Virus på notebook

Glemte lige at skrive at jeg har XP SP3 på den.

Hent ComboFix herfra - ved at højreklikke på link og vælge "Gem som":

http://download.bleepingcomputer.com/sUBs/ComboFix.exe

Gem filen som - Mike.exe


Luk alle andre vinduer ned.

Kør så combofix.exe, og følg anvisningerne.

Vigtigt-> Deaktiver dit antivirus/antispyware program. Da det/de kan "forstyrre" og konflikte med Combofix, eller fjerne vigtige Combofix filer, hvilket kan få computeren til fryse.

Du må ikke klikke på vinduet imens værktøjet kører, idet det kan få din computer til at fryse.

Når Combofix er færdig, og efter det (muligvis) har genstartet, skulle der gerne åbnes en logfil: combofix.txt som ligger her C: Combofix txt

Indholdet af denne fil må du gerne lægge herind

kopieret fra magictouch

Hvis jeg forsøger at gemme den får jeg fejlen: denne filhentning kan ikke gemmes pga. en ukendt fejl, prøv venligst igen.
Hvis jeg forsøger at åbne linket kommer der bare en fejlside.

Prøv at se om du kan få en log fra en af de tre her:

http://www.techsupportforum.com/sectools/sUBs/dds

eller her: http://download.bleepingcomputer.com/sUBs/dds.scr

eller her: http://www.forospyware.com/sUBs/dds

Det er egenlig den samme fil men den kan forhåbentligt fortælle lidt mere om hvad vi er oppe inod

Jeg vil selvfølgelig gerne se loggen!

(Eller hent/download nævnte programmer via en anden PC -> Overført/copy til passende anden medie (USB memorystick ell. lign. ?) -> Overfør/copy til denne PC -> og SÅ kør som beskrevet... )

Så lykkedes det at få lavet en log


DDS (Ver_09-02-01.01) - NTFSx86 
Run by Inge Bro S›rensen at 15:57:51,39 on 07-03-2009
Internet Explorer: 6.0.2900.5512
Microsoft Windows XP Home Edition  5.1.2600.3.1252.45.1030.18.1013.532 [GMT 1:00]


============== Running Processes ===============

C:\WINDOWS\system32\svchost -k DcomLaunch
svchost.exe
C:\WINDOWS\System32\svchost.exe -k netsvcs
svchost.exe
svchost.exe
C:\WINDOWS\system32\spoolsv.exe
"C:\WINDOWS\system32\svchost.exe"
C:\Programmer\iWin Games\iWinTrusted.exe
C:\WINDOWS\Explorer.EXE
C:\Programmer\Java\jre6\bin\jqs.exe
C:\Programmer\System Control Manager\MSIService.exe
C:\Programmer\Fighters\configservice.exe
C:\Programmer\Toshiba\Bluetooth Toshiba Stack\TosBtSrv.exe
C:\Programmer\Fighters\licenseservice.exe
C:\Programmer\Fighters\updateservice.exe
C:\Programmer\Fighters\ScannerService.exe
C:\WINDOWS\system32\igfxtray.exe
C:\WINDOWS\system32\igfxpers.exe
C:\WINDOWS\RTHDCPL.EXE
C:\WINDOWS\system32\igfxsrvc.exe
C:\Programmer\Adobe\Reader 8.0\Reader\Reader_sl.exe
C:\Programmer\Java\jre6\bin\jusched.exe
C:\Programmer\Fighters\spywarefighter\SpywarefighterUser.exe
C:\WINDOWS\system32\ctfmon.exe
C:\Programmer\Windows Live\Messenger\MsnMsgr.Exe
C:\Programmer\Messenger\msmsgs.exe
C:\Programmer\Toshiba\Bluetooth Toshiba Stack\TosBtMng.exe
C:\Programmer\OpenOffice.org 3\program\soffice.exe
C:\Programmer\OpenOffice.org 3\program\soffice.bin
C:\Programmer\Toshiba\Bluetooth Toshiba Stack\TosA2dp.exe
C:\Programmer\Toshiba\Bluetooth Toshiba Stack\TosBtHid.exe
C:\Programmer\Toshiba\Bluetooth Toshiba Stack\TosBtHsp.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Programmer\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\wuauclt.exe
c:\programmer\fighters\spywarefighter\SPYWAREfighterTray.exe
E:\dds1.pif

============== Pseudo HJT Report ===============

mDefault_Page_URL = hxxp://www.msi.com.tw
uInternet Connection Wizard,ShellNext = hxxp://www.msi.com.tw/
uInternet Settings,ProxyServer = http=localhost:7070
uInternet Settings,ProxyOverride = *.local;<local>
BHO: Adobe PDF Reader Link Helper: {06849e9f-c8d7-4d59-b87d-784b7d6be0b3} - c:\programmer\fælles filer\adobe\acrobat\activex\AcroIEHelper.dll
BHO: Java(tm) Plug-In SSV Helper: {761497bb-d6f0-462c-b6eb-d4daf1d92d43} - c:\programmer\java\jre6\bin\ssv.dll
BHO: {7E853D72-626A-48EC-A868-BA8D5E23E045} - No File
BHO: IEHlprObj Class: {8ca5ed52-f3fb-4414-a105-2e3491156990} - c:\programmer\iwin games\iWinGamesHookIE.dll
BHO: Hjælp til tilmelding til Windows Live: {9030d464-4c02-4abf-8ecc-5164760863c6} - c:\programmer\fælles filer\microsoft shared\windows live\WindowsLiveLogin.dll
BHO: Java(tm) Plug-In 2 SSV Helper: {dbc80044-a445-435b-bc74-9c25c1c588a9} - c:\programmer\java\jre6\bin\jp2ssv.dll
BHO: JQSIEStartDetectorImpl Class: {e7e6f031-17ce-4c07-bc86-eabfe594f69c} - c:\programmer\java\jre6\lib\deploy\jqs\ie\jqs_plugin.dll
uRun: [CTFMON.EXE] c:\windows\system32\ctfmon.exe
uRun: [MsnMsgr] "c:\programmer\windows live\messenger\MsnMsgr.Exe" /background
uRun: [MSMSGS] "c:\programmer\messenger\msmsgs.exe" /background
mRun: [IgfxTray] c:\windows\system32\igfxtray.exe
mRun: [HotKeysCmds] c:\windows\system32\hkcmd.exe
mRun: [Persistence] c:\windows\system32\igfxpers.exe
mRun: [RTHDCPL] RTHDCPL.EXE
mRun: [Alcmtr] ALCMTR.EXE
mRun: [Adobe Reader Speed Launcher] "c:\programmer\adobe\reader 8.0\reader\Reader_sl.exe"
mRun: [MGSysCtrl] c:\programmer\system control manager\MGSysCtrl.exe
mRun: [ITSecMng] %ProgramFiles%\TOSHIBA\Bluetooth Toshiba Stack\ItSecMng.exe /START
mRun: [SunJavaUpdateSched] "c:\programmer\java\jre6\bin\jusched.exe"
mRun: [spywarefighterguard] c:\programmer\fighters\spywarefighter\SpywarefighterUser.exe
dRun: [CTFMON.EXE] c:\windows\system32\CTFMON.EXE
StartupFolder: c:\docume~1\ingebr~1\menuen~1\progra~1\start\openof~1.lnk - c:\programmer\openoffice.org 3\program\quickstart.exe
StartupFolder: c:\docume~1\alluse~1\menuen~1\progra~1\start\blueto~1.lnk - c:\programmer\toshiba\bluetooth toshiba stack\TosBtMng.exe
IE: {e2e2dd38-d088-4134-82b7-f2ba38496583} - %windir%\Network Diagnostic\xpnetdiag.exe
IE: {FB5F1910-F110-11d2-BB9E-00C04F795683} - c:\programmer\messenger\msmsgs.exe
IE: {92780B25-18CC-41C8-B9BE-3C9C571A8263} - {FF059E31-CC5A-4E2E-BF3B-96E929D65503} - c:\progra~1\micros~2\office12\REFIEBAR.DLL
DPF: {05CA9FB0-3E3E-4B36-BF41-0E3A5CAA8CD8} - hxxp://download.microsoft.com/download/e/4/9/e494c802-dd90-4c6b-a074-469358f075a6/OGAControl.cab
DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} - hxxp://www.update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1224527331385
DPF: {8AD9C840-044E-11D1-B3E9-00805F499D93} - hxxp://sdlc-esd.sun.com/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab?AuthParam=1230816598_9d3dfb2c09457fa4bf604a340ad3a555&GroupName=JSC&BHost=javadl.sun.com&FilePath=/ESD5/JSCDL/jre/6u11-b90/jinstall-6u11-windows-i586-jc.cab&File=jinstall-6u11-windows-i586-jc.cab
DPF: {8FFBE65D-2C9C-4669-84BD-5829DC0B603C} - hxxp://fpdownload.macromedia.com/get/flashplayer/current/ultrashim.cab
DPF: {CAFEEFAC-0016-0000-0011-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
DPF: {CAFEEFAC-FFFF-FFFF-FFFF-ABCDEFFEDCBA} - hxxp://java.sun.com/update/1.6.0/jinstall-1_6_0_11-windows-i586.cab
Notify: !SASWinLogon - c:\programmer\superantispyware\SASWINLO.dll
Notify: igfxcui - igfxdev.dll
Notify: __c00B884 - c:\windows\system32\__c00B884.dat
SEH: SABShellExecuteHook Class: {5ae067d3-9afb-48e0-853a-ebb7f4a000da} - c:\programmer\superantispyware\SASSEH.DLL

================= FIREFOX ===================

FF - ProfilePath - c:\docume~1\ingebr~1\applic~1\mozilla\firefox\profiles\q2zx542x.default\

============= SERVICES / DRIVERS ===============

R2 iWinTrusted;iWinTrusted;c:\programmer\iwin games\iWinTrusted.exe [2008-12-17 78104]
R2 Micro Star SCM;Micro Star SCM;c:\programmer\system control manager\MSIService.exe [2008-8-26 159744]
R2 PTK License-FIGHTERS-37333603;PTK License-FIGHTERS-37333603;c:\programmer\fighters\LicenseService.exe [2008-11-18 283272]
R2 PTK Live Update-FIGHTERS-37333603;PTK Live Update-FIGHTERS-37333603;c:\programmer\fighters\UpdateService.exe [2008-11-18 307848]
R2 PTK Scanner-FIGHTERS-37333603;PTK Scanner-FIGHTERS-37333603;c:\programmer\fighters\ScannerService.exe [2008-11-18 311944]
R2 PTK SharedAccess-FIGHTERS-37333603;PTK SharedAccess-FIGHTERS-37333603;c:\programmer\fighters\ConfigService.exe [2008-11-18 139912]
R3 RSUSBSTOR;RTS5121.Sys Realtek USB Card Reader;c:\windows\system32\drivers\RTS5121.sys [2008-8-26 156160]
R3 RT80x86;Ralink 802.11n Wireless Driver;c:\windows\system32\drivers\rt2860.sys [2008-10-20 625792]
R3 Vfscan;Vfscan;c:\windows\system32\drivers\vffilter.sys [2008-11-18 15496]
S1 nfr.sys;nfr.sys;\??\c:\windows\system32\drivers\nfr.sys --> c:\windows\system32\drivers\nfr.sys [?]
S2 NFAgent;NFAgent;c:\programmer\system\smss.exe /pid=10180 --> c:\programmer\system\smss.exe  [?]
S2 websrvx;websrvx;c:\programmer\websrvx\websrvx.exe --> c:\programmer\websrvx\websrvx.exe [?]
S3 rtl8187Se;Realtek RTL8187SE Wireless LAN PCIE Network Adapter;c:\windows\system32\drivers\rtl8187Se.sys [2008-8-26 306176]

=============== Created Last 30 ================

2009-03-06 16:54    15,504    a-------    c:\windows\system32\drivers\mbam.sys
2009-03-06 16:54    38,496    a-------    c:\windows\system32\drivers\mbamswissarmy.sys
2009-03-06 16:53    <DIR>    --d-----    c:\programmer\Malwarebytes' Anti-Malware
2009-03-06 16:53    <DIR>    --d-----    c:\docume~1\alluse~1\applic~1\Malwarebytes
2009-03-06 16:32    <DIR>    --d-hr--    c:\documents and settings\inge bro sørensen\Recent
2009-03-06 16:31    <DIR>    --d-----    c:\programmer\CCleaner
2009-03-05 12:12    1    ----h---    c:\windows\t55ft3518f44.dat
2009-03-04 08:17    0    a-------    c:\windows\system32\nfr.gpref
2009-03-04 08:16    0    a-------    c:\windows\system32\nfr.assembly
2009-03-03 14:10    <DIR>    --d-----    c:\programmer\websrvx
2009-03-03 14:10    1    a-------    c:\windows\9gdfgjf23
2009-03-03 14:10    1    ----h---    c:\windows\t55ft3949f44.dat
2009-03-03 14:10    1    ----h---    c:\windows\t55ft4244f44.dat
2009-03-03 09:39    268    a---h---    C:\sqmdata19.sqm
2009-03-03 09:39    244    a---h---    C:\sqmnoopt19.sqm
2009-03-02 21:42    268    a---h---    C:\sqmdata18.sqm
2009-03-02 21:42    244    a---h---    C:\sqmnoopt18.sqm
2009-03-02 11:16    268    a---h---    C:\sqmdata17.sqm
2009-03-02 11:16    244    a---h---    C:\sqmnoopt17.sqm
2009-02-27 13:06    0    a-------    c:\windows\nfr.assembly
2009-02-24 20:48    230    a-------    c:\windows\system32\spupdsvc.inf
2009-02-24 20:26    2,767,575,040    a-------    C:\recovery_dvd.iso
2009-02-15 14:22    <DIR>    --d-----    c:\windows\system32\LogFiles
2009-02-14 21:40    82    a-------    c:\windows\mafosav.INI
2009-02-14 20:33    <DIR>    --d-----    c:\programmer\SUPERAntiSpyware
2009-02-14 20:33    <DIR>    --d-----    c:\docume~1\ingebr~1\applic~1\SUPERAntiSpyware.com
2009-02-14 20:32    <DIR>    --d-----    c:\programmer\fælles filer\Wise Installation Wizard
2009-02-14 19:31    <DIR>    --d-----    c:\programmer\Fighters
2009-02-14 19:31    <DIR>    --d-----    c:\docume~1\alluse~1\applic~1\Fighters
2009-02-14 19:27    <DIR>    --d-----    c:\programmer\system
2009-02-14 17:18    <DIR>    --d-h---    C:\$AVG8.VAULT$
2009-02-14 17:17    <DIR>    --d-----    c:\docume~1\alluse~1\applic~1\CrucialSoft Ltd
2009-02-14 17:17    26,112    a-------    c:\windows\system32\stu2.exe
2009-02-13 19:40    244    a---h---    C:\sqmnoopt16.sqm
2009-02-13 19:40    232    a---h---    C:\sqmdata16.sqm
2009-02-11 12:35    <DIR>    --d-----    c:\docume~1\ingebr~1\applic~1\OpenOffice.org
2009-02-11 12:30    <DIR>    --d-----    c:\programmer\OpenOffice.org 3

==================== Find3M  ====================

2009-03-07 15:52    3,407,872    a---h---    c:\documents and settings\inge bro sørensen\NTUSER.DAT
2009-02-14 17:17    8,704    a-------    c:\windows\system32\userinit.exe
2009-01-01 14:29    410,984    a-------    c:\windows\system32\deploytk.dll
2008-12-31 17:04    691,560    a-------    c:\windows\system32\OGACheckControl.dll
2008-12-31 17:04    528,744    a-------    c:\windows\system32\OGAVerify.exe
2008-12-31 17:04    502,120    a-------    c:\windows\system32\OGAAddin.dll

============= FINISH: 15:58:49,06 ===============

Hent Swandog46' Avenger2 her:
http://swandog46.geekstogo.com/avenger2/avenger.zip

Pak Avenger-programmet ud og dobbeltklik på avenger.exe. Nu dukker der et lille vindue op, hvor du skal kopiere indholdet mellem de stiplede linier ind:

-----------------------------

Drivers to delete:
websrvx
NFAgent
nfr.sys

Files to delete:
c:\programmer\websrvx\websrvx.exe
c:\programmer\system\smss.exe
c:\windows\system32\drivers\nfr.sys

-----------------------------

Klik på knappen Execute. Følg vejledningen og svar ja på spørgsmålene - programmet vil opfordre dig til at genstarte computeren, hvilket du skal gøre. Programmet vil lukke din computer, slette filerne og starte computeren igen.

Efter genstarten vil der dukke et notepad-vindue op, med en log for Avengers handlinger. Den skal du kopiere herind i forum i dit næste svar.

Jeg synes ikke jeg kan få øje på nogen sikkerhedsprogrammer?

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform:  Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.

Hidden driver "UACd.sys" found!
ImagePath:  \systemroot\system32\drivers\UACdppehwhk.sys
Start Type:  1 (System)

Rootkit scan completed.

Driver "websrvx" deleted successfully.
Driver "NFAgent" deleted successfully.
Driver "nfr.sys" deleted successfully.

Error:  file "c:\programmer\websrvx\websrvx.exe" not found!
Deletion of file "c:\programmer\websrvx\websrvx.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\programmer\system\smss.exe" not found!
Deletion of file "c:\programmer\system\smss.exe" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Error:  file "c:\windows\system32\drivers\nfr.sys" not found!
Deletion of file "c:\windows\system32\drivers\nfr.sys" failed!
Status: 0xc0000034 (STATUS_OBJECT_NAME_NOT_FOUND)
  --> the object does not exist


Completed script processing.

*******************

Finished!  Terminate.



Mht virusprogrammet så blev jeg nødt til at afinstallere da jeg skulle deaktivere det, for det ville ikke samarbejde, så jeg valgte simpelthen at afinstallere. Men det bliver selvfølgelig installeret igen.

Prøv så combofix og malwarebytes. Du skal hente nye versioner af begge. Husk at opdatere malwarebytes inden skanning. combofix skal køres sidst.

<nannse>: Vender du tilbage ?