1. Dator och IT
  2. Programvara: Windows

Ladda ja precis ner ett virus?

Svara
  • 1
  • 2
2008-09-02, 18:32
  #1
EazY__
Medlem
Tjenare, Laddade precis ner ett fusk till ett spel innan ja läste vad andra personer hade skrivit om det, det var visst ett virus En av sakerna som hände var att firefox slutade fungera om och om igen, Även fast jag itne hade det på. Kom upp en sån där "firefox har slutat fungera windows söker efter en lösning" så jag raderade firefox å datorn fungerade okej igen, men tror knappast att viruset försvann så lätt så skulle vilja ha lite hjälp av nån snäll människa att fixa detta, När jag gjorde en hijacklogga att klistra in här så kom det här medelandet upp:
"For some reason your system denied write access to the hosts file. If any hijacked domains are in this file, HijackThis may not be able to fix this", vad betyder detta?

Tack på förhand!

Skulle visst vara nått av dom här virusena
File: archer.rar
Status:
INFECTED/MALWARE
MD5: 4bebb594b794616f47fd1bbe7fbce9f0
Packers detected:
-
Bit9 reports: File not found
Scanner results
Scan taken on 22 Jan 2008 19:38:59 (GMT)

A-Squared
Found Backdoor.Win32.Agent.rk

AntiVir
Found BDS/Bifrose.Gen

ArcaVir
Found Trojan.Agent.Rk

Avast
Found Win32:Agent-DDN

AVG Antivirus
Found BackDoor.Agent.YE

BitDefender
Found Backdoor.Agent.RK

ClamAV
Found Trojan.Delf-117

CPsecure
Found BackDoor.W32.Agent.rk

Dr.Web
Found BackDoor.Bifrost.522

F-Prot Antivirus
Found W32/Agent.AGL

F-Secure Anti-Virus
Found Backdoor.Win32.Agent.bac

Fortinet
Found W32/Agent.RK!tr.bdr

Ikarus
Found Backdoor.Win32.Agent.RK

Kaspersky Anti-Virus
Found Backdoor.Win32.Agent.bac

NOD32
Found Win32/Agent.NAK

Norman Virus Control
Found W32/Agent.AYPA

Panda Antivirus
Found nothing

Rising Antivirus
Found Backdoor.Agent.ful

Sophos Antivirus
Found Mal/Behav-053

VirusBuster
Found Backdoor.Agent.EOI

VBA32
Found nothing

HTML-kod: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:41:37, on 2008-09-02
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Razer\Diamondback 3G\razerhid.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\DAEMON Tools Pro\DTProAgent.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Eraser\Eraser.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Razer\Diamondback 3G\razertra.exe
C:\Program Files\Razer\Diamondback 3G\razerofa.exe
C:\Program Files\VentriloMIX\Ventrilo 2.1.4.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Windows\system32\notepad.exe
C:\Windows\system32\Macromed\Flash\FlashUtil9f.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\helppane.exe
C:\Windows\system32\NOTEPAD.EXE
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Diamondback] C:\Program Files\Razer\Diamondback 3G\razerhid.exe
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" -autorun
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\Eraser.exe -hide
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [{20AC6A5E-E932-7E5A-03BC-802E1232E070}] C:\Users\EazY\AppData\Roaming\Win32.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O13 - Gopher Prefix: 
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 4082 bytes

Hijack loggan fixades sig ändå
Citera
2008-09-02, 21:51
  #2
EazY__
Medlem
Nån som kan hjälpa mej?? snällla
Citera
2008-09-02, 22:20
  #3
w580i
Medlem
w580is avatar
uppdatera och gör en scan med malwarebytes, posta sedan en ny hijackthis logg här.
Citera
2008-09-03, 00:12
  #4
EazY__
Medlem
Citat:
Ursprungligen postat av w580i
uppdatera och gör en scan med malwarebytes, posta sedan en ny hijackthis logg här.

Har sökt igenom med malwarebytes.
här e loggan:

HTML-kod: 
Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 00:11:12, on 2008-09-03
Platform: Windows Vista SP1 (WinNT 6.00.1905)
MSIE: Internet Explorer v7.00 (7.00.6001.18000)
Boot mode: Normal

Running processes:
C:\Windows\system32\Dwm.exe
C:\Windows\system32\taskeng.exe
C:\Windows\Explorer.EXE
C:\Program Files\Windows Defender\MSASCui.exe
C:\Windows\System32\rundll32.exe
C:\Program Files\Razer\Diamondback 3G\razerhid.exe
C:\Program Files\Windows Live\Messenger\msnmsgr.exe
C:\Windows\System32\mobsync.exe
C:\Program Files\DAEMON Tools Pro\DTProAgent.exe
C:\Program Files\Steam\Steam.exe
C:\Program Files\Eraser\Eraser.exe
C:\Program Files\Windows Media Player\wmpnscfg.exe
C:\Program Files\Razer\Diamondback 3G\razertra.exe
C:\Program Files\Razer\Diamondback 3G\razerofa.exe
C:\Program Files\VentriloMIX\Ventrilo 2.1.4.exe
C:\Program Files\Internet Explorer\ieuser.exe
C:\Program Files\Common Files\Microsoft Shared\Windows Live\WLLoginProxy.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\uTorrent\uTorrent.exe
C:\Program Files\Trend Micro\HijackThis\HijackThis.exe
C:\Windows\system32\DllHost.exe

R1 - HKCU\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.daemon-search.com/startpage

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,SearchAssistant = 
R0 - HKLM\Software\Microsoft\Internet Explorer\Search,CustomizeSearch = 
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = 
O1 - Hosts: ::1 localhost
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program Files\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: WormRadar.com IESiteBlocker.NavFilter - {3CA2F312-6F6E-4B53-A66E-4E65E497C8C0} - C:\Program Files\AVG\AVG8\avgssie.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program Files\Common Files\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [Windows Defender] %ProgramFiles%\Windows Defender\MSASCui.exe -hide
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\Windows\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\Windows\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Diamondback] C:\Program Files\Razer\Diamondback 3G\razerhid.exe
O4 - HKLM\..\Run: [AVG8_TRAY] C:\PROGRA~1\AVG\AVG8\avgtray.exe
O4 - HKCU\..\Run: [WindowsWelcomeCenter] rundll32.exe oobefldr.dll,ShowWelcomeCenter
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [DAEMON Tools Pro Agent] "C:\Program Files\DAEMON Tools Pro\DTProAgent.exe" -autorun
O4 - HKCU\..\Run: [Steam] "C:\Program Files\Steam\Steam.exe" -silent
O4 - HKCU\..\Run: [Eraser] C:\Program Files\Eraser\Eraser.exe -hide
O4 - HKCU\..\Run: [WMPNSCFG] C:\Program Files\Windows Media Player\WMPNSCFG.exe
O4 - HKCU\..\Run: [{20AC6A5E-E932-7E5A-03BC-802E1232E070}] C:\Users\EazY\AppData\Roaming\Win32.exe
O4 - Global Startup: Adobe Reader Speed Launch.lnk = C:\Program Files\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O9 - Extra button: PokerStars - {3AD14F0C-ED16-4e43-B6D8-661B03F6A1EF} - C:\Program Files\PokerStars\PokerStarsUpdate.exe
O13 - Gopher Prefix: 
O18 - Protocol: linkscanner - {F274614C-63F8-47D5-A4D1-FBDDE494F8D1} - C:\Program Files\AVG\AVG8\avgpp.dll
O20 - AppInit_DLLs: avgrsstx.dll
O23 - Service: AVG Free8 E-mail Scanner (avg8emc) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgemc.exe
O23 - Service: AVG Free8 WatchDog (avg8wd) - AVG Technologies CZ, s.r.o. - C:\PROGRA~1\AVG\AVG8\avgwdsvc.exe
O23 - Service: NVIDIA Display Driver Service (nvsvc) - NVIDIA Corporation - C:\Windows\system32\nvvsvc.exe
O23 - Service: Steam Client Service - Valve Corporation - C:\Program Files\Common Files\Steam\SteamService.exe

--
End of file - 4491 bytes

Tack så mkt för hjälpen
Citera
2008-09-03, 14:09
  #5
EazY__
Medlem
Det är konstigt, jag har hittat viruset, det ligger i roaming mappen och heter win32.exe, fast när jag kollar filen med malwarebyte, så får den inget utslag fast när jag kollar den med AVG free 8.0 så säger de att det är en trojan. Hur tar jag bort denna fil? bara ta bort till papperskorgen eller? försvinner den då?

Tacksam för svar
Citera
2008-09-03, 14:59
  #6
927
Medlem
927s avatar
ja det är bara ta bort filen, den här även startat med windows varje gång och då är det kanske inte så roligt om man använder windows brandvägg
Citera
2008-09-03, 16:36
  #7
EazY__
Medlem
Citat:
Ursprungligen postat av 927
ja det är bara ta bort filen, den här även startat med windows varje gång och då är det kanske inte så roligt om man använder windows brandvägg

Jag tog bort filen med killbox delete on reboot, så förhoppningsvis är den borta nu, vad menar du med att de inte e så roligt att använda windows brandväggen? ska ja skaffa ny tycker du?
Citera
2008-09-03, 16:46
  #8
927
Medlem
927s avatar
eftersom den inte känner av utgående trafik, nu vet jag ju inte vad din trojan gjorde men på vanlig brandvägg så får du alltså en fråga om du vill tillåta att win32.exe får tillgång till nätet
Citera
2008-09-03, 17:04
  #9
h-user
Medlem
Låter som du har fått eller har en RAT på datorn, symtomen som du beskriver är rätt vanligt. Injicerar sig själv i firefox.exe och internet explorer även om webbläsaren är inte igång så är den där.
Citera
2008-09-03, 17:12
  #10
927
Medlem
927s avatar
öppna filen hosts med wordpad som finns här
C:\WINDOWS\SYSTEM32\DRIVERS\ETC

kopiera allt och klistra in här

har du kvar rar filen?
Citera
2008-09-03, 17:28
  #11
call3
Medlem
call3s avatar
Citat:
Ursprungligen postat av 927
öppna filen hosts med wordpad som finns här
C:\WINDOWS\SYSTEM32\DRIVERS\ETC

kopiera allt och klistra in här

har du kvar rar filen?
ja orginal filen vore lite kul o köra på anubis o cws o se vad det passerar för trafik
Citera
2008-09-04, 23:57
  #12
EazY__
Medlem
Citat:
Ursprungligen postat av 927
öppna filen hosts med wordpad som finns här
C:\WINDOWS\SYSTEM32\DRIVERS\ETC

kopiera allt och klistra in här

har du kvar rar filen?


http://rapidshare.com/files/70650926/archer.rar.html

filen finns här

Hosts ståg de så här i

Det stog på nån sida att det var ett MSN virus.
__________________
Senast redigerad av EazY__ 2008-09-05 kl. 00:02.
Citera
Svara
  • 1
  • 2

Skapa ett konto eller logga in för att kommentera

Du måste vara medlem för att kunna kommentera

Skapa ett konto

Det är enkelt att registrera ett nytt konto

Bli medlem

Logga in

Har du redan ett konto? Logga in här

Logga in