AsRock Z77 Extreme4
Intel I7 3770k 4.2GHz
Gigabyte GTX 980Ti G1 Gaming
16GB Corsair Vengeance 1866MHz
Crucial MX100 512GB SSD
Guide: Hur man blir av med "Polisen har blockerat din dator!"
Det som står på "polis" sidan som kommer upp. Är det vad som har gjorts på datorn eller bara påhitt? Känner en kille som ALLTID får virus och skit i sin dator och nu har han fått detta. Det står att han har gjort en massa saker och måste betala si och så. Men är det som står att han har gjort sant? Det är en skoldator så kan inte fixa den då jag inte kan göra systemåterställning eller komma in i felsäkert läge.
Visa signatur
Citera flera
Citera
Skrivet av Willbeatu:
Det som står på "polis" sidan som kommer upp. Är det vad som har gjorts på datorn eller bara påhitt? Känner en kille som ALLTID får virus och skit i sin dator och nu har han fått detta. Det står att han har gjort en massa saker och måste betala si och så. Men är det som står att han har gjort sant? Det är en skoldator så kan inte fixa den då jag inte kan göra systemåterställning eller komma in i felsäkert läge.
Varför kommer du inte in i felsäkert läge?
Risken att man får virus är ju större på porrsidor.
Dock så är det som står inte sant. Det står så för alla som råkar på viruset. Jag som 15årig tjej brukar inte direkt kolla barnporr, men jag fick det ändå.
Citera flera
Citera
Skrivet av belieberslayer:
Varför kommer du inte in i felsäkert läge?
Risken att man får virus är ju större på porrsidor.
Dock så är det som står inte sant. Det står så för alla som råkar på viruset. Jag som 15årig tjej brukar inte direkt kolla barnporr, men jag fick det ändå.
Okej.. bara tänkte om han gjort något dumt Men för att det är en skoldator så är den låst så bara en speciell användare som är dold kan komma in i felsäkert läge.. Men tänkte om någon vet något att sätt att fixa utan det läget.. systemåterställningen var också låst.
Visa signatur
AsRock Z77 Extreme4
Intel I7 3770k 4.2GHz
Gigabyte GTX 980Ti G1 Gaming
16GB Corsair Vengeance 1866MHz
Crucial MX100 512GB SSD
Citera flera
Citera
felsäkert läge > omstart > felsäkert läge > omstart > repeat > ??? > PROFIT!
blev formatering för mej!
Citera flera
Citera
Skrivet av Willbeatu:
Det som står på "polis" sidan som kommer upp. Är det vad som har gjorts på datorn eller bara påhitt? Känner en kille som ALLTID får virus och skit i sin dator och nu har han fått detta. Det står att han har gjort en massa saker och måste betala si och så. Men är det som står att han har gjort sant? Det är en skoldator så kan inte fixa den då jag inte kan göra systemåterställning eller komma in i felsäkert läge.
Bäst att låta skolan installera om Windows.
Felsäkert läge brukar inte fungera med de polistrojaner som varit vanliga i år.
Hur ofta man drabbas av skadliga filer beror på hur väl man håller alla program, inkl. Flash och Java uppdaterade, vilka sidor man besöker och vad man laddar ner.
Citera flera
Citera
(1)
Rensade 2 på jobbet idag med Kaspersky rescue disk, det funkar även för er med nerlåst skoldator! Dessa 2 senaste datorer gick inte att logga in på överhuvudtaget.
Citera flera
Citera
Skrivet av Waowt:
Ett sätt att undvika dessa trojaner är:
1:Ladda inte hem program från okända hemsidor som har misstänkt innehåll.
2:Besök inte porrsidor
3:Sök igenom alla downloads om dom kommer från en sida du inte vet 100% man kan lita på
Jag fick detta på jobbet. Jag godkände en flash-uppdatering. (Ja, jag vet hur det ser ut när man uppdaterar flash).
Man behöver alltså inte besöka en "okänd" sida med misstänkt innehåll och/eller porrsidor för att få hem detta.
Citera flera
Citera
Skrivet av Mickesven:
felsäkert läge > omstart > felsäkert läge > omstart > repeat > ??? > PROFIT!
blev formatering för mej!
Precis detta som händer med skoldatorn.. men då jag inte vet reglerna dom har med skoldatorerna så kan jag inte bara formatera om den.
Skrivet av kerbo:
Rensade 2 på jobbet idag med Kaspersky rescue disk, det funkar även för er med nerlåst skoldator! Dessa 2 senaste datorer gick inte att logga in på överhuvudtaget.
Jag laddade ner denna men av någon anlednings så kan den inte köras.. hur ska jag köra den om jag inte kommer in på datorn.. kan inte välja att boota med skivan heller.
Föräldern till denna grabb vill inte lämna in den till skolan ifall det går att fixa.. för ifall pojken gjort något som skämmer ut dom totalt.
Visa signatur
AsRock Z77 Extreme4
Intel I7 3770k 4.2GHz
Gigabyte GTX 980Ti G1 Gaming
16GB Corsair Vengeance 1866MHz
Crucial MX100 512GB SSD
Citera flera
Citera
Jag slår återigen ett slag för Trinity Rescue Kit. Det är en linux live DVD med ett gäng olika antivirus - man bränner en DVD som man bootar på, och eftersom det är linux går det inte för viruset att gömma sig, oavsett vilka tricks det har för sig, och kan enkelt slås ihjäl av antiviruset.
Visa signatur
~: När du vill skriva "dem", skriv "de" eller "dom" istället :~
Citera flera
Citera
Skrivet av Willbeatu:
Precis detta som händer med skoldatorn.. men då jag inte vet reglerna dom har med skoldatorerna så kan jag inte bara formatera om den.
Jag laddade ner denna men av någon anlednings så kan den inte köras.. hur ska jag köra den om jag inte kommer in på datorn.. kan inte välja att boota med skivan heller.
Föräldern till denna grabb vill inte lämna in den till skolan ifall det går att fixa.. för ifall pojken gjort något som skämmer ut dom totalt.
Det som kommer upp på skärmen är endast påhittat och ser likadant ut i alla svenska datorer som blir infekterade av den trojan-variant som det gäller här. Om du inte kan installera om Windows själv och inte kan få datorn att starta från ett USB-minne eller CD-skiva, finns det nog inte något annat att göra än att lämna in datorn på skolan. De är antagligen vana och har förberett så att de kan ladda in Windows med de inställningar som behövs i skolan på några minuter.
Citera flera
Citera
Skrivet av Willbeatu:
Jag laddade ner denna men av någon anlednings så kan den inte köras.. hur ska jag köra den om jag inte kommer in på datorn.. kan inte välja att boota med skivan heller.
Föräldern till denna grabb vill inte lämna in den till skolan ifall det går att fixa.. för ifall pojken gjort något som skämmer ut dom totalt.
Han behöver inte skämmas! Exakt samma skärm visas för alla som fått viruset i Sverige. I USA finns det ett likadant, fast med FBI. Han behöver inte ha sett barnporr för att få det. Han kan ha fått det mär han laddade ner ett spel eller något. Jag själv fick det från en speciell server på nexus mods till Skyrim.
Att boota till Linux från en skiva är ju smartaste att göra. Har du ändrat i BIOS att den ska boota till skivan?
Citera flera
Citera
(2)
Skrivet av belieberslayer:
Han behöver inte skämmas! Exakt samma skärm visas för alla som fått viruset i Sverige. I USA finns det ett likadant, fast med FBI. Han behöver inte ha sett barnporr för att få det. Han kan ha fått det mär han laddade ner ett spel eller något. Jag själv fick det från en speciell server på nexus mods till Skyrim.
Att boota till Linux från en skiva är ju smartaste att göra. Har du ändrat i BIOS att den ska boota till skivan?
Nej jag vet att han inte behöver ha gjort det... men hans far har ju ingen aning om vad han kollar och gör på datorn. Bara det att jag förstår inte hur folk lyckas få detta virus utan att göra något man borde skämmas för på datorn. Jag har inte haft anti-virus/malware på datorn på flera år och aldrig fått något konstigt virus.
Visa signatur
AsRock Z77 Extreme4
Intel I7 3770k 4.2GHz
Gigabyte GTX 980Ti G1 Gaming
16GB Corsair Vengeance 1866MHz
Crucial MX100 512GB SSD
Citera flera
Citera
(1)
Skrivet av Willbeatu:
Nej jag vet att han inte behöver ha gjort det... men hans far har ju ingen aning om vad han kollar och gör på datorn. Bara det att jag förstår inte hur folk lyckas få detta virus utan att göra något man borde skämmas för på datorn. Jag har inte haft anti-virus/malware på datorn på flera år och aldrig fått något konstigt virus.
Om du inte skannar datorn med ett antivirus/antimalware-program så vet du ju inte vad du har.
Be honom förklara för hans pappa att detta inte alls kommer från en porrsida, och framförallt inte från polisen. Min kompis mormor fick detta och jag tvekar verkligen på att hon vart inne på sådant.
Plus att om ni lämnar in den till någon IT-ansvarig på skolan så borde de veta om vad det är för virus och förstå att man inte får det för man faktiskt kollat på barnporr.
Har du provat att ändra i BIOS så man bootar till Linux-skivan?
Citera flera
Citera
(2)
Skrivet av Willbeatu:
Precis detta som händer med skoldatorn.. men då jag inte vet reglerna dom har med skoldatorerna så kan jag inte bara formatera om den.
Jag laddade ner denna men av någon anlednings så kan den inte köras.. hur ska jag köra den om jag inte kommer in på datorn.. kan inte välja att boota med skivan heller.
Föräldern till denna grabb vill inte lämna in den till skolan ifall det går att fixa.. för ifall pojken gjort något som skämmer ut dom totalt.
Kaspersky rescuedisk är en iso-fil som man öppnar i ett brännarprogram och låter brännarprogrammet packa upp den på t.ex. en cd. Sen måste man boota från cd´n och det kräver naturligtvis att det inte är nerlåst i bios. De flesta skolor jag varit i kontakt med låser inte ner det, men det kan förekomma tyvärr. Det är ett linuxoperativ på skivan med kaspersky antivirus. Man får köra en uppdatering av deffinitionerna, sen e det bara att skanna.
Viruset kan smitta från i princip vilken sajt som helst som har reklam, har själv sett att det ibland länkas med reklammejl där man kan klicka på en länk för att avregistrera sig som mottagare av mejlen. Så det behöver inte betyda ett dugg att man har fått viruset.
Citera flera
Citera
Skrivet av kerbo:
Kaspersky rescuedisk är en iso-fil som man öppnar i ett brännarprogram och låter brännarprogrammet packa upp den på t.ex. en cd. Sen måste man boota från cd´n och det kräver naturligtvis att det inte är nerlåst i bios. De flesta skolor jag varit i kontakt med låser inte ner det, men det kan förekomma tyvärr. Det är ett linuxoperativ på skivan med kaspersky antivirus. Man får köra en uppdatering av deffinitionerna, sen e det bara att skanna.
Viruset kan smitta från i princip vilken sajt som helst som har reklam, har själv sett att det ibland länkas med reklammejl där man kan klicka på en länk för att avregistrera sig som mottagare av mejlen. Så det behöver inte betyda ett dugg att man har fått viruset.
Det är den jag testade men kan inte starta datorn via cd eller usb.. bara från hdd.. Men dom lämnade in den på skolan.
Visa signatur
AsRock Z77 Extreme4
Intel I7 3770k 4.2GHz
Gigabyte GTX 980Ti G1 Gaming
16GB Corsair Vengeance 1866MHz
Crucial MX100 512GB SSD
Citera flera
Citera
De flesta virus tar man död på att rensa ur %AppData% och msconfig på onödigheter. Och så kan man gå igenom system-mapparna efter nya filer som inte ska vara där. Att skapa en ny användare och döda den gamla kan vara ett snabbt sätt. Eller att göra en systemåterställning och sedan blåsa bort systemåterställningspunkterna.
Citera flera
Citera
På tal om att riskera att få in elakheter i datorn skulle jag också rekommendera att inte klicka på unsubscribe liknande länkar i mail. Ibland känns det som om man får mer skräpmail, man slipper kanske den man un-subbade men då kanske dom säljer eposten vidare, bara min teori. Själv så spam märker jag epost, även om jag tidigare själv valt att få det skickat.
Visa signatur
Skärm: Acer XB271 HU, Keyboard: Corsair k95
Moderkort: Asus Prime-A Z690, GPU: RTX 4080
CPU: Intel i7 13700k, Ram: 32Gb DDR5 6000Hz
Chassi: Lian Li Lancool 3, Högtalare: ALTEC LANSING 5.1 THX
Disk 1: WD 850x 1Tb, Disk 2: WD 850x 2Tb,PSU: Seasonic Prime 1000w
Citera flera
Citera
Skrivet av upr0426:
Steg 7: Tryck på ladda ned Norton power eraser
Steg 8: Du kommer in på en sida där det står en gul ikon på höger sida där det står "Ladda ned norton power eraser" tryck på den
Steg 9: Det kommer upp något där det står tillåter du att följande program kan användas på denna datorn eller något men tryck "Ja"
Steg 10: Kommer upp något licensavtals skit bara tryck acceptera
Steg 11: Tryck på sök efter risker
Steg 12 kommer upp något där den står starta om datorn tryck där.
Steg 13: Det kommer komma upp en tillåter du att följande program kan användas för att ändra datorn tryck "Ja eller kör"
Steg 14: Det kommer komma upp en norton sida igen och tryck på reparera och den reparera kan ta några minuter eller på en riktig gammal dator timmar
Steg 15: Kommer antagligen komma upp starta om datorn tryck där och den startas om.
Steg 16: Det borde vara fixat!
Om ni har några frågor skriv gärna i forumet och jag gör mitt bästa för att svara på dem
Hjälp!!!
Steg 9 kommer aldrig upp för mig utan licensavtalet dyker upp direkt, klickar acceptera och väljer sen Sök efter risker och det är där problemet uppstår för mig för när då datorn startat om sig så dyker sidan "datorn har blockerats av rikspolisstyrelsen" upp igen :(. Hur f-n ska jag göra för att få upp Nortonsidan igen och kunna välja reparera och bli av med skiten?
Citera flera
Citera
Skrivet av keea:
Hjälp!!!
Steg 9 kommer aldrig upp för mig utan licensavtalet dyker upp direkt, klickar acceptera och väljer sen Sök efter risker och det är där problemet uppstår för mig för när då datorn startat om sig så dyker sidan "datorn har blockerats av rikspolisstyrelsen" upp igen :(. Hur f-n ska jag göra för att få upp Nortonsidan igen och kunna välja reparera och bli av med skiten?
Vad har du för Windows-version?
Har du prövat med någon annan metod, typ Kaspersky Rescue Disk som också är omnämnd i tråden?
Citera flera
Citera
Skrivet av CeciliaB:
Vad har du för Windows-version?
Har du prövat med någon annan metod, typ Kaspersky Rescue Disk som också är omnämnd i tråden?
Har Windows 7. Lyckades klura ut att jag var tvungen att avbryta omstarten med F8 och komma in i felsäkert läge igen, då startade Nortonprogrammet och jag kunde bli av med blockeringen, så problemet är löst
Citera flera
Citera
Hur ska jag göra!?
Skrivet av CeciliaB:
Om du har Vista eller Windows 7 kan det här vara en bra början:
Ladda ner Farbar Recovery Scan Tool (FRST) och spara på ett USB-minne.
För 64-bitars Windows:http://download.bleepingcomputer.com/farbar/FRST64.exe
För 32-bitars Windows: http://download.bleepingcomputer.com/farbar/FRST.exe
Sedan ska du starta om datorn och utan att starta hela Windows få igång en Kommandotolk. Det finns två alternativ att göra detta. Vilket du ska använda beror på om du har en installationsskiva för Vista/Windows 7.
Alternativ 1 utan Windows-skiva
När datorn startar börjar du trycka på F8-tangenten upprepade gånger till sidan "Advanced Boot Options" visas (kan även vara något på svenska) med en meny.
I menyn använder du piltangenterna för att välja "Repair your computer" (Reparera datorn på svenska kanske).
Välj rätt tangentbord och klicka på "Next"/"Nästa".
Välj vilket operativsystem du vill reparera. Om där finns flera så ska du välja det som är det infekterade Windows. Klicka på "Next"/"Nästa".
Välj ditt användarkonto och klicka på "Next"/"Nästa".
Alternativ 2 med Windows-skiva
Stoppa i installationsskivan.
Starta datorn.
När det kommer upp en fråga om du vill starta datorn från installationsskivan så tryck på någon tangent.
Om frågan inte kommer upp utan datorn startas från hårddisken som vanligt, behöver du ändra en BIOS-inställning för att starta från skivan.
När menyn på installationsskivan kommer upp klicka på "Repair your computer" (Reparera datorn på svenska kanske).
Välj rätt tangentbord och klicka på "Next"/"Nästa".
Välj vilket operativsystem du vill reparera. Om där finns flera så ska du välja det som är det infekterade Windows. Klicka på "Next"/"Nästa".
Välj ditt användarkonto och klicka på "Next"/"Nästa".
För båda alternativen
Nu visas menyn "System Recovery Options" (kanske Systemåterställningsalternativ på svenska).
Den börjar med "Startup Repair" och avslutas med "Command Prompt" (Kommandotolken).
Välj Kommandotolken.
Skriv in:
notepad
Tryck på Enter-tangenten.
Programmet Anteckningar startas.
Välj: Arkiv - Öppna
Välj: Dator
Leta upp ditt USB-minne och skriv upp vilken enhetsbokstav det har, t ex g:.
Stäng Anteckningar.
I Kommandotolken skriver du in:
32-bitars Windows: g:\frst.exe
64-bitars Windows: g:\frst64.exe
men ersätt g med enhetsbokstaven USB-minnet har.
Programmet FRST börjar köra.
Läs villkoren för programmet.
Klicka på Yes för att acceptera.
Klicka på Scan-knappen.
När det är klart kommer det att ha skapats en log FRST.txt på USB-minnet.
Kopiera innehållet i loggen och klistra in i ditt svar.
Jag kommer då att gå igenom loggen som visar vad som hänt i datorn och kan ge vidare rekommendationer om vad som bör göras. Men det är inte alltid som det går att få datorn ren utan det behövs en ominstallation av Windows.
Jag har precis samma problem med detta jäkla virus och att det ej fungerar med att starta felsäkert med nätverk utan då stängs/startar min dator om. Jag har gjort enligt beskrivningen ovan men det har ej löst sig, hur ska jag göra?
Själva scanningen fungerar och det kommer upp en loggruta men vad gör jag sen?
Tacksam för snabbt svar för är oerhört oroad över situationen!
Citera flera
Citera
Skrivet av zsimonz:
Jag har precis samma problem med detta jäkla virus och att det ej fungerar med att starta felsäkert med nätverk utan då stängs/startar min dator om. Jag har gjort enligt beskrivningen ovan men det har ej löst sig, hur ska jag göra?
Själva scanningen fungerar och det kommer upp en loggruta men vad gör jag sen?
Tacksam för snabbt svar för är oerhört oroad över situationen!
FRST har hittills bara sökt igenom hårddisken. Det är inget antivirusprogram utan man måste gå igenom loggen och ge FRST order om vad det ska göra.
Kopiera innehållet i loggrutan och klistra in i ditt svar här. En del blir glada om du använder Spoiler-knappen runt loggens innehåll.
Citera flera
Citera
Skrivet av CeciliaB:
FRST har hittills bara sökt igenom hårddisken. Det är inget antivirusprogram utan man måste gå igenom loggen och ge FRST order om vad det ska göra.
Kopiera innehållet i loggrutan och klistra in i ditt svar här. En del blir glada om du använder Spoiler-knappen runt loggens innehåll.
Okej tack!
Här är det som kom upp i loggen:
Scan result of Farbar Recovery Scan Tool (FRST.txt) (x64) Version: 21-05-2013 02
Ran by SYSTEM on 21-05-2013 20:42:23
Running from F:\
Windows 7 Home Premium (X64) OS Language: English(US)
Internet Explorer Version 9
Boot Mode: Recovery
The current controlset is ControlSet001
ATTENTION!:=====> FRST is updated to run from normal or Safe mode to produce a full FRST.txt log and an extra Addition.txt log.
==================== Registry (Whitelisted) ==================
HKLM\...\Run: [ASUS WebStorage] C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe [1754448 2010-03-15] ()
HKLM\...\Run: [UfSeAgnt.exe] "C:\Program Files\Trend Micro\Internet Security\UfSeAgnt.exe" [1022904 2010-02-23] (Trend Micro Inc.)
HKLM\...\Run: [AmIcoSinglun64] C:\Program Files (x86)\AmIcoSingLun\AmIcoSinglun64.exe [323584 2009-08-31] (AlcorMicro Co., Ltd.)
HKLM\...\Run: [ETDWare] C:\Program Files\Elantech\ETDCtrl.exe [621440 2009-09-29] (ELAN Microelectronic Corp.)
HKLM\...\Run: [Setwallpaper] c:\programdata\SetWallpaper.cmd [x]
HKLM\...\Run: [AdobeAAMUpdater-1.0] "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [500208 2010-03-05] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [MDS_Menu] "C:\Program Files (x86)\Cyberlink\MediaShowEspresso\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\Cyberlink\MediaShowEspresso" UpdateWithCreateOnce "Software\CyberLink\MediaShow Espresso\5.0" [218408 2009-02-25] (CyberLink Corp.)
HKLM-x32\...\Run: [RemoteControl9] "C:\Program Files (x86)\Cyberlink\PowerDVD9\PDVD9Serv.exe" [87336 2009-07-06] (CyberLink Corp.)
HKLM-x32\...\Run: [PDVD9LanguageShortcut] "C:\Program Files (x86)\Cyberlink\PowerDVD9\Language\Language.exe" [50472 2009-04-27] (CyberLink Corp.)
HKLM-x32\...\Run: [UpdatePSTShortCut] "C:\Program Files (x86)\Cyberlink\DVD Suite\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\Cyberlink\DVD Suite" UpdateWithCreateOnce "Software\CyberLink\PowerStarter" [210216 2009-11-12] (CyberLink Corp.)
HKLM-x32\...\Run: [UpdateLBPShortCut] "C:\Program Files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\CyberLink\LabelPrint" UpdateWithCreateOnce "Software\CyberLink\LabelPrint\2.5" [222504 2009-05-19] (CyberLink Corp.)
HKLM-x32\...\Run: [UpdateP2GoShortCut] "C:\Program Files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe" "C:\Program Files (x86)\CyberLink\Power2Go" UpdateWithCreateOnce "SOFTWARE\CyberLink\Power2Go\6.0" [222504 2009-05-19] (CyberLink Corp.)
HKLM-x32\...\Run: [Boingo Wi-Fi] "C:\Program Files (x86)\Boingo\Boingo Wi-Fi\Boingo.lnk" [x]
HKLM-x32\...\Run: [ATKOSD2] C:\Program Files (x86)\ASUS\ATK Package\ATKOSD2\ATKOSD2.exe [7109248 2010-01-13] (ASUS)
HKLM-x32\...\Run: [ATKMEDIA] C:\Program Files (x86)\ASUS\ATK Package\ATK Media\DMedia.exe [170624 2010-01-05] (ASUS)
HKLM-x32\...\Run: [HControlUser] C:\Program Files (x86)\ASUS\ATK Package\ATK Hotkey\HControlUser.exe [105016 2009-06-19] (ASUS)
HKLM-x32\...\Run: [S6000Mnt] C:\Windows\SysWOW64\Rundll32.exe S6000Rmv.dll,WinMainRmv /StartStillMnt [x]
HKLM-x32\...\Run: [PWRISOVM.EXE] C:\Program Files (x86)\PowerISO\PWRISOVM.EXE [180224 2010-04-12] (PowerISO Computing, Inc.)
HKLM-x32\...\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" [246504 2010-01-11] (Sun Microsystems, Inc.)
HKLM-x32\...\Run: [facemoods] "C:\Program Files (x86)\facemoods.com\facemoods\1.4.17.9\facemoodssrv.exe" /md I [x]
HKLM-x32\...\Run: [DVBLink MediaCenter Launcher] C:\Program Files (x86)\DVBLogic\DVBLink2\DVBLinkMCLauncher.exe [57856 2011-02-16] (DVBLogic)
HKLM-x32\...\Run: [anysee CNO] C:\Program Files (x86)\anysee\Driver\CNO.EXE [1323008 2011-04-21] ()
HKLM-x32\...\Run: [APSDaemon] "C:\Program Files (x86)\Common Files\Apple\Apple Application Support\APSDaemon.exe" [59720 2013-01-28] (Apple Inc.)
HKLM-x32\...\Run: [SwitchBoard] C:\Program Files (x86)\Common Files\Adobe\SwitchBoard\SwitchBoard.exe [517096 2010-02-19] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [AdobeCS5ServiceManager] "C:\Program Files (x86)\Common Files\Adobe\CS5ServiceManager\CS5ServiceManager.exe" -launchedbylogin [406992 2010-02-21] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Browser companion helper] C:\Program Files (x86)\BrowserCompanion\BCHelper.exe /T=3 /CHI=clbfjfbnelcflpgpklppgplejolacbej [187696 2011-12-15] (Blabbers Communications LTD)
HKLM-x32\...\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [958576 2013-04-04] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [avast] "C:\Program Files\Alwil Software\Avast5\avastUI.exe" /nogui [4297136 2012-10-30] (AVAST Software)
HKLM-x32\...\Run: [QuickTime Task] "C:\Program Files (x86)\QuickTime\QTTask.exe" -atboottime [421888 2012-10-24] (Apple Inc.)
HKLM-x32\...\Run: [iTunesHelper] "C:\Program Files (x86)\iTunes\iTunesHelper.exe" [152392 2013-02-20] (Apple Inc.)
HKU\asus\...\Run: [Steam] "C:\Program Files (x86)\Steam\Steam.exe" -silent [1635752 2013-05-03] (Valve Corporation)
HKU\asus\...\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background [3872080 2010-04-16] (Microsoft Corporation)
HKU\asus\...\Run: [EA Core] "C:\Program Files (x86)\Electronic Arts\EADM\Core.exe" -silent [x]
HKU\asus\...\Run: [DAEMON Tools Lite] "C:\Program Files (x86)\DAEMON Tools Lite\daemon.exe" -autorun [691656 2009-04-23] (DT Soft Ltd)
HKU\asus\...\Run: [RegistryBooster] "C:\Program Files (x86)\Uniblue\RegistryBooster\launcher.exe" delay 20000 [x]
HKU\asus\...\Run: [AdobeBridge] "C:\Program Files (x86)\Adobe\Adobe Bridge CS5\Bridge.exe" -stealth [11989960 2010-03-08] (Adobe Systems, Inc.)
HKU\asus\...\Run: [Spotify Web Helper] "C:\Users\asus\AppData\Roaming\Spotify\Data\SpotifyWebHelper.exe" [1105408 2013-05-04] (Spotify Ltd)
HKU\asus\...\Run: [Spotify] "C:\Users\asus\AppData\Roaming\Spotify\Spotify.exe" /uri spotify:autostart [4573184 2013-05-04] (Spotify Ltd)
HKU\asus\...\Winlogon: [Shell] explorer.exe,C:\Users\asus\AppData\Roaming\skype.dat [94208 2011-11-16] () <==== ATTENTION
HKU\UpdatusUser\...\Run: [swg] "C:\Program Files (x86)\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [39408 2010-07-02] (Google Inc.)
HKU\UpdatusUser\...\Run: [Steam] "C:\Program Files (x86)\Steam\Steam.exe" -silent [1635752 2013-05-03] (Valve Corporation)
HKU\UpdatusUser\...\Run: [msnmsgr] "C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe" /background [3872080 2010-04-16] (Microsoft Corporation)
HKU\UpdatusUser\...\Run: [EA Core] C:\Program Files (x86)\Electronic Arts\EADM\Core.exe -silent [x]
AppInit_DLLs: C:\Windows\system32\nvinitx.dll [226920 2011-06-04] (NVIDIA Corporation)
Startup: C:\ProgramData\Start Menu\Programs\Startup\BankID säkerhetsprogram.lnk
ShortcutTarget: BankID säkerhetsprogram.lnk -> C:\Program Files (x86)\Personal\bin\Personal.exe (Technology Nexus AB)
Startup: C:\ProgramData\Start Menu\Programs\Startup\FancyStart daemon.lnk
ShortcutTarget: FancyStart daemon.lnk -> C:\Windows\Installer\{F0DF4513-3C4C-4EB8-8012-2C5F70AF3988}\_A1DDD39913A1970387B7B3.exe ()
Startup: C:\ProgramData\Start Menu\Programs\Startup\McAfee Security Scan Plus.lnk
ShortcutTarget: McAfee Security Scan Plus.lnk -> C:\Program Files (x86)\McAfee Security Scan\3.0.318\SSScheduler.exe (McAfee, Inc.)
Startup: C:\ProgramData\Start Menu\Programs\Startup\Microsoft Office.lnk
ShortcutTarget: Microsoft Office.lnk -> C:\Program Files (x86)\Microsoft Office\Office10\OSA.EXE (Microsoft Corporation)
Startup: C:\ProgramData\Start Menu\Programs\Startup\SRS Premium Sound.lnk
ShortcutTarget: SRS Premium Sound.lnk -> C:\Windows\Installer\{E5CF6B9C-3ABE-43C9-9413-AD5FFC98F049}\NewShortcut5_21C7B668029A47458B27645FE6E4A715.exe (Acresso Software Inc.)
==================== Services (Whitelisted) =================
S2 ATKGFNEXSrv; C:\Program Files (x86)\ASUS\ATK Package\ATKGFNEX\GFNEXSrv.exe [96896 2009-12-15] (ASUS)
S2 avast! Antivirus; C:\Program Files\Alwil Software\Avast5\AvastSvc.exe [44808 2012-10-30] (AVAST Software)
S2 BrowserProtect; C:\ProgramData\BrowserProtect\2.5.986.67\{c16c1ccb-7046-4e5c-a2f3-533ad2fec8e8}\BrowserProtect.exe [2443800 2012-12-06] ()
S2 DVBLinkServer2; C:\Program Files (x86)\DVBLogic\DVBLink2\DVBLinkServer.exe [2024960 2011-02-16] (DVBLogic)
S3 McComponentHostService; C:\Program Files (x86)\McAfee Security Scan\3.0.318\McCHSvc.exe [235216 2013-02-05] (McAfee, Inc.)
S3 RichVideo; C:\Program Files (x86)\CyberLink\Shared files\RichVideo.exe [244904 2009-05-26] ()
S2 SfCtlCom; C:\Program Files\Trend Micro\Internet Security\SfCtlCom.exe [859712 2010-10-09] (Trend Micro Inc.)
S3 TMBMServer; C:\Program Files\Trend Micro\BM\TMBMSRV.exe [570632 2010-02-23] (Trend Micro Inc.)
S3 TmProxy; C:\Program Files\Trend Micro\Internet Security\TmProxy.exe [917768 2010-02-23] (Trend Micro Inc.)
S3 fsssvc; "C:\Program Files (x86)\Windows Live\Family Safety\fsssvc.exe" [x]
==================== Drivers (Whitelisted) ====================
S1 AMTBDA_P861F; C:\Windows\System32\DRIVERS\anyseeTU.SYS [853632 2011-04-21] (Windows (R) Win 7 DDK provider)
S2 aswFsBlk; C:\Windows\System32\Drivers\aswFsBlk.sys [25232 2012-10-30] (AVAST Software)
S2 aswMonFlt; C:\Windows\system32\drivers\aswMonFlt.sys [71600 2012-10-30] (AVAST Software)
S1 aswRdr; C:\Windows\System32\Drivers\aswrdr2.sys [54072 2012-10-15] (AVAST Software)
S1 aswSnx; C:\Windows\System32\Drivers\aswSnx.sys [984144 2012-10-30] (AVAST Software)
S1 aswSP; C:\Windows\System32\Drivers\aswSP.sys [370288 2012-10-30] (AVAST Software)
S1 aswTdi; C:\Windows\System32\Drivers\aswTdi.sys [59728 2012-10-30] (AVAST Software)
S3 dvblinkcap; C:\Windows\System32\DRIVERS\dvblinkcap.sys [18608 2010-11-23] (DVBLink)
S3 dvblinkcap2; C:\Windows\System32\DRIVERS\dvblinkcap2.sys [18608 2010-11-23] (DVBLink)
S3 dvblinkcap3; C:\Windows\System32\DRIVERS\dvblinkcap3.sys [18608 2010-11-23] (DVBLink)
S3 dvblinkcap4; C:\Windows\System32\DRIVERS\dvblinkcap4.sys [18608 2010-11-23] (DVBLink)
S3 dvblinktun; C:\Windows\System32\DRIVERS\dvblinktun.sys [20784 2010-11-23] (DVBLink)
S3 dvblinktun2; C:\Windows\System32\DRIVERS\dvblinktun2.sys [20784 2010-11-23] (DVBLink)
S3 dvblinktun3; C:\Windows\System32\DRIVERS\dvblinktun3.sys [20784 2010-11-23] (DVBLink)
S3 dvblinktun4; C:\Windows\System32\DRIVERS\dvblinktun4.sys [20784 2010-11-23] (DVBLink)
S3 kbfiltr; C:\Windows\System32\DRIVERS\kbfiltr.sys [15416 2009-07-20] ( )
S3 s1018bus; C:\Windows\System32\DRIVERS\s1018bus.sys [113704 2009-03-25] (MCCI Corporation)
S3 s1018mdfl; C:\Windows\System32\DRIVERS\s1018mdfl.sys [19496 2009-03-25] (MCCI Corporation)
S3 s1018mdm; C:\Windows\System32\DRIVERS\s1018mdm.sys [153128 2009-03-25] (MCCI Corporation)
S3 s1018mgmt; C:\Windows\System32\DRIVERS\s1018mgmt.sys [133160 2009-03-25] (MCCI Corporation)
S3 s1018nd5; C:\Windows\System32\DRIVERS\s1018nd5.sys [34856 2009-03-25] (MCCI Corporation)
S3 s1018obex; C:\Windows\System32\DRIVERS\s1018obex.sys [128552 2009-03-25] (MCCI Corporation)
S3 s1018unic; C:\Windows\System32\DRIVERS\s1018unic.sys [146472 2009-03-25] (MCCI Corporation)
S3 s1039bus; C:\Windows\System32\DRIVERS\s1039bus.sys [127600 2010-03-01] (MCCI Corporation)
S3 s1039mdfl; C:\Windows\System32\DRIVERS\s1039mdfl.sys [19568 2010-03-01] (MCCI Corporation)
S3 s1039mdm; C:\Windows\System32\DRIVERS\s1039mdm.sys [161904 2010-03-01] (MCCI Corporation)
S3 s1039mgmt; C:\Windows\System32\DRIVERS\s1039mgmt.sys [141424 2010-03-01] (MCCI Corporation)
S3 s1039nd5; C:\Windows\System32\DRIVERS\s1039nd5.sys [34416 2010-03-01] (MCCI Corporation)
S3 s1039obex; C:\Windows\System32\DRIVERS\s1039obex.sys [137328 2010-03-01] (MCCI Corporation)
S3 s1039unic; C:\Windows\System32\DRIVERS\s1039unic.sys [158320 2010-03-01] (MCCI Corporation)
S3 S6000KNT; C:\Windows\System32\Drivers\S6000KNT.sys [190464 2010-01-06] (Windows (R) Win 7 DDK provider)
S0 sptd; C:\Windows\System32\Drivers\sptd.sys [871408 2011-04-14] (Duplex Secure Ltd.)
S2 tmpreflt; C:\Windows\System32\DRIVERS\tmpreflt.sys [42576 2010-07-30] (Trend Micro Inc.)
S1 tmtdi; C:\Windows\System32\DRIVERS\tmtdi.sys [107536 2010-02-23] (Trend Micro Inc.)
S2 tmxpflt; C:\Windows\System32\DRIVERS\tmxpflt.sys [309840 2010-07-30] (Trend Micro Inc.)
S2 vsapint; C:\Windows\System32\DRIVERS\vsapint.sys [1988176 2010-07-30] (Trend Micro Inc.)
S3 tmlwf;
S3 tmwfp;
========================== Drivers MD5 =======================
C:\Windows\system32\DRIVERS\1394ohci.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\ACPI.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\acpipmi.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\adp94xx.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\adpahci.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\adpu320.sys ==> MD5 is legit
C:\Windows\system32\drivers\afd.sys DB9D6C6B2CD95A9CA414D045B627422E
C:\Windows\system32\DRIVERS\agp440.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\aliide.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\amdide.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\amdk8.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\amdppm.sys ==> MD5 is legit
C:\Windows\system32\drivers\amdsata.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\amdsbs.sys ==> MD5 is legit
C:\Windows\System32\drivers\amdxata.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\anyseeTU.SYS 9962D7FCE7F74604B7FFDF7887791AAC
C:\Windows\system32\drivers\appid.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\arc.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\arcsas.sys ==> MD5 is legit
C:\Program Files (x86)\ASUS\ATK Package\ATKGFNEX\ASMMAP64.sys 4C016FD76ED5C05E84CA8CAB77993961
C:\Windows\System32\Drivers\aswFsBlk.sys 4FCAEF0C5BE7629AEB878998E0FE959B
C:\Windows\system32\drivers\aswMonFlt.sys B50CDD87772D6A11CB90924AAD399DF8
C:\Windows\System32\Drivers\aswrdr2.sys 57768C7DB4681F2510F247F82EF31D4F
C:\Windows\System32\Drivers\aswSnx.sys E71D826A1F3CE9C9DE3E77F2D02AFFBF
C:\Windows\System32\Drivers\aswSP.sys 538A32E2C99BF073D4CA76C30BEDAA60
C:\Windows\System32\Drivers\aswTdi.sys 6EDC79D73745FD44C41B55B2D13D0B70
C:\Windows\System32\DRIVERS\asyncmac.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\atapi.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\athrx.sys 0ACC06FCF46F64ED4F11E57EE461C1F4
C:\Windows\system32\DRIVERS\bxvbda.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\b57nd60a.sys ==> MD5 is legit
C:\Windows\System32\Drivers\Beep.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\blbdrive.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\bowser.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\BrFiltLo.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\BrFiltUp.sys ==> MD5 is legit
C:\Windows\System32\Drivers\Brserid.sys ==> MD5 is legit
C:\Windows\System32\Drivers\BrSerWdm.sys ==> MD5 is legit
C:\Windows\System32\Drivers\BrUsbMdm.sys ==> MD5 is legit
C:\Windows\System32\Drivers\BrUsbSer.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\bthmodem.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\cdfs.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\cdrom.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\circlass.sys ==> MD5 is legit
C:\Windows\System32\CLFS.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\CmBatt.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\cmdide.sys ==> MD5 is legit
C:\Windows\System32\Drivers\cng.sys CA7720B73446FDDEC5C69519C1174C98
C:\Windows\System32\DRIVERS\compbatt.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\CompositeBus.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\crcdisk.sys ==> MD5 is legit
C:\Windows\System32\Drivers\dfsc.sys ==> MD5 is legit
C:\Windows\System32\drivers\discache.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\disk.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\Dot4.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\Dot4Prt.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\dot4usb.sys ==> MD5 is legit
C:\Windows\System32\drivers\drmkaud.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\dvblinkcap.sys 995DF6B3206C36F54874E4D0A2D9A61B
C:\Windows\System32\DRIVERS\dvblinkcap2.sys C37DA1210CD88D8512323A551D722A4E
C:\Windows\System32\DRIVERS\dvblinkcap3.sys 3C0BEF5AC71E06820CFB2A3F209FBD43
C:\Windows\System32\DRIVERS\dvblinkcap4.sys 7B0A1397B0AD817485B0C67EFE32B806
C:\Windows\System32\DRIVERS\dvblinktun.sys A907EC8DA123A6A145F796428EC4AAE7
C:\Windows\System32\DRIVERS\dvblinktun2.sys A8515847E89C4662E7DC379158E59032
C:\Windows\System32\DRIVERS\dvblinktun3.sys 3B8E70A36483027ADE062EBDBB2EFC31
C:\Windows\System32\DRIVERS\dvblinktun4.sys 9E35CC8B27136A01F5050C3529C73A6C
C:\Windows\System32\drivers\dxgkrnl.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\evbda.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\elxstor.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\errdev.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\ETD.sys 3C38648375B7F3988691F53A7AAE10A9
C:\Windows\System32\Drivers\exfat.sys ==> MD5 is legit
C:\Windows\System32\Drivers\fastfat.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\fdc.sys ==> MD5 is legit
C:\Windows\System32\drivers\fileinfo.sys ==> MD5 is legit
C:\Windows\System32\drivers\filetrace.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\flpydisk.sys ==> MD5 is legit
C:\Windows\System32\drivers\fltmgr.sys ==> MD5 is legit
C:\Windows\System32\drivers\FsDepends.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\fssfltr.sys 5814011B2F6E088E29D689B5FCD49B8F
C:\Windows\System32\Drivers\Fs_Rec.sys D3E3F93D67821A2DB2B3D9FAC2DC2064
C:\Windows\System32\DRIVERS\fvevol.sys 1F44F8559E61A8306ECC67BB1E168B7C
C:\Windows\system32\DRIVERS\gagp30kx.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\GEARAspiWDM.sys 8E98D21EE06192492A5671A6144D092F
C:\Windows\system32\drivers\hcw85cir.sys ==> MD5 is legit
C:\Windows\System32\drivers\HdAudio.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\HDAudBus.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\HECIx64.sys B6AC71AAA2B10848F57FC49D55A651AF
C:\Windows\system32\DRIVERS\HidBatt.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\hidbth.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\hidir.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\hidusb.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\HpSAMD.sys ==> MD5 is legit
C:\Windows\System32\drivers\HTTP.sys ==> MD5 is legit
C:\Windows\System32\drivers\hwpolicy.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\i8042prt.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\iaStor.sys 42E00996DFC13C46366689C0EA8ABC5E
C:\Windows\system32\drivers\iaStorV.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\igdkmd64.sys 677AA5991026A65ADA128C4B59CF2BAD
C:\Windows\system32\DRIVERS\iirsp.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\Impcd.sys DD587A55390ED2295BCE6D36AD567DA9
C:\Windows\System32\drivers\RTKVHD64.sys 53019327813FF5AB2964B33B2C61307C
C:\Windows\System32\DRIVERS\IntcDAud.sys 58CF58DEE26C909BD6F977B61D246295
C:\Windows\system32\DRIVERS\intelide.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\intelppm.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\ipfltdrv.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\IPMIDrv.sys ==> MD5 is legit
C:\Windows\System32\drivers\ipnat.sys ==> MD5 is legit
C:\Windows\System32\drivers\irenum.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\isapnp.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\msiscsi.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\kbdclass.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\kbdhid.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\kbfiltr.sys E63EF8C3271D014F14E2469CE75FECB4
C:\Windows\System32\Drivers\ksecdd.sys 4F4B5FDE429416877DE7143044582EB5
C:\Windows\System32\Drivers\ksecpkg.sys 6F40465A44ECDC1731BEFAFEC5BDD03C
C:\Windows\system32\drivers\ksthunk.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\L1C62x64.sys B4A3A05B0F9C81D098B96AB6AA915042
C:\Windows\System32\DRIVERS\lltdio.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\lsi_fc.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\lsi_sas.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\lsi_sas2.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\lsi_scsi.sys ==> MD5 is legit
C:\Windows\system32\drivers\luafv.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\lullaby.sys 085435AE1A124361304044029B5CC644
C:\Windows\system32\DRIVERS\megasas.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\MegaSR.sys ==> MD5 is legit
C:\Windows\System32\drivers\modem.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\monitor.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\mouclass.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\mouhid.sys ==> MD5 is legit
C:\Windows\System32\drivers\mountmgr.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\mpio.sys ==> MD5 is legit
C:\Windows\System32\drivers\mpsdrv.sys ==> MD5 is legit
C:\Windows\system32\drivers\mrxdav.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\mrxsmb.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\mrxsmb10.sys F0067552F8F9B33D7C59403AB808A3CB
C:\Windows\System32\DRIVERS\mrxsmb20.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\msahci.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\msdsm.sys ==> MD5 is legit
C:\Windows\System32\Drivers\Msfs.sys ==> MD5 is legit
C:\Windows\System32\drivers\mshidkmdf.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\msisadrv.sys ==> MD5 is legit
C:\Windows\System32\drivers\MSKSSRV.sys ==> MD5 is legit
C:\Windows\System32\drivers\MSPCLOCK.sys ==> MD5 is legit
C:\Windows\System32\drivers\MSPQM.sys ==> MD5 is legit
C:\Windows\System32\Drivers\MsRPC.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\mssmbios.sys ==> MD5 is legit
C:\Windows\System32\drivers\MSTEE.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\MTConfig.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\ATK64AMD.sys 032D35C996F21D19A205A7C8F0B76F3C
C:\Windows\System32\Drivers\mup.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\nwifi.sys ==> MD5 is legit
C:\Windows\System32\drivers\ndis.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\ndiscap.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\ndistapi.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\ndisuio.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\ndiswan.sys ==> MD5 is legit
C:\Windows\System32\Drivers\NDProxy.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\netaapl64.sys 307BC83250FC8E3B2878D81E7D760299
C:\Windows\System32\DRIVERS\netbios.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\netbt.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\nfrd960.sys ==> MD5 is legit
C:\Windows\System32\Drivers\Npfs.sys ==> MD5 is legit
C:\Windows\System32\drivers\nsiproxy.sys ==> MD5 is legit
C:\Windows\System32\Drivers\Ntfs.sys 9A6089B056EA1B83B36424FC9D0A300E
C:\Windows\System32\Drivers\Null.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\nvlddmkm.sys 70E89A21827B2669AF906B703C7C48B5
C:\Windows\System32\DRIVERS\nvpciflt.sys 4B9C0C2BF78289513101EB0D44834701
C:\Windows\system32\drivers\nvraid.sys ==> MD5 is legit
C:\Windows\system32\drivers\nvstor.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\nv_agp.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\ohci1394.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\parport.sys ==> MD5 is legit
C:\Windows\System32\drivers\partmgr.sys 90061B1ACFE8CCAA5345750FFE08D8B8
C:\Windows\System32\DRIVERS\pci.sys ==> MD5 is legit
C:\Windows\System32\drivers\pciide.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\pcmcia.sys ==> MD5 is legit
C:\Windows\System32\drivers\pcw.sys ==> MD5 is legit
C:\Windows\System32\drivers\peauth.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\raspptp.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\processr.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\pacer.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\ql2300.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\ql40xx.sys ==> MD5 is legit
C:\Windows\system32\drivers\qwavedrv.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\rasacd.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\AgileVpn.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\rasl2tp.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\raspppoe.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\rassstp.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\rdbss.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\rdpbus.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\RDPCDD.sys ==> MD5 is legit
C:\Windows\System32\drivers\rdpencdd.sys ==> MD5 is legit
C:\Windows\System32\drivers\rdprefmp.sys ==> MD5 is legit
C:\Windows\System32\Drivers\RDPWD.sys 447DE7E3DEA39D422C1504F245B668B1
C:\Windows\System32\drivers\rdyboost.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\rspndr.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\s1018bus.sys 301FBA4594FB5C0A469299A65106B4AA
C:\Windows\System32\DRIVERS\s1018mdfl.sys D1D7C744F79710357E60FC04D125ED01
C:\Windows\System32\DRIVERS\s1018mdm.sys 7DBE12CCCD837D4266B2DDD80A329C09
C:\Windows\System32\DRIVERS\s1018mgmt.sys 065FF5E62D2D18A6D93FD925546CD549
C:\Windows\System32\DRIVERS\s1018nd5.sys 5101D815BDF0D667E3D5F0EA727CAAEE
C:\Windows\System32\DRIVERS\s1018obex.sys 13F220C65B444AC9BDA49DACFC3230BB
C:\Windows\System32\DRIVERS\s1018unic.sys CE7D8BCE80211D8A35F6BD7A87791860
C:\Windows\System32\DRIVERS\s1039bus.sys 6C66E50DEC6110295E695D0DC6D688AA
C:\Windows\System32\DRIVERS\s1039mdfl.sys 5AC9F0ECB376D231E594CB3C1B68AC5B
C:\Windows\System32\DRIVERS\s1039mdm.sys 52D85A217D36B34B7D2318BE41BE6250
C:\Windows\System32\DRIVERS\s1039mgmt.sys 7C3AB138A9C902CE098203AB065F41CC
C:\Windows\System32\DRIVERS\s1039nd5.sys 9607D3A282EECD8600372EC97303B75B
C:\Windows\System32\DRIVERS\s1039obex.sys 012295DD23241EB7D2040624D77228C7
C:\Windows\System32\DRIVERS\s1039unic.sys B93D44200A42DDF6B421F347F24FD85E
C:\Windows\System32\Drivers\S6000KNT.sys 080609766230772476F8B7D2CEAC9E1E
C:\Windows\system32\DRIVERS\sbp2port.sys ==> MD5 is legit
C:\Windows\System32\Drivers\SCDEmu.sys 6CE6F98EA3D07A9C2CE3CD0A5A86352D
C:\Windows\System32\DRIVERS\scfilter.sys ==> MD5 is legit
C:\Windows\System32\Drivers\secdrv.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\serenum.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\serial.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\sermouse.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\sffdisk.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\sffp_mmc.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\sffp_sd.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\sfloppy.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\SiSG664.sys 1BC348CF6BAA90EC8E533EF6E6A69933
C:\Windows\system32\DRIVERS\SiSRaid2.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\sisraid4.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\smb.sys ==> MD5 is legit
C:\Windows\System32\Drivers\spldr.sys ==> MD5 is legit
C:\Windows\System32\Drivers\sptd.sys 88E5162E58C8919CC873F5D8946197CF
C:\Windows\System32\DRIVERS\srv.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\srv2.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\srvnet.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\stexstor.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\swenum.sys ==> MD5 is legit
C:\Windows\System32\drivers\tcpip.sys 5CFB7AB8F9524D1A1E14369DE63B83CC
C:\Windows\System32\DRIVERS\tcpip.sys 5CFB7AB8F9524D1A1E14369DE63B83CC
C:\Windows\System32\drivers\tcpipreg.sys ==> MD5 is legit
C:\Windows\System32\drivers\tdpipe.sys ==> MD5 is legit
C:\Windows\System32\drivers\tdtcp.sys 7518F7BCFD4B308ABC9192BACAF6C970
C:\Windows\System32\DRIVERS\tdx.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\termdd.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\tmpreflt.sys 803EE35DF92815EA5D41CEE7410C8CC1
C:\Windows\System32\DRIVERS\tmtdi.sys 21CC12B7F8B44E91D03EAD5B17AAF0B2
C:\Windows\System32\DRIVERS\tmxpflt.sys 9BD32132A3470CEFB3CBEA5FA492BD6F
C:\Windows\System32\DRIVERS\tssecsrv.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\tunnel.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\uagp35.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\udfs.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\uliagpkx.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\umbus.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\umpass.sys ==> MD5 is legit
C:\Windows\System32\Drivers\usbaapl64.sys C9E9D59C0099A9FF51697E9306A44240
C:\Windows\System32\DRIVERS\usbccgp.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\usbcir.sys ==> MD5 is legit
C:\Windows\system32\drivers\usbehci.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\usbhub.sys ==> MD5 is legit
C:\Windows\system32\drivers\usbohci.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\usbprint.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\usbscan.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\USBSTOR.SYS ==> MD5 is legit
C:\Windows\system32\drivers\usbuhci.sys ==> MD5 is legit
C:\Windows\System32\Drivers\usbvideo.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\vdrvroot.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\vgapnp.sys ==> MD5 is legit
C:\Windows\System32\drivers\vga.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\vhdmp.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\viaide.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\volmgr.sys ==> MD5 is legit
C:\Windows\System32\drivers\volmgrx.sys ==> MD5 is legit
C:\Windows\System32\drivers\volsnap.sys 9E425AC5C9A5A973273D169F43B4F5E1
C:\Windows\System32\DRIVERS\vsapint.sys B01CE1F5A44126892240D179A6DBD43F
C:\Windows\system32\DRIVERS\vsmraid.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\vwifibus.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\vwififlt.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\vwifimp.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\wacompen.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\wanarp.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\wanarp.sys ==> MD5 is legit
C:\Windows\system32\DRIVERS\wd.sys ==> MD5 is legit
C:\Windows\System32\drivers\Wdf01000.sys 442783E2CB0DA19873B7A63833FF4CB4
C:\Windows\System32\DRIVERS\wfplwf.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\wimfltr.sys 52DED146E4797E6CCF94799E8E22BB2A
C:\Windows\SysWow64\drivers\wimmount.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\WinUsb.sys ==> MD5 is legit
C:\Windows\System32\DRIVERS\wmiacpi.sys ==> MD5 is legit
C:\Windows\system32\drivers\ws2ifsl.sys ==> MD5 is legit
C:\Windows\System32\drivers\WudfPf.sys AB886378EEB55C6C75B4F2D14B6C869F
C:\Windows\System32\DRIVERS\WUDFRd.sys DDA4CAF29D8C0A297F886BFE561E6659
==================== NetSvcs (Whitelisted) ===================
==================== One Month Created Files and Folders ========
2013-05-21 19:24 - 2013-05-21 19:24 - 00000000 ____D C:\FRST
2013-05-21 07:32 - 2013-05-21 07:32 - 00003224 ____N C:\bootsqm.dat
2013-05-21 07:08 - 2013-05-21 10:37 - 00000004 ____A C:\Users\asus\AppData\Roaming\skype.ini
2013-05-20 12:48 - 2013-05-20 12:48 - 00000000 ____D C:\Windows\System32\SPReview
2013-05-11 09:43 - 2013-05-11 09:44 - 00000000 ____D C:\Users\asus\Downloads\Texas.Chainsaw.2013.SWESUB.BDRip.XviD.AC3-Fuvisa
2013-05-09 06:02 - 2013-05-20 12:46 - 00000000 ____D C:\Users\asus\Downloads\Greys.Anatomy.S03.SWESUB.DVDRip.XviD-NaXii
2013-05-05 05:37 - 2013-05-05 05:37 - 00001785 ____A C:\Users\Public\Desktop\iTunes.lnk
2013-05-05 05:37 - 2012-08-21 03:01 - 00033240 ____A (GEAR Software Inc.) C:\Windows\System32\Drivers\GEARAspiWDM.sys
2013-05-05 05:36 - 2013-05-05 05:37 - 00000000 ____D C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
2013-05-05 05:36 - 2013-05-05 05:37 - 00000000 ____D C:\Program Files\iTunes
2013-05-05 05:36 - 2013-05-05 05:36 - 00000000 ____D C:\Program Files\iPod
2013-05-05 05:36 - 2013-05-05 05:36 - 00000000 ____D C:\Program Files (x86)\iTunes
2013-05-05 05:30 - 2013-05-05 05:30 - 00001847 ____A C:\Users\Public\Desktop\QuickTime Player.lnk
2013-05-05 05:30 - 2013-05-05 05:30 - 00000000 ____D C:\Program Files (x86)\QuickTime
2013-05-01 08:40 - 2013-05-01 08:41 - 00000000 ____D C:\FM Genie Scout 13
2013-05-01 08:40 - 2013-05-01 08:40 - 00000691 ____A C:\Users\Public\Desktop\FM Genie Scout 13.lnk
2013-05-01 08:40 - 2013-05-01 08:40 - 00000000 ____D C:\Users\asus\Downloads\genie13_setup_1.0_13.3.3_b344
2013-04-24 07:53 - 2013-04-12 06:36 - 01653096 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\ntfs.sys
==================== One Month Modified Files and Folders =======
2013-05-21 19:24 - 2013-05-21 19:24 - 00000000 ____D C:\FRST
2013-05-21 10:39 - 2010-07-02 19:43 - 01539100 ____A C:\Windows\WindowsUpdate.log
2013-05-21 10:37 - 2013-05-21 07:08 - 00000004 ____A C:\Users\asus\AppData\Roaming\skype.ini
2013-05-21 10:37 - 2011-01-30 04:57 - 00000342 ____A C:\Windows\Tasks\RegistryBooster.job
2013-05-21 10:37 - 2010-12-17 12:30 - 00000000 ____D C:\Users\asus\AppData\Roaming\Spotify
2013-05-21 10:34 - 2010-12-20 12:19 - 00000000 ____D C:\Users\asus\Tracing
2013-05-21 10:34 - 2010-12-20 08:03 - 00000000 ____D C:\Program Files (x86)\Steam
2013-05-21 10:34 - 2010-07-02 20:09 - 00001004 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-05-21 10:33 - 2009-07-13 20:45 - 00010240 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-05-21 10:33 - 2009-07-13 20:45 - 00010240 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-05-21 10:29 - 2012-09-25 11:25 - 00000868 ____A C:\Windows\Tasks\Adobe Flash Player Updater.job
2013-05-21 10:24 - 2009-07-13 21:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-05-21 10:23 - 2009-07-13 20:51 - 00199898 ____A C:\Windows\setupact.log
2013-05-21 07:38 - 2010-12-17 12:30 - 00000000 ____D C:\Users\asus\AppData\Local\Spotify
2013-05-21 07:32 - 2013-05-21 07:32 - 00003224 ____N C:\bootsqm.dat
2013-05-20 12:48 - 2013-05-20 12:48 - 00000000 ____D C:\Windows\System32\SPReview
2013-05-20 12:48 - 2010-07-02 20:09 - 00001008 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-05-20 12:46 - 2013-05-09 06:02 - 00000000 ____D C:\Users\asus\Downloads\Greys.Anatomy.S03.SWESUB.DVDRip.XviD-NaXii
2013-05-20 05:06 - 2010-08-17 12:07 - 00045056 ____A C:\Windows\System32\acovcnt.exe
2013-05-19 13:30 - 2012-03-09 00:28 - 00000000 ____D C:\Program Files (x86)\DealPly
2013-05-18 00:02 - 2010-07-28 09:32 - 00000000 ____D C:\Windows\System32\Service
2013-05-15 13:05 - 2011-01-02 12:51 - 75016696 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-05-15 12:29 - 2012-09-25 11:25 - 00692104 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerApp.exe
2013-05-15 12:29 - 2012-02-08 06:28 - 00071048 ____A (Adobe Systems Incorporated) C:\Windows\SysWOW64\FlashPlayerCPLApp.cpl
2013-05-11 13:50 - 2012-09-20 11:55 - 00000000 ____D C:\Users\asus\AppData\Roaming\uTorrent
2013-05-11 09:44 - 2013-05-11 09:43 - 00000000 ____D C:\Users\asus\Downloads\Texas.Chainsaw.2013.SWESUB.BDRip.XviD.AC3-Fuvisa
2013-05-10 07:10 - 2009-08-04 02:58 - 00661972 ____A C:\Windows\System32\perfh01D.dat
2013-05-10 07:10 - 2009-08-04 02:58 - 00141742 ____A C:\Windows\System32\perfc01D.dat
2013-05-10 07:10 - 2009-07-13 21:13 - 01574104 ____A C:\Windows\System32\PerfStringBackup.INI
2013-05-05 05:37 - 2013-05-05 05:37 - 00001785 ____A C:\Users\Public\Desktop\iTunes.lnk
2013-05-05 05:37 - 2013-05-05 05:36 - 00000000 ____D C:\ProgramData\34BE82C4-E596-4e99-A191-52C6199EBF69
2013-05-05 05:37 - 2013-05-05 05:36 - 00000000 ____D C:\Program Files\iTunes
2013-05-05 05:36 - 2013-05-05 05:36 - 00000000 ____D C:\Program Files\iPod
2013-05-05 05:36 - 2013-05-05 05:36 - 00000000 ____D C:\Program Files (x86)\iTunes
2013-05-05 05:30 - 2013-05-05 05:30 - 00001847 ____A C:\Users\Public\Desktop\QuickTime Player.lnk
2013-05-05 05:30 - 2013-05-05 05:30 - 00000000 ____D C:\Program Files (x86)\QuickTime
2013-05-01 08:41 - 2013-05-01 08:40 - 00000000 ____D C:\FM Genie Scout 13
2013-05-01 08:40 - 2013-05-01 08:40 - 00000691 ____A C:\Users\Public\Desktop\FM Genie Scout 13.lnk
2013-05-01 08:40 - 2013-05-01 08:40 - 00000000 ____D C:\Users\asus\Downloads\genie13_setup_1.0_13.3.3_b344
2013-04-27 12:08 - 2012-09-20 11:55 - 00000000 ____D C:\Program Files (x86)\uTorrent
2013-04-27 05:30 - 2013-03-28 12:30 - 00000000 ____D C:\Users\asus\Documents\Hyra
2013-04-27 05:14 - 2012-10-07 04:35 - 00000000 ____D C:\Program Files (x86)\Mozilla Maintenance Service
2013-04-24 07:51 - 2012-12-06 03:20 - 00000000 ____D C:\Program Files (x86)\Mozilla Firefox
2013-04-24 07:42 - 2009-07-13 21:08 - 00032514 ____A C:\Windows\Tasks\SCHEDLGU.TXT
Other Malware:
===========
C:\ProgramData\FullRemove.exe
C:\Users\asus\BitLord_1.01.exe
C:\Users\asus\Silverlight.exe
C:\Users\asus\winrar.exe
C:\Users\asus\wlsetup-web.exe
C:\Users\asus\AppData\Roaming\skype.dat
C:\Users\asus\AppData\Roaming\skype.ini
==================== Known DLLs (Whitelisted) ================
==================== Bamital & volsnap Check =================
C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit
==================== EXE ASSOCIATION =====================
HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK
==================== Restore Points =========================
==================== BCD ================================
Windows Boot Manager
--------------------
identifier {bootmgr}
device boot
description Windows Boot Manager
locale sv-SE
inherit {globalsettings}
default {default}
resumeobject {8cb2d9b0-7c05-11de-842e-b4611d44fefa}
displayorder {default}
toolsdisplayorder {memdiag}
timeout 30
Windows Boot Loader
-------------------
identifier {572bcd56-ffa7-11d9-aae0-0007e994107d}
device ramdisk=[\Device\HarddiskVolume1]\winre.wim,{ad6c7bc8-fa0f-11da-8ddf-0013200354d8}
path \windows\system32\boot\winload.exe
description Windows Recovery Environment
osdevice ramdisk=[\Device\HarddiskVolume1]\winre.wim,{ad6c7bc8-fa0f-11da-8ddf-0013200354d8}
systemroot \windows
nx OptIn
detecthal Yes
winpe Yes
Windows Boot Loader
-------------------
identifier {default}
device boot
path \Windows\system32\winload.exe
description Windows 7
locale sv-SE
inherit {bootloadersettings}
recoverysequence {current}
recoveryenabled Yes
osdevice boot
systemroot \Windows
resumeobject {8cb2d9b0-7c05-11de-842e-b4611d44fefa}
nx OptIn
Windows Boot Loader
-------------------
identifier {current}
device ramdisk=[C:]\Recovery\8cb2d9b4-7c05-11de-842e-b4611d44fefa\Winre.wim,{8cb2d9b5-7c05-11de-842e-b4611d44fefa}
path \windows\system32\winload.exe
description Windows Recovery Environment
inherit {bootloadersettings}
osdevice ramdisk=[C:]\Recovery\8cb2d9b4-7c05-11de-842e-b4611d44fefa\Winre.wim,{8cb2d9b5-7c05-11de-842e-b4611d44fefa}
systemroot \windows
nx OptIn
winpe Yes
Resume from Hibernate
---------------------
identifier {8cb2d9b0-7c05-11de-842e-b4611d44fefa}
device boot
path \Windows\system32\winresume.exe
description Windows Resume Application
locale sv-SE
inherit {resumeloadersettings}
filedevice partition=C:
filepath \hiberfil.sys
debugoptionenabled No
Windows Memory Tester
---------------------
identifier {memdiag}
device unknown
path \boot\memtest.exe
description Windows Memory Diagnostic
locale sv-SE
inherit {globalsettings}
badmemoryaccess Yes
EMS Settings
------------
identifier {emssettings}
bootems Yes
Debugger Settings
-----------------
identifier {dbgsettings}
debugtype Serial
debugport 1
baudrate 115200
RAM Defects
-----------
identifier {badmemory}
Global Settings
---------------
identifier {globalsettings}
inherit {dbgsettings}
{emssettings}
{badmemory}
Boot Loader Settings
--------------------
identifier {bootloadersettings}
inherit {globalsettings}
{hypervisorsettings}
Hypervisor Settings
-------------------
identifier {hypervisorsettings}
hypervisordebugtype Serial
hypervisordebugport 1
hypervisorbaudrate 115200
Resume Loader Settings
----------------------
identifier {resumeloadersettings}
inherit {globalsettings}
Device options
--------------
identifier {8cb2d9b5-7c05-11de-842e-b4611d44fefa}
description Ramdisk Options
ramdisksdidevice partition=C:
ramdisksdipath \Recovery\8cb2d9b4-7c05-11de-842e-b4611d44fefa\boot.sdi
Device options
--------------
identifier {ad6c7bc8-fa0f-11da-8ddf-0013200354d8}
description Ramdisk Device Options
ramdisksdidevice partition=\Device\HarddiskVolume1
ramdisksdipath \boot.sdi
==================== Memory info ===========================
Percentage of memory in use: 15%
Total physical RAM: 3885.54 MB
Available physical RAM: 3293.59 MB
Total Pagefile: 3883.68 MB
Available Pagefile: 3296.58 MB
Total Virtual: 8192 MB
Available Virtual: 8191.89 MB
==================== Drives ================================
Drive c: (OS) (Fixed) (Total:149.04 GB) (Free:21.21 GB) NTFS (Disk=0 Partition=2) ==>[System with boot components (obtained from reading drive)]
Drive d: (Data) (Fixed) (Total:427.59 GB) (Free:419.79 GB) NTFS (Disk=0 Partition=3)
Drive f: () (Removable) (Total:1.88 GB) (Free:1.88 GB) FAT (Disk=1 Partition=1)
Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
==================== MBR & Partition Table ==================
========================================================
Disk: 0 (MBR Code: Windows 7 or 8) (Size: 596 GB) (Disk ID: 03D9FFD6)
Partition 1: (Not Active) - (Size=20 GB) - (Type=1C)
Partition 2: (Active) - (Size=149 GB) - (Type=07 NTFS)
Partition 3: (Not Active) - (Size=428 GB) - (Type=OF Extended)
========================================================
Disk: 1 (Size: 2 GB) (Disk ID: 91F72D24)
Partition 1: (Active) - (Size=2 GB) - (Type=06)
Last Boot: 2013-05-18 01:12
==================== End Of Log ============================
Citera flera
Citera
Starta Anteckningar.
Kopiera alla rader i rutan:
HKU\asus\...\Winlogon: [Shell] explorer.exe,C:\Users\asus\AppData\Roaming\skype.dat [94208 2011-11-16] () <==== ATTENTION
2013-05-21 07:08 - 2013-05-21 10:37 - 00000004 ____A C:\Users\asus\AppData\Roaming\skype.ini
och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.
Spara filen på USB-minnet med namnet fixlist.txt.
På den infekterade datorn från "System Recovery Options"
Starta FRST64 på samma sätt som sist.
Klicka på knappen Fix.
Vänta tills programmet är klart.
Programmet skapar en logg Fixlog.txt på USB-minnet.
Klistra in innehållet i den i ditt svar.
Se om den infekterade datorn nu går att starta.
Eftersom det är mer som behöver rensas bort från datorn, så följ anvisningarna i tråden Till dig med virus eller andra skadliga program i datorn så gott det går och klistra in loggarna i ditt svar.
Citera flera
Citera
Skrivet av CeciliaB:
Starta Anteckningar.
Kopiera alla rader i rutan:
HKU\asus\...\Winlogon: [Shell] explorer.exe,C:\Users\asus\AppData\Roaming\skype.dat [94208 2011-11-16] () <==== ATTENTION
2013-05-21 07:08 - 2013-05-21 10:37 - 00000004 ____A C:\Users\asus\AppData\Roaming\skype.ini
och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.
Spara filen på USB-minnet med namnet fixlist.txt.
På den infekterade datorn från "System Recovery Options"
Starta FRST64 på samma sätt som sist.
Klicka på knappen Fix.
Vänta tills programmet är klart.
Programmet skapar en logg Fixlog.txt på USB-minnet.
Se om den infekterade datorn nu går att starta.
Eftersom det är mer som behöver rensas bort från datorn, så följ anvisningarna i tråden Till dig med virus eller andra skadliga program i datorn så gott det går och klistra in loggarna i ditt svar.
Datorn startade!=)
Det som stod i loggen var följande:
Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 21-05-2013 02
Ran by SYSTEM at 2013-05-22 17:54:50 Run:1
Running from F:\
Boot Mode: Recovery
==============================================
HKEY_USERS\asus\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell => Value deleted successfully.
==== End of Fixlog ====
Citera flera
Citera
En kompis fick det här viruset och man kan också fixa det genom att återställa datorn med hjälp av en återställnings punkt
Senast redigerat
Visa signatur
The honey badger doesn't care.
Citera flera
Citera
Jättebra Ambition ! Men :
Skrivet av upr0426:
Det har börjat sprida sig ett nytt sort trojan eller virus som blockerar operativsystemet och säger att polisen har blockerat din dator och att du måste betala böter och kan köpa något på 7eleven och skicka till ett mobilnummer eller adress. Detta är en total bluff gör det inte!
Det är en sorts Trojan som genom att tvinga fram en skärmbild lurar användaren att tro Operativet är låst
Skrivet av upr0426:
Steg 1: Starta datorn så du kommer in på själva sidan där det står att polisen blockerat din dator.
Steg 5: Starta din webbläsare (chrome, internet explorer, firefox m.m).
Steg 6: Gå in på google och sök: Norton Power Eraser och scrolla ner till det står:
Steg 1 låter dumt. Man skall istället stänga ner datorn och fysiskt bryta den från in/utgående Nätverkstrafik.
Peta bort Wifi knappen alltså. Har man en nätverkskabel eller usb-modem disconnetar du dessa.
Steg 2 är Informationshantering. Söka runt på flera tips och forum och sortera fram resultat andra lyckats med som har liknande miljö som du själv har...samma operativ,webbläsare dvs.
Steg 3 är att identifiera vad man drabbats av.
Har man fått in denna ukash-Trojan är chansen stor man har annat skräp, Och var man inloggad som administratör på en windowsmaskin? Bye bye då är risken stor att även registernycklar ändrats. En riktad attack i samma skede (när du endast stirrade på en PolisBild) kan även planterat kod varsomhelst, även i rescue partitionen osv.
Steg 4. Är att starta i felsäkert läge / scanna datorn utan att boota operativet. Läs endast som" slave" dvs via usbminnen/annan värddator
utan nätverk och helt enkelt initiera din åtgärdsplan. Kan se mycket olika ut, men innan man hämtar hem random programvara kan man faktiskt
manuellt leta efter nya .exe filer samt med stor sannolikhet få bort bilden genom att kolla msconfig /autostarten.
Jag vet inte hur Antivirus-Utvecklarna gör men man borde arbeta efter samma princip som med dataåterskapning-räddning:
-Läs bara data/information utan åtgärd först
-Skapa en arbetskopia / snapshot helt enkelt för att använda i simulerad miljö (virtuell labbexperiment)
-Utvärdera bästa åtgärden,efter elva försök i en virtuell dator kanske man till sist kan anse att aktiviteten verkar normal med SysInternals...
-Applicera metoden på originalet.
Steg 5. Är alltså då att göra en uppföljning . Är allting borta? Och hur ska man undvika det i framtiden
Skrivet av upr0426:
Norton Power Eraser - Symantec Security Check
security.symantec.com/nbrt/npe.aspx - Översätt den här sidan
Norton Power Eraser is a FREE tool that will easily detect and remove threats from your computer such as rootkits, Fake AV, rogueware, and scamware.
Ladda ned Norton Power Eraser
Om du har blivit utsatt för crimeware som inte upptäcks i ...
Fler resultat från symantec.com »
Huh? Copy Paste
Tack för ditt engagemang ändå. Jag själv blev av med denna Ukash/Polis trojan på 3 datorer med samma metodik där man försöker göra rätt saker, i rätt ordning med precision. Är man osäker kan man alltid lämna in en dator, att formatera och göra en ny clean installation är väl last-option....
Mvh
Visa signatur
Akvatisk Biodiversitet. --2013 Jag lämnar Sweclockers forum. Det är tamejfan högre nivå på Flashback. Verkar hänga mest kids här som inte kan läsa utan bara svamlar. --
Citera flera
Citera
Skrivet av Gimbergsson:
En kopis fick det här viruset och man kan också fixa det genom att återställa datorn med hjälp av en återställnings punkt
Fel.
Din koPis var antagligen inloggad som administratör, då finns det i princip inga gränser för var skadlig kod kan ha körts.
Registernycklar mfl kan vara modifierade så en systemRestorePunkt hjälper föga. Bra naiv och antagligen drabbad av ännu mer elände som han inte vet om kan vi iallafall påstå att din koPis är
Visa signatur
Akvatisk Biodiversitet. --2013 Jag lämnar Sweclockers forum. Det är tamejfan högre nivå på Flashback. Verkar hänga mest kids här som inte kan läsa utan bara svamlar. --
Citera flera
Citera
Som någon skrev ovan, felsäkert läge, ctrl+alt+delete, hitta processen som heter nåt helt absurdt och ta bort den, navigera sedan till den och ta bort .exe filen. Klart...
Citera flera
Citera
Hårdvara
- Idag Airtec Pro Type1 – batteridrivet alternativ till tryckluft på burk 44
- Idag Nu stiger hårddiskpriserna med uppemot 10 procent 12
- Idag Analytiker: Apple har överskattat intresset för Vision Pro 50
- Igår AMD, Nvidia och Intel – vad är det för skillnad mellan grafikkortstillverkarna? 26
- Igår Testpilot: MSI MPG 271QRX - Färgsprakande OLED i 360 Hz 13
Mjukvara
Datorkomponenter
Ljud, bild och kommunikation
- Nu stiger hårddiskpriserna med uppemot 10 procent12
- Ingen som är taggad på att se nya Dune?, Bioprimär idag 15 sep165
- Posta din hastighet!2442
- Vad lyssnar du på just nu?13892
- Konsumentverket granskar tio nätbutiker som lurat kunder10
- Elbilar - Tråden för intresserade23177
- Telenors router och netgear sammankopplade0
- Quiz: Vad kan du om Inet?68
- Torrent funkar inte efter återställning15
- LLama3 eller "Hur kan en språkmodell stapla saker?"41
- Köpes Luftkylning och Fläktar
- Köpes Nvidia Quadro P400,600 eller 620
- Säljes Dell Latitude 7530 15,6”
- Köpes Önskar köpa 6700xt eller 3070
- Säljes Asus Geforce RTX 2070 8GB Strix Gaming OC
- Köpes Köper bärbara datorer, trasiga, utan skärm etc.
- Säljes Lenovo Thinkcentre M73
- Säljes Lenovo Legion Slim 5 14” OLED
- Säljes Asus VG248 24"
- Säljes AMD Ryzen 5 3400G inkl kylare
- Konsumentverket granskar tio nätbutiker som lurat kunder10
- Airtec Pro Type1 – batteridrivet alternativ till tryckluft på burk44
- Nintendo-innehåll tas bort från Garrys Mod15
- Nu stiger hårddiskpriserna med uppemot 10 procent12
- Quiz: Vad kan du om Inet?68
- Analytiker: Apple har överskattat intresset för Vision Pro50
- Microsoft rullar ut Startmenyreklam till alla59
- EU röstar igenom ”rätten att reparera”53
- Viaplay sätter ner foten mot delade konton55
- AMD, Nvidia och Intel – vad är det för skillnad mellan grafikkortstillverkarna?26
