Så fik jeg den startet med en kommandopromt og kørt FRST.EXE igen.

Men de første linier er stadig ser stadig ud, som om det ikke er kørt rigtigt:

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 18-11-2012
Ran by Administrator at 18-11-2012 12:53:48
Running from E:\
  Service Pack 3 (X86) OS Language: Danish
Attention: Could not load system hive.
Error:  Processen kan ikke få adgang til filen, da den bruges af en anden proces.
ATTENTION:=====> THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNCTION PROPERLY.

Og den kan åbenbart stadig ikke uploade filen!

Hej

Og den kan åbenbart stadig ikke uploade filen!

Du skal bare kopiere og sætte filen ind            

OK, her er filindholdet:

Scan result of Farbar Recovery Scan Tool (FRST) (x86) Version: 18-11-2012
Ran by Administrator at 18-11-2012 12:53:48
Running from E:\
  Service Pack 3 (X86) OS Language: Danish
Attention: Could not load system hive.
Error:  Processen kan ikke få adgang til filen, da den bruges af en anden proces.
ATTENTION:=====> THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNCTION PROPERLY.

==================== One Month Created Files and Folders ========

2012-11-18 12:08 - 2012-11-18 12:53 - 00000000 ____D C:\FRST
2012-11-18 12:05 - 2012-11-18 12:17 - 00000192 ___SH C:\Documents and Settings\Administrator\ntuser.ini
2012-11-18 12:05 - 2012-05-14 20:04 - 00000000 __SHD C:\Documents and Settings\Administrator\IETldCache
2012-11-18 12:05 - 2010-01-19 16:24 - 00000062 __ASH C:\Documents and Settings\Administrator\Application Data\desktop.ini
2012-11-18 12:05 - 2010-01-19 16:24 - 00000000 ___RD C:\Documents and Settings\Administrator\Menuen Start
2012-11-18 12:05 - 2010-01-19 16:24 - 00000000 ___HD C:\Documents and Settings\Administrator\Printere
2012-11-18 12:05 - 2010-01-19 16:24 - 00000000 ___HD C:\Documents and Settings\Administrator\Lokale indstillinger
2012-11-18 12:05 - 2010-01-19 16:24 - 00000000 ___HD C:\Documents and Settings\Administrator\Andre computere
2012-11-18 12:05 - 2010-01-19 16:24 - 00000000 ____D C:\Documents and Settings\Administrator\Skrivebord
2012-11-18 12:05 - 2010-01-19 16:24 - 00000000 ____D C:\Documents and Settings\Administrator\Foretrukne
2012-11-18 12:05 - 2010-01-19 16:24 - 00000000 ____D C:\Documents and Settings\Administrator\Dokumenter
2012-11-18 12:05 - 2010-01-19 16:15 - 00000000 ___HD C:\Documents and Settings\Administrator\Skabeloner
2012-11-18 11:40 - 2012-11-18 11:40 - 00000000 __HDC C:\Windows\$NtUninstallKB2727528$
2012-11-18 11:29 - 2012-11-18 11:29 - 00000000 __HDC C:\Windows\$NtUninstallKB2761226$
2012-11-18 11:06 - 2012-11-18 11:58 - 00000216 ____A C:\Windows\wiadebug.log
2012-11-17 12:53 - 2012-11-18 11:56 - 00000047 ____A C:\Documents and Settings\Ørsnæs\Application Data\msconfig.ini
2012-11-17 12:53 - 2012-11-17 12:53 - 00000664 ____A C:\Windows\System32\d3d9caps.dat
2012-11-03 13:00 - 2012-11-17 10:10 - 00000440 ____A C:\Windows\Tasks\At1.job
2012-11-03 13:00 - 2012-11-15 20:40 - 00000440 ____A C:\Windows\Tasks\At2.job
2012-11-03 13:00 - 2012-11-03 14:00 - 00000440 ____A C:\Windows\Tasks\At4.job
2012-11-03 13:00 - 2012-11-03 13:00 - 00000440 ____A C:\Windows\Tasks\At3.job
2012-11-03 12:59 - 2012-11-05 19:23 - 00000000 ____D C:\Documents and Settings\Ørsnæs\Application Data\HpUpdate
2012-11-03 12:59 - 2011-09-09 15:53 - 00544616 ____N (Hewlett-Packard Co.) C:\Windows\System32\HPDiscoPM5C12.dll
2012-11-03 12:58 - 2011-09-09 22:55 - 01946472 ____A (Hewlett-Packard Co.) C:\Windows\System32\HPScanTRDrv_OJ6700.dll
2012-11-03 12:58 - 2011-09-09 22:55 - 00488808 ____A (Hewlett-Packard) C:\Windows\System32\HPWia1_OJ6700.dll
2012-11-03 12:57 - 2011-09-09 22:55 - 00429928 ____A (Hewlett-Packard Co.) C:\Windows\System32\hpinksts5C12.dll
2012-11-03 12:57 - 2011-09-09 22:55 - 00270696 ____A (Hewlett-Packard Co.) C:\Windows\System32\hpinksts5C12LM.dll
2012-11-03 12:57 - 2011-09-09 22:55 - 00216424 ____A (Hewlett-Packard Co.) C:\Windows\System32\hpinkcoi5C12.dll
2012-11-03 12:56 - 2012-11-03 12:56 - 00000057 ____A C:\Documents and Settings\All Users\Application Data\Ament.ini
2012-11-03 12:54 - 2012-11-03 12:54 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\HP
2012-11-03 12:50 - 2008-04-13 19:47 - 00025856 ___AC (Microsoft Corporation) C:\Windows\System32\dllcache\usbprint.sys
2012-11-03 12:50 - 2008-04-13 19:47 - 00025856 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\usbprint.sys

==================== One Month Modified Files and Folders ========

2012-11-18 12:53 - 2012-11-18 12:08 - 00000000 ____D C:\FRST
2012-11-18 12:17 - 2012-11-18 12:05 - 00000192 ___SH C:\Documents and Settings\Administrator\ntuser.ini
2012-11-18 12:17 - 2012-06-25 17:41 - 00050805 ____A C:\Windows\WindowsUpdate.log
2012-11-18 11:58 - 2012-11-18 11:06 - 00000216 ____A C:\Windows\wiadebug.log
2012-11-18 11:58 - 2010-01-19 16:23 - 00032602 ____A C:\Windows\SchedLgU.Txt
2012-11-18 11:58 - 2010-01-19 16:23 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2012-11-18 11:57 - 2010-01-19 16:26 - 00000192 __ASH C:\Documents and Settings\Ørsnæs\ntuser.ini
2012-11-18 11:56 - 2012-11-17 12:53 - 00000047 ____A C:\Documents and Settings\Ørsnæs\Application Data\msconfig.ini
2012-11-18 11:55 - 2012-06-25 17:41 - 00000050 ____N C:\Windows\wiaservc.log
2012-11-18 11:55 - 2010-01-23 15:07 - 00045378 ____A C:\Windows\System32\nvapps.xml
2012-11-18 11:54 - 2010-02-20 17:26 - 00000910 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2012-11-18 11:54 - 2010-01-19 16:23 - 00294864 ____A C:\Windows\System32\FNTCACHE.DAT
2012-11-18 11:52 - 2012-05-10 20:04 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\Microsoft Help
2012-11-18 11:44 - 2010-01-23 17:39 - 64010424 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2012-11-18 11:40 - 2012-11-18 11:40 - 00000000 __HDC C:\Windows\$NtUninstallKB2727528$
2012-11-18 11:29 - 2012-11-18 11:29 - 00000000 __HDC C:\Windows\$NtUninstallKB2761226$
2012-11-18 11:25 - 2006-03-02 13:00 - 00000552 ____A C:\Windows\win.ini
2012-11-18 11:21 - 2011-03-20 19:50 - 00000000 ____D C:\Windows\System32\Drivers\AVG
2012-11-18 11:14 - 2011-08-24 18:33 - 00000000 ____D C:\Documents and Settings\Ørsnæs\Application Data\Dropbox
2012-11-18 11:06 - 2012-06-25 17:41 - 00000000 ____N C:\Windows\Sti_Trace.log
2012-11-17 12:53 - 2012-11-17 12:53 - 00000664 ____A C:\Windows\System32\d3d9caps.dat
2012-11-17 12:00 - 2010-02-20 17:26 - 00000914 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2012-11-17 10:10 - 2012-11-03 13:00 - 00000440 ____A C:\Windows\Tasks\At1.job
2012-11-17 07:40 - 2010-01-19 16:18 - 00000000 ___HD C:\Windows\$hf_mig$
2012-11-17 07:27 - 2006-03-02 13:00 - 00013646 ____A C:\Windows\System32\wpa.dbl
2012-11-15 20:40 - 2012-11-03 13:00 - 00000440 ____A C:\Windows\Tasks\At2.job
2012-11-15 17:58 - 2010-10-10 12:41 - 00863196 ____A C:\Documents and Settings\Ørsnæs\danid.log
2012-11-15 17:55 - 2010-01-19 16:26 - 00000000 ____D C:\Documents and Settings\Ørsnæs\Skrivebord
2012-11-13 21:32 - 2012-05-10 20:12 - 00065536 ____A C:\Windows\System32\config\OAlerts.evt
2012-11-06 16:41 - 2010-01-19 16:24 - 00000000 ___RD C:\Programmer
2012-11-05 19:23 - 2012-11-03 12:59 - 00000000 ____D C:\Documents and Settings\Ørsnæs\Application Data\HpUpdate
2012-11-03 14:00 - 2012-11-03 13:00 - 00000440 ____A C:\Windows\Tasks\At4.job
2012-11-03 13:12 - 2010-01-19 16:26 - 00000000 ___RD C:\Documents and Settings\Ørsnæs\Dokumenter
2012-11-03 13:00 - 2012-11-03 13:00 - 00000440 ____A C:\Windows\Tasks\At3.job
2012-11-03 12:59 - 2010-01-19 16:24 - 00000000 ____D C:\Documents and Settings\All Users\Skrivebord
2012-11-03 12:56 - 2012-11-03 12:56 - 00000057 ____A C:\Documents and Settings\All Users\Application Data\Ament.ini
2012-11-03 12:56 - 2010-01-19 16:17 - 00000000 ____D C:\Windows\twain_32
2012-11-03 12:54 - 2012-11-03 12:54 - 00000000 ____D C:\Documents and Settings\All Users\Application Data\HP
2012-10-30 16:38 - 2010-01-19 16:24 - 00720742 ____A C:\Windows\System32\PerfStringBackup.INI
2012-10-22 20:57 - 2009-08-14 16:15 - 01866368 ____C (Microsoft Corporation) C:\Windows\System32\dllcache\win32k.sys
2012-10-22 20:57 - 2006-03-02 13:00 - 01866368 ____A (Microsoft Corporation) C:\Windows\System32\win32k.sys

==================== Bamital & volsnap Check =================

C:\Windows\explorer.exe
[2006-03-02 13:00] - [2008-04-14 17:05] - 1034752 ____A (Microsoft Corporation) 1d9bd1caa1e4cf63370f201df742dc7d

C:\Windows\System32\winlogon.exe
[2006-03-02 13:00] - [2008-04-14 17:06] - 0507904 ____A (Microsoft Corporation) e0339362391bf6ac04d1622ef8e3a61b

C:\Windows\System32\svchost.exe
[2006-03-02 13:00] - [2008-04-14 17:06] - 0014336 ____A (Microsoft Corporation) 555f8f4cb284fe94059dcacf6074f9ec

C:\Windows\System32\services.exe
[2006-03-02 13:00] - [2009-02-09 12:25] - 0110592 ____A (Microsoft Corporation) 32f091e3425759b126760f44b5e931c9

C:\Windows\System32\User32.dll
[2006-03-02 13:00] - [2008-04-14 17:05] - 0578560 ____A (Microsoft Corporation) a45b00e0410e44e7177a403ecad4b12a

C:\Windows\System32\userinit.exe
[2006-03-02 13:00] - [2008-04-14 17:06] - 0026112 ____A (Microsoft Corporation) 7b3770db760fbba068454eafcaa89772

C:\Windows\System32\Drivers\volsnap.sys
[2006-03-02 13:00] - [2008-04-14 16:37] - 0053504 ____A (Microsoft Corporation) 69d9e1de5f897580f8b1d1957528b0b2

==================== Restore Points (XP) =====================

==================== Memory info ===========================

Percentage of memory in use: 20%
Total physical RAM: 511.23 MB
Available physical RAM: 408.47 MB
Total Pagefile: 1250.01 MB
Available Pagefile: 1203.91 MB
Total Virtual: 2047.88 MB
Available Virtual: 1996.46 MB

==================== Partitions =============================

1 Drive c: () (Fixed) (Total:279.45 GB) (Free:78.58 GB) NTFS ==>[Drive with boot components (Windows XP)]
3 Drive e: () (Removable) (Total:0.98 GB) (Free:0.98 GB) FAT

P† computeren: JYNDBJERG-1
  Partition ###  Type         Str.    Forskydning
——————- ———————————- —————-
  Disk 0   Online     279 GB     0 B      

Partitions of Disk 0:
===============

P† computeren: JYNDBJERG-1
  Partition ###  Type         Str.    Forskydning
——————- ———————————- —————-
  Partition 1   Prim‘r         279 GB   32 KB
=========================================================

Disk: 0
P† computeren: JYNDBJERG-1
Partition 1
Type : 07
Skjult: Nej
Aktiv : Ja
  Diskenhed Bogs. Navn     Fs   Type     Str.    Status   Oplysn.
————- —————————- ————————- ————- ————
* Diskenhed 1   C           NTFS   Partition   279 GB I orden   System (partition with boot components) 
=========================================================
==================== End Of Log ============================

Der er vedhæftet en fil til dette indlæg Fixlist.txt. Klik med højre-musetast på ”Fixlist.txt” > Gem destination som > Gem den på din USB nøgle, samme sted som FRST.
Monter nøglen i den syge PC.
Start PCen op med Kommando prompt. (Som før)
Ved Kommando prompten starter du FRST (Farbar Recovery Scan Tool) og klikker på FIX (og venter til den er færdig)
Den laver Fixlog.txt, som du skal kopiere herind i dit næste indlæg.

Luk Farbar Recovery Scan Tool, og genstart PCen.

Prøv om du kan køre malwarebyte….

Hent Malwarebytes Anti-Malware:
Her
Installer programmet - NB, du skal sørge for at der er et flueben placeret ved siden af Update Malwarebytes ‘Anti-Malware og Launch Malwarebytes’ Anti-Malware, og klik derefter på Udfør. .
Herefter åbner et vindue, hvor du skal flytte prikken til “Kør et fuldstændigt systemscan” - klik på Skan Knappen - lad programmet arbejde. Når det er færdig (det tager lidt tid afhængig af hvor meget du har på computeren).
Derefter - Tryk på “Vis resultater” knappen efter scanningen - og herefter tryk på “Fjern det valgte” - nu åbnes log’en og du skal gemme den et sted, hvor du kan finde den igen.

NB Hvis Malwarebytes Anti-Malware vil genstarte computeren for at fuldføre rensningen så lad den genstarte.

Send også malwarebyte loggen herind.

Jeg har nu kørt FRST - FIX og fået flg. FIXLOG:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x86) Version: 18-11-2012
Ran by Administrator at 2012-11-18 17:30:34 Run:1
Running from E:\

ATTENTION: THE TOOL IS NOT RUN FROM RECOVERY ENVIRONMENT AND WILL NOT FUNCTION PROPERLY.

==============================================

C:\Documents and Settings\Ørsnæs\Application Data\msconfig.ini moved successfully.
C:\Windows\System32\d3d9caps.dat moved successfully.
C:\Windows\Tasks\At1.job moved successfully.
C:\Windows\Tasks\At2.job moved successfully.
C:\Windows\Tasks\At4.job moved successfully.
C:\Windows\Tasks\At3.job moved successfully.
C:\Documents and Settings\Ørsnæs\Application Data\msconfig.ini not found.

==== End of Fixlog ====

Når jeg genstarter PC’en får jeg stadig hvid skærm og en hilsen fra “Politi Kongeriet Danmark”!!!

Hvad nu?

Du er hvis gået i glemmebogen, jeg beklager, hvis du stadig er med vil jeg forsøge at hjælpe dig videre?
Fortæl om du stadig er her??

Jeg er her stadig - ind imellem

Og problemet er endnu ikke løst, så jeg modtager gerne gode råd stadig.

Hent srep.exe og gem den på en usb nøgle.
srep.exe

Sæt USB nøglen i den inficerede PC.

Start PCen op i “Fejlsikret med Kommando Prompt”.

Der skriver du notepad, og trykker <Enter>

Vælg Fil menu -> Åbn og vælg “Computer”. Find drevbogstavet til din USB nøgle. Luk Notesblok.

Ved Kommando prompten skriver du e:\srep.exe

Erstat e med det rigtige bogstav.

Klik på Scan,

Det vil vare et kort øjeblik, og PCen vil genstarte automatisk.

Den laver shell.txt på USB nøglen. Kopier den herind i dit næste indlæg.

Her er indholdet af shell.txt:

WIN_XP X86 Service Pack 3
Running from E:\

HKLM\..\Winlogon; Shell = Explorer.exe [ Microsoft Corporation ]
.
.
.
HKCU\..\Winlogon; Shell not found
.

[System Process]
System
smss.exe
csrss.exe
winlogon.exe
services.exe
lsass.exe
svchost.exe
svchost.exe
svchost.exe
cmd.exe
helpsvc.exe
wmiprvse.exe
srep.exe

HKLM\..\Run [RTHDCPL] = RTHDCPL.EXE
HKLM\..\Run [Alcmtr] = ALCMTR.EXE
HKLM\..\Run [NvCplDaemon] = RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
HKLM\..\Run [nwiz] = nwiz.exe /install
HKLM\..\Run [NvMediaCenter] = RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
HKLM\..\Run [RemoteControl] = C:\Programmer\CyberLink\PowerDVD\PDVDServ.exe
HKLM\..\Run [QuickTime Task] = “C:\Programmer\QuickTime\qttask.exe” -atboottime
HKLM\..\Run [iTunesHelper] = “C:\Programmer\iTunes\iTunesHelper.exe”
HKLM\..\Run [AVG_TRAY] = C:\Programmer\AVG\AVG10\avgtray.exe
HKLM\..\Run [SunJavaUpdateSched] = “C:\Programmer\Fælles filer\Java\Java Update\jusched.exe”
HKLM\..\Run [Adobe Reader Speed Launcher] = “C:\Programmer\Adobe\Reader 9.0\Reader\Reader_sl.exe”
HKLM\..\Run [Adobe ARM] = “C:\Programmer\Fælles filer\Adobe\ARM\1.0\AdobeARM.exe”
HKLM\..\Run [HP Software Update] = C:\Programmer\Hp\HP Software Update\HPWuSchd2.exe
HKLM\..\Run [] =
HKLM\..\Run [Microsoft Default Manager] = “C:\Programmer\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe” -resume

HKCU\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE

HKU\.DEFAULT\..\Winlogon; Shell =
HKU\S-1-5-20\..\Winlogon; Shell =
HKU\S-1-5-20_Classes\..\Winlogon; Shell =
HKU\S-1-5-21-1757981266-1229272821-1417001333-500\..\Winlogon; Shell =
HKU\S-1-5-21-1757981266-1229272821-1417001333-500_Classes\..\Winlogon; Shell =
HKU\S-1-5-18\..\Winlogon; Shell =

HKU\.DEFAULT\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-20\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-21-1757981266-1229272821-1417001333-500\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE
HKU\S-1-5-18\..\Run [CTFMON.EXE] = C:\WINDOWS\system32\CTFMON.EXE

==== FINISH 25.11-10.53 ====

Download Rogue Killer, gem den på din usb nøgle.
Rogue Killer

>>

Hent combofix og gem den på din usb nøgle.
Her

>>

Du skal køre Rogue Killer inden Combofix.

Sæt USB nøglen i den inficerede PC.

Start PCen op i “Fejlsikret med Kommando Prompt”.

Der skriver du notepad, og trykker <Enter>

Vælg Fil menu -> Åbn og vælg “Computer”. Find drevbogstavet til din USB nøgle. Luk Notesblok.

Ved Kommando prompten skriver du e:\roguekiller.exe

Erstat e med det rigtige bogstav, tast ”Enter”

Det vil starte Rogue Killer, vent til den har scannet, klik så på Scan
Vent til Status box skriver “Scan Finished”

Klik på “Report” når den åbner, gå så ud i ”Filer” > Gem som > Gem den på din usb nøgle.

Den skal intet slette i første omgang, luk den ned.

>>>>

Kør nu combofix, det gør du på samme måde, du skriver bare combofix.exe i stedet for roguekiller.exe.

Det vil starte combofix, følg anvisningerne.
Hvis den advarer om dit antivirusprogram, så klik bare OK for at forsætte, sig Nej til at installer genoprettelseskonsol.

Du bør ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.

Når combofix er færdig, skulle der gerne åbnes en logfil: combofix.txt, , gå så ud i ”Filer” > Gem som > Gem den på din usb nøgle.

Du skal være tålmodig, der kan gå op til 30. min inden den log åbner.

>>

Kopier logs fra Rogue Killer og Combofix herind.

Hermed log fra Roguekiller:

RogueKiller V8.3.1 [Nov 25 2012] by Tigzy
mail : tigzyRK<at>gmail<dot>com
Feedback : http://www.geekstogo.com/forum/files/file/413-roguekiller/
Website : http://tigzy.geekstogo.com/roguekiller.php
Blog : http://tigzyrk.blogspot.com/

Operating System : Windows XP (5.1.2600 Service Pack 3) 32 bits version
Started in : Safe mode
User : Administrator [Admin rights]
Mode : Scan—Date : 11/25/2012 13:58:30

¤¤¤ Bad processes : 0 ¤¤¤

¤¤¤ Registry Entries : 1 ¤¤¤
[HJ DESK] HKLM\[...]\NewStartPanel : {20D04FE0-3AEA-1069-A2D8-08002B30309D} (1) -> FOUND

¤¤¤ Particular Files / Folders: ¤¤¤

¤¤¤ Driver : [NOT LOADED] ¤¤¤

¤¤¤ HOSTS File: ¤¤¤
—> C:\WINDOWS\system32\drivers\etc\hosts

127.0.0.1     localhost

¤¤¤ MBR Check: ¤¤¤

+++++ PhysicalDrive0: WDC WD3000JB-00KFA0 +++++
—- User—-
[MBR] 6ebbf164ea760fdcc5c14b26368f10ce
[BSP] 42c6cd61689c65bc2c939b8c97a64f04 : Windows XP MBR Code
Partition table:
0 - [ACTIVE] NTFS (0x07) [VISIBLE] Offset (sectors): 63 | Size: 286157 Mo
User = LL1 ... OK!
User = LL2 ... OK!

+++++ PhysicalDrive1: USB Flash Drive USB Device +++++
—- User—-
[MBR] 28096276d8175999d700950af0a8de67
[BSP] 1f5e5dd5ab01f4156508a62e41685f5d : MBR Code unknown
Partition table:
0 - [XXXXXX] FAT16 (0x06) [VISIBLE] Offset (sectors): 488 | Size: 1001 Mo
User = LL1 ... OK!
Error reading LL2 MBR!

Finished : << RKreport[1]_S_11252012_02d1358.txt >>
RKreport[1]_S_11252012_02d1358.txt

og fra Combofix

ComboFix 12-11-25.01 - Administrator 25-11-2012 14:10:39.1.2 - x86 MINIMAL
Microsoft Windows XP Home Edition 5.1.2600.3.1252.45.1030.18.511.280 [GMT 1:00]
Kører fra: e:\ComboFix.exe
AV: AVG Anti-Virus Free Edition 2011 *Enabled/Updated* {17DDD097-36FF-435F-9E1B-52D74245D6BF}
.
advarsel -DENNE MASKINE HAR IKKE GENOPRETTELSESKONSOL INSTALLERET !!
.
.
(((((((((((((((((((((((((((((((((((((((  Andet, der er slettet   )))))))))))))))))))))))))))))))))))))))))))))))))
.
.
C:\Documents
.
.
(((((((((((((((((((((((((((((  Filer skabt fra 2012-10-25 til 2012-11-25 )))))))))))))))))))))))))))))))))))
.
.
2012-11-18 11:08 . 2012-11-18 11:53   ————  d——-w-  C:\FRST
2012-11-18 11:05 . 2012-11-18 11:56   ————  d——-w-  c:\documents and settings\Administrator
2012-11-13 20:27 . 2012-11-13 20:27   73696   ——a-w-  c:\programmer\Mozilla Firefox\breakpadinjector.dll
2012-11-03 12:03 . 2012-11-03 12:03   ————  d——-w-  c:\programmer\Hewlett-Packard
2012-11-03 12:02 . 2012-11-05 19:50   ————  d——-w-  c:\programmer\Microsoft
2012-11-03 12:01 . 2012-11-06 15:36   ————  d——-w-  c:\programmer\Microsoft Silverlight
2012-11-03 11:59 . 2011-09-09 14:53   544616   ———w-  c:\windows\system32\HPDiscoPM5C12.dll
2012-11-03 11:58 . 2011-09-09 21:55   488808   ——a-w-  c:\windows\system32\HPWia1_OJ6700.dll
2012-11-03 11:58 . 2011-09-09 21:55   1946472   ——a-w-  c:\windows\system32\HPScanTRDrv_OJ6700.dll
2012-11-03 11:57 . 2011-09-09 21:55   429928   ——a-w-  c:\windows\system32\hpinksts5C12.dll
2012-11-03 11:57 . 2011-09-09 21:55   270696   ——a-w-  c:\windows\system32\hpinksts5C12LM.dll
2012-11-03 11:57 . 2011-09-09 21:55   216424   ——a-w-  c:\windows\system32\hpinkcoi5C12.dll
2012-11-03 11:56 . 2012-11-03 11:59   ————  d——-w-  c:\programmer\HP
2012-11-03 11:54 . 2012-11-03 11:54   ————  d——-w-  c:\documents and settings\All Users\Application Data\HP
2012-11-03 11:50 . 2008-04-13 18:47   25856   -c—a-w-  c:\windows\system32\dllcache\usbprint.sys
2012-11-03 11:50 . 2008-04-13 18:47   25856   ——a-w-  c:\windows\system32\drivers\usbprint.sys
.
.
.
((((((((((((((((((((((((((((((((((((((((  Find3M Rapport   ))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2012-10-22 19:57 . 2006-03-02 12:00   1866368   ——a-w-  c:\windows\system32\win32k.sys
2012-10-02 18:04 . 2006-03-02 12:00   58368   ——a-w-  c:\windows\system32\synceng.dll
2012-08-28 15:17 . 2006-03-02 12:00   916992   ——a-w-  c:\windows\system32\wininet.dll
2012-08-28 15:17 . 2006-03-02 12:00   43520   ——a-w-  c:\windows\system32\licmgr10.dll
2012-08-28 15:17 . 2006-03-02 12:00   1469440   ———w-  c:\windows\system32\inetcpl.cpl
2012-08-28 12:07 . 2006-03-02 12:00   385024   ——a-w-  c:\windows\system32\html.iec
2012-11-13 20:27 . 2012-03-11 11:42   266720   ——a-w-  c:\programmer\mozilla firefox\components\browsercomps.dll
.
.
(((((((((((((((((((((((((((((((((((  Start steder i reg.basen   ))))))))))))))))))))))))))))))))))))))))))))))))
.
.
*Bemærk* tomme linier & lovlige standard linier vises ikke
REGEDIT4
.
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
“RTHDCPL”=“RTHDCPL.EXE” [2006-04-17 16143872]
“NvCplDaemon”=“c:\windows\system32\NvCpl.dll” [2006-02-13 7557120]
“nwiz”=“nwiz.exe” [2006-02-13 1519616]
“NvMediaCenter”=“c:\windows\system32\NvMcTray.dll” [2006-02-13 86016]
“RemoteControl”=“c:\programmer\CyberLink\PowerDVD\PDVDServ.exe” [2004-06-28 32768]
“QuickTime Task”=“c:\programmer\QuickTime\qttask.exe” [2009-11-10 417792]
“iTunesHelper”=“c:\programmer\iTunes\iTunesHelper.exe” [2009-11-12 141600]
“AVG_TRAY”=“c:\programmer\AVG\AVG10\avgtray.exe” [2012-08-01 2345592]
“SunJavaUpdateSched”=“c:\programmer\Fælles filer\Java\Java Update\jusched.exe” [2011-06-09 254696]
“Adobe Reader Speed Launcher”=“c:\programmer\Adobe\Reader 9.0\Reader\Reader_sl.exe” [2012-03-27 37296]
“Adobe ARM”=“c:\programmer\Fælles filer\Adobe\ARM\1.0\AdobeARM.exe” [2012-01-02 843712]
“HP Software Update”=“c:\programmer\Hp\HP Software Update\HPWuSchd2.exe” [2011-03-24 49208]
“Microsoft Default Manager”=“c:\programmer\Microsoft\Search Enhancement Pack\Default Manager\DefMgr.exe” [2010-05-10 439568]
.
[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
“CTFMON.EXE”=“c:\windows\system32\CTFMON.EXE” [2008-04-14 15360]
.
[hkey_local_machine\software\microsoft\windows\currentversion\explorer\ShellExecuteHooks]
“{5AE067D3-9AFB-48E0-853A-EBB7F4A000DA}”= “c:\programmer\SUPERAntiSpyware\SASSEH.DLL” [2006-12-20 77824]
.
[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\winlogon\notify\!SASWinLogon]
2007-04-19 11:41   294912   ——a-w-  c:\programmer\SUPERAntiSpyware\SASWINLO.dll
.
[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\session manager]
BootExecute   REG_MULTI_SZ     autocheck autochk *\0c:\progra~1\AVG\AVG10\avgchsvx.exe /sync\0c:\progra~1\AVG\AVG10\avgrsx.exe /sync /restart
.
[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
“%windir%\\system32\\sessmgr.exe”=
“%windir%\\Network Diagnostic\\xpnetdiag.exe”=
“c:\\Programmer\\Bonjour\\mDNSResponder.exe”=
“c:\\Programmer\\iTunes\\iTunes.exe”=
“c:\\Programmer\\AVG\\AVG10\\avgmfapx.exe”=
“c:\\Documents and Settings\\Ørsnæs\\Application Data\\Dropbox\\bin\\Dropbox.exe”=
“c:\\Programmer\\Microsoft Office\\Office14\\GROOVE.EXE”=
“c:\\Programmer\\Microsoft Office\\Office14\\ONENOTE.EXE”=
“c:\\Programmer\\Microsoft Office\\Office14\\OUTLOOK.EXE”=
“c:\\Programmer\\AVG\\AVG10\\avgdiagex.exe”=
“c:\\Programmer\\AVG\\AVG10\\avgnsx.exe”=
“c:\\Programmer\\AVG\\AVG10\\avgemcx.exe”=
.
R0 AVGIDSEH;AVGIDSEH;c:\windows\system32\drivers\AVGIDSEH.sys [13-09-2010 15:27 22992]
R0 Avgrkx86;AVG Anti-Rootkit Driver;c:\windows\system32\drivers\avgrkx86.sys [07-09-2010 03:48 32592]
S1 Avgldx86;AVG AVI Loader Driver;c:\windows\system32\drivers\avgldx86.sys [08-12-2010 04:12 248656]
S1 Avgtdix;AVG TDI Driver;c:\windows\system32\drivers\avgtdix.sys [12-11-2010 13:19 297168]
S1 SASDIFSV;SASDIFSV;c:\programmer\SUPERAntiSpyware\sasdifsv.sys [29-02-2008 16:03 8944]
S1 SASKUTIL;SASKUTIL;c:\programmer\SUPERAntiSpyware\SASKUTIL.SYS [29-02-2008 16:03 51440]
S2 AVGIDSAgent;AVGIDSAgent;c:\programmer\AVG\AVG10\Identity Protection\Agent\Bin\AVGIDSAgent.exe [31-01-2012 15:02 7391072]
S2 avgwd;AVG WatchDog;c:\programmer\AVG\AVG10\avgwdsvc.exe [08-02-2011 04:33 269520]
S3 AVGIDSDriver;AVGIDSDriver;c:\windows\system32\drivers\AVGIDSDriver.sys [03-08-2010 15:23 134480]
S3 AVGIDSFilter;AVGIDSFilter;c:\windows\system32\drivers\AVGIDSFilter.sys [03-08-2010 15:23 24144]
S3 AVGIDSShim;AVGIDSShim;c:\windows\system32\drivers\AVGIDSShim.sys [03-08-2010 15:23 27216]
S3 SASENUM;SASENUM;c:\programmer\SUPERAntiSpyware\SASENUM.SYS [16-02-2006 16:51 4096]
S3 WiselinkPro;SAMSUNG WiselinkPro Service;c:\programmer\Samsung\SAMSUNG PC Share Manager\WiselinkPro.exe [08-01-2009 09:38 4136960]
.
Indhold af mappen ‘Planlagte Opgaver’
.
2012-10-06 c:\windows\Tasks\AppleSoftwareUpdate.job
- c:\programmer\Apple Software Update\SoftwareUpdate.exe [2008-07-30 11:34]
.
2012-11-25 c:\windows\Tasks\GoogleUpdateTaskMachineCore.job
- c:\programmer\Google\Update\GoogleUpdate.exe [2010-02-20 16:26]
.
2012-11-25 c:\windows\Tasks\GoogleUpdateTaskMachineUA.job
- c:\programmer\Google\Update\GoogleUpdate.exe [2010-02-20 16:26]
.
.
———- Yderligere scanning———-
.
Trusted Zone: danid.dk
TCP: DhcpNameServer = 192.168.1.1
DPF: {3CA45906-EF10-4E4E-9BE4-B444D220FCB0} - hxxp://ua.foto.com/ImageUploader6.cab
DPF: {9DF01F00-08E7-4DBE-9070-94841463B3FE} - hxxps://danid.dk/csp/authenticode/csp.exe
FF - ProfilePath -
.
- - - - TOMME GENVEJE FJERNET - - - -
.
ShellIconOverlayIdentifiers-{FB314ED9-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDA-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDB-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellIconOverlayIdentifiers-{FB314EDC-A251-47B7-93E1-CDD82E34AF8B} - (no file)
ShellExecuteHooks-{4F07DA45-8170-4859-9B5F-037EF2970034} - (no file)
.
.
.
**************************************************************************
.
catchme 0.3.1398 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2012-11-25 14:22
Windows 5.1.2600 Service Pack 3 NTFS
.
scanner skjulte processer ... 
.
scanner skjulte autostarter ...
.
scanner skjulte filer ... 
.
scanning gennemført med succes
skjulte filer: 0
.
**************************************************************************
.
——————————- DLLs startet under kørende Processer——————————-
.
- - - - - - - > ‘winlogon.exe’(220)
c:\programmer\SUPERAntiSpyware\SASWINLO.dll
.
Gennemført tid: 2012-11-25 14:26:34
ComboFix-quarantined-files.txt 2012-11-25 13:26
.
Pre-Kørsel: 84.271.063.040 byte ledig
Post-Kørsel: 84.430.471.168 byte ledig
.
- - End Of File - - 39AC0F0DDE924E036EF6967780C5BDB5

Jeg går udfra du stadig har samme problem.

Prøv lige om du kan dette >
Start op i ”Fejlsikret tilstand med kommandoprompt”
Der skriver du dette og taster ”Enter” efter hver linje.

cd\

cd windows\system32\restore

Nu skal du gerne være her >

c:\windows\system32\restore

Der skriver du dette >
rstrui.exe

Det vil starte systemgendannelse, se om du kan gendanne tilbage til en dato hvor du ved den kørte OK.

Kunne du det

Så har jeg gendannet systemt til dagen før det gik galt, og det ser ud til, at alt fungerer som det plejer.

Så er der vel ikke andet, jeg skal gøre?

Godt du fik den op at køre igen. 

Du skal kontroller at disse programmer er opdateret.

Sådan tjekker du om du har seneste version af Java:

Gå ind på siden her: http://java.com/en/download/installed.jsp og klik på ”Verify Java version”
Nu undersøges om du har seneste Java. Hvis ikke så skal du downloade seneste version og installere den. Før du gør det skal du gå i Kontrolpanelet og finde ”Tilføj/fjern programmer og afinstallere den gamle version. Der kan ligge flere forældede versioner så afinstaller også dem. Du bør genstarte før du installerer seneste version.

Afinstaller den Adobe Reader du har installeret, genstart din pc.

Hent den ny her: http://get.adobe.com/dk/reader/?promoid=DAGCC  Du må endelig huske at fjerne fluebenet ved ”Medtag i din download” FØR du downloader.

Sådan tjekker du om du har seneste version af Flash:

På denne side http://www.adobe.com/software/flash/about/  kan du tjekke hvilken version af Flash du har på din computer.

Hvis du ikke har seneste version går du ind på denne side: http://get.adobe.com/flashplayer/ og downloader seneste version. Husk endelig at fjerne fluebenet ved: Include in your download, for ellers får du en fjollet toolbar med i dit download. Det kan være, at du skal deaktivere din sikkerhedspakke for at få lov til at downloade flash.

>>

Kør lige til slut en tur med ESET online scanner:
http://www.ctrlaltdel.dk/forum/forum_posts.asp?TID=340&title=eset-online-scanner

Kopier den logfil herind.

Så har jeg kørt ESET og indholdet af filen er:

C:\Documents and Settings\Ørsnæs\Application Data\msconfig.dat   Win32/LockScreen.ALY trojan   cleaned by deleting

Efter kørslen (!) læste jeg hele brugsanvisningen og ser at jeg nok ikke har kørt med de rette indstillinger, hvorfor den også har slettet den nævnte trojan.

Er det et problem? Giver det mening at køre den igen?