt mente jeg skulle slette den.

Her er aswMBR loggen:

aswMBR version 0.9.7.675 Copyright(c) 2011 AVAST Software
Run date: 2011-06-26 16:35:02
-----------------------------
16:35:02.562    OS Version: Windows 5.1.2600 Service Pack 3
16:35:02.562    Number of processors: 2 586 0x304
16:35:02.578    ComputerName: INSANEDK  UserName: Insane
16:35:04.250    Initialize success
16:35:25.156    Disk 0 (boot) \Device\Harddisk0\DR0 -> \Device\Ide\IdeDeviceP1T0L0-17
16:35:25.156    Disk 0 Vendor: ST3160023AS 3.20 Size: 152627MB BusType: 3
16:35:25.156    Disk 1  \Device\Harddisk1\DR1 -> \Device\Ide\IdeDeviceP2T0L0-22
16:35:25.156    Disk 1 Vendor: ST3160023AS 3.20 Size: 152627MB BusType: 3
16:35:25.156    Device \Driver\atapi -> MajorFunction 86bd9260
16:35:25.156    Disk 0 MBR read error 0
16:35:25.156    Disk 0 MBR scan
16:35:25.156    Disk 0 unknown MBR code
16:35:25.156    MBR BIOS signature not found 0
16:35:25.156    Disk 0 scanning sectors +312560640
16:35:25.156    Disk 0 scanning C:\WINDOWS\system32\drivers
16:35:30.234    Service scanning
16:35:31.297    Disk 0 trace - called modules:
16:35:31.297    ntoskrnl.exe CLASSPNP.SYS disk.sys >>UNKNOWN [0x86bd9260]<<
16:35:31.297    1 nt!IofCallDriver -> \Device\Harddisk0\DR0[0x86f75030]
16:35:31.297    3 CLASSPNP.SYS[f76affd7] -> nt!IofCallDriver -> \Device\Ide\IdeDeviceP1T0L0-17[0x86f5fd98]
16:35:31.297    \Driver\atapi[0x86f897d0] -> IRP_MJ_CREATE -> 0x86bd9260
16:35:31.297    Scan finished successfully
16:35:51.672    Disk 0 MBR has been saved successfully to "C:\Documents and Settings\Insane\Skrivebord\MBR.dat"
16:35:51.672    The log file has been saved successfully to "C:\Documents and Settings\Insane\Skrivebord\aswMBR.txt"
Avatar billede f-arn Guru
28. juni 2011 - 08:01 #21
Hent MBRCheck.exe
http://ad13.geekstogo.com/MBRCheck.exe

Hvis Programmet finder en ukendt MBR, vil du få en række valgmuligheder.
Tryk N og derefter "ENTER" for at lukke Programmet.

Den vil lave en log på dit Skrivebord, "MBRCheck_mm.dd.yy_hh.mm.ss.txt"
Kopier denne log herind.
Avatar billede deathblow Nybegynder
28. juni 2011 - 13:46 #22
MBRcheck.exe loggen er her:

MBRCheck, version 1.2.3
(c) 2010, AD

Command-line:           
Windows Version:        Windows XP Professional
Windows Information:        Service Pack 3 (build 2600)
Logical Drives Mask:        0x000000fc

Kernel Drivers (total 134):
  0x804D7000 \WINDOWS\system32\ntoskrnl.exe
  0x80701000 \WINDOWS\system32\hal.dll
  0xF7B6F000 \WINDOWS\system32\KDCOM.DLL
  0xF7A7F000 \WINDOWS\system32\BOOTVID.dll
  0xF7628000 d347bus.sys
  0xF75FA000 ACPI.sys
  0xF7B71000 \WINDOWS\system32\DRIVERS\WMILIB.SYS
  0xF75E9000 pci.sys
  0xF766F000 isapnp.sys
  0xF7C37000 PCIIde.sys
  0xF78EF000 \WINDOWS\System32\Drivers\PCIIDEX.SYS
  0xF7B73000 intelide.sys
  0xF767F000 MountMgr.sys
  0xF75CA000 ftdisk.sys
  0xF7B75000 dmload.sys
  0xF75A4000 dmio.sys
  0xF78F7000 PartMgr.sys
  0xF768F000 VolSnap.sys
  0xF758C000         
  0xF7B77000 d347prt.sys
  0xF7574000 \WINDOWS\System32\Drivers\SCSIPORT.SYS
  0xF769F000 disk.sys
  0xF76AF000 \WINDOWS\system32\DRIVERS\CLASSPNP.SYS
  0xF7554000 fltmgr.sys
  0xF7542000 sr.sys
  0xF76BF000 PxHelp20.sys
  0xF752B000 KSecDD.sys
  0xF7518000 WudfPf.sys
  0xF748B000 Ntfs.sys
  0xF745E000 NDIS.sys
  0xF7444000 Mup.sys
  0xF789F000 \SystemRoot\system32\DRIVERS\intelppm.sys
  0xF71EA000 \SystemRoot\system32\DRIVERS\ati2mtag.sys
  0xF71D6000 \SystemRoot\system32\DRIVERS\VIDEOPRT.SYS
  0xF79C7000 \SystemRoot\system32\DRIVERS\usbuhci.sys
  0xF71B2000 \SystemRoot\system32\DRIVERS\USBPORT.SYS
  0xF79CF000 \SystemRoot\system32\DRIVERS\usbehci.sys
  0xF79D7000 \SystemRoot\system32\DRIVERS\RTL8139.SYS
  0xF713A000 \SystemRoot\system32\drivers\ctaud2k.sys
  0xF7116000 \SystemRoot\system32\drivers\portcls.sys
  0xF78AF000 \SystemRoot\system32\drivers\drmk.sys
  0xF70F3000 \SystemRoot\system32\drivers\ks.sys
  0xF70DA000 \SystemRoot\system32\drivers\ctoss2k.sys
  0xF7B89000 \SystemRoot\System32\drivers\ctprxy2k.sys
  0xF7B3F000 \SystemRoot\system32\DRIVERS\gameenum.sys
  0xF6FA4000 \SystemRoot\system32\DRIVERS\AGRSM.sys
  0xF79DF000 \SystemRoot\System32\Drivers\Modem.SYS
  0xF6F90000 \SystemRoot\system32\DRIVERS\parport.sys
  0xF78BF000 \SystemRoot\system32\DRIVERS\imapi.sys
  0xF78CF000 \SystemRoot\system32\DRIVERS\cdrom.sys
  0xF78DF000 \SystemRoot\system32\DRIVERS\redbook.sys
  0xF7D4C000 \SystemRoot\system32\DRIVERS\audstub.sys
  0xF76EF000 \SystemRoot\system32\DRIVERS\rasl2tp.sys
  0xF7B53000 \SystemRoot\system32\DRIVERS\ndistapi.sys
  0xF6F51000 \SystemRoot\system32\DRIVERS\ndiswan.sys
  0xF76FF000 \SystemRoot\system32\DRIVERS\raspppoe.sys
  0xF770F000 \SystemRoot\system32\DRIVERS\raspptp.sys
  0xF79E7000 \SystemRoot\system32\DRIVERS\TDI.SYS
  0xF6F40000 \SystemRoot\system32\DRIVERS\psched.sys
  0xF771F000 \SystemRoot\system32\DRIVERS\msgpc.sys
  0xF79EF000 \SystemRoot\system32\DRIVERS\ptilink.sys
  0xF79F7000 \SystemRoot\system32\DRIVERS\raspti.sys
  0xF6F10000 \SystemRoot\system32\DRIVERS\rdpdr.sys
  0xF772F000 \SystemRoot\system32\DRIVERS\termdd.sys
  0xF79FF000 \SystemRoot\system32\DRIVERS\kbdclass.sys
  0xF7A07000 \SystemRoot\system32\DRIVERS\mouclass.sys
  0xF7B8B000 \SystemRoot\system32\DRIVERS\swenum.sys
  0xF6EB2000 \SystemRoot\system32\DRIVERS\update.sys
  0xF7B6B000 \SystemRoot\system32\DRIVERS\mssmbios.sys
  0xF774F000 \SystemRoot\System32\Drivers\NDProxy.SYS
  0xF777F000 \SystemRoot\system32\DRIVERS\usbhub.sys
  0xF7B8D000 \SystemRoot\system32\DRIVERS\USBD.SYS
  0xADF16000 \SystemRoot\system32\drivers\ha10kx2k.sys
  0xADF01000 \SystemRoot\System32\drivers\ctac32k.sys
  0xADEE8000 \SystemRoot\System32\drivers\emupia2k.sys
  0xADEC9000 \SystemRoot\System32\drivers\ctsfm2k.sys
  0xF7BA9000 \SystemRoot\System32\Drivers\Fs_Rec.SYS
  0xF7CCB000 \SystemRoot\System32\Drivers\Null.SYS
  0xF7BAB000 \SystemRoot\System32\Drivers\Beep.SYS
  0xF7A47000 \SystemRoot\system32\DRIVERS\HIDPARSE.SYS
  0xF7A4F000 \SystemRoot\System32\drivers\vga.sys
  0xF7BAD000 \SystemRoot\System32\Drivers\mnmdd.SYS
  0xF7BAF000 \SystemRoot\System32\DRIVERS\RDPCDD.sys
  0xF7A57000 \SystemRoot\System32\Drivers\Msfs.SYS
  0xF7A5F000 \SystemRoot\System32\Drivers\Npfs.SYS
  0xF7B37000 \SystemRoot\system32\DRIVERS\rasacd.sys
  0xADE6E000 \SystemRoot\system32\DRIVERS\ipsec.sys
  0xADE15000 \SystemRoot\system32\DRIVERS\tcpip.sys
  0xADDED000 \SystemRoot\system32\DRIVERS\netbt.sys
  0xADDC7000 \SystemRoot\system32\DRIVERS\ipnat.sys
  0xF77CF000 \SystemRoot\system32\DRIVERS\wanarp.sys
  0xADDA5000 \SystemRoot\System32\drivers\afd.sys
  0xF77DF000 \SystemRoot\system32\DRIVERS\netbios.sys
  0xF7A67000 \SystemRoot\system32\DRIVERS\ssmdrv.sys
  0xF7A6F000 \SystemRoot\system32\DRIVERS\usbccgp.sys
  0xADD7A000 \SystemRoot\system32\DRIVERS\rdbss.sys
  0xADD0A000 \SystemRoot\system32\DRIVERS\mrxsmb.sys
  0xF77EF000 \SystemRoot\System32\Drivers\Fips.SYS
  0xADCE4000 \SystemRoot\system32\DRIVERS\avipbb.sys
  0xF7BB3000 \??\D:\Programmer\Avira\AntiVir Desktop\avgio.sys
  0xF6F68000 \??\C:\Programmer\Ray Adams\ATI Tray Tools\atitray.sys
  0xF6E9D000 \SystemRoot\system32\DRIVERS\hidusb.sys
  0xF77FF000 \SystemRoot\system32\DRIVERS\HIDCLASS.SYS
  0xF7A77000 \SystemRoot\System32\Drivers\LUsbFilt.Sys
  0xF780F000 \SystemRoot\System32\Drivers\WDFLDR.SYS
  0xADC41000 \SystemRoot\system32\DRIVERS\Wdf01000.sys
  0xF6E95000 \SystemRoot\system32\DRIVERS\kbdhid.sys
  0xF7907000 \SystemRoot\system32\DRIVERS\LHidFilt.Sys
  0xF6E91000 \SystemRoot\system32\DRIVERS\mouhid.sys
  0xF7937000 \SystemRoot\system32\DRIVERS\LMouFilt.Sys
  0xF779F000 \SystemRoot\System32\Drivers\Cdfs.SYS
  0xAD978000 \SystemRoot\System32\Drivers\dump_atapi.sys
  0xF7BCF000 \SystemRoot\System32\Drivers\dump_WMILIB.SYS
  0xBF800000 \SystemRoot\System32\win32k.sys
  0xADCD4000 \SystemRoot\System32\drivers\Dxapi.sys
  0xF7997000 \SystemRoot\System32\watchdog.sys
  0xBF000000 \SystemRoot\System32\drivers\dxg.sys
  0xF7D16000 \SystemRoot\System32\drivers\dxgthk.sys
  0xBF012000 \SystemRoot\System32\ati2dvag.dll
  0xBF057000 \SystemRoot\System32\ati2cqag.dll
  0xBF0AC000 \SystemRoot\System32\atikvmag.dll
  0xBF0FC000 \SystemRoot\System32\ati3duag.dll
  0xBF3AE000 \SystemRoot\System32\ativvaxx.dll
  0xBF4E9000 \SystemRoot\System32\ATMFD.DLL
  0xAB6EB000 \SystemRoot\system32\DRIVERS\avgntflt.sys
  0xAB6AB000 \SystemRoot\system32\DRIVERS\ndisuio.sys
  0xAB38E000 \SystemRoot\system32\drivers\wdmaud.sys
  0xADB5F000 \SystemRoot\system32\drivers\sysaudio.sys
  0xAB103000 \SystemRoot\system32\DRIVERS\mrxdav.sys
  0xF7BD7000 \SystemRoot\System32\Drivers\ParVdm.SYS
  0xAAEA3000 \SystemRoot\system32\DRIVERS\srv.sys
  0xAB003000 \SystemRoot\system32\DRIVERS\secdrv.sys
  0xAA59F000 \SystemRoot\System32\Drivers\HTTP.sys
  0x7C900000 \WINDOWS\system32\ntdll.dll

Processes (total 50):
      0 System Idle Process
      4 System
    472 C:\WINDOWS\system32\smss.exe
    520 csrss.exe
    548 C:\WINDOWS\system32\winlogon.exe
    592 C:\WINDOWS\system32\services.exe
    604 C:\WINDOWS\system32\lsass.exe
    792 C:\WINDOWS\system32\ati2evxx.exe
    808 C:\WINDOWS\system32\svchost.exe
    860 svchost.exe
    940 C:\Programmer\Windows Defender\MsMpEng.exe
    980 C:\WINDOWS\system32\svchost.exe
    1012 C:\WINDOWS\system32\svchost.exe
    1112 svchost.exe
    1156 svchost.exe
    1268 C:\WINDOWS\system32\ati2evxx.exe
    1448 C:\WINDOWS\system32\spoolsv.exe
    1492 D:\Programmer\Avira\AntiVir Desktop\sched.exe
    1716 C:\WINDOWS\explorer.exe
    1900 svchost.exe
    1976 C:\Programmer\D-Tools\daemon.exe
    1984 C:\WINDOWS\system32\CTHELPER.EXE
    2012 C:\WINDOWS\AGRSMMSG.exe
    2024 C:\Programmer\Windows Defender\MSASCui.exe
    2044 D:\Programmer\Winamp\winampa.exe
    212 D:\Programmer\Avira\AntiVir Desktop\avgnt.exe
    400 C:\Programmer\Windows Live\Messenger\msnmsgr.exe
    1084 D:\Programmer\Avira\AntiVir Desktop\avguard.exe
    1168 D:\Programmer\Java\bin\jqs.exe
    1512 C:\Programmer\Fælles filer\Microsoft Shared\VS7Debug\mdm.exe
    1584 C:\Programmer\Skype\Phone\Skype.exe
    1920 C:\WINDOWS\system32\ctfmon.exe
    1996 pg_ctl.exe
    2008 D:\Programmer\Avira\AntiVir Desktop\avshadow.exe
    2192 D:\Programmer\Logitech\SetPoint\SetPoint.exe
    2276 C:\WINDOWS\system32\svchost.exe
    2400 D:\Programmer\Digsby\lib\digsby-app.exe
    2632 C:\Programmer\Fælles filer\Logishrd\KHAL2\KHALMNPR.exe
    2872 postgres.exe
    3184 C:\Programmer\Skype\Plugin Manager\skypePM.exe
    3392 postgres.exe
    3400 postgres.exe
    3408 postgres.exe
    3416 postgres.exe
    3896 C:\WINDOWS\system32\wscntfy.exe
    1580 alg.exe
    3072 C:\Programmer\Windows Live\Contacts\wlcomm.exe
    3888 C:\Programmer\Mozilla Firefox\firefox.exe
    3196 C:\Programmer\Mozilla Firefox\plugin-container.exe
    3520 D:\Pakkede programmer\MBRCheck.exe

\\.\C: --> \\.\PhysicalDrive0 at offset 0x00000000`00007e00  (NTFS)
\\.\D: --> \\.\PhysicalDrive1 at offset 0x00000000`00007e00  (NTFS)
\\.\E: --> \\.\PhysicalDrive0 at offset 0x00000002`713bde00  (NTFS)

PhysicalDrive0 Model Number: ST3160023AS, Rev: 3.20   
PhysicalDrive1 Model Number: ST3160023AS, Rev: 3.20   

      Size  Device Name          MBR Status
  --------------------------------------------
    149 GB  \\.\PhysicalDrive0  Windows XP MBR code detected
            SHA1: 0D33083CD9CD436C649B7447952A9CE33D4E83DA
    149 GB  \\.\PhysicalDrive1  Windows XP MBR code detected
            SHA1: 0D33083CD9CD436C649B7447952A9CE33D4E83DA


Done!
Avatar billede f-arn Guru
29. juni 2011 - 16:40 #23
Download Tdsskiller.zip på dit skrivebord og pak den ud i en mappe.

Kør TDSSKiller.exe -> Klik på "Start Scan"

Hvis en inficeret fil bliver fundet, vil "Default action" være Cure, klik på Continue
Hvis en mistænkelig fil opdages, vil "Default action" være Skip, klik på Continue
Hvis den ikke spørger om "Reboot" (genstart) så klik på "Report", kopier den tekst herind i tråden.

Genstart hvis den kræver det.

Hvis den genstarter kan du finde logfilen her :
C:\TDSSKiller.[Version]_[Dato]_[Tidspunkt]_log.txt.

Kopier den tekst herind I denne tråd.
Avatar billede deathblow Nybegynder
29. juni 2011 - 17:14 #24
Den fandt ingen inficerede filer. Her er loggen:

2011/06/29 17:13:09.0562 1684    TDSS rootkit removing tool 2.5.8.0 Jun 28 2011 19:12:16
2011/06/29 17:13:09.0687 1684    ================================================================================
2011/06/29 17:13:09.0687 1684    SystemInfo:
2011/06/29 17:13:09.0687 1684   
2011/06/29 17:13:09.0687 1684    OS Version: 5.1.2600 ServicePack: 3.0
2011/06/29 17:13:09.0687 1684    Product type: Workstation
2011/06/29 17:13:09.0687 1684    ComputerName: INSANEDK
2011/06/29 17:13:09.0687 1684    UserName: Insane
2011/06/29 17:13:09.0687 1684    Windows directory: C:\WINDOWS
2011/06/29 17:13:09.0687 1684    System windows directory: C:\WINDOWS
2011/06/29 17:13:09.0687 1684    Processor architecture: Intel x86
2011/06/29 17:13:09.0687 1684    Number of processors: 2
2011/06/29 17:13:09.0687 1684    Page size: 0x1000
2011/06/29 17:13:09.0687 1684    Boot type: Normal boot
2011/06/29 17:13:09.0687 1684    ================================================================================
2011/06/29 17:13:11.0000 1684    Initialize success
2011/06/29 17:13:15.0562 5468    ================================================================================
2011/06/29 17:13:15.0562 5468    Scan started
2011/06/29 17:13:15.0562 5468    Mode: Manual;
2011/06/29 17:13:15.0562 5468    ================================================================================
2011/06/29 17:13:16.0562 5468    ACPI            (991b6d6fe2a4d70caf76c41334e60926) C:\WINDOWS\system32\DRIVERS\ACPI.sys
2011/06/29 17:13:16.0609 5468    ACPIEC          (6f99fe216de8c4875dbb12937620da0c) C:\WINDOWS\system32\drivers\ACPIEC.sys
2011/06/29 17:13:16.0671 5468    aec            (8bed39e3c35d6a489438b8141717a557) C:\WINDOWS\system32\drivers\aec.sys
2011/06/29 17:13:16.0734 5468    AFD            (355556d9e580915118cd7ef736653a89) C:\WINDOWS\System32\drivers\afd.sys
2011/06/29 17:13:16.0796 5468    AgereSoftModem  (593aefc67283d409f34cc1245d00a509) C:\WINDOWS\system32\DRIVERS\AGRSM.sys
2011/06/29 17:13:17.0125 5468    AsyncMac        (b153affac761e7f5fcfa822b9c4e97bc) C:\WINDOWS\system32\DRIVERS\asyncmac.sys
2011/06/29 17:13:17.0171 5468    atapi          (9f3a2f5aa6875c72bf062c712cfa2674) C:\WINDOWS\system32\DRIVERS\atapi.sys
2011/06/29 17:13:17.0281 5468    ati2mtag        (6b618c7764e03a78599d74e31b8ab17b) C:\WINDOWS\system32\DRIVERS\ati2mtag.sys
2011/06/29 17:13:17.0437 5468    atitray        (f46afb51f1a1cb8c7ecd85533ca839fe) C:\Programmer\Ray Adams\ATI Tray Tools\atitray.sys
2011/06/29 17:13:17.0500 5468    Atmarpc        (9916c1225104ba14794209cfa8012159) C:\WINDOWS\system32\DRIVERS\atmarpc.sys
2011/06/29 17:13:17.0562 5468    audstub        (d9f724aa26c010a217c97606b160ed68) C:\WINDOWS\system32\DRIVERS\audstub.sys
2011/06/29 17:13:17.0734 5468    avgio          (0b497c79824f8e1bf22fa6aacd3de3a0) D:\Programmer\Avira\AntiVir Desktop\avgio.sys
2011/06/29 17:13:17.0765 5468    avgntflt        (1e4114685de1ffa9675e09c6a1fb3f4b) C:\WINDOWS\system32\DRIVERS\avgntflt.sys
2011/06/29 17:13:17.0796 5468    avipbb          (0f78d3dae6dedd99ae54c9491c62adf2) C:\WINDOWS\system32\DRIVERS\avipbb.sys
2011/06/29 17:13:17.0859 5468    Beep            (da1f27d85e0d1525f6621372e7b685e9) C:\WINDOWS\system32\drivers\Beep.sys
2011/06/29 17:13:17.0984 5468    cbidf2k        (90a673fc8e12a79afbed2576f6a7aaf9) C:\WINDOWS\system32\drivers\cbidf2k.sys
2011/06/29 17:13:18.0062 5468    Cdaudio        (c1b486a7658353d33a10cc15211a873b) C:\WINDOWS\system32\drivers\Cdaudio.sys
2011/06/29 17:13:18.0109 5468    Cdfs            (c885b02847f5d2fd45a24e219ed93b32) C:\WINDOWS\system32\drivers\Cdfs.sys
2011/06/29 17:13:18.0125 5468    Cdrom          (1f4260cc5b42272d71f79e570a27a4fe) C:\WINDOWS\system32\DRIVERS\cdrom.sys
2011/06/29 17:13:18.0265 5468    ctac32k        (4b6096745f72b4fd36514617e2ea5d37) C:\WINDOWS\system32\drivers\ctac32k.sys
2011/06/29 17:13:18.0343 5468    ctaud2k        (3576ec792347ed15699f6d830e0f5437) C:\WINDOWS\system32\drivers\ctaud2k.sys
2011/06/29 17:13:18.0406 5468    ctljystk        (71007bd2e1e26927fe3e4eb00c0beedf) C:\WINDOWS\system32\DRIVERS\ctljystk.sys
2011/06/29 17:13:18.0453 5468    ctprxy2k        (097d42574e3c6d98cd5a2ee7647fa6bf) C:\WINDOWS\system32\drivers\ctprxy2k.sys
2011/06/29 17:13:18.0484 5468    ctsfm2k        (c58a2507ef62b20b9bd670c666088b50) C:\WINDOWS\system32\drivers\ctsfm2k.sys
2011/06/29 17:13:18.0546 5468    d347bus        (5776322f93cdb91086111f5ffbfda2a0) C:\WINDOWS\system32\DRIVERS\d347bus.sys
2011/06/29 17:13:18.0578 5468    d347prt        (b49f79ace459763f4e0380071be9cb45) C:\WINDOWS\system32\Drivers\d347prt.sys
2011/06/29 17:13:18.0656 5468    Disk            (044452051f3e02e7963599fc8f4f3e25) C:\WINDOWS\system32\DRIVERS\disk.sys
2011/06/29 17:13:18.0718 5468    dmboot          (8a3088f97b2caa3340bbb068f314e596) C:\WINDOWS\system32\drivers\dmboot.sys
2011/06/29 17:13:18.0828 5468    dmio            (6d152a2781ffbd6a63a1e58801240e8e) C:\WINDOWS\system32\drivers\dmio.sys
2011/06/29 17:13:18.0843 5468    dmload          (e9317282a63ca4d188c0df5e09c6ac5f) C:\WINDOWS\system32\drivers\dmload.sys
2011/06/29 17:13:18.0890 5468    DMusic          (a6f881284ac1150e37d9ae47ff601267) C:\WINDOWS\system32\drivers\DMusic.sys
2011/06/29 17:13:18.0968 5468    drmkaud        (1ed4dbbae9f5d558dbba4cc450e3eb2e) C:\WINDOWS\system32\drivers\drmkaud.sys
2011/06/29 17:13:19.0031 5468    emu10k          (01f83e1b5dce05f5cb7d99113ca9e890) C:\WINDOWS\system32\drivers\emu10k1m.sys
2011/06/29 17:13:19.0093 5468    emu10k1        (7ffa171cce6a8bfc774862a578ba39a2) C:\WINDOWS\system32\drivers\ctlfacem.sys
2011/06/29 17:13:19.0140 5468    emupia          (a9d94b89372f3f9609a1a5eec631a260) C:\WINDOWS\system32\drivers\emupia2k.sys
2011/06/29 17:13:19.0203 5468    Fastfat        (38d332a6d56af32635675f132548343e) C:\WINDOWS\system32\drivers\Fastfat.sys
2011/06/29 17:13:19.0281 5468    Fdc            (92cdd60b6730b9f50f6a1a0c1f8cdc81) C:\WINDOWS\system32\drivers\Fdc.sys
2011/06/29 17:13:19.0328 5468    Fips            (bb52a20854cf3e8e0474ee7167c7a3a5) C:\WINDOWS\system32\drivers\Fips.sys
2011/06/29 17:13:19.0375 5468    Flpydisk        (9d27e7b80bfcdf1cdd9b555862d5e7f0) C:\WINDOWS\system32\drivers\Flpydisk.sys
2011/06/29 17:13:19.0421 5468    FltMgr          (b2cf4b0786f8212cb92ed2b50c6db6b0) C:\WINDOWS\system32\drivers\fltmgr.sys
2011/06/29 17:13:19.0453 5468    Fs_Rec          (3e1e2bd4f39b0e2b7dc4f4d2bcc2779a) C:\WINDOWS\system32\drivers\Fs_Rec.sys
2011/06/29 17:13:19.0484 5468    Ftdisk          (0a58505b5d0aba661d2ff59cd8cf79b9) C:\WINDOWS\system32\DRIVERS\ftdisk.sys
2011/06/29 17:13:19.0515 5468    gameenum        (5f92fd09e5610a5995da7d775eadcd12) C:\WINDOWS\system32\DRIVERS\gameenum.sys
2011/06/29 17:13:19.0562 5468    Gpc            (0a02c63c8b144bd8c86b103dee7c86a2) C:\WINDOWS\system32\DRIVERS\msgpc.sys
2011/06/29 17:13:19.0656 5468    ha10kx2k        (dc9847cdc43665ed4cc780947516209c) C:\WINDOWS\system32\drivers\ha10kx2k.sys
2011/06/29 17:13:19.0750 5468    hidusb          (ccf82c5ec8a7326c3066de870c06daf1) C:\WINDOWS\system32\DRIVERS\hidusb.sys
2011/06/29 17:13:19.0843 5468    HTTP            (f80a415ef82cd06ffaf0d971528ead38) C:\WINDOWS\system32\Drivers\HTTP.sys
2011/06/29 17:13:19.0937 5468    i8042prt        (ea89122e6c9c7478d55f138e1599f281) C:\WINDOWS\system32\DRIVERS\i8042prt.sys
2011/06/29 17:13:19.0984 5468    Imapi          (083a052659f5310dd8b6a6cb05edcf8e) C:\WINDOWS\system32\DRIVERS\imapi.sys
2011/06/29 17:13:20.0062 5468    IntelIde        (3bcdda95f24d21d4b050c9f0f531c88b) C:\WINDOWS\system32\DRIVERS\intelide.sys
2011/06/29 17:13:20.0093 5468    intelppm        (d1cd31b6cd4a99f3b82aec84cfdd4cba) C:\WINDOWS\system32\DRIVERS\intelppm.sys
2011/06/29 17:13:20.0187 5468    Ip6Fw          (3bb22519a194418d5fec05d800a19ad0) C:\WINDOWS\system32\drivers\ip6fw.sys
2011/06/29 17:13:20.0265 5468    IpFilterDriver  (731f22ba402ee4b62748adaf6363c182) C:\WINDOWS\system32\DRIVERS\ipfltdrv.sys
2011/06/29 17:13:20.0312 5468    IpInIp          (b87ab476dcf76e72010632b5550955f5) C:\WINDOWS\system32\DRIVERS\ipinip.sys
2011/06/29 17:13:20.0359 5468    IpNat          (cc748ea12c6effde940ee98098bf96bb) C:\WINDOWS\system32\DRIVERS\ipnat.sys
2011/06/29 17:13:20.0421 5468    IPSec          (23c74d75e36e7158768dd63d92789a91) C:\WINDOWS\system32\DRIVERS\ipsec.sys
2011/06/29 17:13:20.0468 5468    IRENUM          (c93c9ff7b04d772627a3646d89f7bf89) C:\WINDOWS\system32\DRIVERS\irenum.sys
2011/06/29 17:13:20.0515 5468    isapnp          (3ce6ec5903c59223b61f6a0b9b84b022) C:\WINDOWS\system32\DRIVERS\isapnp.sys
2011/06/29 17:13:20.0562 5468    Kbdclass        (32e823dfd0a7f18cf3b024f78c7aa7dd) C:\WINDOWS\system32\DRIVERS\kbdclass.sys
2011/06/29 17:13:20.0609 5468    kbdhid          (530d40f58095397b6b8aa5a0fdd074a5) C:\WINDOWS\system32\DRIVERS\kbdhid.sys
2011/06/29 17:13:20.0671 5468    kmixer          (692bcf44383d056aed41b045a323d378) C:\WINDOWS\system32\drivers\kmixer.sys
2011/06/29 17:13:20.0718 5468    KSecDD          (b467646c54cc746128904e1654c750c1) C:\WINDOWS\system32\drivers\KSecDD.sys
2011/06/29 17:13:20.0750 5468    L8042Kbd        (d1968dea7baff4a917858c384339cec8) C:\WINDOWS\system32\DRIVERS\L8042Kbd.sys
2011/06/29 17:13:20.0843 5468    LHidFilt        (24e0ddb99aeccf86bb37702611761459) C:\WINDOWS\system32\DRIVERS\LHidFilt.Sys
2011/06/29 17:13:20.0906 5468    LMouFilt        (d58b330d318361a66a9fe60d7c9b4951) C:\WINDOWS\system32\DRIVERS\LMouFilt.Sys
2011/06/29 17:13:20.0953 5468    LUsbFilt        (144011d14bd35f4e36136ae057b1aadd) C:\WINDOWS\system32\Drivers\LUsbFilt.Sys
2011/06/29 17:13:21.0000 5468    MBAMSwissArmy  (b309912717c29fc67e1ba4730a82b6dd) C:\WINDOWS\system32\drivers\mbamswissarmy.sys
2011/06/29 17:13:21.0046 5468    mnmdd          (4ae068242760a1fb6e1a44bf4e16afa6) C:\WINDOWS\system32\drivers\mnmdd.sys
2011/06/29 17:13:21.0109 5468    Modem          (67ac997db66fdfd07738df58b45cd1b9) C:\WINDOWS\system32\drivers\Modem.sys
2011/06/29 17:13:21.0171 5468    Mouclass        (22774a2ab832972eca2ce227819f5af0) C:\WINDOWS\system32\DRIVERS\mouclass.sys
2011/06/29 17:13:21.0218 5468    mouhid          (39f0a46109b167707018e8889d5fec93) C:\WINDOWS\system32\DRIVERS\mouhid.sys
2011/06/29 17:13:21.0265 5468    MountMgr        (a80b9a0bad1b73637dbcbba7df72d3fd) C:\WINDOWS\system32\drivers\MountMgr.sys
2011/06/29 17:13:21.0312 5468    MRxDAV          (11d42bb6206f33fbb3ba0288d3ef81bd) C:\WINDOWS\system32\DRIVERS\mrxdav.sys
2011/06/29 17:13:21.0359 5468    MRxSmb          (0dc719e9b15e902346e87e9dcd5751fa) C:\WINDOWS\system32\DRIVERS\mrxsmb.sys
2011/06/29 17:13:21.0406 5468    Msfs            (c941ea2454ba8350021d774daf0f1027) C:\WINDOWS\system32\drivers\Msfs.sys
2011/06/29 17:13:21.0437 5468    MSKSSRV        (d1575e71568f4d9e14ca56b7b0453bf1) C:\WINDOWS\system32\drivers\MSKSSRV.sys
2011/06/29 17:13:21.0468 5468    MSPCLOCK        (325bb26842fc7ccc1fcce2c457317f3e) C:\WINDOWS\system32\drivers\MSPCLOCK.sys
2011/06/29 17:13:21.0515 5468    MSPQM          (bad59648ba099da4a17680b39730cb3d) C:\WINDOWS\system32\drivers\MSPQM.sys
2011/06/29 17:13:21.0546 5468    mssmbios        (af5f4f3f14a8ea2c26de30f7a1e17136) C:\WINDOWS\system32\DRIVERS\mssmbios.sys
2011/06/29 17:13:21.0609 5468    Mup            (de6a75f5c270e756c5508d94b6cf68f5) C:\WINDOWS\system32\drivers\Mup.sys
2011/06/29 17:13:21.0703 5468    NDIS            (1df7f42665c94b825322fae71721130d) C:\WINDOWS\system32\drivers\NDIS.sys
2011/06/29 17:13:21.0718 5468    NdisTapi        (1ab3d00c991ab086e69db84b6c0ed78f) C:\WINDOWS\system32\DRIVERS\ndistapi.sys
2011/06/29 17:13:21.0765 5468    Ndisuio        (f927a4434c5028758a842943ef1a3849) C:\WINDOWS\system32\DRIVERS\ndisuio.sys
2011/06/29 17:13:21.0812 5468    NdisWan        (edc1531a49c80614b2cfda43ca8659ab) C:\WINDOWS\system32\DRIVERS\ndiswan.sys
2011/06/29 17:13:21.0875 5468    NDProxy        (9282bd12dfb069d3889eb3fcc1000a9b) C:\WINDOWS\system32\drivers\NDProxy.sys
2011/06/29 17:13:21.0906 5468    NetBIOS        (5d81cf9a2f1a3a756b66cf684911cdf0) C:\WINDOWS\system32\DRIVERS\netbios.sys
2011/06/29 17:13:21.0953 5468    NetBT          (74b2b2f5bea5e9a3dc021d685551bd3d) C:\WINDOWS\system32\DRIVERS\netbt.sys
2011/06/29 17:13:22.0031 5468    Npfs            (3182d64ae053d6fb034f44b6def8034a) C:\WINDOWS\system32\drivers\Npfs.sys
2011/06/29 17:13:22.0078 5468    Ntfs            (78a08dd6a8d65e697c18e1db01c5cdca) C:\WINDOWS\system32\drivers\Ntfs.sys
2011/06/29 17:13:22.0125 5468    Null            (73c1e1f395918bc2c6dd67af7591a3ad) C:\WINDOWS\system32\drivers\Null.sys
2011/06/29 17:13:22.0171 5468    NwlnkFlt        (b305f3fad35083837ef46a0bbce2fc57) C:\WINDOWS\system32\DRIVERS\nwlnkflt.sys
2011/06/29 17:13:22.0203 5468    NwlnkFwd        (c99b3415198d1aab7227f2c88fd664b9) C:\WINDOWS\system32\DRIVERS\nwlnkfwd.sys
2011/06/29 17:13:22.0265 5468    ossrv          (f29184bdc81c398b6027a67ff6a19895) C:\WINDOWS\system32\drivers\ctoss2k.sys
2011/06/29 17:13:22.0328 5468    Parport        (9e048790f33fe5f4fa9d27b5650a1dd5) C:\WINDOWS\system32\DRIVERS\parport.sys
2011/06/29 17:13:22.0375 5468    PartMgr        (beb3ba25197665d82ec7065b724171c6) C:\WINDOWS\system32\drivers\PartMgr.sys
2011/06/29 17:13:22.0406 5468    ParVdm          (48e97af5b876301131e9d1b0c43212c3) C:\WINDOWS\system32\drivers\ParVdm.sys
2011/06/29 17:13:22.0453 5468    PCI            (5d756da95bd1e2f6e495704715532fdc) C:\WINDOWS\system32\DRIVERS\pci.sys
2011/06/29 17:13:22.0500 5468    PCIIde          (69ce0d409c11347196147ea4c6c02364) C:\WINDOWS\system32\drivers\PCIIde.sys
2011/06/29 17:13:22.0531 5468    Pcmcia          (e980b6d0ca6acba679a0ac810ab9a57c) C:\WINDOWS\system32\drivers\Pcmcia.sys
2011/06/29 17:13:22.0750 5468    PptpMiniport    (efeec01b1d3cf84f16ddd24d9d9d8f99) C:\WINDOWS\system32\DRIVERS\raspptp.sys
2011/06/29 17:13:22.0796 5468    PSched          (09298ec810b07e5d582cb3a3f9255424) C:\WINDOWS\system32\DRIVERS\psched.sys
2011/06/29 17:13:22.0828 5468    Ptilink        (80d317bd1c3dbc5d4fe7b1678c60cadd) C:\WINDOWS\system32\DRIVERS\ptilink.sys
2011/06/29 17:13:22.0875 5468    PxHelp20        (e42e3433dbb4cffe8fdd91eab29aea8e) C:\WINDOWS\system32\Drivers\PxHelp20.sys
2011/06/29 17:13:23.0000 5468    RasAcd          (fe0d99d6f31e4fad8159f690d68ded9c) C:\WINDOWS\system32\DRIVERS\rasacd.sys
2011/06/29 17:13:23.0046 5468    Rasl2tp        (11b4a627bc9614b885c4969bfa5ff8a6) C:\WINDOWS\system32\DRIVERS\rasl2tp.sys
2011/06/29 17:13:23.0093 5468    RasPppoe        (5bc962f2654137c9909c3d4603587dee) C:\WINDOWS\system32\DRIVERS\raspppoe.sys
2011/06/29 17:13:23.0140 5468    Raspti          (fdbb1d60066fcfbb7452fd8f9829b242) C:\WINDOWS\system32\DRIVERS\raspti.sys
2011/06/29 17:13:23.0187 5468    Rdbss          (7ad224ad1a1437fe28d89cf22b17780a) C:\WINDOWS\system32\DRIVERS\rdbss.sys
2011/06/29 17:13:23.0218 5468    RDPCDD          (4912d5b403614ce99c28420f75353332) C:\WINDOWS\system32\DRIVERS\RDPCDD.sys
2011/06/29 17:13:23.0265 5468    rdpdr          (15cabd0f7c00c47c70124907916af3f1) C:\WINDOWS\system32\DRIVERS\rdpdr.sys
2011/06/29 17:13:23.0328 5468    RDPWD          (6728e45b66f93c08f11de2e316fc70dd) C:\WINDOWS\system32\drivers\RDPWD.sys
2011/06/29 17:13:23.0375 5468    redbook        (d2ea9dae9a9f1bf40c0ea1d1d7c5592c) C:\WINDOWS\system32\DRIVERS\redbook.sys
2011/06/29 17:13:23.0437 5468    rtl8139        (d507c1400284176573224903819ffda3) C:\WINDOWS\system32\DRIVERS\RTL8139.SYS
2011/06/29 17:13:23.0546 5468    Secdrv          (90a3935d05b494a5a39d37e71f09a677) C:\WINDOWS\system32\DRIVERS\secdrv.sys
2011/06/29 17:13:23.0609 5468    Serial          (680ed46039ebd4c23eb708f1af6b9e5d) C:\WINDOWS\system32\drivers\Serial.sys
2011/06/29 17:13:23.0671 5468    Sfloppy        (8e6b8c671615d126fdc553d1e2de5562) C:\WINDOWS\system32\drivers\Sfloppy.sys
2011/06/29 17:13:23.0718 5468    sfman          (0b1a5e9cacb5cdd54a2815107bd7c772) C:\WINDOWS\system32\drivers\sfmanm.sys
2011/06/29 17:13:23.0812 5468    splitter        (ab8b92451ecb048a4d1de7c3ffcb4a9f) C:\WINDOWS\system32\drivers\splitter.sys
2011/06/29 17:13:23.0875 5468    sr              (b3ecb8b07f7991132c71c1b16a82ffe3) C:\WINDOWS\system32\DRIVERS\sr.sys
2011/06/29 17:13:23.0921 5468    Srv            (47ddfc2f003f7f9f0592c6874962a2e7) C:\WINDOWS\system32\DRIVERS\srv.sys
2011/06/29 17:13:23.0968 5468    ssmdrv          (a36ee93698802cd899f98bfd553d8185) C:\WINDOWS\system32\DRIVERS\ssmdrv.sys
2011/06/29 17:13:24.0031 5468    swenum          (3941d127aef12e93addf6fe6ee027e0f) C:\WINDOWS\system32\DRIVERS\swenum.sys
2011/06/29 17:13:24.0062 5468    swmidi          (94abc808fc4b6d7d2bbf42b85e25bb4d) C:\WINDOWS\system32\drivers\swmidi.sys
2011/06/29 17:13:24.0203 5468    sysaudio        (650ad082d46bac0e64c9c0e0928492fd) C:\WINDOWS\system32\drivers\sysaudio.sys
2011/06/29 17:13:24.0250 5468    Tcpip          (9aefa14bd6b182d61e3119fa5f436d3d) C:\WINDOWS\system32\DRIVERS\tcpip.sys
2011/06/29 17:13:24.0296 5468    TDPIPE          (6471a66807f5e104e4885f5b67349397) C:\WINDOWS\system32\drivers\TDPIPE.sys
2011/06/29 17:13:24.0343 5468    TDTCP          (c56b6d0402371cf3700eb322ef3aaf61) C:\WINDOWS\system32\drivers\TDTCP.sys
2011/06/29 17:13:24.0390 5468    TermDD          (88155247177638048422893737429d9e) C:\WINDOWS\system32\DRIVERS\termdd.sys
2011/06/29 17:13:24.0468 5468    Udfs            (5787b80c2e3c5e2f56c2a233d91fa2c9) C:\WINDOWS\system32\drivers\Udfs.sys
2011/06/29 17:13:24.0546 5468    Update          (402ddc88356b1bac0ee3dd1580c76a31) C:\WINDOWS\system32\DRIVERS\update.sys
2011/06/29 17:13:24.0609 5468    usbccgp        (173f317ce0db8e21322e71b7e60a27e8) C:\WINDOWS\system32\DRIVERS\usbccgp.sys
2011/06/29 17:13:24.0656 5468    usbehci        (65dcf09d0e37d4c6b11b5b0b76d470a7) C:\WINDOWS\system32\DRIVERS\usbehci.sys
2011/06/29 17:13:24.0687 5468    usbhub          (1ab3cdde553b6e064d2e754efe20285c) C:\WINDOWS\system32\DRIVERS\usbhub.sys
2011/06/29 17:13:24.0750 5468    usbscan        (a0b8cf9deb1184fbdd20784a58fa75d4) C:\WINDOWS\system32\DRIVERS\usbscan.sys
2011/06/29 17:13:24.0796 5468    USBSTOR        (a32426d9b14a089eaa1d922e0c5801a9) C:\WINDOWS\system32\DRIVERS\USBSTOR.SYS
2011/06/29 17:13:24.0843 5468    usbuhci        (26496f9dee2d787fc3e61ad54821ffe6) C:\WINDOWS\system32\DRIVERS\usbuhci.sys
2011/06/29 17:13:24.0906 5468    VgaSave        (0d3a8fafceacd8b7625cd549757a7df1) C:\WINDOWS\System32\drivers\vga.sys
2011/06/29 17:13:24.0953 5468    VolSnap        (69d9e1de5f897580f8b1d1957528b0b2) C:\WINDOWS\system32\drivers\VolSnap.sys
2011/06/29 17:13:25.0015 5468    Wanarp          (e20b95baedb550f32dd489265c1da1f6) C:\WINDOWS\system32\DRIVERS\wanarp.sys
2011/06/29 17:13:25.0078 5468    Wdf01000        (fd47474bd21794508af449d9d91af6e6) C:\WINDOWS\system32\DRIVERS\Wdf01000.sys
2011/06/29 17:13:25.0171 5468    wdmaud          (6768acf64b18196494413695f0c3a00f) C:\WINDOWS\system32\drivers\wdmaud.sys
2011/06/29 17:13:25.0281 5468    WpdUsb          (cf4def1bf66f06964dc0d91844239104) C:\WINDOWS\system32\DRIVERS\wpdusb.sys
2011/06/29 17:13:25.0343 5468    WudfPf          (f15feafffbb3644ccc80c5da584e6311) C:\WINDOWS\system32\DRIVERS\WudfPf.sys
2011/06/29 17:13:25.0375 5468    WudfRd          (28b524262bce6de1f7ef9f510ba3985b) C:\WINDOWS\system32\DRIVERS\wudfrd.sys
2011/06/29 17:13:25.0437 5468    MBR (0x1B8)    (b8e6c11ca5664dbeda85d7507526e0f4) \Device\Harddisk0\DR0
2011/06/29 17:13:25.0562 5468    MBR (0x1B8)    (b8e6c11ca5664dbeda85d7507526e0f4) \Device\Harddisk1\DR1
2011/06/29 17:13:25.0578 5468    Boot (0x1200)  (21c8e6b89114f668c8e81d83559e3a7a) \Device\Harddisk0\DR0\Partition0
2011/06/29 17:13:25.0609 5468    Boot (0x1200)  (6443a6a6dc1db0c51694aaf8e114e097) \Device\Harddisk0\DR0\Partition1
2011/06/29 17:13:25.0609 5468    Boot (0x1200)  (69b159c37851bc958bcc94fc2d212f8a) \Device\Harddisk1\DR1\Partition0
2011/06/29 17:13:25.0625 5468    ================================================================================
2011/06/29 17:13:25.0625 5468    Scan finished
2011/06/29 17:13:25.0625 5468    ================================================================================
2011/06/29 17:13:25.0640 2916    Detected object count: 0
2011/06/29 17:13:25.0640 2916    Actual detected object count: 0
Avatar billede f-arn Guru
29. juni 2011 - 21:00 #25
Har du en Windows installations CD.

Jeg vil gerne ha' installeret den Genoprettelseskonsol.
Avatar billede deathblow Nybegynder
29. juni 2011 - 21:40 #26
Ja jeg har en windows xp installations cd. Er dog midt i et flytterod så hvor den befinder sig tør jeg ikke at sige :D

Når jeg finder den går jeg ud fra jeg kan følge den her guide jeg googlede mig til (http://support.microsoft.com/kb/314058/da)?
Avatar billede deathblow Nybegynder
29. juni 2011 - 21:47 #27
Hmm kom lige til at tænke på at måske skulle jeg bare installerer en frisk gang windows xp på maskinen. Så kan jeg vel være helt sikker på at den er helt frisk og rask bagefter?

Har længe været irriteret over mit c: som kun er på 10gb. Har ofte været så langt nede i ledig plads at computeren brokkede sig. Det er bare hen over årene at den langsomt er blevet fyldt op af rod og opdateringer. Troede i sin tid at 10gb var nok.

Hvis jeg ominstallerer kan jeg så ændre det så c: har 50gb så den ikke brokker sig over pladsmangel mere.

Det tror jeg egentlig bare jeg gør. Kan ikke huske hvornår den sidst har været ominstalleret så det kan den vel også godt trænge til.

Hvis du lige smider et svar så du kan få point så takker jeg tusinde mange gange for hjælpen og prøver så at ominstallerer når jeg finder cd'en og et par timers fri :)

Mvh DB
Avatar billede f-arn Guru
29. juni 2011 - 22:30 #28
Det kan du jo vælge, men grunden til at jeg ville ha' den Genoprettelseskonsol er din MBR. Jeg tvivler på den, men jeg ville ikke risikere at røre den uden "Konsollen".

Ligger der en Genoprettelses Partition på din PC?
Avatar billede deathblow Nybegynder
29. juni 2011 - 23:32 #29
Jeg har ikke nogen forstand på genoprettelses partitioner så det tror jeg ikke.

Vil MBR blive fikset hvis jeg ominstallerer?
Avatar billede f-arn Guru
30. juni 2011 - 10:19 #30
Det kommer an på hvordan du ominstallerer. Dine partitioner skal slettes, ellers bliver der ikke skrevet en ny MBR.
Avatar billede deathblow Nybegynder
30. juni 2011 - 11:06 #31
Jeg har ikke så meget forstand på det, men hvis jeg ominstallerer var det meningen jeg ville lave om på størrelserne på drevene. Evt lave c: på 50gb og et d: på det resterende plads.

Kan ikke lige helt huske hvordan det foregår, jeg plejer bare at følge instrukserne på skærmen. Men for at lave om på drev-størrelserne er jeg vel nødt til at slette partitionerne først?
30. juni 2011 - 15:17 #32
... det kan alt sammen gøres via instalation's CD'en!

---

Generelt ->
http://www.spywareinfo.dk/manualer/xp-installation.htm +
http://www.spywareinfo.dk/manualer/xp-installation-side2.htm +
http://www.spywareinfo.dk/manualer/xp-opsaetning.htm

http://www.eksperten.dk/artikler/1104

Altså INGEN FORM FOR INTERNETFORBINDELSE undervejs ...

http://spywarefri.dk/forum/topic.asp?TOPIC_ID=27627

---

Du skal have 100% styr på
* Driversoftware der passer til din Hardware
* Opdateringer + Servicepack1+2+3 + flere opdateringer fra WindowsUpdate
* Seriøst Sikkerhedsprogram + opdatering af samme
* ...
* http://kundeservice.tdc.dk/testcenter/ (Diverse tillægsprogrammer)
* ...
* ...


---

Såååå - det er ikke bare lige gennemført på ~1 times tid; reserver >4 timer PC tid til 'øvelsen' !!! Også hvis du HAR styr på ovenstående 'detaljer' ...
Avatar billede f-arn Guru
30. juni 2011 - 19:56 #33
Jeg er stadig ikke sikker på den MBR, men hvis den er inficeret, skal der nok en FIXMBR eller Killdisk til.
Avatar billede f-arn Guru
04. juli 2011 - 09:05 #34
Opgav du helt, eller...
Avatar billede deathblow Nybegynder
04. juli 2011 - 12:12 #35
Hej undskyld jeg ikke har svaret de seneste par dage. Er fuld gang med en flytning så det har taget meget af min tid.

Tror ikke jeg tør gå i gang med det du skriver Karise_larry. Det ser en smule mere indviklet ud end jeg lige har det godt med.

Så tror den genoprettelses konsol er vejen frem hvis en ominstallering er for indviklet. Skal nok lige kigge efter min cd i aften og melde tilbage her i tråden når jeg er kampklar med den.
Avatar billede f-arn Guru
04. juli 2011 - 14:36 #36
Avatar billede deathblow Nybegynder
06. juli 2011 - 22:47 #37
Kan desværre ikke finde min windows xp cd. Har ikke set den siden jeg for mange år ominstalleret sidst men håbede den ville dukke op når man fik pakket tingene ud men desværre.

Computeren køre da heldigvis fint så hvad skrammel der end måtte ligge synes da ikke at gøre noget rigtig skade.

Hvis i vil være så venlige at lave et svar til denne post så i kan få point så takker jeg da tusinde mange gange for hjælpen selvom det så endte i en blindgyde.
Avatar billede f-arn Guru
07. juli 2011 - 10:06 #38
Jeg ville gerne ha' kørt ComboFix med Genoprettelseskonsollen installeret, men hvis du ikke mener det er nødvendigt?

Læste du dette?
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=177&title=genoprettelseskonsol-recovery-console
Avatar billede deathblow Nybegynder
07. juli 2011 - 14:13 #39
Ja jeg har prøvet at kigge linket grundigt igennem men må indrømme jeg synes det ligger lidt over mit erfarings niveau.

Oven i det regner jeg med at opgraderer til en helt ny computer inden for en overskuelig fremtid da den her computer efterhånden er rigtig gammel. Dog køre den helt fint, men man kan jo altid bruge lidt ekstra trækkræft :)

Venter lige med at uddele point til Karise Larry har svaret også.

Takker igen rigtig meget for hjælpen.

Mvh DB
07. juli 2011 - 15:04 #40
Ping...

Deles med flere ...
Avatar billede Ny bruger Nybegynder

Din løsning...

Tilladte BB-code-tags: [b]fed[/b] [i]kursiv[/i] [u]understreget[/u] Web- og emailadresser omdannes automatisk til links. Der sættes "nofollow" på alle links.

Loading billede Opret Preview
Kategori
IT-kurser om Microsoft 365, sikkerhed, personlig vækst, udvikling, digital markedsføring, grafisk design, SAP og forretningsanalyse.

Log ind eller opret profil

Hov!

For at kunne deltage på Computerworld Eksperten skal du være logget ind.

Det er heldigvis nemt at oprette en bruger: Det tager to minutter og du kan vælge at bruge enten e-mail, Facebook eller Google som login.

Du kan også logge ind via nedenstående tjenester



IT-JOB

MAN Energy Solutions

Principal Expert DevOps

IT & Co ApS

Systemkonsulent

Unik System Design A/S

Udviklingschef

Netcompany A/S

Network Engineer