Flashback bygger pepparkakshus!
  1. Dator och IT
  2. IT-säkerhet

Råkat ut för något skumt virus.

Svara
2006-11-27, 17:49
  #1
Nattugglan_
Medlem
Nattugglan_s avatar
Tjenare.
Det började med att jag formaterade om datorn.
Sen lånade jag Windows skivor av Lillebrorsan och Installerade skiten.

Men efter 5-10min började det ploppa upp ett fönster där det står "Meddelande från SYSTEM till ALERT,STOP! WINDOWS REQUIRES IMMEDIATE ATTENTION."
Och massa annan gojja
Här är iaf en bild på hur det ser ut
HTML-kod: 
http://i13.tinypic.com/4hla1z5.jpg


Någon som har en aning om hur man får bort skiten.
Brorsan blockerade lite grejer och sa att det skulle funka perfekt nu.
Men det kom upp ändå.
Har kört tre NOD32 Scannar,Men hittade bara en fil första gången
Citera
2006-11-27, 18:24
  #2
Nattugglan_
Medlem
Nattugglan_s avatar
Här är en HijackThis.Log

Kod: 
Logfile of HijackThis v1.99.1
Scan saved at 18:23:09, on 2006-11-27
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\Program\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\WINDOWS\Explorer.EXE
C:\Program\Eset\nod32kui.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\Program\DAEMON Tools\daemon.exe
C:\WINDOWS\System32\ctfmon.exe
C:\Program\MSN Messenger\MsnMsgr.Exe
C:\WINDOWS\System32\svchost.exe
C:\Program\Windows Media Player\wmplayer.exe
C:\WINDOWS\System32\svchost.exe
C:\PROGRAM\MOZILL~1\FIREFOX.EXE
C:\WINDOWS\System32\wuauclt.exe
C:\WINDOWS\System32\wuauclt.exe
C:\Program\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [Msn Messenger] zcen.exe
O4 - HKLM\..\Run: [nod32kui] "C:\Program\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKLM\..\RunServices: [WiFix service] kykqvan.exe
O4 - HKLM\..\RunServices: [Msn Messenger] zcen.exe
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Program\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164647822858
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1164647812686
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Citera
2006-11-27, 19:09
  #3
saffecool
Medlem
Kör loggen på http://www.hijackthis.de
Citera
2006-11-27, 19:43
  #4
Crillie
Medlem
Hmm körde du igång en brandvägg innan du gick ut på nätet?
Citera
2006-11-28, 00:23
  #5
MannenGbg
Medlem
MannenGbgs avatar
Starta om datan till felsäkert läge

Kör ENDAST hijackthis

bocka för och fixa dessa

O4 - HKLM\..\Run: [Msn Messenger] zcen.exe

O4 - HKLM\..\RunServices: [WiFix service] kykqvan.exe
O4 - HKLM\..\RunServices: [Msn Messenger] zcen.exe

Starta om datan och sök igenom den med Panda. Posta loggen här tillsammans med en ny från Hjt
http://www.pandasoftware.com/products/ActiveScan.htm
Citera
2006-11-28, 01:30
  #6
Nattugglan_
Medlem
Nattugglan_s avatar
Citat:
Ursprungligen postat av Crillie
Hmm körde du igång en brandvägg innan du gick ut på nätet?

Det roliga var att jag fick det innan jag koppla upp mig



Citat:
Ursprungligen postat av MannenGbg
Starta om datan till felsäkert läge
Kör ENDAST hijackthis

bocka för och fixa dessa

O4 - HKLM\..\Run: [Msn Messenger] zcen.exe

O4 - HKLM\..\RunServices: [WiFix service] kykqvan.exe
O4 - HKLM\..\RunServices: [Msn Messenger] zcen.exe

Starta om datan och sök igenom den med Panda. Posta loggen här tillsammans med en ny från Hjt
http://www.pandasoftware.com/products/ActiveScan.htm

Okej tackar

Hijackthis
Kod: 
Logfile of HijackThis v1.99.1
Scan saved at 02:09:13, on 2006-11-28
Platform: Windows XP  (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Program\Eset\nod32krn.exe
C:\WINDOWS\System32\nvsvc32.exe
C:\Program\Eset\nod32kui.exe
C:\WINDOWS\TBPanel.exe
C:\WINDOWS\System32\RUNDLL32.EXE
C:\WINDOWS\SOUNDMAN.EXE
C:\WINDOWS\System32\ctfmon.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\System32\WgaTray.exe
C:\Program\Hijackthis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 5.0\Reader\ActiveX\AcroIEHelper.ocx
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O3 - Toolbar: &Radio - {8E718888-423F-11D2-876E-00A0C9082467} - C:\WINDOWS\System32\msdxm.ocx
O4 - HKLM\..\Run: [nod32kui] "C:\Program\Eset\nod32kui.exe" /WAITSERVICE
O4 - HKLM\..\Run: [Gainward] C:\WINDOWS\TBPanel.exe /A
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\System32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\System32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [SoundMan] SOUNDMAN.EXE
O4 - HKLM\..\Run: [DAEMON Tools] "C:\Program\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [igndlm.exe] C:\Program\IGN\Download Manager\DLM.exe /windowsstart /startifwork
O9 - Extra button: Related - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O9 - Extra 'Tools' menuitem: Show &Related Links - {c95fe080-8f5d-11d2-a20b-00aa003c157a} - C:\WINDOWS\web\related.htm
O12 - Plugin for .spop: C:\Program\Internet Explorer\Plugins\NPDocBox.dll
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1164647822858
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1164647812686
O16 - DPF: {9A9307A0-7DA4-4DAF-B042-5009F29E09E1} (ActiveScan Installer Class) - http://acs.pandasoftware.com/activescan/as5free/asinst.cab
O18 - Protocol: livecall - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL
O18 - Protocol: msnim - {828030A1-22C1-4009-854F-8E305202313F} - C:\Program\MSNMES~1\MSGRAP~1.DLL
O20 - Winlogon Notify: WgaLogon - C:\WINDOWS\SYSTEM32\WgaLogon.dll
O23 - Service: NOD32 Kernel Service (NOD32krn) - Eset  - C:\Program\Eset\nod32krn.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe
Citera
2006-11-28, 02:11
  #7
Nattugglan_
Medlem
Nattugglan_s avatar
Activescan
Kod: 
Incident                                                                        Status                        Location                                                                                                                                                                                                                                                        

Adware:adware/whenusearch                                                       Not disinfected               Windows Registry                                                                                                                                                                                                                                                
Spyware:Cookie/Doubleclick                                                      Not disinfected               C:\Documents and Settings\Fille\Application Data\Mozilla\Firefox\Profiles\joy344iy.default\cookies.txt[.doubleclick.net/]                                                                                                                                       
Spyware:Cookie/Statcounter                                                      Not disinfected               C:\Documents and Settings\Fille\Application Data\Mozilla\Firefox\Profiles\joy344iy.default\cookies.txt[.statcounter.com/]                                                                                                                                       
Spyware:Cookie/YieldManager                                                     Not disinfected               C:\Documents and Settings\Fille\Application Data\Mozilla\Firefox\Profiles\joy344iy.default\cookies.txt[ad.yieldmanager.com/]                                                                                                                                    
Spyware:Cookie/FastClick                                                        Not disinfected               C:\Documents and Settings\Fille\Application Data\Mozilla\Firefox\Profiles\joy344iy.default\cookies.txt[.fastclick.net/]                                                                                                                                         
Spyware:Cookie/Research-int                                                     Not disinfected               C:\Documents and Settings\Fille\Application Data\Mozilla\Firefox\Profiles\joy344iy.default\cookies.txt[.research-int.se/]                                                                                                                                       
Spyware:Cookie/Advertising                                                      Not disinfected               C:\Documents and Settings\Fille\Application Data\Mozilla\Firefox\Profiles\joy344iy.default\cookies.txt[.advertising.com/]                                                                                                                                       
Spyware:Cookie/Tradedoubler                                                     Not disinfected               C:\Documents and Settings\Fille\Application Data\Mozilla\Firefox\Profiles\joy344iy.default\cookies.txt[.tradedoubler.com/]                                                                                                                                      
Spyware:Cookie/Adtech                                                           Not disinfected               C:\Documents and Settings\Fille\Application Data\Mozilla\Firefox\Profiles\joy344iy.default\cookies.txt[.adtech.de/]                                                                                                                                             
Spyware:Cookie/Com.com                                                          Not disinfected               C:\Documents and Settings\Fille\Application Data\Mozilla\Firefox\Profiles\joy344iy.default\cookies.txt[.com.com/]                                                                                                                                               
Spyware:Cookie/Atlas DMT                                                        Not disinfected               C:\Documents and Settings\Fille\Application Data\Mozilla\Firefox\Profiles\joy344iy.default\cookies.txt[.atdmt.com/]                                                                                                                                             
Spyware:Cookie/Overture                                                         Not disinfected               C:\Documents and Settings\Fille\Application Data\Mozilla\Firefox\Profiles\joy344iy.default\cookies.txt[.overture.com/]                                                                                                                                                                                                                            
Spyware:Cookie/2o7                                                              Not disinfected               C:\Documents and Settings\Fille\Application Data\Mozilla\Firefox\Profiles\joy344iy.default\cookies.txt[.2o7.net/]                                                                                                                                               
Spyware:Cookie/Falkag                                                           Not disinfected               C:\Documents and Settings\Fille\Application Data\Mozilla\Firefox\Profiles\joy344iy.default\cookies.txt[as1.falkag.de/]                                                                                                                                          
Spyware:Cookie/RealMedia                                                        Not disinfected               C:\Documents and Settings\Fille\Application Data\Mozilla\Firefox\Profiles\joy344iy.default\cookies.txt[.realmedia.com/]                                                                                                                                         
Spyware:Cookie/QkSrv                                                            Not disinfected               C:\Documents and Settings\Fille\Application Data\Mozilla\Firefox\Profiles\joy344iy.default\cookies.txt[.qksrv.net/]                                                                                                                                             
Spyware:Cookie/Apmebf                                                           Not disinfected               C:\Documents and Settings\Fille\Application Data\Mozilla\Firefox\Profiles\joy344iy.default\cookies.txt[.apmebf.com/]                                                                                                                                            
Spyware:Cookie/SpyLog                                                           Not disinfected               C:\Documents and Settings\Fille\Application Data\Mozilla\Firefox\Profiles\joy344iy.default\cookies.txt[.spylog.com/]                                                                                                                                            
Spyware:Cookie/Yadro                                                            Not disinfected               C:\Documents and Settings\Fille\Application Data\Mozilla\Firefox\Profiles\joy344iy.default\cookies.txt[.yadro.ru/]                                                                                                                                              
Spyware:Cookie/Bluestreak                                                       Not disinfected               C:\Documents and Settings\Fille\Application Data\Mozilla\Firefox\Profiles\joy344iy.default\cookies.txt[.bluestreak.com/]                                                                                                                                        
Spyware:Cookie/2o7                                                              Not disinfected               C:\Documents and Settings\Fille\Cookies\fille@2o7[2].txt                                                                                                                                                                                                        
Spyware:Cookie/Atlas DMT                                                        Not disinfected               C:\Documents and Settings\Fille\Cookies\fille@atdmt[2].txt                                                                                                                                                                                                      
Spyware:Cookie/Tradedoubler                                                     Not disinfected               C:\Documents and Settings\Fille\Cookies\fille@tradedoubler[2].txt                                                                                                                                                                                               
Virus:W32/Gaobot.EJL.worm                                                       Disinfected                   C:\WINDOWS\system32\keys.exe                                                                                                                                                                                                                                    
Virus:W32/Gaobot.EJL.worm                                                       Disinfected                   C:\WINDOWS\system32\zcen.exe
Citera
2006-11-28, 16:07
  #8
MannenGbg
Medlem
MannenGbgs avatar
Loggan ser bra ut men det verkar som hela Panda loggen inte kom med. Vet du var Panda hittade W32/Gaobot masken? Och om den tog bort den

För att vara på säkra sidan så läs på länken under och kör ett specialprogram för Gaobot
http://www.majorgeeks.com/Symantec_W...ool_d4479.html
Citera
2006-11-29, 03:22
  #9
Nattugglan_
Medlem
Nattugglan_s avatar
Citat:
Ursprungligen postat av MannenGbg
Loggan ser bra ut men det verkar som hela Panda loggen inte kom med. Vet du var Panda hittade W32/Gaobot masken? Och om den tog bort den

För att vara på säkra sidan så läs på länken under och kör ett specialprogram för Gaobot
http://www.majorgeeks.com/Symantec_W...ool_d4479.html

Tack för hjälpen.
Men min HDD gav sig idag
Så jag får köra linux och boota från skivan tills jag har köpt en ny hdd
Citera
2006-11-29, 10:34
  #10
freddag
Medlem
freddags avatar
Fick också det där "viruset".

Har för mig att jag bara stängde av messanger tjänsten. Viruset gör ju inget annat
Citera
Svara

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in