Virus som bestämer

2008-06-14, 15:42 #13

Medlem

Reg: Jul 2007

Inlägg: 1 390

Bocka för följande i Hijackthis

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ht t p://softwar_ereferral.co...MjI6Ojg5&lid=2

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

Klicka därefter Fix checked

Hämta http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Starta om datorn så du kommer in i felsäkertläge, klicka ett par gånger på F8 vid uppstart för att komma dit.
Logga in på de konto du använder dig av, och extrahera SmitfraudFix.exe, kör programmet alternativ 2 clean
http://siri.geekstogo.com/SmitfraudFix.php

Boota om datorn till windows läge, hämta och installera Malwarebytes från
http://www.malwarebytes.org/mbam.php scanna datorn och ta bort om något skulle hittas.
Starta om datorn igen och posta rapporten från C:\rapport.txt och gör en ny Hijackthis logg.

Citera

2008-06-14, 15:45 #14

Medlem

Reg: Apr 2008

Inlägg: 760

Citat:

Ursprungligen postat av DDK

Nu är jag ingen dataguru, men det du beskriver låter mycket likt vad som hände när jag fick in trojaner i systemet. Fick dem via Bearshare som jag var korkad nog att använda. Jag lyckades hålla dem stångna ett tag med hjälp av Trojan Remover, men bara 24 timmar åt gången, sen smet de ur karantänen på trojaners vis. Så jag drog hela repan med loggar & olika åtgärder utifrån det (med hjälp av datakunniga på olika sajter) - tog evigheter att genomföra alla steg, höll på i typ 1,5 vecka och under tiden kunde jag naturligtvis inte använda datorn - men problemet försvann inte.

Det enda som återstod var omformatering, vilket jag gjorde, och ordningen var återställd. Surt men effektivt. Så om inte nån här kommer upp med en briljant lösning är det förmodligen den vägen du får gå, eftersom det verkar som systemfilerna är infekterade.

Fick fram 4 fel på sidan den inan länka börjar med det.

Men det värsta är att jag råka ta bort alla mina rätigheter på datorn så jag inte fick instalera program eller nästan nånting jag kunde inte äns ändra klockan för jag hade inte tillstånd till det... Men igår fixa jag ett program till min andra data men i den följde det med ett program som bara var att trycka i datorn och bota upp så raderade man lösen på alla admin men nu är den ju trasig i stället ca 4 timmar senare

Medans jag inte hadde behörig het fick jag inte uppdatera mitt virusskyd så det kan ju vara att ett virus kom in då och nu när det inte är lösen på admin så kunde viruset plantera sig i system32 som inte gick innan

Citera

2008-06-14, 15:46 #15

Medlem

Reg: Apr 2008

Inlägg: 760

Citat:

Ursprungligen postat av h-user

Bocka för följande i Hijackthis

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://ht t p://softwar_ereferral.co...MjI6Ojg5&lid=2

O7 - HKCU\Software\Microsoft\Windows\CurrentVersion\Pol icies\System, DisableRegedit=1

O24 - Desktop Component 0: Privacy Protection - file:///C:\WINDOWS\privacy_danger\index.htm

Klicka därefter Fix checked

Hämta http://siri.urz.free.fr/Fix/SmitfraudFix.exe

Starta om datorn så du kommer in i felsäkertläge, klicka ett par gånger på F8 vid uppstart för att komma dit.
Logga in på de konto du använder dig av, och extrahera SmitfraudFix.exe, kör programmet alternativ 2 clean
http://siri.geekstogo.com/SmitfraudFix.php

Boota om datorn till windows läge, hämta och installera Malwarebytes från
http://www.malwarebytes.org/mbam.php scanna datorn och ta bort om något skulle hittas.
Starta om datorn igen och posta rapporten från C:\rapport.txt och gör en ny Hijackthis logg.

ok ska testa

Citera

2008-06-14, 15:56 #16

Medlem

Reg: Apr 2008

Inlägg: 760

"Registret är inakteverat av en administratör" står det när jag tryckte att den skulle tabort

Citera

2008-06-14, 16:00 #17

Medlem

Reg: Jul 2007

Inlägg: 1 390

Citat:

Ursprungligen postat av timpan8

"Registret är inakteverat av en administratör" står det när jag tryckte att den skulle tabort

Starta om datorn i felsäkertläge och logga in på Admin/Administatör om du har ett sådant konto.

Citera

2008-06-14, 17:41 #18

Medlem

Reg: Aug 2003

Inlägg: 9 037

Detta är möjligtvis ett svar du inte vill ha men jag skulle ha formaterat hela systemdisken och hoppats på att inte virusena har spridit sig till eventuell lagringsdisk.
Jag menar du kan ju ha osynliga egenkodade trojaner/virus som antivirusprogrammen inte hittar.
Inte så kul med någon som följer ens alla steg..

Citera

2008-06-14, 18:23 #19

Medlem

Reg: Apr 2008

Inlägg: 760

Citat:

Ursprungligen postat av h-user

Boota om datorn till windows läge, hämta och installera Malwarebytes från
http://www.malwarebytes.org/mbam.php scanna datorn och ta bort om något skulle hittas.
Starta om datorn igen och posta rapporten från C:\rapport.txt och gör en ny Hijackthis logg.

Där va lösningen det var det ända programet som hitta och kunde ta bort loggen såg inte så fin ut men nu är det borta hoppas bara att allt försvan men jag ska köra lite fin ränsning nu

här är loggen:

Malwarebytes' Anti-Malware 1.17
Databasversion: 854

17:53:30 2008-07-30
mbam-log-7-30-2008 (17-53-23).txt

Skanningstyp: Fullständig skanning (C:\|X:\|)
Antal skannade objekt: 122830
Förfluten tid: 38 minute(s), 45 second(s)

Infekterade minnesprocesser: 0
Infekterade minnesmoduler: 2
Infekterade registernycklar: 11
Infekterade registervärden: 2
Infekterade registerdataposter: 14
Infekterade mappar: 0
Infekterade filer: 25

Infekterade minnesprocesser:
(Inga illasinnade poster hittades)

Infekterade minnesmoduler:
C:\WINDOWS\system32\pmnoLbaa.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ssqQgHbc.dll (Trojan.FakeAlert) -> No action taken.

Infekterade registernycklar:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{90cc9650-b106-4616-8939-530f6e30effd} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{90cc9650-b106-4616-8939-530f6e30effd} (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{17f75949-1435-4cbe-950c-15e05b512fb1} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\Browser Helper Objects\{17f75949-1435-4cbe-950c-15e05b512fb1} (Trojan.FakeAlert) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\ssqqghbc (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{88e781de-b10d-4fc1-0000-000000000000} (Trojan.Agent) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\FCOVM (Trojan.Vundo) -> No action taken.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\RemoveRP (Trojan.Vundo) -> No action taken.
HKEY_CLASSES_ROOT\CLSID\{4564780c-a9cf-47bf-a268-bb081bb8ee9a} (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\rtsplgob.bsev (Trojan.FakeAlert) -> No action taken.
HKEY_CLASSES_ROOT\rtsplgob.toolbar.1 (Trojan.FakeAlert) -> No action taken.

Infekterade registervärden:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Curr entVersion\Explorer\ShellExecuteHooks\{17f75949-1435-4cbe-950c-15e05b512fb1} (Trojan.FakeAlert) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page (Trojan.FakeAlert) -> No action taken.

Infekterade registerdataposter:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\LSA\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\pmnolbaa -> No action taken.
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Lsa\Authentication Packages (Trojan.Vundo) -> Data: c:\windows\system32\pmnolbaa -> No action taken.
HKEY_CURRENT_USER\Control Panel\International\sTimeFormat (Trojan.FakeAlert) -> Bad: (HH:mm: VIRUS ALERT!) Good: (HH:mm:ss) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\Start_ShowControlPanel (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\Start_ShowRun (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\Start_ShowSearch (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\Start_ShowNetPlaces (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\Start_ShowHelp (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\Start_ShowMyDocs (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Explorer\Advanced\Start_ShowMyComputer (Hijack.StartMenu) -> Bad: (0) Good: (1) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoStartMenuMoreProgram s (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\StartMenuLogOff (Hijack.StartMenu) -> Bad: (1) Good: (0) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\Explorer\NoDrives (Hijack.Drives) -> Bad: (12) Good: (0) -> No action taken.
HKEY_CURRENT_USER\Software\Microsoft\Windows\Curre ntVersion\Policies\System\DisableTaskMgr (Hijack.TaskManager) -> Bad: (1) Good: (0) -> No action taken.

Infekterade mappar:
(Inga illasinnade poster hittades)

Infekterade filer:
C:\WINDOWS\system32\pmnoLbaa.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\aabLonmp.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\aabLonmp.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\urqQggdC.dll (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\CdggQqru.ini (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\CdggQqru.ini2 (Trojan.Vundo) -> No action taken.
C:\WINDOWS\system32\ssqQgHbc.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\system32\{71364bb0-a634-441b-af5e-8e1266621a6b}.dll (Trojan.Agent) -> No action taken.
C:\WINDOWS\system32\clkcnt.txt (Trojan.Vundo) -> No action taken.
C:\WINDOWS\xkefqtgs.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\rtsplgob.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\rnopbfgt.dll (Trojan.FakeAlert) -> No action taken.
C:\WINDOWS\pebgkxwq.exe (Trojan.FakeAlert) -> No action taken.
C:\Documents and Settings\Tim\Skrivbord\Spyware&Malware Protection.url (Rogue.Link) -> No action taken.
C:\Documents and Settings\test\Skrivbord\Spyware&Malware Protection.url (Rogue.Link) -> No action taken.
C:\Documents and Settings\Tim\Skrivbord\Privacy Protector.url (Rogue.Link) -> No action taken.
C:\Documents and Settings\test\Skrivbord\Privacy Protector.url (Rogue.Link) -> No action taken.
C:\Documents and Settings\Tim\Skrivbord\Error Cleaner.url (Rogue.Link) -> No action taken.
C:\Documents and Settings\test\Skrivbord\Error Cleaner.url (Rogue.Link) -> No action taken.
C:\Documents and Settings\Tim\Favoriter\Error Cleaner.url (Rogue.Link) -> No action taken.
C:\Documents and Settings\test\Favoriter\Error Cleaner.url (Rogue.Link) -> No action taken.
C:\Documents and Settings\Tim\Favoriter\Privacy Protector.url (Rogue.Link) -> No action taken.
C:\Documents and Settings\test\Favoriter\Privacy Protector.url (Rogue.Link) -> No action taken.
C:\Documents and Settings\Tim\Favoriter\Spyware&Malware Protection.url (Rogue.Link) -> No action taken.
C:\Documents and Settings\test\Favoriter\Spyware&Malware Protection.url (Rogue.Link) -> No action taken.

Inte så fint

En fråga till var ändrade viruset så att jag inte kan öppna kontrolpanelen med mina admin konton? Jag kommer in med system admin men inte dom vanliga

Citera

2008-06-14, 19:35 #20

Medlem

Reg: Aug 2006

Inlägg: 288

Citat:

Ursprungligen postat av Unbalanced

Detta är möjligtvis ett svar du inte vill ha men jag skulle ha formaterat hela systemdisken och hoppats på att inte virusena har spridit sig till eventuell lagringsdisk.

Det spelar ingen roll vart den spritt sig om du formaterar. Ingen bootsector kvar, inget register etc. Hur ska ett elakt program starta sig? Med magi? Det enda vore om han hade flera partitioner och inte formaterade dessa eller en smittad usb sticka. Och efter formatering eventuellt körde en elak fil som låg kvar på dessa.

Svaret på din fråga dock, det du har är ett elakt spyware program som varnar för virus du inte har, i hopp om att blåsa dig på pengar. Om du inte har ett ordentligt Antivirus, ett KÖPT sådant. Formatera och införskaffa dig det.

Citera

2008-06-14, 19:58 #21

Medlem

Reg: Apr 2008

Inlägg: 760

Citat:

Ursprungligen postat av Likvidera

Det spelar ingen roll vart den spritt sig om du formaterar. Ingen bootsector kvar, inget register etc. Hur ska ett elakt program starta sig? Med magi? Det enda vore om han hade flera partitioner och inte formaterade dessa eller en smittad usb sticka. Och efter formatering eventuellt körde en elak fil som låg kvar på dessa.

Svaret på din fråga dock, det du har är ett elakt spyware program som varnar för virus du inte har, i hopp om att blåsa dig på pengar. Om du inte har ett ordentligt Antivirus, ett KÖPT sådant. Formatera och införskaffa dig det.

Har F-secure men den funkar inte som den ska

Citera

2008-06-14, 20:13 #22

Medlem

Reg: Mar 2007

Inlägg: 12 238

har du startat om sen du scanna med malwarebytes så posta en ny HJT logg

Citera

2008-06-14, 22:02 #23

Medlem

Reg: Aug 2003

Inlägg: 9 037

Citat:

Ursprungligen postat av Likvidera

Det spelar ingen roll vart den spritt sig om du formaterar. Ingen bootsector kvar, inget register etc. Hur ska ett elakt program starta sig? Med magi? Det enda vore om han hade flera partitioner och inte formaterade dessa eller en smittad usb sticka. Och efter formatering eventuellt körde en elak fil som låg kvar på dessa.

Min tanke var om *.exe filer hade blivit infekterade som låg på en eventuell lagringsdisk,
tex. installationsfiler och när han sedan startade en installationsfil
så bröt viruset/trojanen/masken/spyware ut.
Men det kanske inte fungerar så, så jag reserverar mig för att ha fel.

Citera

2008-06-14, 23:52 #24

Medlem

Reg: Aug 2006

Inlägg: 288

Citat:

Ursprungligen postat av Unbalanced

Min tanke var om *.exe filer hade blivit infekterade som låg på en eventuell lagringsdisk,
tex. installationsfiler och när han sedan startade en installationsfil
så bröt viruset/trojanen/masken/spyware ut.
Men det kanske inte fungerar så, så jag reserverar mig för att ha fel.

Om du menar det jag skrev, så ja, om personen i fråga kör en infekterad fil som legat kvar på någon form av lagringsplats som ej formateras och körs av användaren efter formatering, då ja. Det är nog dock smart att köra en full scan av alla oformaterade partioner innan man börjar leka med filer, efter att precis ha haft ett virus

Citera

Virus som bestämer

Skapa ett konto eller logga in för att kommentera

Skapa ett konto

Logga in