Måste få bort virus! (TR/Dldr.Delf.gru)

2008-05-13, 18:13 #1

Medlem

Reg: Mar 2006

Inlägg: 926

OS: Microsoft Windows Vista Ultimate (x86)
AV: Avira AntiVir Personal

Infektion:
C:\Windows\System32\afinding.exe (TR/Dldr.Delf.gru)
C:\Windows\System32\Indt2.sys (TR/Click.VB.amp)
C:\Windows\System32\routing.exe (TR/Delf.NCQ)
C:\Windows\System32\wserving.exe (TR/Dldr.Delf.gru.1)
osv. med slumpmässiga virus i System32!

När jag raderar eller sätter en fil i karantän så kommer en ny slumpmässig av dessa filer, oftast afinding. Vad ska jag göra?

Citera

2008-05-13, 18:15 #2

Medlem

Reg: Dec 2007

Inlägg: 1 460

Citat:

Ursprungligen postat av Jesus Kristus

OS: Microsoft Windows Vista Ultimate (x86)
AV: Avira AntiVir Personal

Infektion:
C:\Windows\System32\afinding.exe (TR/Dldr.Delf.gru)
C:\Windows\System32\Indt2.sys (TR/Click.VB.amp)
C:\Windows\System32\routing.exe (TR/Delf.NCQ)
C:\Windows\System32\wserving.exe (TR/Dldr.Delf.gru.1)
osv. med slumpmässiga virus i System32!

När jag raderar eller sätter en fil i karantän så kommer en ny slumpmässig av dessa filer, oftast afinding. Vad ska jag göra?

Posta i rätt forumdel är en ide.

Citera

2008-05-13, 18:17 #3

Medlem

Reg: Sep 2006

Inlägg: 2 030

Citat:

Ursprungligen postat av agentsarcasmo

Posta i rätt forumdel är en ide.

Tråden flyttas till Datoranvändning - Windows. Läs de klistrade trådarna i framtiden.

Citat:

Ursprungligen postat av http://www.flashback.info/showthread.php?t=657998

Diskussioner rörande datorproblem och hur problemet kan avhjälpas passar bäst i forumen för Datoranvändning.

// Mod

Citera

2008-05-13, 22:49 #4

Medlem

Reg: Mar 2007

Inlägg: 12 238

posta en hijackthis logg (googla på det)

Citera

2008-05-14, 06:52 #5

Medlem

Reg: Apr 2008

Inlägg: 56

Efter ett par sökningar på google hittade jag detta:

Manual removal:

1. Reboot the computer in Safe Mode (at the start of the boot sequence, press and hold F8, then choose Safe Mode from the Windows boot menu).
2. Delete the following file:
%Windir%\inst_cassovia_apps.exe
%Program Files%\Common Files\Microsoft Shared\MSInfo\svchost.exe
3. Delete the original Trojan file (the location will depend on how it originally penetrated the computer).

Dock finns risken att den har laddat ned andra trojaner till din dator (Det är en sk trojan downloader). Det enda du kan göra för att vara säker på att du är virusfri är att formatera hårddisken och installera Windows från CD.

Citera

2008-05-14, 14:00 #6

Medlem

Reg: Mar 2006

Inlägg: 926

Jag har försökt få bort det, men de bara återkommer och nu är det en fil till.

Hursomhelst, här är en HihackThis logg.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 13:55:16, on 2008-05-14
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\taskeng.exe
C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
C:\Windows\system32\Dwm.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe
C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe
C:\Program Files\Common Files\Logishrd\LComMgr\Communications_Helper.exe
C:\Program Files\Logitech\QuickCam\Quickcam.exe
C:\Windows\System32\CtHelper.exe
C:\Windows\System32\Ctxfihlp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe
C:\Program Files\Maxtor\MaxBlast\MaxBlastMonitor.exe
C:\Program Files\Maxtor\MaxBlast\TimounterMonitor.exe
C:\Program Files\Common Files\Maxtor\Schedule2\schedhlp.exe
C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe
C:\Program Files\Windows Sidebar\sidebar.exe
C:\Program Files\Creative\Shared Files\CTSched.exe
C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe
C:\Program Files\Logitech\SetPoint II\SetpointII.exe
C:\Windows\SYSTEM32\CTXFISPI.EXE
C:\Program Files\OpenOffice.org 2.4\program\soffice.exe
C:\Program Files\Common Files\Logishrd\KHAL2\KHALMNPR.EXE
C:\Program Files\OpenOffice.org 2.4\program\soffice.BIN
C:\Windows\system32\wbem\unsecapp.exe
C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe
C:\Program Files\Common Files\Logishrd\LQCVFX\COCIManager.exe
C:\Program Files\Mozilla Firefox 3 Beta 5\firefox.exe
C:\Windows\system32\SearchFilterHost.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant =
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch =
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName =
O1 - Hosts: ::1 localhost
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [VolPanel] "C:\Program Files\Creative\Sound Blaster X-Fi\Volume Panel\VolPanlu.exe" /r
O4 - HKLM\..\Run: [UpdReg] C:\Windows\UpdReg.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [CTXFIREG] CTxfiReg.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program Files\Java\jre1.6.0_05\bin\jusched.exe"
O4 - HKLM\..\Run: [LogitechCommunicationsManager] "C:\Program Files\Common Files\LogiShrd\LComMgr\Communications_Helper.exe"
O4 - HKLM\..\Run: [LogitechQuickCamRibbon] "C:\Program Files\Logitech\QuickCam\Quickcam.exe" /hide
O4 - HKLM\..\Run: [StartCCC] "C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe"
O4 - HKLM\..\Run: [NBKeyScan] "C:\Program Files\Nero\Nero8\Nero BackItUp\NBKeyScan.exe"
O4 - HKLM\..\Run: [CTHelper] CTHELPER.EXE
O4 - HKLM\..\Run: [CTxfiHlp] CTXFIHLP.EXE
O4 - HKLM\..\Run: [MaxBlastMonitor.exe] C:\Program Files\Maxtor\MaxBlast\MaxBlastMonitor.exe
O4 - HKLM\..\Run: [AcronisTimounterMonitor] C:\Program Files\Maxtor\MaxBlast\TimounterMonitor.exe
O4 - HKLM\..\Run: [Acronis Scheduler2 Service] "C:\Program Files\Common Files\Maxtor\Schedule2\schedhlp.exe"
O4 - HKLM\..\Run: [avgnt] "C:\Program Files\Avira\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKCU\..\Run: [Sidebar] C:\Program Files\Windows Sidebar\sidebar.exe /autoRun
O4 - HKCU\..\Run: [CreativeTaskScheduler] "C:\Program Files\Creative\Shared Files\CTSched.exe" /logon
O4 - HKCU\..\Run: [IndxStoreSvr_{79662E04-7C6C-4d9f-84C7-88D8A56B10AA}] "C:\Program Files\Common Files\Nero\Lib\NMIndexStoreSvr.exe" ASO-616B5711-6DAE-4795-A05F-39A1E5104020
O4 - HKUS\S-1-5-19\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-19\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter (User 'LOCAL SERVICE')
O4 - HKUS\S-1-5-20\..\Run: [Sidebar] %ProgramFiles%\Windows Sidebar\Sidebar.exe /detectMem (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [DevconDefaultDB] C:\Windows\system32\READREG /SILENT /FAIL=1 (User 'Default user')
O4 - Startup: OpenOffice.org 2.4.lnk = C:\Program Files\OpenOffice.org 2.4\program\quickstart.exe
O4 - Global Startup: SetPointII.lnk = ?
O8 - Extra context menu item: Download Link Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_file.htm
O8 - Extra context menu item: Download List Of Files Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_list.htm
O8 - Extra context menu item: Subscribe To RSS/Podcast Using DownloadStudio... - C:\Program Files\Conceiva\DownloadStudio\ds_rss.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Console - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.6.0_05\bin\ssv.dll
O13 - Gopher Prefix:
O17 - HKLM\System\CCS\Services\Tcpip\..\{2D37C4E5-0245-448D-AD96-6A053593FA99}: NameServer = 217.10.96.65,217.10.96.44
O22 - SharedTaskScheduler: Windows DreamScene - {E31004D1-A431-41B8-826F-E902F9D95C81} - C:\Windows\System32\DreamScene.dll
O23 - Service: Acronis Scheduler2 Service (AcrSch2Svc) - Acronis - C:\Program Files\Common Files\Maxtor\Schedule2\schedul2.exe
O23 - Service: AFinding Service (AFinding) - Unknown owner - C:\Windows\system32\afinding.exe (file missing)
O23 - Service: Avira AntiVir Personal – Free Antivirus Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: Avira AntiVir Personal – Free Antivirus Guard (AntiVirService) - Avira GmbH - C:\Program Files\Avira\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Ati External Event Utility - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\Windows\system32\Ati2evxx.exe
O23 - Service: Creative ALchemy AL1 Licensing Service - Creative Labs - C:\Program Files\Common Files\Creative Labs Shared\Service\AL1Licensing.exe
O23 - Service: Creative Audio Service (CTAudSvcService) - Creative Technology Ltd - C:\Program Files\Creative\Shared Files\CTAudSvc.exe
O23 - Service: LVCOMSer - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVCOMSER\LVComSer.exe
O23 - Service: Process Monitor (LVPrcSrv) - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\LVMVFM\LVPrcSrv.exe
O23 - Service: LVSrvLauncher - Logitech Inc. - C:\Program Files\Common Files\LogiShrd\SrvLnch\SrvLnch.exe
O23 - Service: Nero BackItUp Scheduler 3 - Nero AG - C:\Program Files\Nero\Nero8\Nero BackItUp\NBService.exe
O23 - Service: NMIndexingService - Nero AG - C:\Program Files\Common Files\Nero\Lib\NMIndexingService.exe
O23 - Service: perfmons Service (perfmons) - Unknown owner - C:\Windows\system32\perfs.exe
O23 - Service: PLFlash DeviceIoControl Service - Prolific Technology Inc. - C:\Windows\system32\IoctlSvc.exe
O23 - Service: Routing Service (Routing) - Unknown owner - C:\Windows\system32\routing.exe (file missing)
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program Files\WinPcap\rpcapd.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe
O23 - Service: WServing Service (WServing) - Unknown owner - C:\Windows\system32\wserving.exe (file missing)

--
End of file - 8656 bytes

EDIT:
Som ni ser är det några "file missing". Det är filerna jag raderat, men de kommer ju snart tillbaks igen och igen, men detta är ju viktiga filer och jag har skrivit ".bak" på alla backups men ändå återskapas dem. Är det AntiVir som flippat ur eller är detta virus?

__________________
Senast redigerad av Jesus Kristus 2008-05-14 kl. 14:07.

Citera

2008-05-14, 17:17 #7

Medlem

Reg: Mar 2007

Inlägg: 12 238

stoppa/inaktivera dessa tjänster, starta om och scanna igen.
sys filerna kan va luriga, det är möjligt att dom ändrar namn och/eller är associerade med nån annan fil eller så var det så enkelt att nån av tjänsterna nedan skapa dessa

O23 - Service: AFinding Service (AFinding) - Unknown owner - C:\Windows\system32\afinding.exe (file missing)

O23 - Service: perfmons Service (perfmons) - Unknown owner - C:\Windows\system32\perfs.exe*

O23 - Service: WServing Service (WServing) - Unknown owner - C:\Windows\system32\wserving.exe (file missing)

* kan du skicka upp till avira, fyller du i en seriös mailadress så får du svar på vad filen innehöll
http://analysis.avira.com/samples/index.php

Citera

2008-05-22, 14:34 #8

Medlem

Reg: Mar 2006

Inlägg: 926

Löste det för ett par dagar sedan!
Så här gjorde jag (bra att veta ifall fler får detta irriterande virus):
1. Inaktivera tjänsterna. (tack till 927 för tipset)
2. Raderade virusfilerna i System32, men vissa installeras igen.
3. Laddade ned och körde Spyware Doctor. Detta rensar nedladdningsprogrammet som inte försvann och fortsatt lägga in ett par andra virusfiler.
4. Körde AntiVir som tog bort ytterliggare filer som nu inte kunde laddas in eftersom att Spyware Doctor hittade nedladdningsprogrammet som inte AntiVir gjorde.
5. Sökte igenom System32 manuellt, inget virus!
6. Gick till HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Servic es\ och raderade kvarlevor så man slipper se dessa i Tjänster.

Citera

2008-05-22, 18:03 #9

Medlem

Reg: Mar 2007

Inlägg: 12 238

grejen med antivir freeware är ju att fastän det mycket bra detektion på trojaner så tar det inga ad/spyware filer (sen så är det ju olika vad företagen kallar för trojaner resp adware. fejkade skyddsprogram som tex xpantivirus tror jag inte finns med i gratis variantens detektion

Citera

Måste få bort virus! (TR/Dldr.Delf.gru)

Skapa ett konto eller logga in för att kommentera

Skapa ett konto

Logga in