Har fått virus :(, hjälp uppskattas

2008-10-31, 07:28 #1

Medlem

Reg: Aug 2008

Inlägg: 26

Tog ner ett programm som visade sig vara allt annat än legit.
Installen kändes konstig så jag stängde ner den.

Jag får upp massa blocks på min peer guardian rubricierat "Malware Exploits".

Ja tankar senste stinger och adaware och kör full scans.
Stinger hittade zip fil innehållandes ett virus, W32.sdbot.Worm och adaware hittade en keylogger och lite annat skit.

Fråga: Klarar adaware och stinger av att ta bort det här? Om stinger hittar en zipfil(nåt i stil med C:\G_038_msn.zip) skapad av viruset, borde inte viruset finnas på massa andra ställen också?

Hur går jag vidare för att bli relativt säker på att jag inte har massa keyloggers och skit på datorn?,
Har för närvarande inget antivirus programm installerat, finns det något freeware som rekommenderas?

Citera

2008-10-31, 07:32 #2

Medlem

Reg: Aug 2006

Inlägg: 574

Gratis antivirus: http://free.avg.com/

Citera

2008-10-31, 07:35 #3

Medlem

Reg: Jul 2003

Inlägg: 8

Prova avast, verkar funkar fint, du får en gratis 12 månaders licens på deras hemsida.

http://www.avast.com/eng/avast_4_home.html
Annars så har du avg grån Grisoft som skall vara ok.

Om du skaffar mailkonto på AOL så får du också gratis antivirus, tror det är norton de kör med just nu.

Citera

2008-10-31, 09:16 #4

Medlem

Reg: Mar 2007

Inlägg: 12 238

om du ska scanna bort det så är inte de programmen du valt nåt att ha, testa istället med superantispyware,a-squared, malwarebytes antimalware

sånna installers kan gjöra det mesta som att sprida ut en massa filer på olika ställen som tex temp mappar och system32, samt ändra registervärden

Citera

2008-11-01, 15:28 #5

Medlem

Reg: Aug 2008

Inlägg: 26

Tack för tipsen!

Nu har jag kört superantispyware,a-squared, malwarebytes antimalware.

Första gångerna jag försökte så installerades malwaren bara om men efter att jag körde alla 3 scansen utan internet uppkoppling så återfinns inte malwearen som ursprungligen hittades.

Exempel på vad som hitttades och påstods vara borttaget:

Kod:

Worm.Win32.AutoRun
Trojan-Downloader.Win32.VB.bou
Virus.DOS.Uruguay.6396
Hoax.Win32.Renos.fh
Backdoor.win32.rbot
Virus.Win32.Ardamax
Application.keylogger.ardamax
Trojan.Fakeav.1
Trojan.win32.Alueron
Trojan.DNS changer

med flera och varianter av ovanstående

Efter detta installerade jag sp3 och alla senaste uppdateringar till windows.

Mina symtom just nu är följande:
Varje gång jag rebootar datorn så töms DNS server fältet under mitt TPC/IP protokoll i min nätverksanslutning. (Tidigare så ersattes den rikitga DNS-servern av någon skum annan server men nu töms den bara)

Ifall jag klickar på ikonen för c: under "Den här datorn" får jag ett felmeddellande som lyder "Det går inte att hitta filen resycled\boot.com" och jag kommer ej in i c:. (dock om jag skriver c: i adress fältet funkar det utmärkt).

Min peer guardian visar att jag har en hel del trafik över ett UDP protokoll, och även viss trafik över IGMP. (Är det normalt?)

Frågor: Hur pass ren tror ni min dator är från malware? Är mest oroad över keyloggers eller programm som kan komma åt lösenord.

Tips på att försäkra sig om att den är ren?

Tips för att åtgärda ovanstående "symptom"?

__________________
Senast redigerad av Optimistic 2008-11-01 kl. 15:45.

Citera

2008-11-01, 17:00 #6

Medlem

Reg: Feb 2007

Inlägg: 115

Efter att man har fått flera (iaf över 3) olika "smittor" så brukar jag köra en backup på det jag vill ha, scanna det med ett antivirusprogram på annan dator.
Formatera hårddisken, installera om. Allt för att vara så säker som möjligt på att inget är kvar och ligger gömt.

Citera

2008-11-01, 20:22 #7

Medlem

Reg: Mar 2007

Inlägg: 12 238

kolla om du har en fil som heter Autorun.inf under C: (och tex F: E

, ta bort dom isf (det kan vara dolda filer). det är alltså nån form av infektion som startar man tex sätter in ett usb minne. det har varit uppe här på fb nån annan gång. googlar du på resycled\boot.com så lär du säkerligen få många träffar.

tveksamt om din datorn är ren, det finns en separat scanner från kaspersky som rensar, den hämtas härifrån.
http://dnl-eu11.kaspersky-labs.com/devbuilds/AVPTool/

du får själv ställa in programmet hur du vill.
posta en hijackthis logg efter du scannat

Citera

2008-11-01, 20:27 #8

Medlem

Reg: Feb 2008

Inlägg: 629

AVG är sämst. ladda ner Kaspersky och scanna datorn: http://thepiratebay.org/torrent/4449379/Kaspersky_Internet_Security_2009___28_keys-4595

Citera

2008-11-02, 01:08 #9

Medlem

Reg: Jun 2003

Inlägg: 32 447

Tråd flyttad.

IT-säkerhet ---> Datoranvändning - MS Windows.

/Mod

Citera

2008-11-04, 18:17 #10

Medlem

Reg: Aug 2008

Inlägg: 26

Nu har jag laddat ner och scannat med superantispyware,a-squared, malwarebytes antimalware. Dessa program hittade totalt runt 20 st malware applikationer.

Jag har installerat kaperskys IS 8.0.0.454 och scannat datorn med den, det hittade ytterligare 2 malware applikationer varav den ena var AutoRun.inf wormen som orsakade problem med att komma in på c:. (Den andra kallades Heur.Trojan.Generic)

Jag har även nu installerat Sophos anti-virus trail och den hittade ytterligare 3 malware applikationer.

Kod:

Mal/EncPk-CZ
Ardamax system monitor
Generic Patcher(hacking tool)

Mina symtom i nuläget är att varje gång jag stratar upp datorn så töms DNS-server fältet i min nätverks anslutning.
Vidare så har jag en hel del trafik över UDP och IGMP, osäker på om detta är normalt men jag tror inte jag hade det förut. (Iofs kanske mina antivirusprogramm söker updates?)

Nu har jag fixat en HIJackThis log.
Skulle vara jättebra om någon kunde ta en titt på den.

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 18:03:44, on 2008-11-04
Platform: Windows XP SP3 (WinNT 5.01.2600)
MSIE: Internet Explorer v7.00 (7.00.6000.16735)
Boot mode: Normal

Running processes:
C:\windows\System32\smss.exe
C:\windows\system32\csrss.exe
C:\windows\system32\winlogon.exe
C:\windows\system32\services.exe
C:\windows\system32\lsass.exe
C:\windows\system32\svchost.exe
C:\windows\system32\svchost.exe
C:\windows\System32\svchost.exe
c:\AntiMalware\Spophos\Sophos Anti-Virus\SavService.exe
C:\windows\Explorer.EXE
C:\windows\System32\svchost.exe
C:\Program\Lavasoft\Ad-Aware\aawservice.exe
C:\windows\system32\spoolsv.exe
C:\windows\RTHDCPL.EXE
C:\windows\system32\RUNDLL32.EXE
C:\windows\LOGI_MWX.EXE
C:\Program\Delade filer\InstallShield\UpdateService\issch.exe
C:\Program\Java\jre1.6.0_07\bin\jusched.exe
C:\ANTIMALWARE\A-SQUARED ANTI-MALWARE\a2guard.exe
C:\antimalware\Kaspersky Internet Security 2009\avp.exe
C:\util\DAEMON Tools\daemon.exe
C:\windows\system32\ctfmon.exe
C:\AntiMalware\Spophos\AutoUpdate\ALMon.exe
C:\util\Logitech\SetPoint\SetPoint.exe
C:\Program\Delade filer\Logishrd\KHAL2\KHALMNPR.EXE
C:\antimalware\a-squared Anti-Malware\a2service.exe
C:\antimalware\Kaspersky Internet Security 2009\avp.exe
C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
C:\windows\system32\nvsvc32.exe
c:\matlab6p5\bin\win32\matlab.exe
c:\AntiMalware\Spophos\Sophos Anti-Virus\SAVAdminService.exe
c:\AntiMalware\Spophos\AutoUpdate\ALsvc.exe
C:\windows\System32\alg.exe
C:\Program\Windows Live\Messenger\usnsvc.exe
C:\AntiMalware\HijackThis\HJT.exe
C:\WINDOWS\System32\wbem\wmiprvse.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://www.google.se/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://go.microsoft.com/fwlink/?LinkId=69157
R0 - HKCU\Software\Microsoft\Internet Explorer\Toolbar,LinksFolderName = Länkar
O2 - BHO: (no name) - {02478D38-C3F9-4efb-9B51-7695ECA05670} - (no file)
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Program\Delade filer\Adobe\Acrobat\ActiveX\AcroIEHelper.dll
O2 - BHO: IEVkbdBHO - {59273AB4-E7D3-40F9-A1A8-6FA9CCA1862C} - C:\antimalware\Kaspersky Internet Security 2009\ievkbd.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll
O2 - BHO: (no name) - {7E853D72-626A-48EC-A868-BA8D5E23E045} - (no file)
O2 - BHO: Windows Live inloggningshjälpen - {9030D464-4C02-4ABF-8ECC-5164760863C6} - C:\Program\Delade filer\Microsoft Shared\Windows Live\WindowsLiveLogin.dll
O4 - HKLM\..\Run: [RTHDCPL] RTHDCPL.EXE
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE C:\WINDOWS\system32\NvCpl.dll,NvStartup
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvMediaCenter] RUNDLL32.EXE C:\WINDOWS\system32\NvMcTray.dll,NvTaskbarInit
O4 - HKLM\..\Run: [Logitech Utility] LOGI_MWX.EXE
O4 - HKLM\..\Run: [Kernel and Hardware Abstraction Layer] KHALMNPR.EXE
O4 - HKLM\..\Run: [ISUSPM Startup] C:\Program\DELADE~1\INSTAL~1\UPDATE~1\isuspm.exe -startup
O4 - HKLM\..\Run: [ISUSScheduler] "C:\Program\Delade filer\InstallShield\UpdateService\issch.exe" -start
O4 - HKLM\..\Run: [system32VIYK Agent] C:\WINDOWS\system32VIYK.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Program\Java\jre1.6.0_07\bin\jusched.exe"
O4 - HKLM\..\Run: [a-squared] "C:\ANTIMALWARE\A-SQUARED ANTI-MALWARE\a2guard.exe" /d=60
O4 - HKLM\..\Run: [AVP] "C:\antimalware\Kaspersky Internet Security 2009\avp.exe"
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program\Windows Live\Messenger\MsnMsgr.Exe" /background
O4 - HKCU\..\Run: [PeerGuardian] C:\util\PeerGuardian2\pg2.exe
O4 - HKCU\..\Run: [DAEMON Tools] "C:\util\DAEMON Tools\daemon.exe" -lang 1033
O4 - HKCU\..\Run: [ctfmon.exe] C:\windows\system32\ctfmon.exe
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'LOKAL TJÄNST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'NETWORK SERVICE')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\System32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: AutoUpdate Monitor.lnk = C:\AntiMalware\Spophos\AutoUpdate\ALMon.exe
O4 - Global Startup: Logitech SetPoint.lnk = C:\util\Logitech\SetPoint\SetPoint.exe
O8 - Extra context menu item: Add to Banner Ad Blocker - C:\antimalware\Kaspersky Internet Security 2009\ie_banner_deny.htm
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java-konsol - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program\Java\jre1.6.0_07\bin\ssv.dll
O9 - Extra button: Web traffic protection statistics - {1F460357-8A94-4D71-9CA3-AA4ACF32ED8E} - C:\antimalware\Kaspersky Internet Security 2009\SCIEPlgn.dll
O9 - Extra button: Unibet Poker - {C53BFCFC-7A54-4627-AEBA-2CD4871FCA97} - C:\poker\UnibetpokerMPP\MPPoker.exe
O9 - Extra button: (no name) - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra 'Tools' menuitem: @xpsp3res.dll,-20001 - {e2e2dd38-d088-4134-82b7-f2ba38496583} - C:\windows\Network Diagnostic\xpnetdiag.exe
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program\Messenger\msmsgs.exe
O16 - DPF: {6414512B-B978-451D-A0D8-FCFDF33E833C} (WUWebControl Class) - http://update.microsoft.com/windowsupdate/v6/V5Controls/en/x86/client/wuweb_site.cab?1176756026531
O16 - DPF: {6E32070A-766D-4EE6-879C-DC1FA91D2FC3} (MUWebControl Class) - http://update.microsoft.com/microsoftupdate/v6/V5Controls/en/x86/client/muweb_site.cab?1176757042750
O16 - DPF: {D27CDB6E-AE6D-11CF-96B8-444553540000} (Shockwave Flash Object) - http://fpdownload2.macromedia.com/get/shockwave/cabs/flash/swflash.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8FEACD14-9375-48DE-BFCE-B2431B21D196}: NameServer = 84.246.88.10
O20 - AppInit_DLLs: C:\ANTIMA~1\KASPER~2\mzvkbd.dll,C:\ANTIMA~1\KASPER ~2\mzvkbd3.dll,C:\ANTIMA~1\KASPER~2\adialhk.dll,C: \ANTIMA~1\KASPER~2\kloehk.dll
O20 - Winlogon Notify: !SASWinLogon - C:\AntiMalware\SUPERAntiSpyware\SASWINLO.dll
O23 - Service: a-squared Anti-Malware Service (a2AntiMalware) - Emsi Software GmbH - C:\antimalware\a-squared Anti-Malware\a2service.exe
O23 - Service: Lavasoft Ad-Aware Service (aawservice) - Lavasoft - C:\Program\Lavasoft\Ad-Aware\aawservice.exe
O23 - Service: Kaspersky Internet Security (AVP) - Kaspersky Lab - C:\antimalware\Kaspersky Internet Security 2009\avp.exe
O23 - Service: Logitech Bluetooth Service (LBTServ) - Logitech, Inc. - C:\Program\Delade filer\Logitech\Bluetooth\LBTServ.exe
O23 - Service: MATLAB Server (matlabserver) - Unknown owner - C:\MATLAB6p5\webserver\bin\win32\matlabserver.exe
O23 - Service: NVIDIA Display Driver Service (NVSvc) - NVIDIA Corporation - C:\windows\system32\nvsvc32.exe
O23 - Service: Remote Packet Capture Protocol v.0 (experimental) (rpcapd) - CACE Technologies - C:\Program\WinPcap\rpcapd.exe
O23 - Service: Sophos Anti-Virus status reporter (SAVAdminService) - Sophos Plc - c:\AntiMalware\Spophos\Sophos Anti-Virus\SAVAdminService.exe
O23 - Service: Sophos Anti-Virus (SAVService) - Sophos Plc - c:\AntiMalware\Spophos\Sophos Anti-Virus\SavService.exe
O23 - Service: Sophos AutoUpdate Service - Sophos Plc - c:\AntiMalware\Spophos\AutoUpdate\ALsvc.exe

--
End of file - 7934 bytes

Finns det något hopp om att få datorn ren?

Utgör ev. infektioner något faktiskt hot till att stjäla koder till banksidor, kontonummer eller dyl.?

Bör jag installera om skiten?

Citera

2008-11-04, 19:36 #11

Medlem

Reg: Jul 2007

Inlägg: 1 285

Markera denna i HJT

O4 - HKLM\..\Run: [system32VIYK Agent] C:\WINDOWS\system32VIYK.exe (malware)

Gå sedan till HJT menyn och välj "open misc tools section" sedan "delete a file on reboot" där klistrar du in

C:\WINDOWS\system32VIYK.exe

välj "open" och starta om datorn.

kolla i mappen C:\WINDOWS\ så att "system32VIYK.exe" har försvunnit.

Du har två Antivirus aktiverade samtidigt, det är inte bra!
Jag skulle föredra att avinstallera Sophos och behålla Kaspersky, dels eftersom Sophos gör väldigt många falska alarm.

__________________
Senast redigerad av w580i 2008-11-04 kl. 19:39.

Citera

2008-11-04, 20:48 #12

Medlem

Reg: Aug 2008

Inlägg: 26

Jag hade ingen fil som hette system32VIYK.exe. Dock hade jag ett antal som filer vid namn system32VIYK01.tmp, system32VIYK02.tmp etc.
(Möjligt att malware scansen redan plockat filen kanske?)

Jag tog bort dem och register entryt

Citera

Har fått virus :(, hjälp uppskattas

Skapa ett konto eller logga in för att kommentera

Skapa ett konto

Logga in