For et par dage siden ville jeg køre en normal rensning af computeren, hvilket også kørte ganske normalt, jeg fandt et par vira og fjernede dem, og genstartede computeren, men efter dette er min computer begyndt at opfører sig mærkeligt, og jeg undrer mig om der ligger noget på min maskine som blokerer for mit antivirus program, til at starte med havde jeg avast free, hvor den ikke kunne aktiverer beskyttelsen, jeg afinstallerede programmet, kørte et removal tool fra avast’s hjemmeside for at fjerne programmet helt, og geninstallerede avast, hvilket ikke hjalp.
Herefter er jeg i dag kommet hjem, vi har f-secure igennem arbejdet gratis så jeg tænkte jeg ville prøve lykken med det i stedet og afinstallerede avast, og installerede f-secure, men problemet er det samme, beskyttelsen kan ikke aktiveres, normalt kan jeg selv finde ud af hvad der er gået galt, men det her er over mine egne evner for hvad jeg kan finde ud af, kan se servicen i windows 7, men når jeg prøver at aktiverer den, fejler den.
kan i hjælpe?
Efter at kigge mere rundt ser det ud til at være værre end jeg først troede, windows update kører heller ikke, og jeg kan ikke kører windows defender, ser ud til at der er masse sikkerhedsservices der er deaktiveret og ikke kan aktiveres
Installer og start programmet, klik på fanen opdater, klik Tjek for opdatering, lav “Fuld system skan” under fanebladet “skanner”
Bagefter klik på “vis resultater”, tryk på “Fjern det valgte” gem loggen og send den herind sammen med logs fra DDS.
Den laver to logs,(DDS.txt og Attach.txt) gem dem på skrivebordet og kopier indholdet af begge herind.
OBS - DDS skal gemmes på computeren og ikke køres fra nettet.
Mht.: Vista og Windows 7 - Højreklik på filen - Kør som Administrator.
NB Når du opdaterer Malwarebytes, så klik på Tjek for opdatering til den skriver at der ikke er flere opdateringer.
Ja ok, det var måske et dårligt ordvalg, mente bare normal scanning af computeren, længe siden jeg har fundet snavs på den, her er de logfiler du bad om
Hukommelses Processorer Inficeret: 0
(Ingen skadelige objekter blev fundet)
Hukommelses Moduler Inficeret: 0
(Ingen skadelige objekter blev fundet)
Registreringsdatabasenøgler Inficeret: 0
(Ingen skadelige objekter blev fundet)
Registreringsdatabaseværdier Inficeret: 0
(Ingen skadelige objekter blev fundet)
Registreringsdatabasedata Objekter Inficeret: 0
(Ingen skadelige objekter blev fundet)
Inficerede Mapper: 0
(Ingen skadelige objekter blev fundet)
Inficerede Filer: 12
C:\Program Files (x86)\NCSoft\Aion\IALauncherUpdater.exe (VirTool.DelfInject) -> Sat i karantæne og slettet succesfuldt.
C:\Users\Hellfire\Downloads\mini-KMS_Activator_v1.3_Office2010_VL_ENG.exe (Riskware.Tool.CK) -> Sat i karantæne og slettet succesfuldt.
E:\ntleac\ntleac\NTLEA.exe (Trojan.FlyStudio) -> Sat i karantæne og slettet succesfuldt.
I:\hgames\anime wallpapers\zz-99.jpg (Extension.Mismatch) -> Sat i karantæne og slettet succesfuldt.
c:\windows\syshost.exe (Trojan.Downloader) -> Bliver slettet ved genstart.
c:\users\hellfire\appdata\local\temp\syshost.exe (Spyware.Agent) -> Bliver slettet ved genstart.
c:\users\logmeinremoteuser\appdata\local\temp\syshost.exe (Spyware.Agent) -> Bliver slettet ved genstart.
c:\users\updatususer\appdata\local\temp\syshost.exe (Spyware.Agent) -> Bliver slettet ved genstart.
c:\windows\serviceprofiles\localservice\appdata\local\temp\syshost.exe (Spyware.Agent) -> Bliver slettet ved genstart.
c:\windows\serviceprofiles\networkservice\appdata\local\temp\syshost.exe (Spyware.Agent) -> Bliver slettet ved genstart.
c:\windows\system32\config\systemprofile\appdata\local\temp\syshost.exe (Spyware.Agent) -> Bliver slettet ved genstart.
c:\windows\temp\syshost.exe (Spyware.Agent) -> Bliver slettet ved genstart.
.
UNLESS SPECIFICALLY INSTRUCTED, DO NOT POST THIS LOG.
IF REQUESTED, ZIP IT UP & ATTACH IT
.
DDS (Ver_2011-08-26.01)
.
.
==== Disk Partitions =========================
.
.
==== Disabled Device Manager Items =============
.
==== System Restore Points ===================
.
No restore point in system.
.
==== Installed Programs ======================
.
????????!2 ??????????????
?????????????
????????????? Append01
????????????? Append02
????????????? Ver2.00 Update
????4
7-Zip 4.65
AC3Filter 1.63b
Adobe AIR
Adobe Community Help
Adobe Flash Media Live Encoder 3.1
Adobe Media Player
Adobe Photoshop CS5
Adobe Reader 9.5.0 - Dansk
Adobe Shockwave Player 11.5
Aion
JX^Ch3D
Akamai NetSession Interface
Akamai NetSession Interface Service
Apple Application Support
Apple Software Update
AviSynth 2.5
AVS Update Manager 1.0
AVS Video Converter 8
AVS4YOU Software Navigator 1.4
Bandisoft MPEG-1 Decoder
Bass Audio Decoder (remove only)
BitTorrentBar Toolbar
Blades of Time
CD Audio Reader Filter (remove only)
Combined Community Codec Pack 2010-10-10
Conduit Engine
Cool Edit Pro 2.0
Creative Audio Console
Creative Software AutoUpdate
Dawn
DCoder Image Source (remove only)
Diablo III
DirectVobSub (remove only)
Dragonica(EN)
Dream Video Converter Ultimate 3.8.5
Dropbox
DScaler 5 Mpeg Decoders
Dusk With Help
Dyyno Broadcaster
Edelweiss
erLT
Escalation ADV version Escalation ADV v1.0
Escalation Yukkuri Panic! version 1.0
ESET Online Scanner v3
EVE Online (remove only)
EVEMon
ffdshow [rev 3124] [2009-11-03]
FFMPEG Core Files (remove only)
FINAL FANTASY XIV Beta Version
Folding@home-x86
Free YouTube Download 2.9
Freemake Video Converter version 2.3.0
Gabest MPEG Splitter (remove only)
Garrys Mod Update #1
Google Chrome
Google Chrome Frame
Google Toolbar for Internet Explorer
Google Update Helper
Grand Fantasia
HiJackThis
Hotmail & MSN Password Recovery
Haali Media Splitter
InFlac 1.1.1
Jagged Alliance 2 Gold Pack
Java Auto Updater
Java(TM) 6 Update 27
Java(TM) 7 Update 2
JDownloader
Junk Mail filter update
KabodOnline
Kings Bounty Armored Princess
Koihime_Musou
Logitech SetPoint
LogMeIn
Malwarebytes Anti-Malware version 1.61.0.1400
Microsoft Choice Guard
Microsoft Games for Windows - LIVE Redistributable
Microsoft Games for Windows Marketplace
Microsoft Office 2010
Microsoft Office Klik og kør 2010
Microsoft Office Starter 2010 - dansk
Microsoft Silverlight
Microsoft SQL Server 2005 Compact Edition [ENU]
Microsoft Sync Framework Runtime Native v1.0 (x86)
Microsoft Sync Framework Services Native v1.0 (x86)
Microsoft Visual C++ 2005 ATL Update kb973923 - x86 8.0.50727.4053
Microsoft Visual C++ 2005 Redistributable
Microsoft Visual C++ 2008 Redistributable - x86 9.0.21022
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.17
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.4148
Microsoft Visual C++ 2008 Redistributable - x86 9.0.30729.6161
Microsoft Visual C++ 2010 x86 Redistributable - 10.0.40219
Microsoft Windows Media Video 9 VCM
Microsoft_VC80_ATL_x86
Microsoft_VC80_CRT_x86
Microsoft_VC80_MFC_x86
Microsoft_VC80_MFCLOC_x86
Microsoft_VC90_ATL_x86
Microsoft_VC90_CRT_x86
Microsoft_VC90_MFC_x86
mIRC
MONOGRAM AMR Splitter/Decoder (remove only)
Mozilla Firefox (3.6.18)
MSI Afterburner 1.6.1
MSVCRT
Nalu
NCsoft Launcher
NeoDownloader 2.3c
Nexon Game Manager
NVIDIA 3D Vision Controller Driver
Nvidia Girls Nude Patch BETA
NVIDIA PhysX
NVIDIA Stereoscopic 3D Driver
Oblivion
Oblivion mod manager 1.1.12
Open XML Editor
OpenAL
OpenSource AVI Splitter (remove only)
OpenSource DTS/AC3/DD+ Source Filter (remove only)
OpenTTD 1.0.5
OTB
Overførselsværktøj til Windows Live
Oxin’s Style! Hentai3D 2.056.001
PDF Settings CS5
piaip AppLocale
Proxifier version 2.91
PS3 Media Server
QuickTime
RAD Video Tools
RapeLay (remove only)
Rappelz_US
RealMedia (remove only)
Recettear: An Item Shop’s Tale
RGSS-RTP Standard
RIFT
RPG Maker VX RTP
RPGXP
Security Update for Microsoft .NET Framework 4 Client Profile (KB2160841)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2446708)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2518870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2539636)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2572078)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2604121)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2633870)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656351)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656368)
Security Update for Microsoft .NET Framework 4 Client Profile (KB2656405)
Security Update for Microsoft .NET Framework 4 Client Profile DAN sprogpakke (KB2478663)
Security Update for Microsoft .NET Framework 4 Client Profile DAN sprogpakke (KB2518870)
Security Update for Microsoft .NET Framework 4 Extended (KB2416472)
Security Update for Microsoft .NET Framework 4 Extended (KB2487367)
Security Update for Microsoft .NET Framework 4 Extended (KB2656351)
Sengoku Rance English v1.01
SHOUTcast Source (remove only)
Sid Meier’s Civilization 4
Sid Meier’s Civilization 4 - Beyond the Sword
Sid Meier’s Civilization 4 - Warlords
Skype Click to Call
Skype 5.5
SMPlayer 0.6.8
Solid YouTube Downloader and Converter DB Toolbar
SpeedFan (remove only)
StarCraft II
Steam
Swiff Player 1.7
TeamViewer Manager 6
TERA
Ubisoft Game Launcher
UltraEdit 16.10
Unigine Heaven Benchmark v2.1
Uninstall 1.0.0.1
Unity Web Player
Update for Microsoft .NET Framework 4 Client Profile (KB2468871)
Update for Microsoft .NET Framework 4 Client Profile (KB2473228)
Update for Microsoft .NET Framework 4 Client Profile (KB2533523)
Update for Microsoft .NET Framework 4 Client Profile (KB2600217)
Update for Microsoft .NET Framework 4 Extended (KB2468871)
Update for Microsoft .NET Framework 4 Extended (KB2533523)
Update for Microsoft .NET Framework 4 Extended (KB2600217)
Ustream Producer
VH Toolkit 1.0.44.0
VidBlaster
Vindictus
Vindictus EU
VirtuaGirl version 1.0.6.99
VLC media player 2.0.1
Winamp
Winamp Detector Plug-in
Windows Live Communications Platform
Windows Live Essentials
Windows Live Mail
Windows Live Messenger
Windows Live Movie Maker
Windows Live OneCare safety scanner
Windows Live Photo Gallery
Windows Live Sync
Windows Live Writer
Zoom Player (remove only)
SpR
.
==== End Of File ===========================
Start CKScanner og klik på “Search for files”.
Når markøren forsvinder, skal du gemme resultatet til en fil.
Kopier CKFiles.txt herind i dit næste indlæg.
Kan ikke få afinstalleret de to, Toolbaren får jeg en fejl der skriver: “could not open INSTALL.LOG file” conduit Engine sker der bare ingen ting med, ingen respons overhovedet, log filerne kommer om lidt
Farbar Service Scanner Version: 27-05-2012
Ran by Hellfire (administrator) on 02-06-2012 at 14:52:44
Running from “C:\Users\Hellfire\Desktop”
Windows 7 Ultimate Service Pack 1 (X64)
Boot Mode: Normal
****************************************************************
Internet Services:
============
Connection Status:
==============
Localhost is accessible.
LAN connected.
Google IP is accessible.
Yahoo IP is accessible.
Windows Firewall:
=============
mpsdrv Service is not running. Checking service configuration:
The start type of mpsdrv service is OK.
The ImagePath of mpsdrv service is OK.
MpsSvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to retrieve start type of MpsSvc. The value does not exist.
Checking ImagePath: ATTENTION!=====> Unable to retrieve ImagePath of MpsSvc. The value does not exist.
Unable to retrieve ServiceDll of MpsSvc. The value does not exist.
bfe Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open bfe registry key. The service key does not exist.
Firewall Disabled Policy:
==================
System Restore:
============
System Restore Disabled Policy:
========================
Action Center:
============
wscsvc Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open wscsvc registry key. The service key does not exist.
Windows Update:
============
wuauserv Service is not running. Checking service configuration:
The start type of wuauserv service is OK.
The ImagePath of wuauserv service is OK.
The ServiceDll of wuauserv service is OK.
BITS Service is not running. Checking service configuration:
The start type of BITS service is OK.
The ImagePath of BITS service is OK.
The ServiceDll of BITS service is OK.
Windows Autoupdate Disabled Policy:
============================
Windows Defender:
==============
WinDefend Service is not running. Checking service configuration:
Checking Start type: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ImagePath: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
Checking ServiceDll: ATTENTION!=====> Unable to open WinDefend registry key. The service key does not exist.
File Check:
========
C:\Windows\System32\nsisvc.dll => MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys => MD5 is legit
C:\Windows\System32\dhcpcore.dll => MD5 is legit
C:\Windows\System32\drivers\afd.sys => MD5 is legit
C:\Windows\System32\drivers\tdx.sys => MD5 is legit
C:\Windows\System32\Drivers\tcpip.sys => MD5 is legit
C:\Windows\System32\dnsrslvr.dll => MD5 is legit
C:\Windows\System32\mpssvc.dll => MD5 is legit
C:\Windows\System32\bfe.dll => MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys => MD5 is legit
C:\Windows\System32\SDRSVC.dll => MD5 is legit
C:\Windows\System32\vssvc.exe => MD5 is legit
C:\Windows\System32\wscsvc.dll => MD5 is legit
C:\Windows\System32\wbem\WMIsvc.dll => MD5 is legit
C:\Windows\System32\wuaueng.dll => MD5 is legit
C:\Windows\System32\qmgr.dll => MD5 is legit
C:\Windows\System32\es.dll => MD5 is legit
C:\Windows\System32\cryptsvc.dll => MD5 is legit
C:\Program Files\Windows Defender\MpSvc.dll => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\System32\rpcss.dll => MD5 is legit
Og har lige afinstalleret photoshop cs5, var ikke opmærksom på jeg havde den liggende, og kender jeres regler, beklager
Så ved du jo, hvordan du er blevet inficeret
C:\Users\Hellfire\Downloads\mini-KMS_Activator_v1.3_Office2010_VL_ENG.exe (Riskware.Tool.CK) -> Sat i karantæne og slettet succesfuldt.
Det har heller ikke hjulpet
Hvis du har andre crackede programmer (Office f.eks.), skal de fjernes
———
Jeg kan godt se problemerne, men la’ os lede efter årsagen ->
Download Tdsskiller.zip på dit skrivebord og pak den ud i en mappe.
Start TDSSKiller.exe.
Mht.: Vista og Windows 7 - Højreklik på filen - Kør som Administrator.
Under “Change parameters” sætter du flueben ved “Detect TDLFS file system”
Klik på “Start Scan”
Hvis en inficeret fil bliver fundet, vil Default action være Cure, klik på Continue
Hvis den finder TDLFS file system, klikker du på Delete.
Hvis en mistænkelig fil opdages, vil Default action være Skip, klik på Continue
Hvis den ikke spørger om Reboot (genstart) så klik på Report, kopier den tekst herind i tråden.
Genstart hvis den kræver det.
Hvis den genstarter kan du finde logfilen her :
C:\TDSSKiller.[Version]_[Dato]_[Tidspunkt]_log.txt.
Kopier den tekst herind I denne tråd. (Den skal nok deles i to)
Har ikke office installeret, kun starter versionen der fulgte med
Ok, begge programmer kørt, når jeg starter tdskiller får jeg en fejlbesked hvor den skriver “can’t load drivers” men den laver en scanning alligevel, finder nogle med medium risk, men der står skip ved dem alle, så bliver ikke genereret nogen log
aswMBR scanner, men ser også ud til at komme med en driver fejl, og laver en kort log som kommer nedenfor
aswMBR version 0.9.9.1665 Copyright(c) 2011 AVAST Software
Run date: 2012-06-02 18:17:50 ——————————————-
18:17:50.827 OS Version: Windows x64 6.1.7601 Service Pack 1
18:17:50.827 Number of processors: 12 586 0x2C02
18:17:50.827 ComputerName: HELLFIRE-PC UserName: Hellfire
18:17:53.018 Initialze error C0000001 - driver not loaded
18:17:57.948 AVAST engine defs: 12060200
18:18:05.178 Service scanning
18:18:05.708 Service 81a40d87dc04e42d C:\Windows\System32\Drivers\81a40d87dc04e42d.sys **HIDDEN**
18:18:29.842 Modules scanning
18:18:29.842 Disk 0 trace - called modules:
18:18:29.842
18:18:43.066 AVAST engine scan C:\Windows
18:19:02.524 AVAST engine scan C:\Windows\system32
18:22:19.092 AVAST engine scan C:\Windows\system32\drivers
18:23:00.454 AVAST engine scan C:\Users\Hellfire
19:31:29.830 AVAST engine scan C:\ProgramData
19:34:09.754 Scan finished successfully
20:54:39.733 The log file has been saved successfully to “C:\Users\Hellfire\Desktop\aswMBR.txt”
...når jeg starter tdskiller får jeg en fejlbesked hvor den skriver “can’t load drivers” men den laver en scanning alligevel, finder nogle med medium risk, men der står skip ved dem alle, så bliver ikke genereret nogen log
Jeg skrev…
Hvis den ikke spørger om Reboot (genstart) så klik på Report, kopier den tekst herind i tråden.
Operating System: Windows 7 (6.1.7601 Service Pack 1) 64 bits version
Started in : Normal mode
User: Hellfire [Admin rights]
Mode: Scan—Date: 06/02/2012 22:52:17
€€€ Bad processes: 0 €€€
€€€ Registry Entries: 5 €€€
[SUSP PATH] DesktopVideoPlayer.lnk @Hellfire : C:\Users\Hellfire\AppData\Local\vghd\bin\vghd.exe -> FOUND
[HJ] HKLM\[...]\System : ConsentPromptBehaviorAdmin (0) -> FOUND
[HJ] HKLM\[...]\System : EnableLUA (0) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {59031a47-3f72-44a7-89c5-5595fe6b30ee} (1) -> FOUND
[HJ] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND
3. Luk så alle andre vinduer og klik på knappen Look. Programmet vil nu lede på din computer.
4. Når programmet er færdig med at lede, vil der dukke et notepad-vindue op, med en log fra SystemLook. Den skal du kopiere herind i forum i dit næste svar. Logen kan også findes på dit Skrivebord med navnet: SystemLook.txt.
Vista og Windows 7 - højreklik på filen - Kør som Administrator.
Beklager jeg ikke fik svaret på det med antivirusprogrammet, ja jeg afinstallerede f-secure igen da jeg ikke kunne få det til at virke, her er logfilen:
SystemLook 30.07.11 by jpshortstuff
Log created at 10:24 on 03/06/2012 by Hellfire
Administrator - Elevation successful
========== file ==========
C:\Windows\System32\Drivers\81a40d87dc04e42d.sys - Unable to find/read file.
========== service ==========
81a40d87dc04e42d - Unable to open Service Handle.
========== filefind ==========
Searching for “81a40d87dc04e42d.sys”
C:\Windows\System32\drivers\81a40d87dc04e42d.sys —a——77784 bytes [09:43 23/05/2012] [09:43 23/05/2012] (Unable to calculate MD5)
Så skulle ComboFix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.
Når Combofix er færdig, og efter det (muligvis) har genstartet, skulle der gerne åbnes en logfil combofix.txt som ligger her C:\Combofix.txt
