Kan inte ta bort upptäct virus!?

Vad fan gör man när man får varning om att virusprogrammet upptäckt virus men inte kan ta bort det. Har tagit bort virusfilen som refererats till och därefter tömt papperskorgen, men det kan väl inte vara sån enkelt?
Telia F-Secure suger fett!

Filen kan vara använd, testa att köra genom felsäkert läge(starta om, tryck typ F8 och välj "Felsäkert läge"(den utan nätverk osv) sen scannar du igenom igen och tar bort)

*kan vara syntax error, orkar inte räkna*

uhm. Testa installera nod32 eller kaspersky. Helst kaspersky. Kör en full system scan och om inte det hjälper så skriv här igen?=)

Om inte det hjälper får du körs hijack-this! och posta loggen här...
Men F-secure kan du ta bort påengång...
mvh

Kan också vara persistency...Att den återskapar sig igen och har injectat sig i nån process. Jag skulle testa kaspersky iallafall...
Onödigt att starta i felsäkert läge med f-secure ju..

jag tippar på att f-secure som första alt försöker ta bort filen, när det inte klarar av det så får du ett meddelande om detta. som andra alternativ så byter den namn på filen, typ fil.axe

problemet kan vara att f-secure inte lyckas åtgärda problemet helt och då återkommer det direkt eller vid nästa start

IQtorsk suger fett?

Har du kollat i ditt virusskydd vad den har för inställningar??

Om du kör standardinställningar så skall f-secure endast döpa om filen!

Högerklicka på den blå skölden vid klockan,
Välj "Öppna F-secure ...."
Klicka på "länken" "Avancerat"

Öppna "Virusskydd & SpionProgram"
Klicka på "Realtidsgenomsökning"
Se till att realtidsavsökningen är AKTIVERAD!
Välj "Avsök ALLA FILER" (dvs. avsöker alla FilTyper)
Markera "Sök efter spionprogram"
Om du har många komprimerade filer (typ filmer etc.) välj då att ange de komprimerade filernas filändelser som "Undantag" från realtidsavsökningen, vilket minskar datorns belastning
Markera "Sök igenom webbtrafik"

Under "åtgärder" välj:
När virus hittas = "Ta bort automatiskt" (Varför behålla nya smittade filer)
När spionprogram hittas= "Ta bort automatiskt" (Varför behålla nya spionprogram!)

Välj även att blockera Spårningscookies
samt att visa meddelande vid genomsökning av webbtrafik


Gå därefter till Manuell genomsökning
Upprepa ovan Men AKTIVERA GENOMSÖKNING AV ALLA KOMPRIMERADE FILER (=inga undantag)

Gå därefter till E-postgenomsökning
Aktivera genomsökning av såväl inkommande som utgående e-post
Välj att genomsöka ALLA bilagor och genomsök komprimerade filer

Ange åtgärder:
Välj att bekämpa inkommande angripna bilagor
Blockera utgående angripna bilagor
samt lämna blockerad e-post i utkorgen
Visa givetvis ev. rapport!

Aktivera schemalagd genomsökning
varje "Valfri veckodag" varje vecka när datorn varit inaktiv i 15minuter

Aktivera även ev. Webbläsarkontroll + ev. systemkontroll (systemstartsändringar samt kritiska systemändringar)

Om den smittade filen finns i "System restore" se:
http://support.f-secure.se/swe/corporate/virusproblem/howtoclean/cleansystemrestore.shtml för en detaljerad beskrivning av hur du då går tillväga..

Men tänk på att bästa skyddet mot smittor av alla slag är att ALDRIG logga in med administrativt konto utan logga alltid in med "begränsat konto" samt använd "Shift" och högerklick samt "Kör som.." för att köra programinstallationer osv. med administrativa behörigheter.

Ok, men idag när jag skulle starta min dator stängdes den av hela tiden. Anledningen till att jag är här är för att jag för tillfället kör datorn i felsäkert läge med nätverk, och behöver er hjälp.

Igår installerade jag ett antivirus-program som heter AVG 7.5 som jag vet är någonlunda bra eftersom min flickvän har den och det har aldrig krånglat. Dessutom är det gratis och jag har inte riktigt råd att pröjsa för Norton eller liknande för tillfället.

Och idag körde jag programmet som hittade två inkräktare vid namn is10180[1].anr Trojan Horse Exploit.Download. Därefter körde jag Remove på båda, men jag kan ännu inte starta datorn utan att den stänger av sig själv. Så vad gör jag?

avg antispyware är oxå bra o gratis.

kanske är det nåt rootkit...
du kan posta en hijackthis logg så ser man om det finns något problem.
spara HJTInstall.exe på skrivbordet,klicka på filen >välj install och klicka på: "do a system scan and save logfile". posta den loggen från txt filen som visas då.
http://www.trendsecure.com/portal/en-US/threat_analytics/HJTInstall.exe

Fick fram följande:


Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:27:27, on 2007-12-05
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16544)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Program\Delade filer\Ahead\Lib\NMBgMonitor.exe
C:\Program\Grisoft\AVG7\avgwb.dat
C:\Program\Grisoft\AVG7\avgvv.exe
C:\Program\Internet Explorer\iexplore.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.superstart.se/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://g.msn.se/0SESVSE/SAOS01?FORM=TOOLBR
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\system32\dla\tfswshx.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: ActivationManager module - {86A44EF7-78FC-4e18-A564-B18F806F7F56} - C:\Program\ActivationManager\ActivationManager.dll
O2 - BHO: Windows Live Sign-in Helper - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O2 - BHO: Windows Live Toolbar Helper - {BDBD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\Windows Live Toolbar\msntb.dll
O3 - Toolbar: Windows Live Toolbar - {BDAD1DAD-C946-4A17-ADC1-64B5B4FF55D0} - C:\Program\Windows Live Toolbar\msntb.dll
O4 - HKLM\..\Run: [ATIPTA] C:\Program\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [dla] C:\WINDOWS\system32\dla\tfswctrl.exe
O4 - HKLM\..\Run: [ISUSPM Startup] C:\Program\DELADE~1\INSTAL~1\UPDATE~1\ISUSPM.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program\Delade filer\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DVDLauncher] "C:\Program\CyberLink\PowerDVD\DVDLauncher.exe "
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\qttask.exe" -atboottime
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\Program\Delade filer\Ahead\Lib\NeroCheck.exe
O4 - HKLM\..\Run: [F-Secure Manager] "C:\Program\Telia\Telias sakerhetstjanster\Common\FSM32.EXE" /splash
O4 - HKLM\..\Run: [F-Secure TNB] "C:\Program\Telia\Telias sakerhetstjanster\TNB\TNBUtil.exe" /CHECKALL /WAITFORSW
O4 - HKLM\..\Run: [F-Secure Startup Wizard] "C:\Program\Telia\Telias sakerhetstjanster\FSGUI\FSSW.EXE" /reboot
O4 - HKLM\..\Run: [Adobe Reader Speed Launcher] "C:\Program\Adobe\Reader 8.0\Reader\Reader_sl.exe"
O4 - HKLM\..\Run: [PWRISOVM.EXE] C:\Program\PowerISO\PWRISOVM.EXE
O4 - HKLM\..\Run: [Ulead Quick-Drop] "C:\Program\Ulead Systems\Ulead DVD MovieFactory 5 Plus\Ulead DVD MovieFactory 5\Quick-Drop.exe" WINDOWCALL
O4 - HKLM\..\Run: [AVG7_CC] C:\Program\Grisoft\AVG7\avgcc.exe /STARTUP
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [BgMonitor_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program\Delade filer\Ahead\Lib\NMBgMonitor.exe"
O4 - HKCU\..\Run: [WhenUSave] "C:\Program\Save\Save.exe"
O4 - HKCU\..\Run: [Pando] "C:\Program\Pando Networks\Pando\Pando.exe" /Minimized
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-19\..\Run: [AVG7_Run] C:\Program\Grisoft\AVG7\avgw.exe /RUNONCE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Startup: Adobe Gamma.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Program\Delade filer\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Kodak EasyShare software.lnk = C:\Program\Kodak\Kodak EasyShare Software\bin\EasyShare.exe
O4 - Global Startup: Kodak software updater.lnk = C:\Program\Kodak\KODAK Software Updater\7288971\Program\Kodak Software Updater.exe
O4 - Global Startup: Telias säkerhetstjänster.lnk = ?
O8 - Extra context menu item: &Blockera detta popup-fönster - C:\Program\Telia\Telias sakerhetstjanster\Anti-Spyware\blockpopups.htm
O8 - Extra context menu item: &Windows Live Search - res://C:\Program\Windows Live Toolbar\msntb.dll/search.htm
O8 - Extra context menu item: Öppna på ny flik i bakgrunden - res://C:\Program\Windows Live Toolbar\Components\sv-se\msntabres.dll.mui/229?ee890a46143a4d57957a4f26b431a18b
O8 - Extra context menu item: Öppna på ny flik i förgrunden - res://C:\Program\Windows Live Toolbar\Components\sv-se\msntabres.dll.mui/230?ee890a46143a4d57957a4f26b431a18b
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: IE-sköld - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program\Telia\Telias sakerhetstjanster\Anti-Spyware\ieshield.dll
O9 - Extra 'Tools' menuitem: IE-sköld... - {300DB664-75B5-47c0-8B45-A44ACCF73C00} - C:\Program\Telia\Telias sakerhetstjanster\Anti-Spyware\ieshield.dll
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\WINDOWS\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O16 - DPF: {2357B3CF-7F8D-4451-8D81-FD6097610AEE} (CamfrogWEB Advanced Unicode Control) - http://activex.camfrogweb.com/advanced/2.0.2.3/cfweb_activex.camfrogweb.com-advanced-2.0.2.3_instmodule.exe
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://gfx2.hotmail.com/mail/w2/pr02/resources/MSNPUpld.cab
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1169627182250
O23 - Service: Adobe LM Service - Adobe Systems - C:\Program\Delade filer\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: AVG7 Alert Manager Server (Avg7Alrt) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVG7\avgamsvr.exe
O23 - Service: AVG7 Update Service (Avg7UpdSvc) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVG7\avgupsvc.exe
O23 - Service: AVG E-mail Scanner (AVGEMS) - GRISOFT, s.r.o. - C:\Program\Grisoft\AVG7\avgemc.exe
O23 - Service: Telias säkerhetstjänster (BackWeb Plug-in - 7836882) - BackWeb Technologies Inc. - C:\Program\Telia\TELIAS~1\backweb\7836882\Program\ SERVIC~1.EXE
O23 - Service: B's Recorder GOLD Library General Service (bgsvcgen) - B.H.A Corporation - C:\WINDOWS\system32\bgsvcgen.exe
O23 - Service: FSGKHS (F-Secure Gatekeeper Handler Starter) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\Anti-Virus\fsgk32st.exe
O23 - Service: fsbwsys - F-Secure Corp. - C:\Program\Telia\Telias sakerhetstjanster\backweb\7836882\program\fsbwsys. exe
O23 - Service: F-Secure Anti-Virus Firewall Daemon (FSDFWD) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\FWES\Program\fsdfwd.exe
O23 - Service: F-Secure Management Agent (FSMA) - F-Secure Corporation - C:\Program\Telia\Telias sakerhetstjanster\Common\FSMA32.EXE
O23 - Service: Kodak Camera Connection Software (KodakCCS) - Eastman Kodak Company - C:\WINDOWS\system32\drivers\KodakCCS.exe
O23 - Service: NBService - Nero AG - C:\Program\Nero\Nero 7\Nero BackItUp\NBService.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: Ulead Burning Helper (UleadBurningHelper) - Ulead Systems, Inc. - C:\Program\Delade filer\Ulead Systems\DVD\ULCDRSvr.exe

--
End of file - 9330 bytes

syns inget utom det här som är adware men det är inget som påverkar datorn
[WhenUSave] "C:\Program\Save\Save.exe"

nu har du ju två antivirusprogram och det är ju aldrig lyckat

kör dessa två program
http://www.uploads.ejvindh.net/rootchk.exe
spara filen på skrivbordet, kör den,får du frågor från brandväggen så svara ja/ok. efter en stund visas en logg som du postar

och
ftp://ftp.f-secure.com/anti-virus/tools/fsbl.exe

Fick upp den här, blev ingen fråga från brandväggen eller nåt...

********************************* ROOTCHK-(25-11-07)-LOG, by ejvindh
2007-12-05 17:09:09,70

The rootkits that are detected by this tool were not found.

********************************* ROOTCHK-LOG-end


catchme 0.3.1262 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2007-12-05 17:09:12
Windows 5.1.2600 Service Pack 2
scanning hidden processes ...

scanning hidden services & system hive ...
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd\Cfg]
"s1"=dword:2df9c43f
"s2"=dword:110480d0
"h0"=dword:00000001
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\sptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:0b,08,70,e9,78,25,e0,ef,dc,05,d2,c4,9d ,a2,73,c5,c5,3f,99,4c,9b,..
[HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\Services\s ptd\Cfg\0D79C293C1ED61418462E24595C90D04]
"h0"=dword:00000000
"ujdew"=hex:0b,08,70,e9,78,25,e0,ef,dc,05,d2,c4,9d ,a2,73,c5,c5,3f,99,4c,9b,..

scanning hidden registry entries ...

scanning hidden files ...

hidden processes: 0
hidden services: 0
hidden files: 0


Alltså just nu kör jag i Felsäkert läge med nätverk, så kanske det är därför som jag får upp meddelandet F-Secure BlackLight cannot be used in Safe Mode. Please restart your computer in normal mode. Kan som sagt inte logga in som vanligt (om det är det man menar med normal mode), då startar datorn om igen av sig själv.

ok, hade aldrig prövat med blackligt i felsäkert läge.

ROOTCHK gör bara en koll, vi kan testa med två andra program om du vill. det ena, sdfix, kan bara köras i felsäkert läge så det lär funka.
förhoppningsvis så kan du "installera" programmet... det gör man ju normalt i normalläge
http://downloads.andymanchesta.com/RemovalTools/SDFix.exe
spara SDFix.exe på skrivbordet >klicka på SDFix.exe >sdfixen packas upp här: C:\SDFix.
starta om i felsäkert läge (F8) >gå hit: C:\SDFix >klicka på runthis.bat >välj y.
när scanningen är klar så tryck på valfri tangent för att starta om.
när det står finished så tryck på valfri tangent. en logg kommer automatiskt att visas (C:\SDFix\report.txt), kopiera in loggen här.
(notera att sdfix återställer hostsfilen till original inställningen, aktiverar windows brandvägg/säkerhetscenter och automatiska uppdateringar)