1. Dator och IT
  2. IT-säkerhet

Trojan har infekterat explorer.exe och svchost.exe

Svara
  • 1
  • 2
2010-09-23, 15:01
  #1
j_sjogras
Medlem
Precis som rubriken lyder så har explorer.exe och svchost.exe blivit smittade av Trojan.
Detta upptäckte jag efter att min dator gått slöare och slöare. Knappt att jag kom in hit för att
skriva detta. Allt på datorn tar en himla tid att starta.
Jag körde gjorde en fullstäng koll med AVG och fick fram fyra infekterade filer

Explorer.exe
Explorer.exe (1600):\memory001a0000
svchost.exe
svchost.exe (1600):\memory001a0000

Infekterade med: Trojan horse Adload_r.AKC

Tyvärr kunde inte AVG göra nåt åt detta, så filerna är fortfarande infekterade. Någon som känner igen detta och kan hjälpa mig.
Citera
2010-09-23, 15:05
  #2
adventure09
Medlem
adventure09s avatar
Ladda ner Hitman pro från denna webbsida: http://download.cnet.com/Hitman-Pro-...-10895604.html

Scanna...

Sedan återkommer du med svar om hur det gick.
__________________
Senast redigerad av adventure09 2010-09-23 kl. 15:07.
Citera
2010-09-23, 15:13
  #3
Megaforce
Medlem
Megaforces avatar
Citat:
Ursprungligen postat av j_sjogras
Precis som rubriken lyder så har explorer.exe och svchost.exe blivit smittade av Trojan.
Detta upptäckte jag efter att min dator gått slöare och slöare. Knappt att jag kom in hit för att
skriva detta. Allt på datorn tar en himla tid att starta.
Jag körde gjorde en fullstäng koll med AVG och fick fram fyra infekterade filer

Explorer.exe
Explorer.exe (1600):\memory001a0000
svchost.exe
svchost.exe (1600):\memory001a0000

Infekterade med: Trojan horse Adload_r.AKC

Tyvärr kunde inte AVG göra nåt åt detta, så filerna är fortfarande infekterade. Någon som känner igen detta och kan hjälpa mig.

SVCHOST är en drivrutinsladdare och en virusscanner hittar inte alltid något virus i själva filen, även om antivirusprogrammet får träff när den scannar aktiva program i datorn.

Testa med Hitman Pro http://www.surfright.nl/en/hitmanpro för att få bort det. Vi använder det som komplement till Symantec på jobbet.
Citera
2010-09-23, 15:41
  #4
j_sjogras
Medlem
Citat:
Ursprungligen postat av adventure09
Ladda ner Hitman pro från denna webbsida: http://download.cnet.com/Hitman-Pro-...-10895604.html

Scanna...

Sedan återkommer du med svar om hur det gick.


Den hittade en ingenting. Vet inte riktigt hur jag skall lösa detta.
Citera
2010-09-23, 16:09
  #5
j_sjogras
Medlem
Gjorde nu en ny sökning då jag såg att det stod högst upp

Possible variant of the TDL3 (alias Alureon) Rootkit detected.
The device stack of the hard disk referencing a hidden drive. This could affect the detection of malicious files.

Har inte en aning vad det innebär.
Citera
2010-09-23, 18:46
  #6
927
Medlem
927s avatar
kör filen, välj scan och följ anvisningarna. hittas skadlig fil så välj cure, hittas misstänkt fil så välj skip.
posta txt filen som lägger sig under C:
http://support.kaspersky.com/downloa...tdsskiller.exe

troligtvis får du upp reklam pga ett rootkit
Citera
2010-09-23, 21:05
  #7
j_sjogras
Medlem
Citat:
Ursprungligen postat av 927
kör filen, välj scan och följ anvisningarna. hittas skadlig fil så välj cure, hittas misstänkt fil så välj skip.
posta txt filen som lägger sig under C:
http://support.kaspersky.com/downloa...tdsskiller.exe

troligtvis får du upp reklam pga ett rootkit

Jag gjorde som du skrev.
Programmet hittade 1 skadlig som fixades och en misstänkt, som jag hoppade över.

Jag kunde inte klistra in hela textfilen här eftersom man bara kunde använda max 10000 tecken

2010/09/23 20:54:13.0640 Scan finished
2010/09/23 20:54:13.0640 ================================================== ==============================
2010/09/23 20:54:13.0656 Detected object count: 2
2010/09/23 20:54:44.0156 Locked file(sptd) - User select action: Skip
2010/09/23 20:54:44.0312 WmiAcpi (00b27b48a3cf780421c14e42d4056b24) C:\windows\system32\DRIVERS\wmiacpi.sys
2010/09/23 20:54:44.0312 Suspicious file (Forged): C:\windows\system32\DRIVERS\wmiacpi.sys. Real md5: 00b27b48a3cf780421c14e42d4056b24, Fake md5: c42584fd66ce9e17403aebca199f7bdb
2010/09/23 20:54:45.0421 Backup copy found, using it..
2010/09/23 20:54:45.0453 C:\windows\system32\DRIVERS\wmiacpi.sys - will be cured after reboot
2010/09/23 20:54:45.0453 Rootkit.Win32.TDSS.tdl3(WmiAcpi) - User select action: Cure
2010/09/23 20:54:51.0125 Deinitialize success
Citera
2010-09-23, 21:29
  #8
adventure09
Medlem
adventure09s avatar
Citat:
Ursprungligen postat av j_sjogras
Jag gjorde som du skrev.
Programmet hittade 1 skadlig som fixades och en misstänkt, som jag hoppade över.

Jag kunde inte klistra in hela textfilen här eftersom man bara kunde använda max 10000 tecken

2010/09/23 20:54:13.0640 Scan finished
2010/09/23 20:54:13.0640 ================================================== ==============================
2010/09/23 20:54:13.0656 Detected object count: 2
2010/09/23 20:54:44.0156 Locked file(sptd) - User select action: Skip
2010/09/23 20:54:44.0312 WmiAcpi (00b27b48a3cf780421c14e42d4056b24) C:\windows\system32\DRIVERS\wmiacpi.sys
2010/09/23 20:54:44.0312 Suspicious file (Forged): C:\windows\system32\DRIVERS\wmiacpi.sys. Real md5: 00b27b48a3cf780421c14e42d4056b24, Fake md5: c42584fd66ce9e17403aebca199f7bdb
2010/09/23 20:54:45.0421 Backup copy found, using it..
2010/09/23 20:54:45.0453 C:\windows\system32\DRIVERS\wmiacpi.sys - will be cured after reboot
2010/09/23 20:54:45.0453 Rootkit.Win32.TDSS.tdl3(WmiAcpi) - User select action: Cure
2010/09/23 20:54:51.0125 Deinitialize success

Testa att scanna med en uppdaterad version av malwarebytes antimalware: http://download.cnet.com/Malwarebyte...-10804572.html

Efter det posta loggen i ditt nästa svar.
Citera
2010-09-24, 08:34
  #9
927
Medlem
927s avatar
Citat:
Ursprungligen postat av j_sjogras
Jag gjorde som du skrev.
Programmet hittade 1 skadlig som fixades och en misstänkt, som jag hoppade över.

Jag kunde inte klistra in hela textfilen här eftersom man bara kunde använda max 10000 tecken

2010/09/23 20:54:13.0640 Scan finished
2010/09/23 20:54:13.0640 ================================================== ==============================
2010/09/23 20:54:13.0656 Detected object count: 2
2010/09/23 20:54:44.0156 Locked file(sptd) - User select action: Skip
2010/09/23 20:54:44.0312 WmiAcpi (00b27b48a3cf780421c14e42d4056b24) C:\windows\system32\DRIVERS\wmiacpi.sys
2010/09/23 20:54:44.0312 Suspicious file (Forged): C:\windows\system32\DRIVERS\wmiacpi.sys. Real md5: 00b27b48a3cf780421c14e42d4056b24, Fake md5: c42584fd66ce9e17403aebca199f7bdb
2010/09/23 20:54:45.0421 Backup copy found, using it..
2010/09/23 20:54:45.0453 C:\windows\system32\DRIVERS\wmiacpi.sys - will be cured after reboot
2010/09/23 20:54:45.0453 Rootkit.Win32.TDSS.tdl3(WmiAcpi) - User select action: Cure
2010/09/23 20:54:51.0125 Deinitialize success

ditt problem bör va borta efter omstart
Citera
2010-09-24, 08:52
  #10
TireFire
Medlem
TireFires avatar
Jag lånar denna tråden då jag upptäckte något just nu. I Aktivitetshanteraren har jag två explorer.exe som ligger och kör. Detta är ju fullt normalt ibland vad jag har förstått.

Tilläggas bör att båda processerna är med gemener, alltså explorer.exe och båda hänvisar till Utforskaren. Så långt allt ok antar jag. Men, när jag öppnar Everest och går in på processer där så står även där två listade, enda skillnaden är att den ena är:

Processnamn Processfilnamn Typ Använt minne Använd växlingsfil
explorer.exe C:\Windows\explorer.exe 32-bit 15976 kB 37440 kB


Och den andra: Explorer.EXE Alltså med en del versaler. Och denna pekar på:

Processnamn Processfilnamn Typ Använt minne Använd växlingsfil
Explorer.EXE C:\Windows\Explorer.EXE 32-bit 40016 kB 45568 kB

Och i Windowsmappen så finns bara den legitima explorer.exe.

Är övertygad om att detta bara är ett enkelt fel i Everest men skulle ändå vilja höra lite synpunkter på detta.
Citera
2010-09-24, 09:38
  #11
j_sjogras
Medlem
Citat:
Ursprungligen postat av 927
ditt problem bör va borta efter omstart

Datorn går fortfarande rätt trögt.

Citat:
Testa att scanna med en uppdaterad version av malwarebytes antimalware: http://download.cnet.com/Malwarebyte...-10804572.html

Efter det posta loggen i ditt nästa svar.

Har kört detta programmet med. Det hittade ytterligare 5 infekterade filer.
Känns som varje nytt program hittar nya infekterade filer

Här logg filen till Malwarebytes:

Citera
2010-09-24, 09:38
  #12
zetrri
Bannlyst
testa med ad-aware, malwarebytes och hitman pro
Citera
Svara
  • 1
  • 2

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in