teflonhjernen Skrevet 23. januar 2009 Del Skrevet 23. januar 2009 Jeg håper noen kan hjelpe meg med et virus-problem selv om jeg er teknisk tilbakestående:) For noen dager siden fikk jeg en mail fra Ventelo om at følgende virus er registrert: Worm:W32/Downadup.AL http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml Jeg kommer ikke inn på noen internettsider som inneholder ord som virus, malware o.l. Så jeg får ikke scannet maskinen eller lastet ned antivirusprg. Håper noen her har geniale forslag til hvordan dette kan løses. Til info så er dette en datakasse som jeg er veldig avhengig av. Det finnes ingen diskettstasjon på denne pcen. Lenke til kommentar
r2d290 Skrevet 23. januar 2009 Del Skrevet 23. januar 2009 (endret) Hei, og velkommen til forumet Ingen diskettstasjon... Er det CD-rom eller USB-inngang på den da? Gå til en maskin som ikke er infisert, last ned alle programmene som er linket til i veiledningen som er linket til øverst i signaturen min). Når du har lastet ned alle programmene (Malwarebytes antimalware + Combofix), legger du filene inn på en USB-minnepinne, eller brenner programmene til en CD. Deretter flytter du USB-minnepinnen/CD-en til den infiserte pc-en, og gjør deretter som veiledningen ber deg om. Post loggene her i tråden din. Endret 23. januar 2009 av r2d290 Lenke til kommentar
teflonhjernen Skrevet 29. januar 2009 Forfatter Del Skrevet 29. januar 2009 (endret) Takk for svar. Nå har jeg fått den hersens dritten på min pc hjemme også Jeg har kjørt begge du la ut for de hadde jeg fra før av på min pc. Den finner ingenting.... legger ved kopi av loggen fra combofix ComboFix 09-01-21.04 - 2009-01-29 22:25:05.4 - NTFSx86 Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.1014.524 [GMT 1:00] Kjører fra: c:\documents and settings\\Skrivebord\ComboFix.exe AV: avast! antivirus 4.8.1229 [VPS 081025-1] *On-access scanning disabled* (Outdated) * Opprettet nytt gjenopprettingspunkt . ((((((((((((((((((((((((((((((((((((((( Andre slettinger ))))))))))))))))))))))))))))))))))))))))))))))))) . c:\documents and settings\\Programdata\02000000386ba955C.manifest c:\documents and settings\\Programdata\02000000386ba955O.manifest c:\documents and settings\\Programdata\02000000386ba955P.manifest c:\documents and settings\\Programdata\02000000386ba955R.manifest c:\documents and settings\\Programdata\02000000386ba955S.manifest . ((((((((((((((((((((((((((( Filer Opprettet Fra 2008-12-28 til 2009-01-29 ))))))))))))))))))))))))))))))))) . 2008-12-31 10:58 . 2008-12-31 10:58 <DIR> d-------- c:\documents and settings\Carina Wulff\Programdata\vlc 2008-12-30 17:12 . 2008-12-30 18:59 <DIR> d-------- c:\documents and settings\Carina Wulff\Programdata\MozillaControl 2008-12-30 17:12 . 2008-12-30 17:12 <DIR> d-------- c:\documents and settings\All Users\Application Data\Graboid Inc 2008-12-30 16:58 . 2008-12-30 16:58 <DIR> d-------- c:\program files\VideoLAN 2008-12-30 16:58 . 2008-12-30 16:59 <DIR> d-------- c:\program files\Mozilla ActiveX Control v1.7.12 2008-12-30 16:58 . 2008-12-30 17:12 <DIR> d-------- c:\program files\Graboid . (((((((((((((((((((((((((((((((((((((((( Find3M Rapport )))))))))))))))))))))))))))))))))))))))))))))))))))) . 2009-01-14 21:34 --------- d-----w c:\program files\Google 2008-12-13 06:40 3,593,216 ------w c:\windows\system32\dllcache\mshtml.dll 2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys 2008-12-11 10:57 333,952 ------w c:\windows\system32\dllcache\srv.sys 2008-12-08 21:37 --------- d-----w c:\program files\Adobe Media Player 2008-12-08 21:36 --------- d-----w c:\program files\Common Files\Adobe AIR 2008-12-02 20:29 --------- d-----w c:\program files\MSN Messenger 2007-06-24 08:08 51,224 ----a-w c:\documents and settings\Carina Wulff\Programdata\GDIPFONTCACHEV1.DAT 2008-04-14 00:11 161,980 --sha-r c:\windows\system32\fypbcyby.dll 2008-09-30 19:18 16,384 --sha-w c:\windows\system32\config\systemprofile\Logg\History.IE5\index.dat 2008-09-30 20:17 32,768 --sha-w c:\windows\system32\config\systemprofile\Logg\History.IE5\MSHist012008093020081001\index.dat 2008-09-30 20:17 32,768 --sha-w c:\windows\system32\config\systemprofile\Temporary Internet Files\Content.IE5\index.dat . ((((((((((((((((((((((((((((( snapshot_2009-01-19_20.45.07,03 ))))))))))))))))))))))))))))))))))))))))) . - 2000-08-31 07:00:00 28,672 ----a-w c:\windows\Nircmd.exe + 2000-08-31 07:00:00 29,696 ----a-w c:\windows\Nircmd.exe . (((((((((((((((((((((((((((((((( Oppstartspunkter I Registeret ))))))))))))))))))))))))))))))))))))))))))))) . . *Merk* tomme oppføringer & gyldige standardoppføringer vises ikke REGEDIT4 [HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360] "MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352] "swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-21 68856] "Mumin2_Setup.exe"="c:\downlo~1\MUMIN2~1.EXE" [2008-05-17 0] "filehippo.com"="c:\program files\filehippo.com\UpdateChecker.exe" [2008-04-04 134144] "PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe" [2007-12-10 695808] [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512] "hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 458752] "SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975] "igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-22 94208] "igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-22 77824] "igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-22 118784] "SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-06-17 794713] "QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-07-19 102400] "HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152] "QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 163840] "Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2006-06-19 40960] "RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840] "Reminder"="c:\windows\CREATOR\Remind_XP.exe" [2006-02-09 643072] "QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-12-26 282624] "iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2006-10-30 256576] "vptray"="c:\progra~1\SYMANT~1\SYMANT~1\vptray.exe" [2003-04-26 90112] "MsmqIntCert"="mqrt.dll" [2008-04-14 c:\windows\system32\mqrt.dll] "High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-06-02 c:\windows\system32\CHDAudPropShortcut.exe] [HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run] "CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360] "Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 1294336] "Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 443968] c:\documents and settings\Carina Wulff\Start Menu\Programs\Startup\ Adobe Media Player.lnk - c:\program files\Adobe Media Player\Adobe Media Player.exe [2008-12-08 261120] c:\documents and settings\All Users\Start Menu\Programs\Startup\ Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2007-01-02 110592] CmmLogon.lnk - c:\program files\Fortech\ComMa32\Bin\CmmLogon.exe [2007-02-12 24064] HP Photosmart Premier Hurtigstart.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-09-24 73728] Hurtigstart for Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696] Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360] NkbMonitor.exe.lnk - c:\program files\Nikon\PictureProject\NkbMonitor.exe [2006-12-12 118784] [HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders] SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusDisableNotify"=dword:00000001 "AntiVirusOverride"=dword:00000001 [HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall] "DisableMonitoring"=dword:00000001 [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List] "%windir%\\system32\\sessmgr.exe"= "c:\\WINDOWS\\system32\\mqsvc.exe"= "c:\\Program Files\\iTunes\\iTunes.exe"= "%windir%\\Network Diagnostic\\xpnetdiag.exe"= "c:\\Program Files\\Messenger\\msmsgs.exe"= "c:\\Program Files\\MSN Messenger\\msnmsgr.exe"= "c:\\Program Files\\MSN Messenger\\livecall.exe"= [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List] "2404:TCP"= 2404:TCP:ahdybkg R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-08-26 78416] R4 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-08-26 20560] S3 Asgosgo_1.;Asgosgo_1.;c:\windows\system32\drivers\kbdhid.sys [2006-09-13 14592] S3 Hspapeeiwdm;Hspapeeiwdm; [x] S4 Dnsverevagu;Dnsverevagu;c:\windows\system32\mstinit.exe [2006-03-16 12288] S4 xjezcwq;Driver Task;c:\windows\system32\svchost.exe -k netsvcs [2006-03-16 14336] HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs xjezcwq . Innholdet i mappen 'Scheduled Tasks' (planlagte oppgaver) 2009-01-29 c:\windows\Tasks\Se etter oppdateringer for Windows Live Toolbar.job - c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20] . . ------- Tilleggsskanning ------- . uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8 uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=NB_NO&c=64&bd=pavilion&pf=laptop uSearchURL,(Default) = hxxp://www.google.com/search?q=%s IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000 DPF: {00C1329F-D6C9-46A2-8C3F-23F50977F0A5} - hxxp://www.liquidlab.se/smupdate/stallet/SetupInf.cab . ************************************************************************** catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net Rootkit scan 2009-01-29 22:27:08 Windows 5.1.2600 Service Pack 3 NTFS skanner skjulte prosesser ... skanner skjulte autostart-oppføringer ... HKLM\Software\Microsoft\Windows\CurrentVersion\Run Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe????????????L?@? ????c??????`?@?????L?@ skanner skjulte filer ... skanning vellykket skjulte filer: 0 ************************************************************************** [HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xjezcwq] "ServiceDll"="c:\windows\system32\fypbcyby.dll" . Tidspunkt ferdig: 2009-01-29 22:28:57 ComboFix-quarantined-files.txt 2009-01-29 21:28:35 ComboFix2.txt 2009-01-19 19:45:39 ComboFix3.txt 2008-10-25 19:03:50 ComboFix4.txt 2008-09-01 20:19:12 Pre-Run: 85 840 216 064 bytes free Post-Run: 86,052,675,584 byte ledig WindowsXP-KB310994-SP2-Pro-BootDisk-NOR.exe [boot loader] timeout=2 default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS [operating systems] c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect 156 --- E O F --- 2009-01-14 07:14:57 Endret 29. januar 2009 av teflonhjernen Lenke til kommentar
norbat Skrevet 29. januar 2009 Del Skrevet 29. januar 2009 (endret) Oppdater windows med riktig patch: http://www.microsoft.com/technet/security/...n/ms08-067.mspx Bruk ett av følgende programmer og se om ikke det kan ordne det automatisk: (I prioritert rekkefølge) 1. Microsoft Windows Malicious Software Removal Tool 2. ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip 3. http://www.symantec.com/content/en/us/glob...FixDownadup.exe Se forøvrig i følgende tråd som omhandler en Downadup-variant Post deretter en ny Combofix-logg. Endret 30. januar 2009 av norbat Lenke til kommentar
teflonhjernen Skrevet 29. januar 2009 Forfatter Del Skrevet 29. januar 2009 Takk for kjapt svar. Et av problemene dette viruset medfører er at jeg ikke kommer inn på noen som helst linker som har med virus eller antivirus å gjøre. Så når jeg klikker på linkene dine kommer det bare opp beskjed om at explorer ikke finner siden. de 2 siste har jeg allerede på pcen fra før min ble infisert. Den har jeg kjørt i dag, dvs den downadup saken.... kommer bare clean opp som resultat. Jeg merket at jeg hadde dette viruset da syptomene er like som de på jobben. Bl.a. at når jeg åpner explorer kommer ikke startsiden opp, men kun en beskjed om at den ikke finner siden:( Jeg brukte en usb pinne før i dag for å laste over bl.a. combofix fra min maskin til den maskinen som først ble infisert. Skulle vel aldri ha tatt med med loggen tilbake på min maskin.... Lenke til kommentar
Chavalito Skrevet 30. januar 2009 Del Skrevet 30. januar 2009 Den loggen viser mye interesant om W32/Downadup.AL ormen din. Den har forandret en del i registeret ditt, pluss lagt til en del. Dette er noe ormen har lagt til: [HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"2404:TCP"= 2404:TCP:ahdybkg Pluss en del andre ting. Ormen deaktivert Antivirus programmet ditt med dette; [HKEY_LOCAL_MACHINE\software\microsoft\security center] "AntiVirusOverride"=dword:00000001 (Det siste tallet skulle ha vært 0) Det er mulig å fjerne ormen, men det kan ta tid. Og det krever innsikt i hvordan å rote rundt i Windows registeret. Så for øyeblikket vil jeg ikke fortelle deg hvordan, med mindre du tar sjansen på å rote til maskinen din. Lenke til kommentar
norbat Skrevet 30. januar 2009 Del Skrevet 30. januar 2009 Sørg for at du kan se skjulte filer og mapper, samt skjulte operativsystemfiler Gå til Virustotal (alt. Jotti og last opp følgende fil for sjekk: c:\windows\system32\fypbcyby.dll Lenke til kommentar
Chavalito Skrevet 30. januar 2009 Del Skrevet 30. januar 2009 Sørg for at du kan se skjulte filer og mapper, samt skjulte operativsystemfiler Gå til Virustotal (alt. Jotti og last opp følgende fil for sjekk: c:\windows\system32\fypbcyby.dll Tror ikke det er nødvendig, den filen du snakker om er den som starter dette HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs xjezcwq fypbcyby.dll starter Svchost, og når den har gjort det, stopper den sin egen service, slik at ormen gjemmer seg bak svchost servicen. Fant det på en side til Symantec. Filnavnet er ikke det samme fordi ormen lager disse filene med tilfeldige navn, men det som står i den loggen angående svchost, stemmer helt med det jeg fant. Lenke til kommentar
norbat Skrevet 30. januar 2009 Del Skrevet 30. januar 2009 (endret) teflonhjernen: Hvis du får skannet nevnte fil, er jeg interessert i MD5-verdien som fila genererer. Den vil stå øverst søkeresultatet. Problemet er antakelig at du ikke får tilgang til verken virustotal eller jotti... Har du forsøkt å kjøre en full skann med Microsoft Windows Malicious Software Removal Tool? Den burde være oppdatert for dette. Mumin2_Setup.exe, er satt til å starte opp sammen med Windows. Er dette et prog. du kjenner til? ---- Endret 30. januar 2009 av norbat Lenke til kommentar
teflonhjernen Skrevet 30. januar 2009 Forfatter Del Skrevet 30. januar 2009 hei dere, jeg sliter skikkelig her for jeg skjønner jo ikke 2% av hva dere snakker om dessverre. Men noen gode nyheter. Jeg sendte en link til support på det innlegget som omhandler ormen her på forumet. Jeg tror de har klart å fikse det i dag....dvs den maskinen jeg bruker i butikken. Så fikk jeg en bekjent til å lage en usb pinne til meg med samme prg som ble anbefalt i innlegget om ormen (som rammet sykehuset). Jeg kjørte først en hurtigscan og den fant 1 infisert fil. Så kjørte jeg full scan og den fant 3 infiserte filer. Nå kjører jeg en malware scan og så tenkte jeg en ny combofix så jeg kan legge ut en ny logg til dere. Er det eventuelt noen måte jeg kan sjekke om viruset er borte eller ikke? Vil dere kunne se det i loggen? Takk for at dere hjelper dumme meg:) Lenke til kommentar
norbat Skrevet 30. januar 2009 Del Skrevet 30. januar 2009 (endret) Heisann, Legg ut loggen fra combofix, så vil den vise om det fortsatt er noe å gjøre Antar det er Microsoft Windows Malicious Software Removal Tool du refererer til over, da dette burde være oppdatert for denne infeksjonen. Endret 30. januar 2009 av norbat Lenke til kommentar
teflonhjernen Skrevet 30. januar 2009 Forfatter Del Skrevet 30. januar 2009 ja jeg tror det er den du refererer til. Nå har jeg et lite problem. Når jeg skulle starte combofixen fikk jeg beskjed om dagens dato og at combofix var utløpt. Jeg valgte da å avbryte. Må jeg avinnstallere den for så laste ned en ny? Hvordan gjør jeg eventuelt dette? Lenke til kommentar
norbat Skrevet 30. januar 2009 Del Skrevet 30. januar 2009 Du laster bare ned ny og lagrer den på samme plass som den gamle. Du vil bli bedt om du vil overskrive den som allerede ligger der. Det sier du ja til. Lenke til kommentar
teflonhjernen Skrevet 30. januar 2009 Forfatter Del Skrevet 30. januar 2009 [Jeg fikk avinnstallert den og gikk inn på et innlegg her får å laste den ned på nytt. Får alikevel samme feilmelding. Skal jeg velge å kjøre i REDUCED FUNCTIONALITY modus? Lenke til kommentar
teflonhjernen Skrevet 30. januar 2009 Forfatter Del Skrevet 30. januar 2009 her kommer da dagens logger: venter spent på dommen jeg da mbam_log_01_30_2009__18_35_39_.txt log30.01.2009.txt Lenke til kommentar
norbat Skrevet 30. januar 2009 Del Skrevet 30. januar 2009 Er dette etter at du har kjørt Removal programmet fra Microsoft? Lenke til kommentar
teflonhjernen Skrevet 30. januar 2009 Forfatter Del Skrevet 30. januar 2009 Er dette etter at du har kjørt Removal programmet fra Microsoft? ja dette er etter at jeg kjørte både hurtig scan og ekstreeeem lang scan tidligere i kveld. Lenke til kommentar
norbat Skrevet 30. januar 2009 Del Skrevet 30. januar 2009 (endret) Er det fortsatt problemer med å komme inn på de sidene som du tidligere ikke kom inn på? Åpne notisblokk(start->alle programmer->tilbehør->notisblokk) og kopier inn det som står i fet skrift under, lagre fila på skrivebordet som CFScript.txt. Dra deretter fila over Combofix-iconet. Combofix vil starte igjen. Post loggen. Driver:: xjezcwq Dnsverevagu Hspapeeiwdm Registry:: [-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xjezcwq] [HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List] "2404:TCP"=- Hvis du ikke helt skjønner hva du skal gjøre så kan du laste ned vedlegget under og lagre det på skrivebordet. Du lagrer det ved å høyreklikke på filnavnet og velger "Lagre lenket innhold som...". Denne filen (cfscript.txt) drar du og slipper over combofix iconet (slik animasjonen over viser). Vedlegg: cfscript.txt Endret 30. januar 2009 av norbat Lenke til kommentar
teflonhjernen Skrevet 30. januar 2009 Forfatter Del Skrevet 30. januar 2009 hahaha teskjeer er flott:) Jeg skjønte det faktisk...tror jeg da. Ny logg følger vedlagt. lognr2_30.01.2009.txt Lenke til kommentar
Anbefalte innlegg
Opprett en konto eller logg inn for å kommentere
Du må være et medlem for å kunne skrive en kommentar
Opprett konto
Det er enkelt å melde seg inn for å starte en ny konto!
Start en kontoLogg inn
Har du allerede en konto? Logg inn her.
Logg inn nå