Det ændrede desværre ingenting

Tror der er noget galt med nogen af systemfilerne, så tjek dem lige:

1. Sæt Windows cd’en i drevet. Når den popper op så luk den ned med krydset i øverste højre hjørne
2. Gå i Start > Kør > Skriv: sfc /scannow – bemærk mellemrummet efter sfc > Tryk OK
3. Der kommer en bjælke så længe scanningen kører, og når den er færdig, forsvinder den igen, og du får ikke andre meldinger.
4. Genstart computeren

Prøv så Tdsskiller igen.

Hmm, jeg har ikke skiven, i forbindelse med en ødelagt harddisk indlæste Datagården en engelsk version.

Jeg har stadig den originale skive fra min tidligere computer, kan jeg bruge den?

Ja, prøv den originale skive…..........

Lige inden, jeg gør mere.

M S E har et par gange indenfor de seneste dage detektet denne fætter.:

TrojanDownloader:Win32/Dofoil.L

Er du bekendt med den og/eller har du nogen ide om, hvem og hvad der udsender den?

Nej, men den lyder til at blive slettet          

Det kører godt for mig.

Inden jeg kom videre fik jeg fra Live Security Platinum en meddelelse om infektion, samtidig med, at programmet lod en scanner starte, som fandt et utal af skidteras, som den anbefalede mig at fjerne samt, selvfølgelig, at registrere programmet.

Jeg kan huske det trick fra en tidligere gang, hvor det også voldte mig møje og besvær, men til sidst kunne malwarebytes fjerne problemet, og så var den skid slået.

I forbindelse med opstarten af denne tråd afinstallerede jeg malwarebytes og geninstallerede den, siden er jeg blevet spammet med oplysninger om udløb af prøveperiode, og jeg kan ikke helt frigøre mig for tanken om, at mwb har en finger med i spillet.

Nuvel, jeg prøvede at starte mwb, men scanneren kunne ikke startes. Gode dyr rådne, men jeg prøvede igennem fejlsikret tilstand, hvor det da også lykkedes mig at få startet, og den fandt 4 elementer inkl. en trojaner, som jeg bad den fjerne og genstarte.

Det bidrog dog ikke med noget nyt, jeg har forsøgt at fjerne LSP via tilføj og fjern, men det vil den ikke, og når jeg forsøger fra fejlsikret tilstand, så er programmet slet ikke på listen.

Jeg gemte loggen fra mwb på skrivebordet, men da jeg ville kopiere den herind, fandt jeg kun en log fra juli måned.

Hmm, hvad gør jeg, det skide program blokerer også for min postkasse (outlook express)

Ingen af de udmærkede programmer, du har anbefalet mig, kan aktiveres, det sørger den forbannede software for.

Skal jeg prøve med xp skiven alligevel?

Så lykkedes det mig at køre MWB fra Fejlsikret med netværk.

Her er loggen.

Malwarebytes Anti-Malware 1.62.0.1300
http://www.malwarebytes.org

Database version: v2012.08.03.01

Windows XP Service Pack 3 x86 NTFS (Safe Mode/Networking)
Internet Explorer 8.0.6001.18702
Administrator :: EJER-FCC3A71A43 [administrator]

05-08-2012 21:22:46
mbam-log-2012-08-05 (21-22-46).txt

Scan type: Full scan (C:\|)
Scan options enabled: Memory | Startup | Registry | File System | Heuristics/Extra | Heuristics/Shuriken | PUP | PUM | P2P
Scan options disabled:
Objects scanned: 304421
Time elapsed: 28 minute(s), 59 second(s)

Memory Processes Detected: 0
(No malicious items detected)

Memory Modules Detected: 0
(No malicious items detected)

Registry Keys Detected: 0
(No malicious items detected)

Registry Values Detected: 0
(No malicious items detected)

Registry Data Items Detected: 0
(No malicious items detected)

Folders Detected: 0
(No malicious items detected)

Files Detected: 0
(No malicious items detected)

(end)

Har kørt en combofix, her er loggen.

ComboFix 12-08-05.02 - Administrator 05-08-2012 22:35:50.6.2 - x86 NETWORK
Microsoft Windows XP Home Edition 5.1.2600.3.1252.45.1030.18.1022.634 [GMT 2:00]
Kører fra: c:\documents and settings\Administrator\Skrivebord\ComboFix.exe
AV: Microsoft Security Essentials *Disabled/Updated* {EDB4FA23-53B8-4AFA-8C5D-99752CCA7095}
.
.
(((((((((((((((((((((((((((((((((((((((  Andet, der er slettet   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
c:\documents and settings\All Users.WINDOWS\Application Data\036E18C200083A36E8998CFB7B07D329
c:\documents and settings\All Users.WINDOWS\Application Data\036E18C200083A36E8998CFB7B07D329\036E18C200083A36E8998CFB7B07D329
c:\documents and settings\All Users.WINDOWS\Application Data\036E18C200083A36E8998CFB7B07D329\036E18C200083A36E8998CFB7B07D329.exe
c:\documents and settings\All Users.WINDOWS\Application Data\036E18C200083A36E8998CFB7B07D329\036E18C200083A36E8998CFB7B07D329.ico
c:\windows\system32\URTTemp
c:\windows\system32\URTTemp\fusion.dll
c:\windows\system32\URTTemp\mscoree.dll
c:\windows\system32\URTTemp\mscoree.dll.local
c:\windows\system32\URTTemp\mscorsn.dll
c:\windows\system32\URTTemp\mscorwks.dll
c:\windows\system32\URTTemp\msvcr71.dll
c:\windows\system32\URTTemp\regtlib.exe
.
.
(((((((((((((((((((((((((((((  Filer skabt fra 2012-07-05 til 2012-08-05 )))))))))))))))))))))))))))))))))))
.
.
2012-08-05 19:00 . 2012-02-10 12:33   42152   ——a-w-  c:\windows\system32\drivers\oahlp32.sys
2012-08-05 19:00 . 2012-02-10 12:33   25192   ——a-w-  c:\windows\system32\drivers\OAmon.sys
2012-08-05 19:00 . 2012-02-10 12:33   29464   ——a-w-  c:\windows\system32\drivers\OAnet.sys
2012-08-05 19:00 . 2012-02-10 12:33   205864   ——a-w-  c:\windows\system32\drivers\OADriver.sys
2012-08-05 19:00 . 2012-08-05 19:00   ————  d——-w-  c:\programmer\Online Armor
2012-08-05 14:11 . 2012-08-05 14:20   ————  d——-w-  c:\documents and settings\Administrator
2012-08-05 13:15 . 2012-08-05 13:15   56320   —-ha-w-  c:\windows\system32\dmrefc.dll
2012-08-05 10:29 . 2012-06-29 08:44   6891424   ——a-w-  c:\documents and settings\All Users.WINDOWS\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\{373D8E8A-ABB2-41DD-9A54-E785B8F57621}\mpengine.dll
2012-08-04 07:33 . 2012-06-29 08:44   6891424   ——a-w-  c:\documents and settings\All Users.WINDOWS\Application Data\Microsoft\Microsoft Antimalware\Definition Updates\Backup\mpengine.dll
2012-08-03 15:55 . 2012-08-03 16:11   ————  d——-w-  c:\windows\system32\Adobe
2012-07-24 11:29 . 2012-07-24 11:29   ————  d——-w-  c:\programmer\Malwarebytes’ Anti-Malware
2012-07-24 11:29 . 2012-07-03 11:46   22344   ——a-w-  c:\windows\system32\drivers\mbam.sys
2012-07-19 13:45 . 2012-07-19 13:45   ————  d——-w-  c:\programmer\CCleaner
2012-07-19 13:30 . 2012-07-19 13:56   ————  d——-w-  c:\documents and settings\Ejer\Tracing
2012-07-19 13:29 . 2012-07-19 13:30   ————  d——-w-  c:\documents and settings\All Users.WINDOWS\Application Data\SweetIM
2012-07-19 13:29 . 2012-07-19 13:30   ————  d——-w-  c:\programmer\SweetIM
2012-07-19 13:29 . 2012-07-19 13:29   ————  d——-w-  c:\programmer\Windows Live SkyDrive
2012-07-19 13:27 . 2012-07-19 13:27   ————  d——-w-  c:\programmer\Fælles filer\Windows Live
.
.
.
((((((((((((((((((((((((((((((((((((((((  Find3M Rapport   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-08-03 16:03 . 2012-04-04 08:33   426184   ——a-w-  c:\windows\system32\FlashPlayerApp.exe
2012-08-03 16:03 . 2011-05-14 21:46   70344   ——a-w-  c:\windows\system32\FlashPlayerCPLApp.cpl
2012-06-13 13:55 . 2004-08-27 12:00   1866112   ——a-w-  c:\windows\system32\win32k.sys
2012-06-05 15:49 . 2007-05-15 13:43   1372672   ——a-w-  c:\windows\system32\msxml6.dll
2012-06-05 15:49 . 2004-08-27 12:00   1172480   ——a-w-  c:\windows\system32\msxml3.dll
2012-06-04 04:32 . 2004-08-27 12:00   152576   ——a-w-  c:\windows\system32\schannel.dll
2012-06-02 13:19 . 2008-07-03 14:08   15384   ——a-w-  c:\windows\system32\wuaucpl.cpl.mui
2012-06-02 13:19 . 2008-07-03 13:28   329240   ——a-w-  c:\windows\system32\wucltui.dll
2012-06-02 13:19 . 2008-07-03 13:28   219160   ——a-w-  c:\windows\system32\wuaucpl.cpl
2012-06-02 13:19 . 2008-07-03 13:28   210968   ——a-w-  c:\windows\system32\wuweb.dll
2012-06-02 13:19 . 2008-07-03 14:08   45080   ——a-w-  c:\windows\system32\wups2.dll
2012-06-02 13:19 . 2008-07-03 13:28   53784   ——a-w-  c:\windows\system32\wuauclt.exe
2012-06-02 13:19 . 2008-07-03 13:28   35864   ——a-w-  c:\windows\system32\wups.dll
2012-06-02 13:19 . 2004-08-27 12:00   97304   ——a-w-  c:\windows\system32\cdm.dll
2012-06-02 13:19 . 2008-07-03 14:08   18456   ——a-w-  c:\windows\system32\wuaueng.dll.mui
2012-06-02 13:19 . 2008-07-03 13:28   577048   ——a-w-  c:\windows\system32\wuapi.dll
2012-06-02 13:19 . 2008-07-03 14:08   23064   ——a-w-  c:\windows\system32\wucltui.dll.mui
2012-06-02 13:19 . 2008-07-03 14:08   15896   ——a-w-  c:\windows\system32\wuapi.dll.mui
2012-06-02 13:19 . 2008-07-03 13:28   1933848   ——a-w-  c:\windows\system32\wuaueng.dll
2012-06-02 13:19 . 2008-07-04 07:42   17648   ——a-w-  c:\windows\system32\mucltui.dll.mui
2012-06-02 13:18 . 2008-07-04 07:42   275696   ——a-w-  c:\windows\system32\mucltui.dll
2012-06-02 13:18 . 2007-07-30 17:18   214256   ——a-w-  c:\windows\system32\muweb.dll
2012-05-31 13:22 . 2004-08-27 12:00   602112   ——a-w-  c:\windows\system32\crypt32.dll
2012-05-16 15:09 . 2004-08-27 12:00   916992   ——a-w-  c:\windows\system32\wininet.dll
2012-05-11 14:44 . 2004-08-27 12:00   43520   ——a-w-  c:\windows\system32\licmgr10.dll
2012-05-11 14:44 . 2004-08-27 12:00   1469440   ———w-  c:\windows\system32\inetcpl.cpl
2012-05-11 11:38 . 2004-08-27 12:00   385024   ——a-w-  c:\windows\system32\html.iec
.
.
(((((((((((((((((((((((((((((((((((  Start steder i reg.basen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“MSC”=“c:\programmer\Microsoft Security Client\msseces.exe” [2012-03-26 931200]
“Malwarebytes’ Anti-Malware”=“c:\programmer\Malwarebytes’ Anti-Malware\mbamgui.exe” [2012-07-03 462920]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“DWQueuedReporting”=“c:\progra~1\FLLESF~1\MICROS~1\DW\dwtrig20.exe” [2010-12-20 519584]
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring]
“DisableMonitoring”=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
“DisableMonitoring”=dword:00000001
.
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
“DisableMonitoring”=dword:00000001
.
R0 BtHidBus;Bluetooth HID Bus Service;c:\windows\system32\drivers\BtHidBus.sys [17-06-2009 15:01 20744]
R3 lgbusenum;LG Bluetooth Bus Enumerator;c:\windows\system32\drivers\lgbtbus.sys [19-06-2009 13:59 10496]
S2 AdobeActiveFileMonitor9.0;Adobe Active File Monitor V9;c:\programmer\Adobe\Elements 9 Organizer\PhotoshopElementsFileAgent.exe [30-09-2010 04:06 169408]
S2 gupdate1c9f816b734ebbc;Tjenesten Google Update (gupdate1c9f816b734ebbc);c:\programmer\Google\Update\GoogleUpdate.exe [28-06-2009 19:34 133104]
S2 MBAMService;MBAMService;c:\programmer\Malwarebytes’ Anti-Malware\mbamservice.exe [24-07-2012 13:29 655944]
S3 AdobeFlashPlayerUpdateSvc;Adobe Flash Player Update Service;c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [04-04-2012 10:33 250056]
S3 btnetBUs;Bluetooth PAN Bus Service;c:\windows\system32\drivers\btnetBus.sys [17-06-2009 15:02 29192]
S3 gupdatem;Google Update Tjeneste (gupdatem);c:\programmer\Google\Update\GoogleUpdate.exe [28-06-2009 19:34 133104]
S3 IvtBtBUs;IVT Bluetooth Bus Service;c:\windows\system32\drivers\IvtBtBus.sys [17-06-2009 15:01 25480]
S3 LgBttPort;LGE Bluetooth TransPort;c:\windows\system32\drivers\lgbtport.sys [29-09-2009 09:11 12160]
S3 LGVMODEM;LGE Virtual Modem;c:\windows\system32\drivers\lgvmodem.sys [19-06-2009 13:59 12928]
S3 MBAMProtector;MBAMProtector;c:\windows\system32\drivers\mbam.sys [24-07-2012 13:29 22344]
S3 osppsvc;Office Software Protection Platform;c:\programmer\Fælles filer\Microsoft Shared\OfficeSoftwareProtectionPlatform\OSPPSVC.EXE [09-01-2010 22:37 4640000]
.
Indhold af mappen ‘Planlagte Opgaver’
.
2012-08-05 c:\windows\Tasks\Adobe Flash Player Updater.job
- c:\windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe [2012-04-04 16:03]
.
2012-06-18 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmer\Apple Software Update\SoftwareUpdate.exe [2011-06-01 15:57]
.
2012-08-05 c:\windows\Tasks\Google Software Updater.job
- c:\programmer\Google\Common\Google Updater\GoogleUpdaterService.exe [2008-09-29 09:54]
.
2012-08-05 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmer\Google\Update\GoogleUpdate.exe [2009-06-28 17:33]
.
.
———- Yderligere scanning———-
.
mStart Page = hxxp://home.sweetim.com/?crg=3.8010003&st=10&barid;={737CBAD8-295B-4607-90AC-1CC3C504303B}
uInternet Connection Wizard,ShellNext = “c:\programmer\Outlook Express\msimn.exe”
IE: E&ksporter; til Microsoft Excel - c:\progra~1\MICROS~2\Office12\EXCEL.EXE/3000
TCP: DhcpNameServer = 193.162.153.164 194.239.134.83
DPF: {2540AD2D-1F26-4968-9B71-20552B244420} - hxxps://eservice.logiva.dk/signRemote.cab
FF - ProfilePath -
.
- - - - TOMME GENVEJE FJERNET - - - -
.
ShellExecuteHooks-{4F07DA45-8170-4859-9B5F-037EF2970034} - (no file)
SafeBoot-MsMpSvc
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-08-05 22:40
Windows 5.1.2600 Service Pack 3 NTFS
.
scanner skjulte processer ... 
.
scanner skjulte autostarter ...
.
scanner skjulte filer ... 
.
scanning gennemført med succes
skjulte filer: 0
.
**************************************************************************
.
——————————- LÅSTE REGISTRERINGS NØGLER——————————-
.
[HKEY_USERS\S-1-5-21-1957994488-1336601894-725345543-500\Software\Microsoft\Internet Explorer\User Preferences]
@Denied: (2) (Administrator)
“88D7D0879DAB32E14DE5B3A805A34F98AFF34F5977”=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,5c,4c,08,da,63,fb,f1,46,8f,30,ae,\
“2D53CFFC5C1A3DD2E97B7979AC2A92BD59BC839E81”=hex:01,00,00,00,d0,8c,9d,df,01,15,
  d1,11,8c,7a,00,c0,4f,c2,97,eb,01,00,00,00,5c,4c,08,da,63,fb,f1,46,8f,30,ae,\
.
Gennemført tid: 2012-08-05 22:41:51
ComboFix-quarantined-files.txt 2012-08-05 20:41
.
Pre-Kørsel: 400.834.621.440 byte ledig
Post-Kørsel: 400.928.571.392 byte ledig
.
- - End Of File - - 0E061E4CDE10F8D8C2C84D67E5E6C5D4

Yes, jeg er Superman og Obelix i én og samme person.

Kørte Combofixs og OTL fra Fejlsikret med netværk.

Efter genstart var den skide hijackscanner væk, MSE var stadig lidt tosset, nu var det virusbeskyttelsen, jeg ikke kunne aktivere, så jeg fjernede hele programmet og downede det og reinstallerede det.

Lige nu virker alt perfekt, så i morgen formiddag, når jeg tager til udlandet, vil jeg undlade at tænke på, om skidtet virker, når jeg kommer hjem igen. =/:-)

Bah, nok kun fedtmule, lige så snart jeg besøgte en side, som jeg allerede havde mistanke til, kom den satan igen, nu må jeg lade problemet hvile, indtil jeg er hjemme igen senest i den kommende weekend. ;-(

Håber du har haft en god ferie            

Kopiér indholdet mellem de bølgede linier ind i et notepad/notesblok-vindue, og gem indholdet i samme mappe, som Combofix ligger med navnet CFScript.

~~~~~~~~~~~~~~~~~~~~~~~~~~

Snapshot::
Folder::
c:\programmer\Online Armor
c:\documents and settings\All Users.WINDOWS\Application Data\SweetIM
c:\programmer\SweetIM
c:\programmer\Online Armor
Registry::
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
[-HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecAntiVirus]
“DisableMonitoring”=-
[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]
“DisableMonitoring”=-
ClearJavaCache::
SecCenter::

~~~~~~~~~~~~~~~~~~~~~~~~~~
Tag så fat i den CFScript filen med musen, og før den hen over Combofix-filen, hvorefter du “giver slip” med musen, som vist her ->
http://img.photobucket.com/albums/v666/sUBs/CFScriptB-4.gif

Så skulle Combofix gerne give sig til at arbejde. Muligvis vil den kræve en genstart, hvilket du skal tillade. Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.

Send så en ny combofix log herind. Den kan findes her - C:\combofix