Virusinfektion, behöver hjälp

2008-08-28, 17:24 #1

Medlem

Reg: Jan 2008

Inlägg: 6 302

Jag använder två virusprogram, McAfee Security Center som kom med datorn och Avira AntiVir, ett gratisprogram jag laddar ner. Genomsöker datorn ibland, scannar filer jag laddar ner, och har aldrig haft några problem. När jag idag loggade in på Windows (XP) poppade följande meddelande upp från McAfee:

Citat:

Filen C:\WINDOWS\system32\__c0048659.dat är infekterad med trojanen Generic Fake Alert.a och kan inte rensas.

Jag provade att klicka på Ta bort fil, men inget hände. MSN Messenger funkade som det skulle, men alla andra program vägrade öppnas, bara en tom vit ruta laddade. Jag startade om, och samma sak hände. Jag försökte då logga ut från Windows. Då kom ett varningsmeddelande där det stod: ''McAfee har hittat en misstänkt fil. McAfee föreslår att du söker igenom datorn nu.'' Oavsett hur många gånger jag tog bort meddelandet så kom det tillbaka, och då och då en ''avsluta process'' ruta, med processnamn som bara var långa kombinationer av bokstäver och siffror. Var slutligen tvungen att stänga av datorn manuellt, och skriver nu från en annan.

Någon som vet vad som hänt, och vad jag kan göra åt det?

Citera

2008-08-28, 18:11 #2

Medlem

Reg: Feb 2008

Inlägg: 1 464

Ladda ner: http://www.download.com/Malwarebytes...-10804572.html

och scanna

Citera

2008-08-28, 18:14 #3

Medlem

Reg: Apr 2006

Inlägg: 3 177

Rekommenderar att du skaffar dig ett nytt antivirus iom att Avira är riktigt dåligt, skaffa Avast eller NOD32.

Citera

2008-08-28, 19:29 #4

Medlem

Reg: Mar 2007

Inlägg: 12 238

du ska inte använda två AV då dessa kan krocka och ge andra konstiga problem, om det går så inaktivera AV i mcafee, brandväggen kan du forsätta använda

det är svårt att få bort sånna här filer __c0048659.dat men testa felsäkert läge annars så gör du som det står i inlägg två

Citera

2008-08-28, 19:59 #5

Medlem

Reg: Apr 2008

Inlägg: 595

Citat:

Ursprungligen postat av hybbe

Rekommenderar att du skaffar dig ett nytt antivirus iom att Avira är riktigt dåligt

Avira är inte alls dåligt, tvärtemot såpass "bra" att det till och från matchar NOD32. Men det är som redan nämnts oerhört resultatdestruktivt att köra två antivirusprogram parallellt.

Citera

2008-08-29, 10:54 #6

Medlem

Reg: Jan 2008

Inlägg: 6 302

Kommer som sagt inte in på internet, så jag kan inte ladda ner eller öppna några program. Hur startar jag felsäkert läge och vad gör jag sedan?

Citera

2008-08-29, 15:07 #7

Medlem

Reg: Jul 2007

Inlägg: 1 285

börja med att ladda ner det här.
http://www.trendsecure.com/portal/en...kthis/download

sedan går du in i hijackthis menun och väljer "open misc tools section" och sedan trycker du på "delete a file on reboot" där klistrar du in detta:

C:\WINDOWS\system32\__c0048659.dat

starta sedan om datorn

ladda sedan ner och scanna med dessa två, innan du scannar med malwarebytes så är det viktigt att du uppdaterar.

http://us.trendmicro.com/us/products...der/index.html

http://www.malwarebytes.org/mbam.php

Öppna hijackthis igen och väj "do a system scan and save a logg file", då kommer text upp, kopiera allt och posta här.

Citera

2008-08-29, 15:08 #8

Medlem

Reg: Jul 2007

Inlägg: 1 285

Citat:

Ursprungligen postat av Adversarius

Kommer som sagt inte in på internet, så jag kan inte ladda ner eller öppna några program. Hur startar jag felsäkert läge och vad gör jag sedan?

tryck på F8 vid uppstarten,

när du har kommit in i felsäkert läge, tryck på start sedan den här datorn, gå in i C, sedan Windows, system32, leta upp och ta bort __c0048659.dat.

testa ladda ner hijackthis, spara på en USB sticka och lägg in i din infekterade dator och kör programmet.

__________________
Senast redigerad av w580i 2008-08-29 kl. 15:12.

Citera

2008-08-29, 17:22 #9

Medlem

Reg: Jan 2008

Inlägg: 6 302

Tack för tipsen. Här är vad som hänt nu:

Jag körde igång felsäkert läge, och försökte deleta nämnda fil. Det gick inte, ett annat program använde den. Sen startade jag om i felsäkert läge med nätverk, laddade ner HijackThis och skulle till att köra Delete file on reboot, men då fanns filen inte längre kvar i system32-mappen. Jag gjorde då en logg, som följer här:

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 17:06:57, on 2008-08-29
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Safe mode with network support

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\Program\Mozilla Firefox\firefox.exe
C:\Program\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.aftonbladet.se/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://www1.euro.dell.com/content/de...=se&l=sv&s=gen
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://www1.euro.dell.com/content/de...=se&l=sv&s=gen
R1 - HKCU\Software\Microsoft\Internet Connection Wizard,ShellNext = http://se.mcafee.com/apps/mps/sv/red...stempopup=true
R1 - HKCU\Software\Microsoft\Windows\CurrentVersion\Int ernet Settings,ProxyOverride = *.local
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: AcroIEHlprObj Class - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Adobe\Acrobat 6.0\Reader\ActiveX\AcroIEHelper.dll
O2 - BHO: McBrwHelper Class - {227B8AA8-DAF2-4892-BD1D-73F568BCB24E} - c:\program\mcafee.com\mps\mcbrhlpr.dll
O2 - BHO: McAfee PopupKiller - {3EC8255F-E043-4cae-8B3B-B191550C2A22} - c:\program\mcafee.com\mps\popupkiller.dll
O2 - BHO: McAfee AntiPhishing Filter - {41D68ED8-4CFF-4115-88A6-6EBB8AF19000} - c:\program\mcafee\spamkiller\mcapfbho.dll
O2 - BHO: DriveLetterAccess - {5CA3D70E-1895-11CF-8E15-001234567890} - C:\WINDOWS\System32\DLA\DLASHX_W.DLL
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_02\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O3 - Toolbar: McAfee VirusScan - {BA52B914-B692-46c4-B683-905236F6F655} - c:\program\mcafee.com\vso\mcvsshl.dll
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program\Java\jre1.6.0_02\bin\jusched.exe"
O4 - HKLM\..\Run: [IAAnotif] C:\Program\Intel\Intel Matrix Storage Manager\iaanotif.exe
O4 - HKLM\..\Run: [DMXLauncher] C:\Program\Dell\Media Experience\DMXLauncher.exe
O4 - HKLM\..\Run: [CTSysVol] C:\Program\Creative\SBAudigy\Surround Mixer\CTSysVol.exe /r
O4 - HKLM\..\Run: [MBMon] Rundll32 CTMBHA.DLL,MBMon
O4 - HKLM\..\Run: [UpdReg] C:\WINDOWS\UpdReg.EXE
O4 - HKLM\..\Run: [VoiceCenter] "C:\Program\Creative\VoiceCenter\AndreaVC.exe" /tray
O4 - HKLM\..\Run: [ISUSPM Startup] "C:\Program\Delade filer\InstallShield\UpdateService\isuspm.exe" -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program\Delade filer\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [DLA] C:\WINDOWS\System32\DLA\DLACTRLW.EXE
O4 - HKLM\..\Run: [VSOCheckTask] "C:\Program\McAfee.com\VSO\mcmnhdlr.exe" /checktask
O4 - HKLM\..\Run: [OASClnt] C:\Program\McAfee.com\VSO\oasclnt.exe
O4 - HKLM\..\Run: [MCAgentExe] c:\program\mcafee.com\agent\mcagent.exe
O4 - HKLM\..\Run: [MCUpdateExe] c:\program\mcafee.com\agent\McUpdate.exe
O4 - HKLM\..\Run: [MSKDetectorExe] C:\Program\McAfee\SPAMKI~1\MSKDetct.exe /startup
O4 - HKLM\..\Run: [MSKAGENTEXE] C:\Program\McAfee\SPAMKI~1\MskAgent.exe
O4 - HKLM\..\Run: [Corel Photo Downloader] C:\Program\Corel\Corel Photo Album 6\MediaDetect.exe
O4 - HKLM\..\Run: [VirusScan Online] C:\Program\McAfee.com\VSO\mcvsshld.exe
O4 - HKLM\..\Run: [MPFExe] C:\Program\McAfee.com\PERSON~1\MpfTray.exe
O4 - HKLM\..\Run: [MPSExe] c:\program\mcafee.com\mps\mscifapp.exe /embedding
O4 - HKLM\..\Run: [SigmatelSysTrayApp] stsystra.exe
O4 - HKLM\..\Run: [Sony Ericsson PC Suite] "C:\Program\Sony Ericsson\Mobile2\Application Launcher\Application Launcher.exe" /startoptions
O4 - HKLM\..\Run: [TkBellExe] "C:\Program\Delade filer\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [Telia] "C:\Program\Telia\Supportassistent\bin\sprtcmd.exe " /P Telia
O4 - HKLM\..\Run: [avgnt] "C:\Program\AntiVir PersonalEdition Classic\avgnt.exe" /min
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [KernelFaultCheck] %systemroot%\system32\dumprep 0 -k
O4 - HKLM\..\Run: [AppleSyncNotifier] C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleSyncNotifier.exe
O4 - HKLM\..\Run: [QuickTime Task] "C:\Program\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [iTunesHelper] "C:\Program\iTunes\iTunesHelper.exe"
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [SetDefaultMIDI] MIDIDef.exe
O4 - HKCU\..\Run: [Creative Detector] C:\Program\Creative\MediaSource\Detector\CTDetect. exe /R
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\MSN Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [Skype] "C:\Program\Skype\Phone\Skype.exe" /nosplash /minimized
O4 - HKCU\..\Run: [A00F2C114.exe] C:\DOCUME~1\Joel\LOKALA~1\Temp\_A00F2C114.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Dell Network Assistant.lnk = ?
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_02\bin\ssv.dll
O9 - Extra button: (no name) - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program\mcafee\spamkiller\mcapfbho.dll
O9 - Extra 'Tools' menuitem: McAfee AntiPhishing Filter - {39FD89BF-D3F1-45b6-BB56-3582CCF489E1} - c:\program\mcafee\spamkiller\mcapfbho.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O20 - Winlogon Notify: __c0048659 - C:\WINDOWS\system32\__c0048659.dat (file missing)
O23 - Service: AntiVir PersonalEdition Classic Scheduler (AntiVirScheduler) - Avira GmbH - C:\Program\AntiVir PersonalEdition Classic\sched.exe
O23 - Service: AntiVir PersonalEdition Classic Guard (AntiVirService) - Avira GmbH - C:\Program\AntiVir PersonalEdition Classic\avguard.exe
O23 - Service: Apple Mobile Device - Apple Inc. - C:\Program\Delade filer\Apple\Mobile Device Support\bin\AppleMobileDeviceService.exe
O23 - Service: Bonjour-tjänst (Bonjour Service) - Apple Inc. - C:\Program\Bonjour\mDNSResponder.exe
O23 - Service: Creative Labs Licensing Service - Creative Labs - C:\Program\Delade filer\Creative Labs Shared\Service\CreativeLicensing.exe
O23 - Service: Creative Service for CDROM Access - Creative Technology Ltd - C:\WINDOWS\system32\CTsvcCDA.exe
O23 - Service: Advanced Networking Service (hnmsvc) - SingleClick Systems - C:\Program\Dell Network Assistant\hnm_svc.exe
O23 - Service: Intel(R) Matrix Storage Event Monitor (IAANTMon) - Intel Corporation - C:\Program\Intel\Intel Matrix Storage Manager\iaantmon.exe
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program\Delade filer\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: iPod Service - Apple Inc. - C:\Program\iPod\bin\iPodService.exe
O23 - Service: McAfee WSC Integration (McDetect.exe) - McAfee, Inc - c:\program\mcafee.com\agent\mcdetect.exe
O23 - Service: McAfee.com McShield (McShield) - McAfee Inc. - c:\program\mcafee.com\vso\mcshield.exe
O23 - Service: McAfee Task Scheduler (McTskshd.exe) - McAfee, Inc - c:\program\mcafee.com\agent\mctskshd.exe
O23 - Service: McAfee SecurityCenter Update Manager (mcupdmgr.exe) - McAfee, Inc - C:\Program\McAfee.com\Agent\mcupdmgr.exe
O23 - Service: McAfee Personal Firewall Service (MpfService) - McAfee Corporation - C:\Program\McAfee.com\PERSON~1\MpfService.exe
O23 - Service: McAfee SpamKiller Server (MskService) - McAfee Inc. - C:\Program\McAfee\SPAMKI~1\MSKSrvr.exe
O23 - Service: Intel NCS NetService (NetSvc) - Intel(R) Corporation - C:\Program\Intel\PROSetWired\NCS\Sync\NetSvc.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\system32\nvsvc32.exe

--
End of file - 8691 bytes

Citat:

O20 - Winlogon Notify: __c0048659 - C:\WINDOWS\system32\__c0048659.dat (file missing)

står ni som det ser mitt i vimlet... Vad kan det betyda?

Hur som helst startade jag efter detta om Windows i vanligt läge, och allt verkade funka ok när Windows startade upp. Men då fick jag exakt samma meddelande från McAfee om att en fil var infekterad med Generic Fake Alert.a och inte kunde raderas, men denna gången hette filen __c00B4E08.dat. Nu när jag tittar i system32-mappen har just denna fil ersatt den som förut hette __c0048659.dat. Är detta något som trojanen skapar? Det är uppenbarligen den som måste bort, och inte någon enstaka fil... Startade återigen om i felsäkert läge med nätverk, och här sitter jag nu. What to do, what to do?

Citera

2008-08-29, 19:08 #10

Medlem

Reg: Jul 2007

Inlägg: 1 285

fixa denna
O20 - Winlogon Notify: __c0048659 - C:\WINDOWS\system32\__c0048659.dat (file missing)

kan du på något sätt scanna med malwarebytes? det skulle nog få bort skiten.

skulle du även kunna skicka hit en hijackthis logg i normalt läge?

Citera

2008-08-31, 20:15 #11

Medlem

Reg: Jan 2008

Inlägg: 6 302

Allt avhjälpt, skannade med Malwarebytes i felsäkert läge och tog bort de infekterade filerna. Avinstallerade också Avira för att undvika att ha två simultana virusprogram igång.

Tack så mycket för hjälpen, w580i och ni andra.

Citera

2008-08-31, 20:20 #12

Medlem

Reg: Jul 2007

Inlägg: 1 285

Citat:

Ursprungligen postat av Adversarius

Allt avhjälpt, skannade med Malwarebytes i felsäkert läge och tog bort de infekterade filerna. Avinstallerade också Avira för att undvika att ha två simultana virusprogram igång.

Tack så mycket för hjälpen, w580i och ni andra.

skönt att det har löst sig

posta ändå en hijackthis logg i normalt läge, för säkerhetens skull

http://www.trendsecure.com/portal/en...kthis/download

Citera

Virusinfektion, behöver hjälp

Skapa ett konto eller logga in för att kommentera

Skapa ett konto

Logga in