Hjälp att ta bort virus

Hej!
Jag tror att jag skulle kunna behöva lite hjälp med att få bort ett virus från min dator. Mitt norton gav mig en virusvarning för ett antal minuter sedan om ett virus vid namn 'Downloader' Det stod att den låg på C:\windows\temp\
och hette något med .tmp i slutet.
Jag trodde inte att det var något konstigt med det för åtgärden var att Norton tog automatiskt bort det, så jag klickade på "ok"
Nu börajde det jobbiga... Direkt efter att jag tryckt på ok, kom en ny varning upp med samma virusnamn som låg på samma plats och hette nästan lika dant bara det att det hade bytt en siffra i namnet. Och så har det fortsatt nu i x antal minuter efter att jag tryckt på "ok" det känns nästan som om jag snart klickar sönder musen. Och nu så kan inte norton ta bort det... "Åtgärd Vidtagen Nekades åtkomst till filen."

Jag har varit och kollat i mappen men där finns endast två filer (exp5.tmp och tmp589B.tmp) och tre mappar (Cookies, Temporary Internet Files och Tidigare)

Skulle vara tacksam om någon vet hur jag ska göra för att bli av med dessa popups från norton

satt precis och kollat i temp mappen och det är en fil som helatiden byter namn där den jag nämnde innan, tmp589B.tmp...
om jag tar uppdatera så har den bytt namn. t.ex nu heter den tmp6257.tmp istället och det går ej att ta bort den för när jag tar del så står det
"Det går inte att ta bort fil. Det går inte att läsa från källfilen elelr källdisken."

Byt till NOD32 .
Tror jag hade samma problem - annars är det bara att google namnen på filerna så brukar en massa gött komma upp.
Tips är ju att ladda ner gratisgrejerna:
SUPERAntiSpyware
SmitFraudfix
Kör kompletta scanningar och se om det fixas. Smitfradfix fixade mina popups en gång, men jag lite av en noob är det kommer till sånt så avvakta, kanske någon smartare här på FB kommer med något.
Men jag rekommendrerar verkligen SUPERAntiSpyware...

Frågan hör hemma i Datoranvändning, dit också tråden flyttas.

/Mod

Har testa SUPERAntiSpyware som du rekommenderade och har även laddat hem NOD32, efter att ha scannat med båda så kunde inget av programen ta bort viruset, NOD32 raporterade att det fanns 4 filer som NOD32 hade nekad åtkomst till.

SUPERAntiSpyware hittade något och jag vart tvungen att starta om datorn för att det skulle tas bort.

Har nu startat om och NOD32 har börjat ge mig Antivirus-varning: AMON
"Virusinformation
Fil:
C:\WINDOWS\TEMP\tmp7a.tmp
Virus:
Win32/TrojanDropper.Microjoin.C trojan
Kommentar:
Filen kan tas bort. Det rekommenderas starkt att du tar säkerhetskopior på viktig data innan du fortsätter med rensningen.
Uppstod vid ett försök att komma åt filen.: C:\Program\Norton AntiVirus\navapsvc.exe"

Där fil namnet hela tiden byts.

Tacksam för fler svar

töm denna mapp
C:\WINDOWS\TEMP

körde du SAS uppdaterad och fullständig scan?

annars kan du göra detta:
hämta denna fil >spara den på skrivbordet.
http://siri.urz.free.fr/Fix/SmitfraudFix.exe

dubbelklicka på exe filen >välj tillåt om brandväggen frågar >klicka på valfri tangent >skriv 1 >enter.
posta loggen som visas automatiskt

har tömt allt utom den där .tmp filen som inte går att ta bort.

jag körde smart scan eller vad det heter, har satt igång complete system scan nu, up to date ja



SmitFraudFix v2.167

Scan done at 23:55:18,20, 2007-04-13
Run from C:\Program\Mozilla Firefox\SmitfraudFix
OS: Microsoft Windows XP [Version 5.1.2600] - Windows_NT
The filesystem type is NTFS
Fix run in normal mode

»»»»»»»»»»»»»»»»»»»»»»»» Process

C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\Program\Delade filer\Symantec Shared\ccSetMgr.exe
C:\Program\Delade filer\Symantec Shared\SNDSrvc.exe
C:\Program\Delade filer\Symantec Shared\SPBBC\SPBBCSvc.exe
C:\Program\Delade filer\Symantec Shared\ccEvtMgr.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program\Symantec\LiveUpdate\ALUSchedulerSvc.exe
C:\Program\Norton AntiVirus\navapsvc.exe
C:\Program\Eset\nod32krn.exe
C:\Program\Norton AntiVirus\IWP\NPFMntor.exe
C:\WINDOWS\system32\nvsvc32.exe
C:\WINDOWS\system32\svchost.exe
C:\Program\Delade filer\Symantec Shared\CCPD-LC\symlcsvc.exe
C:\Program\VentSrv\ventrilo_svc.exe
C:\Program\VentSrv\ventrilo_srv.exe
C:\WINDOWS\TBPanel.exe
C:\Program\D-Tools\daemon.exe
C:\Program\Delade filer\Symantec Shared\ccApp.exe
C:\Program\CyberLink\PowerDVD\PDVDServ.exe
C:\Program\Microsoft IntelliType Pro\type32.exe
C:\Program\Java\jre1.5.0_10\bin\jusched.exe
C:\WINDOWS\SOUNDMAN.EXE
C:\Program\Delade filer\Real\Update_OB\realsched.exe
C:\Program\Winamp\winampa.exe
C:\Program\Eset\nod32kui.exe
C:\Program\SUPERAntiSpyware\SUPERAntiSpyware.exe
C:\Program\No-IP\DUC20.exe
C:\WINDOWS\system32\wuauclt.exe
C:\Program\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\cmd.exe
C:\Program\Messenger\msmsgs.exe

»»»»»»»»»»»»»»»»»»»»»»»» hosts


»»»»»»»»»»»»»»»»»»»»»»»» C:\


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\Web


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32


»»»»»»»»»»»»»»»»»»»»»»»» C:\WINDOWS\system32\LogFiles


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Joacim


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Joacim\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Joacim\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="about:Home"
"SubscribedURL"="about:Home"
"FriendlyName"="Min aktuella startsida"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"=""


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: 802.11g PCI Wireless Network Adapter - Miniport för paketschemaläggning
DNS Server Search Order: 192.168.1.254

HKLM\SYSTEM\CCS\Services\Tcpip\..\{1F762008-3024-4B21-9D17-16C44B9EF3E9}: NameServer=192.168.1.254
HKLM\SYSTEM\CS1\Services\Tcpip\..\{1F762008-3024-4B21-9D17-16C44B9EF3E9}: NameServer=192.168.1.254
HKLM\SYSTEM\CS2\Services\Tcpip\..\{1F762008-3024-4B21-9D17-16C44B9EF3E9}: NameServer=192.168.1.254


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

stäng av nod32 när du scannar (men jag har för mej att det är är svårt)

loggen är ok!

Har kört SAS med complete scan, och problem är fortfarande kvar

Det börjar bli väldigt irriterande att ett nytt popup fönster hela tiden ska komam upp och varna om ett virus


Edit: Det har slutat... efter några timmar så bara tog det stopp och det slutade...

du får ta bort filern som finns här i felsäkert läge, om problemet återkommer
C:\windows\temp

posta även en hjt logg då

En polare har fårr samma virus som jag hade innan, han har scannat med Nod32 och SAS fullständig scan och allt med senaste uppdateringar.
Bad han tanka programet som 927 länkade på denna sidan.

Hans logg:



»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Agua>


»»»»»»»»»»»»»»»»»»»»»»»» C:\Documents and Settings\Agua\Application Data


»»»»»»»»»»»»»»»»»»»»»»»» Start Menu


»»»»»»»»»»»»»»»»»»»»»»»» C:\DOCUME~1\Agua\FAVORI~1


»»»»»»»»»»»»»»»»»»»»»»»» Desktop


»»»»»»»»»»»»»»»»»»»»»»»» C:\Program


»»»»»»»»»»»»»»»»»»»»»»»» Corrupted keys


»»»»»»»»»»»»»»»»»»»»»»»» Desktop Components

[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Desktop\Components\0]
"Source"="about:Home"
"SubscribedURL"="about:Home"
"FriendlyName"="Min aktuella startsida"


»»»»»»»»»»»»»»»»»»»»»»»» Sharedtaskscheduler
!!!Attention, following keys are not inevitably infected!!!

SrchSTS.exe by S!Ri
Search SharedTaskScheduler's .dll


»»»»»»»»»»»»»»»»»»»»»»»» AppInit_DLLs
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"=""


»»»»»»»»»»»»»»»»»»»»»»»» Winlogon.System
!!!Attention, following keys are not inevitably infected!!!

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"System"="kdbfu.exe"

kdbfu.exe detected !


»»»»»»»»»»»»»»»»»»»»»»»» pe386-msguard-lzx32-huy32



»»»»»»»»»»»»»»»»»»»»»»»» DNS

Description: SiS 900-Based PCI Fast Ethernet Adapter - Miniport för paketschemaläggning
DNS Server Search Order: 192.168.0.1
DNS Server Search Order: 0.0.0.0

Description: GlobespanVirata USB ADSL LAN Modem - Miniport för paketschemaläggning
DNS Server Search Order: 195.67.199.30
DNS Server Search Order: 195.67.199.31
DNS Server Search Order: 195.67.199.32

HKLM\SYSTEM\CCS\Services\Tcpip\..\{02531202-D712-4C1C-894B-9A55270FCAEB}: DhcpNameServer=195.67.199.30 195.67.199.31 195.67.199.32
HKLM\SYSTEM\CCS\Services\Tcpip\..\{6FB5ACE0-C149-4F68-96A5-172E7C2E941D}: DhcpNameServer=192.168.0.1 0.0.0.0
HKLM\SYSTEM\CS2\Services\Tcpip\..\{02531202-D712-4C1C-894B-9A55270FCAEB}: DhcpNameServer=195.67.199.30 195.67.199.31 195.67.199.32
HKLM\SYSTEM\CS2\Services\Tcpip\..\{6FB5ACE0-C149-4F68-96A5-172E7C2E941D}: DhcpNameServer=192.168.0.1 0.0.0.0
HKLM\SYSTEM\CS3\Services\Tcpip\..\{02531202-D712-4C1C-894B-9A55270FCAEB}: DhcpNameServer=195.67.199.30 195.67.199.31 195.67.199.32
HKLM\SYSTEM\CS3\Services\Tcpip\..\{6FB5ACE0-C149-4F68-96A5-172E7C2E941D}: DhcpNameServer=82.145.128.2 82.145.144.2
HKLM\SYSTEM\CCS\Services\Tcpip\Parameters: DhcpNameServer=195.67.199.30 195.67.199.31 195.67.199.32
HKLM\SYSTEM\CS2\Services\Tcpip\Parameters: DhcpNameServer=195.67.199.30 195.67.199.31 195.67.199.32
HKLM\SYSTEM\CS3\Services\Tcpip\Parameters: DhcpNameServer=195.67.199.30 195.67.199.31 195.67.199.32


»»»»»»»»»»»»»»»»»»»»»»»» Scanning for wininet.dll infection


»»»»»»»»»»»»»»»»»»»»»»»» End

posta hela loggen, processerna saknas. ses även så du använder vers 2.171.
posta även en HJT logg.
spara denna fil på skrivbordet.
dubbelklicka på filen >installera >när HJT öppnas klicka på "do a system scan and save logfile" >posta den loggen
http://www.thespykiller.co.uk/files/HJTsetup.exe