Forum Mjukvara Microsoft Windows Tråd Inlägg

Problem med "polis-viruset"

1
Skriv svar
Permalänk
Medlem

Problem med "polis-viruset"

Skrivet av CeciliaB:

När det är klart kommer det att ha skapats en log FRST.txt på USB-minnet.
Kopiera innehållet i loggen och klistra in i ditt svar.

Gå till inlägget

Hej!

Har fått det där eländiga polis-viruset och är oförmögen att bli av med det. Kan endast starta datorn i felsäkertläge med kommandotolken (dvs. inga andra lägen fungera utan renderar bara en omstart). Jag är nästan helt grön på det här med virus på datorer så vore ytterst tacksam för hjälp. Skapade efter tipset citerat ovan http://www.sweclockers.com/forum/22-microsoft-windows/1114698-polis-virus-pa-datorn/index2.html#post13257493 en FRST-logg från ett usb med följande resultat:

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 13-03-2013 (ATTENTION: FRST version is 20 days old)
Ran by SYSTEM at 02-04-2013 09:48:14
Running from G:\
Windows 7 Home Premium (X64) OS Language: English(US)
The current controlset is ControlSet001

==================== Registry (Whitelisted) ===================

HKLM\...\Run: [Apoint] %ProgramFiles%\Apoint\Apoint.exe [208384 2009-11-04] (Alps Electric Co., Ltd.)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" [171520 2010-02-17] (Sun Microsystems, Inc.)
HKLM\...\Run: [AdobeAAMUpdater-1.0] "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [500208 2010-03-06] (Adobe Systems Incorporated)
HKLM\...\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice [2716216 2009-09-29] (ESET)
HKLM\...\Run: [AllShare Play] C:\Program Files\Samsung\AllShare Play\utils\AllShare Play Launcher.exe [407384 2013-02-21] (Samsung Electronics)
HKLM-x32\...\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [284696 2009-11-20] (Intel Corporation)
HKLM-x32\...\Run: [ISBMgr.exe] "C:\Program Files (x86)\Sony\ISB Utility\ISBMgr.exe" [320880 2009-08-26] (Sony Corporation)
HKLM-x32\...\Run: [PMBVolumeWatcher] C:\Program Files (x86)\Sony\PMB\PMBVolumeWatcher.exe [597792 2009-10-24] (Sony Corporation)
HKLM-x32\...\Run: [MarketingTools] C:\Program Files (x86)\Sony\Marketing Tools\MarketingTools.exe [26624 2010-02-17] (Sony Corporation)
HKLM-x32\...\Run: [SHTtray.exe] C:\Program Files (x86)\Common Files\Sony Shared\SOHLib\SHTtray.exe [99624 2009-10-15] (Sony Corporation)
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [37296 2011-06-08] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [946352 2012-12-03] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" [249064 2010-10-29] (Sun Microsystems, Inc.)
HKLM-x32\...\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun [102400 2010-09-20] (Advanced Micro Devices, Inc.)
HKU\Tobias\...\Run: [DriverFinder] C:\Program Files (x86)\DriverFinder\DriverFinder.exe [x]
HKU\Tobias\...\Run: [Spotify Web Helper] "C:\Program Files (x86)\Spotify\Data\SpotifyWebHelper.exe" [1104280 2013-03-28] (Spotify Ltd)
HKU\Tobias\...\Winlogon: [Shell] explorer.exe,C:\Users\Tobias\AppData\Roaming\AltShell.dat [67072 2011-11-17] (U}ra|)
Tcpip\Parameters: [DhcpNameServer] 192.168.10.1
Startup: C:\ProgramData\Start Menu\Programs\Startup\BankID säkerhetsprogram.lnk
ShortcutTarget: BankID säkerhetsprogram.lnk -> C:\Program Files (x86)\Personal\bin\Personal.exe (Technology Nexus AB)

==================== Services (Whitelisted) ===================

3 ACDaemon; C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [113152 2010-03-18] (ArcSoft Inc.)
2 AllShare Framework DMS; C:\Program Files\Samsung\AllShare Framework DMS\1.3.06\AllShareFrameworkManagerDMS.exe [408184 2012-10-23] (Samsung)
2 AllShare Play Service; "C:\Program Files\Samsung\AllShare Play\AllShare Play Service.exe" [662600 2013-02-21] (Copyright 2013 SAMSUNG)
3 BITCOMET_HELPER_SERVICE; C:\Program Files\BitComet\tools\BitCometService.exe -service [1296728 2010-12-28] (www.BitComet.com)
3 EhttpSrv; "C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe" [23296 2009-09-29] (ESET)
2 ekrn; "C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe" [735960 2009-09-29] (ESET)
2 NitroDriverReadSpool8; "C:\Program Files\Common Files\Nitro\Pro\8.0\NitroPDFDriverService8x64.exe" [230408 2012-10-23] (Nitro PDF Software)
3 Roxio UPnP Renderer 10; "C:\Program Files (x86)\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe" [313840 2009-08-31] (Sonic Solutions)
2 Roxio Upnp Server 10; "C:\Program Files (x86)\Roxio\Digital Home 10\RoxioUpnpService10.exe" [362992 2009-08-31] (Sonic Solutions)
2 SampleCollector; "C:\Program Files\Sony\VAIO Care\VCPerfService.exe" "/service" "/sstates" "/sampleinterval=5000" "/procinterval=5" "/dllinterval=120" "/counter=\Processor(_Total)\% Processor Time:1/counter=\PhysicalDisk(_Total)\Disk Bytes/sec:1" "/counter=\Network Interface(*)\Bytes Total/sec:1" "/expandcounter=\Processor Information(*)\Processor Frequency:1" "/expandcounter=\Processor(*)\% Idle Time:1" "/expandcounter=\Processor(*)\% C1 Time:1" "/expandcounter=\Processor(*)\% C2 Time:1" "/expandcounter=\Processor(*)\% C3 Time:1" "/expandcounter=\Processor(*)\% Processor Time:1" "/directory=C:\ProgramData\Sony Corporation\VAIO Care\inteldata" [259192 2011-01-29] (Sony Corporation)
2 SOHDBSvr; "C:\Program Files (x86)\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe" [70952 2009-10-15] (Sony Corporation)
2 SOHPlMgr; "C:\Program Files (x86)\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe" [91432 2009-10-15] (Sony Corporation)
2 uCamMonitor; C:\Program Files (x86)\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe [104960 2008-09-18] (ArcSoft, Inc.)
3 VAIO Entertainment TV Device Arbitration Service; "C:\Program Files (x86)\Common Files\Sony Shared\VAIO Entertainment Platform\VzHardwareResourceManager\VzHardwareResourceManager\VzHardwareResourceManager.exe" [69632 2009-09-14] (Sony Corporation)
3 VUAgent; "C:\Program Files\Sony\VAIO Update\VUAgent.exe" [1286784 2012-10-26] (Sony Corporation)
2 VzCdbSvc; "C:\Program Files (x86)\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe" [206336 2009-09-14] (Sony Corporation)

==================== Drivers (Whitelisted) =====================

3 ArcSoftKsUFilter; C:\Windows\System32\Drivers\ArcSoftKsUFilter.sys [19968 2009-05-26] (ArcSoft, Inc.)
2 eamon; C:\Windows\System32\Drivers\eamon.sys [144824 2009-09-29] (ESET)
1 ehdrv; C:\Windows\System32\Drivers\ehdrv.sys [136584 2009-09-29] (ESET)
2 epfwwfpr; C:\Windows\System32\Drivers\epfwwfpr.sys [123200 2009-09-29] (ESET)
3 GTUHSBUS; C:\Windows\System32\Drivers\GTUHSBUS.sys [88576 2009-05-13] (Option N.V.)
3 GTUHSNDISIPXP; C:\Windows\System32\DRIVERS\gtuhs51.sys [129536 2009-05-13] (Option N.V.)
3 GTUHSSER; C:\Windows\System32\Drivers\GTUHSSER.sys [10496 2009-05-13] (Option N.V.)
0 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2010-12-10] (Duplex Secure Ltd.)
3 yukonw7; C:\Windows\System32\DRIVERS\yk62x64.sys [395264 2009-11-12] ()
3 dgderdrv; C:\Windows\System32\drivers\dgderdrv.sys [x]

==================== NetSvcs (Whitelisted) ====================

==================== One Month Created Files and Folders ========

2013-04-02 09:48 - 2013-04-02 09:48 - 00000000 ____D C:\FRST
2013-04-01 11:10 - 2013-04-01 16:37 - 00000004 ____A C:\Users\Tobias\AppData\Roaming\AltShell.ini
2013-03-15 19:43 - 2013-03-15 19:43 - 00000000 ___RD C:\Program Files (x86)\Skype
2013-03-15 19:39 - 2013-03-15 19:42 - 30646376 ____A (Skype Technologies S.A.) C:\Users\Tobias\Downloads\SkypeSetupFull.exe
2013-03-14 10:52 - 2013-02-12 04:12 - 00019968 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\usb8023.sys
2013-03-12 17:40 - 2013-02-02 06:46 - 00237056 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2013-03-12 17:40 - 2013-02-02 06:42 - 00173056 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2013-03-12 17:40 - 2013-02-02 06:38 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-03-12 17:40 - 2013-02-02 06:38 - 00096768 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2013-03-12 17:40 - 2013-02-02 06:34 - 00248320 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-03-12 17:40 - 2013-02-02 03:29 - 00231936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\url.dll
2013-03-12 17:40 - 2013-02-02 03:26 - 00420864 ____A (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2013-03-12 17:40 - 2013-02-02 03:26 - 00142848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2013-03-12 17:40 - 2013-02-02 03:23 - 02382848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-03-12 17:40 - 2013-02-02 03:23 - 00073216 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2013-03-12 17:40 - 2013-02-02 03:20 - 00176640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-03-12 17:39 - 2013-02-02 07:31 - 17815040 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-03-12 17:39 - 2013-02-02 06:58 - 10925568 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-03-12 17:39 - 2013-02-02 06:57 - 02312704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-03-12 17:39 - 2013-02-02 06:48 - 01346048 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-03-12 17:39 - 2013-02-02 06:47 - 01494528 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2013-03-12 17:39 - 2013-02-02 06:47 - 01392128 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-03-12 17:39 - 2013-02-02 06:43 - 00085504 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-03-12 17:39 - 2013-02-02 06:42 - 00816640 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-03-12 17:39 - 2013-02-02 06:41 - 00599040 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2013-03-12 17:39 - 2013-02-02 06:40 - 00729088 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-03-12 17:39 - 2013-02-02 06:39 - 02147840 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-03-12 17:39 - 2013-02-02 04:09 - 12321792 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-03-12 17:39 - 2013-02-02 03:42 - 09738240 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-03-12 17:39 - 2013-02-02 03:38 - 01800704 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-03-12 17:39 - 2013-02-02 03:31 - 01103872 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-03-12 17:39 - 2013-02-02 03:30 - 01427968 ____A (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2013-03-12 17:39 - 2013-02-02 03:30 - 01129472 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-03-12 17:39 - 2013-02-02 03:27 - 00065024 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-03-12 17:39 - 2013-02-02 03:26 - 00717824 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-03-12 17:39 - 2013-02-02 03:25 - 00607744 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-03-12 17:39 - 2013-02-02 03:23 - 01796096 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-03-08 12:28 - 2013-03-08 12:28 - 00055200 ____A C:\Windows\System32\s000001.dat
2013-03-03 21:52 - 2013-03-03 21:52 - 00000000 ____D C:\Users\Tobias\.swt
2013-03-03 21:51 - 2013-03-03 21:51 - 00000000 ____D C:\Upload
2013-03-03 21:50 - 2013-04-01 11:16 - 00000000 ____D C:\AllShare Play
2013-03-03 21:50 - 2013-03-03 21:51 - 00000000 ____D C:\Program Files\Samsung
2013-03-03 21:48 - 2013-03-03 21:49 - 59089480 ____A (Copyright 2013 SAMSUNG) C:\Users\Tobias\Downloads\AllSharePlay_Installer64.exe

==================== One Month Modified Files and Folders =======

2013-04-02 07:39 - 2009-07-14 05:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-04-02 07:39 - 2009-07-14 04:51 - 00476645 ____A C:\Windows\setupact.log
2013-04-01 16:40 - 2010-02-17 06:41 - 00000906 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-04-01 16:37 - 2013-04-01 11:10 - 00000004 ____A C:\Users\Tobias\AppData\Roaming\AltShell.ini
2013-04-01 11:16 - 2013-03-03 21:50 - 00000000 ____D C:\AllShare Play
2013-04-01 11:06 - 2012-11-01 10:34 - 00000000 ____D C:\Users\Tobias\AppData\Roaming\Nitro PDF
2013-04-01 11:06 - 2010-02-03 23:32 - 00629752 ____A C:\Windows\System32\perfh01D.dat
2013-04-01 11:06 - 2010-02-03 23:32 - 00126256 ____A C:\Windows\System32\perfc01D.dat
2013-04-01 11:06 - 2009-07-14 05:13 - 01478850 ____A C:\Windows\System32\PerfStringBackup.INI
2013-04-01 11:04 - 2010-06-12 13:45 - 01899342 ____A C:\Windows\WindowsUpdate.log
2013-04-01 07:46 - 2010-02-17 06:41 - 00000910 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-03-30 19:49 - 2009-07-14 04:45 - 00009920 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-03-30 19:49 - 2009-07-14 04:45 - 00009920 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-03-30 10:06 - 2010-06-13 12:23 - 00000000 ____D C:\Users\Tobias\AppData\Roaming\Spotify
2013-03-30 09:34 - 2012-03-15 16:48 - 00000000 ____D C:\Users\Tobias\AppData\Roaming\BitComet
2013-03-30 09:31 - 2010-06-13 12:23 - 00000000 ____D C:\Users\Tobias\AppData\Local\Spotify
2013-03-29 15:44 - 2011-02-05 21:02 - 00000000 ____D C:\Users\Tobias\AppData\Roaming\Skype
2013-03-28 16:51 - 2010-06-13 12:23 - 00000000 ____D C:\Program Files (x86)\Spotify
2013-03-28 14:28 - 2012-10-25 10:34 - 00000000 ____D C:\Users\Tobias\AppData\Roaming\vlc
2013-03-27 21:28 - 2012-03-15 17:48 - 00019705 ____A C:\Users\Tobias\Desktop\Träningsschema.xlsx
2013-03-25 16:46 - 2013-03-02 16:56 - 00000000 ____D C:\Program Files (x86)\Steam
2013-03-18 07:47 - 2010-07-24 22:43 - 00000000 ____D C:\Users\Tobias\Desktop\Musik
2013-03-16 08:30 - 2010-02-17 06:32 - 00411452 ____A C:\Windows\PFRO.log
2013-03-15 19:43 - 2013-03-15 19:43 - 00000000 ___RD C:\Program Files (x86)\Skype
2013-03-15 19:43 - 2011-02-05 21:02 - 00000000 ____D C:\ProgramData\Skype
2013-03-15 19:42 - 2013-03-15 19:39 - 30646376 ____A (Skype Technologies S.A.) C:\Users\Tobias\Downloads\SkypeSetupFull.exe
2013-03-14 12:19 - 2009-07-14 03:20 - 00000000 ____D C:\Windows\rescache
2013-03-13 12:35 - 2012-05-10 12:47 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2013-03-13 12:35 - 2012-05-10 12:47 - 00000000 ____D C:\Program Files (x86)\Microsoft Silverlight
2013-03-12 17:41 - 2010-06-16 19:35 - 72013344 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-03-12 17:41 - 2010-02-17 06:51 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-03-08 12:28 - 2013-03-08 12:28 - 00055200 ____A C:\Windows\System32\s000001.dat
2013-03-08 12:26 - 2010-10-04 08:35 - 00000102 ____A C:\Windows\System32\sstates.sdt
2013-03-08 12:26 - 2010-10-04 08:35 - 00000040 ____A C:\Windows\System32\sstate_prev.sdt
2013-03-06 21:04 - 2011-12-29 21:14 - 00000000 ____D C:\Users\Tobias\AppData\Roaming\iLove User Data
2013-03-04 23:09 - 2013-02-10 12:45 - 00000000 ____D C:\Users\Public\Documents\Praktiksök
2013-03-03 23:21 - 2012-10-19 17:29 - 00000000 ____D C:\Users\Public\Documents\Utlandsbajset
2013-03-03 21:52 - 2013-03-03 21:52 - 00000000 ____D C:\Users\Tobias\.swt
2013-03-03 21:52 - 2010-06-12 13:46 - 00000000 ____D C:\users\Tobias
2013-03-03 21:51 - 2013-03-03 21:51 - 00000000 ____D C:\Upload
2013-03-03 21:51 - 2013-03-03 21:50 - 00000000 ____D C:\Program Files\Samsung
2013-03-03 21:49 - 2013-03-03 21:48 - 59089480 ____A (Copyright 2013 SAMSUNG) C:\Users\Tobias\Downloads\AllSharePlay_Installer64.exe

==================== Known DLLs (Whitelisted) =================

==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points =========================

Restore point made on: 2013-03-05 15:33:14
Restore point made on: 2013-03-08 18:53:50
Restore point made on: 2013-03-12 17:37:01
Restore point made on: 2013-03-15 13:46:58
Restore point made on: 2013-03-18 16:13:16
Restore point made on: 2013-03-22 09:38:10
Restore point made on: 2013-03-26 20:26:58

==================== Memory info ===========================

Percentage of memory in use: 15%
Total physical RAM: 3950.1 MB
Available physical RAM: 3321.15 MB
Total Pagefile: 3948.25 MB
Available Pagefile: 3305.62 MB
Total Virtual: 8192 MB
Available Virtual: 8191.9 MB

==================== Partitions =============================

1 Drive c: () (Fixed) (Total:451.43 GB) (Free:64.5 GB) NTFS
2 Drive e: (Recovery) (Fixed) (Total:14.23 GB) (Free:0.8 GB) NTFS ==>[System with boot components (obtained from reading drive)]
4 Drive g: () (Removable) (Total:1.87 GB) (Free:1.3 GB) FAT
5 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
6 Drive y: (System Reserved) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

Disk ### Status Size Free Dyn Gpt
-------- ------------- ------- ------- --- ---
Disk 0 Online 465 GB 0 B
Disk 1 Online 1912 MB 0 B

Partitions of Disk 0:
===============

Disk ID: 039F7D61

Partition ### Type Size Offset
------------- ---------------- ------- -------
Partition 1 Recovery 14 GB 1024 KB
Partition 2 Primary 100 MB 14 GB
Partition 3 Primary 451 GB 14 GB

==================================================================================

Disk: 0
Partition 1
Type : 27
Hidden: Yes
Active: No

Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 3 E Recovery NTFS Partition 14 GB Healthy Hidden

=========================================================

Disk: 0
Partition 2
Type : 07
Hidden: No
Active: Yes

Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 1 Y System Rese NTFS Partition 100 MB Healthy

=========================================================

Disk: 0
Partition 3
Type : 07
Hidden: No
Active: No

Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 2 C NTFS Partition 451 GB Healthy

=========================================================

Partitions of Disk 1:
===============

Disk ID: FFE3C092

Partition ### Type Size Offset
------------- ---------------- ------- -------
Partition 1 Primary 1911 MB 16 KB

==================================================================================

Disk: 1
Partition 1
Type : 06
Hidden: No
Active: No

Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 4 G FAT Removable 1911 MB Healthy

=========================================================
============================== MBR Partition Table ==================

==============================
Partitions of Disk 0:
===============
Disk ID: 039F7D61

Partition 1:
=========
Hex: 0020210027FEFFFF000800000078C701
Active: NO
Type: 27
Size: 14 GB

Partition 2:
=========
Hex: 80FEFFFF07FEFFFF0080C70100200300
Active: YES
Type: 07 (NTFS)
Size: 100 MB

Partition 3:
=========
Hex: 00FEFFFF07FEFFFF00A0CA0130B86D38
Active: NO
Type: 07 (NTFS)
Size: 451 GB

==============================
Partitions of Disk 1:
===============
Disk ID: FFE3C092

Partition 1:
=========
Hex: 00010100060F60DF20000000E0BF3B00
Active: NO
Type: 06
Size: 2 GB

Last Boot: 2013-03-28 12:16

==================== End Of Log =============================

Någon som kan hjälpa mig tyda detta?
Tack på förhand!
/Tobias

Redigera
Citera flera Citera
Permalänk
Administrativ avgift

Försök med en återställningspunkt om du har annars så om installera för du har väl det mesta viktiga på disk 2?

Visa signatur

Jonsbo i100| 7950x3D | B650-i | 2x16GB DDR5 CL30@6000 | 2TB m.2 | 4090 TUF | SF600 | Samsung G9 49 OLED | Quest Pro | Noctua fans | Custom loop

Redigera
Citera flera Citera
Permalänk
Medlem

Vad innebär en återställningspunkt? Vad innebär att det ligger på disk 2? Är det att det ligger på andra delen av hårddsisken? Går det att sluta sig till att bara disk 1 är infekterad då?

Redigera
Citera flera Citera
Permalänk
Arvid Nordqvist-mannen

Återställningspunkt är en punkt (datum/klockslag) där man kan göra en återställning till.

Trisse utgår ifrån att allt ditt viktiga (personliga filer såklart) ligger på en annan diskt och inte samma disk/partition som Windows.
Högst troligen är det bara Windowsdisken/partitionen som är det men man vet aldrig.. Gör en virussökning.

Visa signatur

Swec-Regler Founder of SwecLogistics VTC

Redigera
Citera flera Citera
Permalänk
Medlem

Tack för snabba svaren. Hur gör jag en återställning till återställningspunkt?

Redigera
Citera flera Citera
Permalänk
Medlem

Det förutsätter att du har en återställningspunkt sen tidigare att "backa" till. Det kollar du här:

Control Panel\All Control Panel Items\System -> System Protection

Visa signatur

Better to have and not need, than to need and not have.

Redigera
Citera flera Citera
Permalänk
Medlem

Helst på en annan dator
Starta Anteckningar.
Kopiera alla rader i rutan:

HKU\Tobias\...\Winlogon: [Shell] explorer.exe,C:\Users\Tobias\AppData\Roaming\AltShell.dat [67072 2011-11-17] (U}ra|)
2013-04-01 11:10 - 2013-04-01 16:37 - 00000004 ____A C:\Users\Tobias\AppData\Roaming\AltShell.ini

och klistra in i Anteckningar. Kontrollera att inga filer har delats upp på två rader.
Spara filen på USB-minnet med namnet fixlist.txt.

På den infekterade datorn från "System Recovery Options"
Starta FRST64 på samma sätt som sist.
Klicka på knappen Fix.
Vänta tills programmet är klart.

Programmet skapar en logg Fixlog.txt på USB-minnet.
Klistra in innehållet i den i ditt svar.

Pröva om det nu går att starta datorn utan att trojanen syns till. Observera att bara för att det går behöver inte datorn vara ren.
Om det går ölj anvisningarna i tråden Till dig med virus eller andra skadliga program i datorn för fortsatt rensning.

Redigera
Citera flera Citera
Permalänk
Medlem

hade de innan o istalerade malewares o de plockar de eller säter de i karrantän. för ibland e de svårt att finna de i registret. nu har jag precis om formaterat pga ny prolle o mobo. men säkraste sättet e hålla dej till sidor du litar på o ej trycka på någon länk som e mer som en reklam o formaterat datan

Visa signatur

ORD POLISER O FOLK SOM STÖR SEJ PÅ SÄTTET JAG SKRIVER HITTA ER EN VETTIG MENING ME LIVET IST FÖR SOM I MITT FALL HACKA PÅ EN MED ETT HANDIKAP. FÖR DE E BARA TRÖTTSAMT

Redigera
Citera flera Citera
Permalänk
Medlem

Det jag brukar göra för våra kunder när det kommer till detta virus är att motera ut hdd, montera den i ett hdd-skal, koppla via usb till en annan dator och köra malwarebytes 2 ggr. Har fungerat alla gånger.

Visa signatur

Sweclockers 2024:
"
Eftersom vi tillhandahåller en öppen diskussionsplattform har vi ett berättigat intresse av att behålla användargenererat innehåll även efter en eventuell radering eller anonymisering av ditt användarkonto. Vi kommer även att fortsätta lagra vissa uppgifter för att upprätthålla säkerheten och förhindra missbruk av våra tjänster.
"

Redigera
Citera flera Citera
Permalänk
Medlem

Säkraste sättet att inte få in någon polistrojan är att se till att alltid ha de senaste versionen av alla program, för normalt kommer polistrojanen in genom ett säkerhetshål i t ex Java eller Flash.

Redigera
Citera flera Citera
Permalänk
Medlem

Lättaste sättet att ta bort UKash är att montera ut disken sätta den i en annan maskin och köra Trendmicro Housecall på disken.
Jobbar som IT-tekniker sedan 13år och vi har fått ett antal UKash, finns olika varianter men den variant som fungerat bäst hittills är just Housecall.

http://housecall.trendmicro.com/

Visa signatur

ASUS ROG MAXIMUS HERO Z690 | Core i9 12900K | Corsair iCUE H150i ELITE LCD | Corsair 64GB (4x16GB) DDR5 5600MHz CL36 Dominator Platinum RGB | Samsung 980 Pro 2TB, Crucial P5 Plus 2TB, Kingston NV1 2TB M.2 NVMe, Samsung 870 QVO 4TB | MSI Geforce RTX 4090 SUPRIM Liquid X | Sound Blaster AE-9 | Corsair HX1500i | Logitech Z906 | DeepCool Quadstellar Infinity | Aorus FV43U + Ergotron LX | LG OLED42C2 + Ergotron LX | ACER Predator XB323U | LG UltraGear 27GP850 | Asus PG279Q | LG32GK850G-B | AOC U3277FWQ | 3xAOCQ3279VWF | Philips BDM4065UC

Redigera
Citera flera Citera
Permalänk
Medlem

Svärfar drabbades, på hans dator (med Windows xp) så löste jag det genom att hamra crtl/alt/etc direkt efter enter på inloggningen. Det krävdes ett antal försök, men till sist så lyckades jag förhindra att viruset startade och då lyckades antivirus programmet automatiskt att hitta och ta bort det.

Visa signatur

i5 3590k@4,5Ghz, Asus Z77-A, 16GB ram, 2* sapphire tri-x hd290 Crossfire, WD Raptor 300GB, Silverstone Fortress FT02, sidewinder x4, logitech g9x, Sony MDR-XB910.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Halmstadarena:

Vad innebär en återställningspunkt? Vad innebär att det ligger på disk 2? Är det att det ligger på andra delen av hårddsisken? Går det att sluta sig till att bara disk 1 är infekterad då?

Gå till inlägget

Jag har inte läst allt för jag sitter på en skit mobil nu. Jag tycker att om du ska instalera om windows och du vill ha kvar allt är att köpa en till hårddisk och istalera om windows på den

Skickades från m.sweclockers.com

Visa signatur

-> I7-4790K@4,6ghz & GTX 980TI@1430mhz AMP EXTREME <-

Redigera
Citera flera Citera
Permalänk
Medlem

Ladda ner Anti Malmware Bytes och sök, i felsäkert läge. Den borde hitta det så att du kan ta bort det. Sen starta om datorn och voila

Redigera
Citera flera Citera
Permalänk
Medlem

"Bekväm" som jag är vill jag gärna undvika att köpa nytt alt. installera om. Ska testa med textfilen som du skickade CeciliaB. Återkommer med loggen. Får testa era förslag Blade@lcd eller thorsama annars.

Redigera
Citera flera Citera
Permalänk
Avstängd

Om jag inte minns fel finns det borttagningsinstruktioner till olika virus, minns att jag hade ett liknande och följde en guide. Dessutom hur fick du viruset, 18+ sidor ?

Redigera
Citera flera Citera
Permalänk
Medlem

Gå in i felsäkert läge och kolla vilka program som startas upp automatiskt med hjälp av "kör" knappen på windows-knappen, autostart
Inaktivera den så ska det funka!

Visa signatur

Citera för svar!!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Computerguy:

Ladda ner Anti Malmware Bytes och sök, i felsäkert läge. Den borde hitta det så att du kan ta bort det. Sen starta om datorn och voila

Gå till inlägget

och voila så har du troligtvis en FUD RAT i bakgrunden som du inte tog bort

Skrivet av Az1337:

Om jag inte minns fel finns det borttagningsinstruktioner till olika virus, minns att jag hade ett liknande och följde en guide. Dessutom hur fick du viruset, 18+ sidor ?

Gå till inlägget

Kan ju vara så att reklamen på någon sida är infekterad, men det behöver ju inte vara dom på sidan som har gjort så att den är infekterad utan det kan ju vara någon som har laggt in det via en gammal backdoor eller vad som helst

Visa signatur

CPU : 12900KS GPU : 3090 Strix OC RAM : G.Skill 32GB 6600MHz 34-40-40-105SSD : 2st SN850 1TB Bildskärm 1: Strix PG279Q 1440p@165Hz G-SYNC Bildskärm 2: Asus VG27AQ 27" 1440p@165Hz Bildskärm 3: Asus VG27AQ 27" 1440p@165Hz Vattenkylning CPU,GPU och RAM, 3*360 rad

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Computerguy:

Ladda ner Anti Malmware Bytes och sök, i felsäkert läge. Den borde hitta det så att du kan ta bort det. Sen starta om datorn och voila

Gå till inlägget
Skrivet av Az1337:

Om jag inte minns fel finns det borttagningsinstruktioner till olika virus, minns att jag hade ett liknande och följde en guide. Dessutom hur fick du viruset, 18+ sidor ?

Gå till inlägget
Skrivet av Galarix:

Gå in i felsäkert läge och kolla vilka program som startas upp automatiskt med hjälp av "kör" knappen på windows-knappen, autostart
Inaktivera den så ska det funka!

Gå till inlägget

De flesta av årets varianter av polistrojanen gör så att felsäkert läge inte fungerar och med dem räcker det inte heller att inaktivera något i msconfig.

Redigera
Citera flera Citera
Permalänk
Medlem

Det senaste med fixen fungerade CeciliaB. Får nu liv i datorn och tänkte att scan med malwarebytes kan vara en bra idé. Ska, så snart jag kan, posta loggen och följa anvisningarna i den andra tråden för att rensa systemet. Tqck för all hjälp!

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Halmstadarena:

Hej!

Har fått det där eländiga polis-viruset och är oförmögen att bli av med det. Kan endast starta datorn i felsäkertläge med kommandotolken (dvs. inga andra lägen fungera utan renderar bara en omstart). Jag är nästan helt grön på det här med virus på datorer så vore ytterst tacksam för hjälp. Skapade efter tipset citerat ovan http://www.sweclockers.com/forum/22-microsoft-windows/1114698-polis-virus-pa-datorn/index2.html#post13257493 en FRST-logg från ett usb med följande resultat:

Scan result of Farbar Recovery Scan Tool (FRST) (x64) Version: 13-03-2013 (ATTENTION: FRST version is 20 days old)
Ran by SYSTEM at 02-04-2013 09:48:14
Running from G:\
Windows 7 Home Premium (X64) OS Language: English(US)
The current controlset is ControlSet001

==================== Registry (Whitelisted) ===================

HKLM\...\Run: [Apoint] %ProgramFiles%\Apoint\Apoint.exe [208384 2009-11-04] (Alps Electric Co., Ltd.)
HKLM\...\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre6\bin\jusched.exe" [171520 2010-02-17] (Sun Microsystems, Inc.)
HKLM\...\Run: [AdobeAAMUpdater-1.0] "C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\UpdaterStartupUtility.exe" [500208 2010-03-06] (Adobe Systems Incorporated)
HKLM\...\Run: [egui] "C:\Program Files\ESET\ESET NOD32 Antivirus\egui.exe" /hide /waitservice [2716216 2009-09-29] (ESET)
HKLM\...\Run: [AllShare Play] C:\Program Files\Samsung\AllShare Play\utils\AllShare Play Launcher.exe [407384 2013-02-21] (Samsung Electronics)
HKLM-x32\...\Run: [IAStorIcon] C:\Program Files (x86)\Intel\Intel(R) Rapid Storage Technology\IAStorIcon.exe [284696 2009-11-20] (Intel Corporation)
HKLM-x32\...\Run: [ISBMgr.exe] "C:\Program Files (x86)\Sony\ISB Utility\ISBMgr.exe" [320880 2009-08-26] (Sony Corporation)
HKLM-x32\...\Run: [PMBVolumeWatcher] C:\Program Files (x86)\Sony\PMB\PMBVolumeWatcher.exe [597792 2009-10-24] (Sony Corporation)
HKLM-x32\...\Run: [MarketingTools] C:\Program Files (x86)\Sony\Marketing Tools\MarketingTools.exe [26624 2010-02-17] (Sony Corporation)
HKLM-x32\...\Run: [SHTtray.exe] C:\Program Files (x86)\Common Files\Sony Shared\SOHLib\SHTtray.exe [99624 2009-10-15] (Sony Corporation)
HKLM-x32\...\Run: [Adobe Reader Speed Launcher] "C:\Program Files (x86)\Adobe\Reader 9.0\Reader\Reader_sl.exe" [37296 2011-06-08] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [Adobe ARM] "C:\Program Files (x86)\Common Files\Adobe\ARM\1.0\AdobeARM.exe" [946352 2012-12-03] (Adobe Systems Incorporated)
HKLM-x32\...\Run: [SunJavaUpdateSched] "C:\Program Files (x86)\Common Files\Java\Java Update\jusched.exe" [249064 2010-10-29] (Sun Microsystems, Inc.)
HKLM-x32\...\Run: [StartCCC] "C:\Program Files (x86)\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe" MSRun [102400 2010-09-20] (Advanced Micro Devices, Inc.)
HKU\Tobias\...\Run: [DriverFinder] C:\Program Files (x86)\DriverFinder\DriverFinder.exe [x]
HKU\Tobias\...\Run: [Spotify Web Helper] "C:\Program Files (x86)\Spotify\Data\SpotifyWebHelper.exe" [1104280 2013-03-28] (Spotify Ltd)
HKU\Tobias\...\Winlogon: [Shell] explorer.exe,C:\Users\Tobias\AppData\Roaming\AltShell.dat [67072 2011-11-17] (U}ra|)
Tcpip\Parameters: [DhcpNameServer] 192.168.10.1
Startup: C:\ProgramData\Start Menu\Programs\Startup\BankID säkerhetsprogram.lnk
ShortcutTarget: BankID säkerhetsprogram.lnk -> C:\Program Files (x86)\Personal\bin\Personal.exe (Technology Nexus AB)

==================== Services (Whitelisted) ===================

3 ACDaemon; C:\Program Files (x86)\Common Files\ArcSoft\Connection Service\Bin\ACService.exe [113152 2010-03-18] (ArcSoft Inc.)
2 AllShare Framework DMS; C:\Program Files\Samsung\AllShare Framework DMS\1.3.06\AllShareFrameworkManagerDMS.exe [408184 2012-10-23] (Samsung)
2 AllShare Play Service; "C:\Program Files\Samsung\AllShare Play\AllShare Play Service.exe" [662600 2013-02-21] (Copyright 2013 SAMSUNG)
3 BITCOMET_HELPER_SERVICE; C:\Program Files\BitComet\tools\BitCometService.exe -service [1296728 2010-12-28] (www.BitComet.com)
3 EhttpSrv; "C:\Program Files\ESET\ESET NOD32 Antivirus\EHttpSrv.exe" [23296 2009-09-29] (ESET)
2 ekrn; "C:\Program Files\ESET\ESET NOD32 Antivirus\x86\ekrn.exe" [735960 2009-09-29] (ESET)
2 NitroDriverReadSpool8; "C:\Program Files\Common Files\Nitro\Pro\8.0\NitroPDFDriverService8x64.exe" [230408 2012-10-23] (Nitro PDF Software)
3 Roxio UPnP Renderer 10; "C:\Program Files (x86)\Roxio\Digital Home 10\RoxioUPnPRenderer10.exe" [313840 2009-08-31] (Sonic Solutions)
2 Roxio Upnp Server 10; "C:\Program Files (x86)\Roxio\Digital Home 10\RoxioUpnpService10.exe" [362992 2009-08-31] (Sonic Solutions)
2 SampleCollector; "C:\Program Files\Sony\VAIO Care\VCPerfService.exe" "/service" "/sstates" "/sampleinterval=5000" "/procinterval=5" "/dllinterval=120" "/counter=\Processor(_Total)\% Processor Time:1/counter=\PhysicalDisk(_Total)\Disk Bytes/sec:1" "/counter=\Network Interface(*)\Bytes Total/sec:1" "/expandcounter=\Processor Information(*)\Processor Frequency:1" "/expandcounter=\Processor(*)\% Idle Time:1" "/expandcounter=\Processor(*)\% C1 Time:1" "/expandcounter=\Processor(*)\% C2 Time:1" "/expandcounter=\Processor(*)\% C3 Time:1" "/expandcounter=\Processor(*)\% Processor Time:1" "/directory=C:\ProgramData\Sony Corporation\VAIO Care\inteldata" [259192 2011-01-29] (Sony Corporation)
2 SOHDBSvr; "C:\Program Files (x86)\Common Files\Sony Shared\SOHLib\SOHDBSvr.exe" [70952 2009-10-15] (Sony Corporation)
2 SOHPlMgr; "C:\Program Files (x86)\Common Files\Sony Shared\SOHLib\SOHPlMgr.exe" [91432 2009-10-15] (Sony Corporation)
2 uCamMonitor; C:\Program Files (x86)\ArcSoft\Magic-i Visual Effects 2\uCamMonitor.exe [104960 2008-09-18] (ArcSoft, Inc.)
3 VAIO Entertainment TV Device Arbitration Service; "C:\Program Files (x86)\Common Files\Sony Shared\VAIO Entertainment Platform\VzHardwareResourceManager\VzHardwareResourceManager\VzHardwareResourceManager.exe" [69632 2009-09-14] (Sony Corporation)
3 VUAgent; "C:\Program Files\Sony\VAIO Update\VUAgent.exe" [1286784 2012-10-26] (Sony Corporation)
2 VzCdbSvc; "C:\Program Files (x86)\Common Files\Sony Shared\VAIO Entertainment Platform\VzCdb\VzCdbSvc.exe" [206336 2009-09-14] (Sony Corporation)

==================== Drivers (Whitelisted) =====================

3 ArcSoftKsUFilter; C:\Windows\System32\Drivers\ArcSoftKsUFilter.sys [19968 2009-05-26] (ArcSoft, Inc.)
2 eamon; C:\Windows\System32\Drivers\eamon.sys [144824 2009-09-29] (ESET)
1 ehdrv; C:\Windows\System32\Drivers\ehdrv.sys [136584 2009-09-29] (ESET)
2 epfwwfpr; C:\Windows\System32\Drivers\epfwwfpr.sys [123200 2009-09-29] (ESET)
3 GTUHSBUS; C:\Windows\System32\Drivers\GTUHSBUS.sys [88576 2009-05-13] (Option N.V.)
3 GTUHSNDISIPXP; C:\Windows\System32\DRIVERS\gtuhs51.sys [129536 2009-05-13] (Option N.V.)
3 GTUHSSER; C:\Windows\System32\Drivers\GTUHSSER.sys [10496 2009-05-13] (Option N.V.)
0 sptd; C:\Windows\System32\Drivers\sptd.sys [834544 2010-12-10] (Duplex Secure Ltd.)
3 yukonw7; C:\Windows\System32\DRIVERS\yk62x64.sys [395264 2009-11-12] ()
3 dgderdrv; C:\Windows\System32\drivers\dgderdrv.sys [x]

==================== NetSvcs (Whitelisted) ====================

==================== One Month Created Files and Folders ========

2013-04-02 09:48 - 2013-04-02 09:48 - 00000000 ____D C:\FRST
2013-04-01 11:10 - 2013-04-01 16:37 - 00000004 ____A C:\Users\Tobias\AppData\Roaming\AltShell.ini
2013-03-15 19:43 - 2013-03-15 19:43 - 00000000 ___RD C:\Program Files (x86)\Skype
2013-03-15 19:39 - 2013-03-15 19:42 - 30646376 ____A (Skype Technologies S.A.) C:\Users\Tobias\Downloads\SkypeSetupFull.exe
2013-03-14 10:52 - 2013-02-12 04:12 - 00019968 ____A (Microsoft Corporation) C:\Windows\System32\Drivers\usb8023.sys
2013-03-12 17:40 - 2013-02-02 06:46 - 00237056 ____A (Microsoft Corporation) C:\Windows\System32\url.dll
2013-03-12 17:40 - 2013-02-02 06:42 - 00173056 ____A (Microsoft Corporation) C:\Windows\System32\ieUnatt.exe
2013-03-12 17:40 - 2013-02-02 06:38 - 02382848 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.tlb
2013-03-12 17:40 - 2013-02-02 06:38 - 00096768 ____A (Microsoft Corporation) C:\Windows\System32\mshtmled.dll
2013-03-12 17:40 - 2013-02-02 06:34 - 00248320 ____A (Microsoft Corporation) C:\Windows\System32\ieui.dll
2013-03-12 17:40 - 2013-02-02 03:29 - 00231936 ____A (Microsoft Corporation) C:\Windows\SysWOW64\url.dll
2013-03-12 17:40 - 2013-02-02 03:26 - 00420864 ____A (Microsoft Corporation) C:\Windows\SysWOW64\vbscript.dll
2013-03-12 17:40 - 2013-02-02 03:26 - 00142848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieUnatt.exe
2013-03-12 17:40 - 2013-02-02 03:23 - 02382848 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.tlb
2013-03-12 17:40 - 2013-02-02 03:23 - 00073216 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtmled.dll
2013-03-12 17:40 - 2013-02-02 03:20 - 00176640 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieui.dll
2013-03-12 17:39 - 2013-02-02 07:31 - 17815040 ____A (Microsoft Corporation) C:\Windows\System32\mshtml.dll
2013-03-12 17:39 - 2013-02-02 06:58 - 10925568 ____A (Microsoft Corporation) C:\Windows\System32\ieframe.dll
2013-03-12 17:39 - 2013-02-02 06:57 - 02312704 ____A (Microsoft Corporation) C:\Windows\System32\jscript9.dll
2013-03-12 17:39 - 2013-02-02 06:48 - 01346048 ____A (Microsoft Corporation) C:\Windows\System32\urlmon.dll
2013-03-12 17:39 - 2013-02-02 06:47 - 01494528 ____A (Microsoft Corporation) C:\Windows\System32\inetcpl.cpl
2013-03-12 17:39 - 2013-02-02 06:47 - 01392128 ____A (Microsoft Corporation) C:\Windows\System32\wininet.dll
2013-03-12 17:39 - 2013-02-02 06:43 - 00085504 ____A (Microsoft Corporation) C:\Windows\System32\jsproxy.dll
2013-03-12 17:39 - 2013-02-02 06:42 - 00816640 ____A (Microsoft Corporation) C:\Windows\System32\jscript.dll
2013-03-12 17:39 - 2013-02-02 06:41 - 00599040 ____A (Microsoft Corporation) C:\Windows\System32\vbscript.dll
2013-03-12 17:39 - 2013-02-02 06:40 - 00729088 ____A (Microsoft Corporation) C:\Windows\System32\msfeeds.dll
2013-03-12 17:39 - 2013-02-02 06:39 - 02147840 ____A (Microsoft Corporation) C:\Windows\System32\iertutil.dll
2013-03-12 17:39 - 2013-02-02 04:09 - 12321792 ____A (Microsoft Corporation) C:\Windows\SysWOW64\mshtml.dll
2013-03-12 17:39 - 2013-02-02 03:42 - 09738240 ____A (Microsoft Corporation) C:\Windows\SysWOW64\ieframe.dll
2013-03-12 17:39 - 2013-02-02 03:38 - 01800704 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript9.dll
2013-03-12 17:39 - 2013-02-02 03:31 - 01103872 ____A (Microsoft Corporation) C:\Windows\SysWOW64\urlmon.dll
2013-03-12 17:39 - 2013-02-02 03:30 - 01427968 ____A (Microsoft Corporation) C:\Windows\SysWOW64\inetcpl.cpl
2013-03-12 17:39 - 2013-02-02 03:30 - 01129472 ____A (Microsoft Corporation) C:\Windows\SysWOW64\wininet.dll
2013-03-12 17:39 - 2013-02-02 03:27 - 00065024 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jsproxy.dll
2013-03-12 17:39 - 2013-02-02 03:26 - 00717824 ____A (Microsoft Corporation) C:\Windows\SysWOW64\jscript.dll
2013-03-12 17:39 - 2013-02-02 03:25 - 00607744 ____A (Microsoft Corporation) C:\Windows\SysWOW64\msfeeds.dll
2013-03-12 17:39 - 2013-02-02 03:23 - 01796096 ____A (Microsoft Corporation) C:\Windows\SysWOW64\iertutil.dll
2013-03-08 12:28 - 2013-03-08 12:28 - 00055200 ____A C:\Windows\System32\s000001.dat
2013-03-03 21:52 - 2013-03-03 21:52 - 00000000 ____D C:\Users\Tobias\.swt
2013-03-03 21:51 - 2013-03-03 21:51 - 00000000 ____D C:\Upload
2013-03-03 21:50 - 2013-04-01 11:16 - 00000000 ____D C:\AllShare Play
2013-03-03 21:50 - 2013-03-03 21:51 - 00000000 ____D C:\Program Files\Samsung
2013-03-03 21:48 - 2013-03-03 21:49 - 59089480 ____A (Copyright 2013 SAMSUNG) C:\Users\Tobias\Downloads\AllSharePlay_Installer64.exe

==================== One Month Modified Files and Folders =======

2013-04-02 07:39 - 2009-07-14 05:08 - 00000006 ___AH C:\Windows\Tasks\SA.DAT
2013-04-02 07:39 - 2009-07-14 04:51 - 00476645 ____A C:\Windows\setupact.log
2013-04-01 16:40 - 2010-02-17 06:41 - 00000906 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineCore.job
2013-04-01 16:37 - 2013-04-01 11:10 - 00000004 ____A C:\Users\Tobias\AppData\Roaming\AltShell.ini
2013-04-01 11:16 - 2013-03-03 21:50 - 00000000 ____D C:\AllShare Play
2013-04-01 11:06 - 2012-11-01 10:34 - 00000000 ____D C:\Users\Tobias\AppData\Roaming\Nitro PDF
2013-04-01 11:06 - 2010-02-03 23:32 - 00629752 ____A C:\Windows\System32\perfh01D.dat
2013-04-01 11:06 - 2010-02-03 23:32 - 00126256 ____A C:\Windows\System32\perfc01D.dat
2013-04-01 11:06 - 2009-07-14 05:13 - 01478850 ____A C:\Windows\System32\PerfStringBackup.INI
2013-04-01 11:04 - 2010-06-12 13:45 - 01899342 ____A C:\Windows\WindowsUpdate.log
2013-04-01 07:46 - 2010-02-17 06:41 - 00000910 ____A C:\Windows\Tasks\GoogleUpdateTaskMachineUA.job
2013-03-30 19:49 - 2009-07-14 04:45 - 00009920 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-1.C7483456-A289-439d-8115-601632D005A0
2013-03-30 19:49 - 2009-07-14 04:45 - 00009920 ___AH C:\Windows\System32\7B296FB0-376B-497e-B012-9C450E1B7327-5P-0.C7483456-A289-439d-8115-601632D005A0
2013-03-30 10:06 - 2010-06-13 12:23 - 00000000 ____D C:\Users\Tobias\AppData\Roaming\Spotify
2013-03-30 09:34 - 2012-03-15 16:48 - 00000000 ____D C:\Users\Tobias\AppData\Roaming\BitComet
2013-03-30 09:31 - 2010-06-13 12:23 - 00000000 ____D C:\Users\Tobias\AppData\Local\Spotify
2013-03-29 15:44 - 2011-02-05 21:02 - 00000000 ____D C:\Users\Tobias\AppData\Roaming\Skype
2013-03-28 16:51 - 2010-06-13 12:23 - 00000000 ____D C:\Program Files (x86)\Spotify
2013-03-28 14:28 - 2012-10-25 10:34 - 00000000 ____D C:\Users\Tobias\AppData\Roaming\vlc
2013-03-27 21:28 - 2012-03-15 17:48 - 00019705 ____A C:\Users\Tobias\Desktop\Träningsschema.xlsx
2013-03-25 16:46 - 2013-03-02 16:56 - 00000000 ____D C:\Program Files (x86)\Steam
2013-03-18 07:47 - 2010-07-24 22:43 - 00000000 ____D C:\Users\Tobias\Desktop\Musik
2013-03-16 08:30 - 2010-02-17 06:32 - 00411452 ____A C:\Windows\PFRO.log
2013-03-15 19:43 - 2013-03-15 19:43 - 00000000 ___RD C:\Program Files (x86)\Skype
2013-03-15 19:43 - 2011-02-05 21:02 - 00000000 ____D C:\ProgramData\Skype
2013-03-15 19:42 - 2013-03-15 19:39 - 30646376 ____A (Skype Technologies S.A.) C:\Users\Tobias\Downloads\SkypeSetupFull.exe
2013-03-14 12:19 - 2009-07-14 03:20 - 00000000 ____D C:\Windows\rescache
2013-03-13 12:35 - 2012-05-10 12:47 - 00000000 ____D C:\Program Files\Microsoft Silverlight
2013-03-13 12:35 - 2012-05-10 12:47 - 00000000 ____D C:\Program Files (x86)\Microsoft Silverlight
2013-03-12 17:41 - 2010-06-16 19:35 - 72013344 ____A (Microsoft Corporation) C:\Windows\System32\MRT.exe
2013-03-12 17:41 - 2010-02-17 06:51 - 00000000 ____D C:\ProgramData\Microsoft Help
2013-03-08 12:28 - 2013-03-08 12:28 - 00055200 ____A C:\Windows\System32\s000001.dat
2013-03-08 12:26 - 2010-10-04 08:35 - 00000102 ____A C:\Windows\System32\sstates.sdt
2013-03-08 12:26 - 2010-10-04 08:35 - 00000040 ____A C:\Windows\System32\sstate_prev.sdt
2013-03-06 21:04 - 2011-12-29 21:14 - 00000000 ____D C:\Users\Tobias\AppData\Roaming\iLove User Data
2013-03-04 23:09 - 2013-02-10 12:45 - 00000000 ____D C:\Users\Public\Documents\Praktiksök
2013-03-03 23:21 - 2012-10-19 17:29 - 00000000 ____D C:\Users\Public\Documents\Utlandsbajset
2013-03-03 21:52 - 2013-03-03 21:52 - 00000000 ____D C:\Users\Tobias\.swt
2013-03-03 21:52 - 2010-06-12 13:46 - 00000000 ____D C:\users\Tobias
2013-03-03 21:51 - 2013-03-03 21:51 - 00000000 ____D C:\Upload
2013-03-03 21:51 - 2013-03-03 21:50 - 00000000 ____D C:\Program Files\Samsung
2013-03-03 21:49 - 2013-03-03 21:48 - 59089480 ____A (Copyright 2013 SAMSUNG) C:\Users\Tobias\Downloads\AllSharePlay_Installer64.exe

==================== Known DLLs (Whitelisted) =================

==================== Bamital & volsnap Check =================

C:\Windows\System32\winlogon.exe => MD5 is legit
C:\Windows\System32\wininit.exe => MD5 is legit
C:\Windows\SysWOW64\wininit.exe => MD5 is legit
C:\Windows\explorer.exe => MD5 is legit
C:\Windows\SysWOW64\explorer.exe => MD5 is legit
C:\Windows\System32\svchost.exe => MD5 is legit
C:\Windows\SysWOW64\svchost.exe => MD5 is legit
C:\Windows\System32\services.exe => MD5 is legit
C:\Windows\System32\User32.dll => MD5 is legit
C:\Windows\SysWOW64\User32.dll => MD5 is legit
C:\Windows\System32\userinit.exe => MD5 is legit
C:\Windows\SysWOW64\userinit.exe => MD5 is legit
C:\Windows\System32\Drivers\volsnap.sys => MD5 is legit

==================== EXE ASSOCIATION =====================

HKLM\...\.exe: exefile => OK
HKLM\...\exefile\DefaultIcon: %1 => OK
HKLM\...\exefile\open\command: "%1" %* => OK

==================== Restore Points =========================

Restore point made on: 2013-03-05 15:33:14
Restore point made on: 2013-03-08 18:53:50
Restore point made on: 2013-03-12 17:37:01
Restore point made on: 2013-03-15 13:46:58
Restore point made on: 2013-03-18 16:13:16
Restore point made on: 2013-03-22 09:38:10
Restore point made on: 2013-03-26 20:26:58

==================== Memory info ===========================

Percentage of memory in use: 15%
Total physical RAM: 3950.1 MB
Available physical RAM: 3321.15 MB
Total Pagefile: 3948.25 MB
Available Pagefile: 3305.62 MB
Total Virtual: 8192 MB
Available Virtual: 8191.9 MB

==================== Partitions =============================

1 Drive c: () (Fixed) (Total:451.43 GB) (Free:64.5 GB) NTFS
2 Drive e: (Recovery) (Fixed) (Total:14.23 GB) (Free:0.8 GB) NTFS ==>[System with boot components (obtained from reading drive)]
4 Drive g: () (Removable) (Total:1.87 GB) (Free:1.3 GB) FAT
5 Drive x: (Boot) (Fixed) (Total:0.03 GB) (Free:0.03 GB) NTFS
6 Drive y: (System Reserved) (Fixed) (Total:0.1 GB) (Free:0.07 GB) NTFS ==>[System with boot components (obtained from reading drive)]

Disk ### Status Size Free Dyn Gpt
-------- ------------- ------- ------- --- ---
Disk 0 Online 465 GB 0 B
Disk 1 Online 1912 MB 0 B

Partitions of Disk 0:
===============

Disk ID: 039F7D61

Partition ### Type Size Offset
------------- ---------------- ------- -------
Partition 1 Recovery 14 GB 1024 KB
Partition 2 Primary 100 MB 14 GB
Partition 3 Primary 451 GB 14 GB

==================================================================================

Disk: 0
Partition 1
Type : 27
Hidden: Yes
Active: No

Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 3 E Recovery NTFS Partition 14 GB Healthy Hidden

=========================================================

Disk: 0
Partition 2
Type : 07
Hidden: No
Active: Yes

Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 1 Y System Rese NTFS Partition 100 MB Healthy

=========================================================

Disk: 0
Partition 3
Type : 07
Hidden: No
Active: No

Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 2 C NTFS Partition 451 GB Healthy

=========================================================

Partitions of Disk 1:
===============

Disk ID: FFE3C092

Partition ### Type Size Offset
------------- ---------------- ------- -------
Partition 1 Primary 1911 MB 16 KB

==================================================================================

Disk: 1
Partition 1
Type : 06
Hidden: No
Active: No

Volume ### Ltr Label Fs Type Size Status Info
---------- --- ----------- ----- ---------- ------- --------- --------
* Volume 4 G FAT Removable 1911 MB Healthy

=========================================================
============================== MBR Partition Table ==================

==============================
Partitions of Disk 0:
===============
Disk ID: 039F7D61

Partition 1:
=========
Hex: 0020210027FEFFFF000800000078C701
Active: NO
Type: 27
Size: 14 GB

Partition 2:
=========
Hex: 80FEFFFF07FEFFFF0080C70100200300
Active: YES
Type: 07 (NTFS)
Size: 100 MB

Partition 3:
=========
Hex: 00FEFFFF07FEFFFF00A0CA0130B86D38
Active: NO
Type: 07 (NTFS)
Size: 451 GB

==============================
Partitions of Disk 1:
===============
Disk ID: FFE3C092

Partition 1:
=========
Hex: 00010100060F60DF20000000E0BF3B00
Active: NO
Type: 06
Size: 2 GB

Last Boot: 2013-03-28 12:16

==================== End Of Log =============================

Någon som kan hjälpa mig tyda detta?
Tack på förhand!
/Tobias

Gå till inlägget

Har skrivit en guide :)¨
#13171645

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av upr0426:

Har skrivit en guide :)¨
#13171645

Gå till inlägget

Guiden högst upp i den tråden fungerade nog bra då när du skrev den men numera går det normalt inte att starta i felsäkert läge.

Redigera
Citera flera Citera
Permalänk
Medlem
Skrivet av Blade@LCD:

Lättaste sättet att ta bort UKash är att montera ut disken sätta den i en annan maskin och köra Trendmicro Housecall på disken.
Jobbar som IT-tekniker sedan 13år och vi har fått ett antal UKash, finns olika varianter men den variant som fungerat bäst hittills är just Housecall.

http://housecall.trendmicro.com/

Gå till inlägget

Men visst är det så att UKash ligger latent i datorn.

(D v s det befinner sig i ett viloliknande stadium och plötsligt med eller utan anledning bryter det ut igen, det kan ta allt från 10 till 300 omstarter. Sen ploppar det upp igen)

Även om du "har tagit bort det"

Det ända rätta är att installera om O S.

Visa signatur

Pc 1--> [AsRock DualSata2][AMD4600+X2][7800GT] [Intel SSD X-25 80GB G2][1TB F3][750GB IDE][4GB XMSCorsiar]Pc 2--> [Asus Crosshair] [AMD 4800+X2] [2st 8800GT i SLI] [RAID 0 2x250GB] [6GB XMSCorsair] [Corsair HX750]Pc 3-->[HP Microserver 12TB]Pc 4--> AsRock P67 Extreme 4,i7 2600K @ 4.0 GHz,830 256GB,16GB 1600MHz, R9 290X Foto [Nikon D7000][70-300/35 1,8/18-55 [Skärmar=24",24",24" Eyefinity]

Redigera
Citera flera Citera
Permalänk
Medlem

Försöker köra anti-malware men det hänger sig gång på gång vid filen c:\Users\[namn]\AppData\Local\Microsoft\Windows\History\History.IE5\MSHist012013031120130318\index.dat
ESET finner inget, inte heller Norton Power Eraser. Fixlog.txt förtäljer följande:

Fix result of Farbar Recovery Tool (FRST written by Farbar) (x64) Version: 13-03-2013
Ran by SYSTEM at 2013-04-02 18:15:12 Run:1
Running from G:\

==============================================

HKEY_USERS\Tobias\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\\Shell Value deleted successfully.

==== End of Fixlog ====

Hur fortskrider jag bäst nu? Datorn är vid liv, något seg kan jag tycka, men ändå. Antar att jag bara tillfälligt kommit runt eländet och har ett bakslag att vänta om jag inte blir av med det ordentligt. Om det går att undvika ominstallation hade det ju varit bra, men förstår ändå att det kan komma att behövas.

Redigera
Citera flera Citera
Permalänk
Medlem

Följ anvisningarna i tråden Till dig med virus eller andra skadliga program i datorn så får vi se vad som återstår. Det brukar gå bra att få bort trojanen helt.

Redigera
Citera flera Citera
Permalänk
Medlem

Har skapat en tråd i eforum nu http://eforum.idg.se/topic/340956-ar-polis-viruset-verkligen-...

Det är lugnt att lämna ut dessa loggar och dokument va? Får ursäkta min okunskap och eventuella icke-tillit - hoppas bara att allt ska kunna lösa sig.

Redigera
Citera flera Citera
Permalänk
Medlem

Internet vimlar av DDS-loggar och liknande loggar. Om man har sitt fullständiga namn i loggen och det inte är väldigt vanligt (typ Anders Svensson) så kan man ju ändra det.

Redigera
Citera flera Citera
Permalänk
Medlem

Prova med malwarebytes om det inte går
skriv CMD i sökfältet och kör som administratör
och skriv
SFC/SCANNOW

Redigera
Citera flera Citera
1
Skriv svar