(LØST) Får advarsel hele tiden, virus?

[larsmyr]

Hei,

 

Har lest på forumet her og prøvd litt forskjellig for å bli kvitt det men det kommer igjen og igjen :-(

 

Tok en "print screen" av beskjeden jeg får.

 

Avast detekterer viruset men jeg får ikke sletta de, bruker også adware men det hjelper heller ikke.

 

Får beskjed om å innstallere Antivirus 2008 XP... men etter som jeg leser her på forumet er dette et falskt virusprogram.

 

Noen som kan hjelpe?

 

Doc1.doc

Endret 31. august 2008 av larsmyr

[rypa]

Hei,

 

Har lest på forumet her og prøvd litt forskjellig for å bli kvitt det men det kommer igjen og igjen :-(

 

Tok en "print screen" av beskjeden jeg får.

 

Avast detekterer viruset men jeg får ikke sletta de, bruker også adware men det hjelper heller ikke.

 

Får beskjed om å innstallere Antivirus 2008 XP... men etter som jeg leser her på forumet er dette et falskt virusprogram.

 

Noen som kan hjelpe?

 

Doc1.doc

 

 

Ikke installer Antivirus 2008 ei heller 2009, jeg har kjøpt Webroot sin antivirusprogram og den fikser det, søk på google om webroot så kan du bedømme det selv, jeg har også Trend micro pc-cillin og de to programmene jobber godt sammen. Lykke til

[norbat]

Nå vet ikke jeg hva du har prøvd, men følgen denne veiledningen: https://www.diskusjon.no/index.php?showtopic=998167.

 

Loggene som lages, poster du her i din egen tråd.

[larsmyr]

Har kjørt malmware tidligere og prøvd combofix, men jeg skjønner ikke så mye av den loggen..

 

Her er den.ComboFix.txt

[norbat]

Kunne du ha oppdatert MBAM og kjørt en quick scan?

 

Deretter henter du ny combofix og kjører programmet.

 

Post både MBAM-loggen og Combofix-loggen. Det som blir igjen av infeksjonen tar vi derfra.

[larsmyr]

Får ikke kjørt combofix, får feilmelding, f_rikkekj_rtcombofix.doc

 

 

mbam_log_08_30_2008__22_41_10_.txt

[larsmyr]

Da fikk jeg endelig til å kjøre combofix, dog med en feilmelding..

 

Her er loggene:

 

mbam_log_08_30_2008__22_41_10_.txt

 

combofixlog.txt

 

Og feilmeldinga fra windows under kjøring av combofix:

 

Feilmeldingcombofix.doc

[raWrz]

ta å innstaller avira antivir PE free edition: http://www.free-av.com/en/download/index.html

da kan det hende du ikke får sånne trojanere lenger

og det bilde du gav oss er et virus. fordi det står trojaner-spyear.exe eller no:P

[r2d290]

Ikke anbefal antivirusprogram, uten å være sikker på at brukeren ikke har et fra før. Loggen fra combofix forteller at trådstarter har Avast, og å ha flere antivirusprogram samtidig, fører til konflikt.

[raWrz]

okidoki ur the boss anyways

[r2d290]

Norbat/snippsat: usikker på disse linjene som ligger under Find3M Report. Hvordan finner jeg ut om de er trygge eller ei? Er ikke noe info om dem på internett. Ser at datoen er fra 2007, så går ut ifra at de er trygge?

 

 

 

Trådstarter:

I tillegg til at du har installert Avast, har du også McAfee. Du bør ikke ha to antivirusprogram kjørende samtidig. bestem deg for ett...

 

Trykk Start - Alle Programmer - Tilbehør - Notisblokk

 

Kopier og Lim inn teksten i kodeboksen nedenfor, inn i Notisblokken:

 

File::
C:\WINDOWS\system32\ezuzmxaj.exe
C:\WINDOWS\system32\uvidyvet.exe
C:\WINDOWS\system32\vixofkvm.exe
C:\WINDOWS\system32\zsbsxcrg.exe
C:\WINDOWS\system32\utwxqbid.exe
C:\WINDOWS\system32\otgjwbij.exe
C:\WINDOWS\system32\neletspe.exe


Folder::
C:\Program Files\avbjzde
C:\Documents and Settings\All Users\Application Data\wlkpknml


Registry::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"smartweb"=-
"UtilWeb"=-
"UiSrv"=-
"HlpWebApi"=-
"uihlpapi"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"xiWK5tFO9j"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"stren"=-

 

Lagre det som CFScript på Skrivebordet

 

Dra CFScript over ComboFix.exe som ligger på Skrivebordet, slik animasjonen nedenfor viser.

 

 

Dette vil starte ComboFix igjen. Hvis maskinen ber om en omstart, lar du den gjøre det med én gang.

 

Post innholdet til ComboFix.txt inn i ditt neste svar på forumet.

 

 

 

edit: Ser at snippsat er innom nå. Han får overta, jeg må gå nå...

 

 

edit2: fikset register->registry

Endret 31. august 2008 av r2d290

[snippsat]

disse linjene som ligger under Find3M Report

Kan godt scanne 1 av dem Virustotal

C:\Program Files\SDMV11DIVES.TPS

[larsmyr]

Hei igjen,

 

Har nå kjørt oppdatert MBM i sikker modus:

 

Og laste ned combofix på nytt, kjørte også den i sikker modus, fikk ingen feilmelding nå:

 

 

mbam_log_08_30_2008__23_56_34_.txt

 

 

log.txt

 

Men har fremdeles den popup tingen

[snippsat]

Du har ikke fått CFScript

Husk og lagere på skrivebord som CFScript.txt

 

Så forandrer du denne.

Register:: til ---> Registry::

 

Les post #11 nøye og gjør det.

Tar med min versjon av det samme.

 

Kopiere fet tekst under bildet->åpne notisblokk og lim inn.

Lagre på skrivebordet som CFScript.txt

Gjør som på bildet combofix vil starte,Post logg c:\combofix.txt

 

File::

C:\WINDOWS\system32\ezuzmxaj.exe

C:\WINDOWS\system32\uvidyvet.exe

C:\WINDOWS\system32\vixofkvm.exe

C:\WINDOWS\system32\zsbsxcrg.exe

C:\WINDOWS\system32\utwxqbid.exe

C:\WINDOWS\system32\otgjwbij.exe

C:\WINDOWS\system32\neletspe.exe

 

Folder::

C:\Program Files\avbjzde

C:\Documents and Settings\All Users\Application Data\wlkpknml

 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"smartweb"=-

"UtilWeb"=-

"UiSrv"=-

"HlpWebApi"=-

"uihlpapi"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]

"xiWK5tFO9j"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"stren"=-

Endret 30. august 2008 av SNIPPSAT

[larsmyr]

Norbat/snippsat: usikker på disse linjene som ligger under Find3M Report. Hvordan finner jeg ut om de er trygge eller ei? Er ikke noe info om dem på internett. Ser at datoen er fra 2007, så går ut ifra at de er trygge?

 

 

 

Trådstarter:

I tillegg til at du har installert Avast, har du også McAfee. Du bør ikke ha to antivirusprogram kjørende samtidig. bestem deg for ett...

 

Trykk Start - Alle Programmer - Tilbehør - Notisblokk

 

Kopier og Lim inn teksten i kodeboksen nedenfor, inn i Notisblokken:

 

File::
C:\WINDOWS\system32\ezuzmxaj.exe
C:\WINDOWS\system32\uvidyvet.exe
C:\WINDOWS\system32\vixofkvm.exe
C:\WINDOWS\system32\zsbsxcrg.exe
C:\WINDOWS\system32\utwxqbid.exe
C:\WINDOWS\system32\otgjwbij.exe
C:\WINDOWS\system32\neletspe.exe


Folder::
C:\Program Files\avbjzde
C:\Documents and Settings\All Users\Application Data\wlkpknml


Register::
[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"smartweb"=-
"UtilWeb"=-
"UiSrv"=-
"HlpWebApi"=-
"uihlpapi"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]
"xiWK5tFO9j"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]
"stren"=-

 

Lagre det som CFScript på Skrivebordet

 

Dra CFScript over ComboFix.exe som ligger på Skrivebordet, slik animasjonen nedenfor viser.

 

 

Dette vil starte ComboFix igjen. Hvis maskinen ber om en omstart, lar du den gjøre det med én gang.

 

Post innholdet til ComboFix.txt inn i ditt neste svar på forumet.

 

 

 

edit: Ser at snippsat er innom nå. Han får overta, jeg må gå nå...

 

Har nå kjørt denne prosedyren som beskrevet ovenfor, her er loggen:

 

ComboFix.txt

[larsmyr]

disse linjene som ligger under Find3M Report

Kan godt scanne 1 av dem Virustotal

C:\Program Files\SDMV11DIVES.TPS

 

Sendte den filen til linken, men de fant ingenting.

[larsmyr]

Du har ikke fått CFScript

Husk og lagere på skrivebord som CFScript.txt

 

Så forandrer du denne.

Register:: til ---> Registry::

 

Les post #11 nøye og gjør det.

Tar med min versjon av det samme.

 

Kopiere fet tekst under bildet->åpne notisblokk og lim inn.

Lagre på skrivebordet som CFScript.txt

Gjør som på bildet combofix vil starte,Post logg c:\combofix.txt

 

File::

C:\WINDOWS\system32\ezuzmxaj.exe

C:\WINDOWS\system32\uvidyvet.exe

C:\WINDOWS\system32\vixofkvm.exe

C:\WINDOWS\system32\zsbsxcrg.exe

C:\WINDOWS\system32\utwxqbid.exe

C:\WINDOWS\system32\otgjwbij.exe

C:\WINDOWS\system32\neletspe.exe

 

Folder::

C:\Program Files\avbjzde

C:\Documents and Settings\All Users\Application Data\wlkpknml

 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"smartweb"=-

"UtilWeb"=-

"UiSrv"=-

"HlpWebApi"=-

"uihlpapi"=-

[HKEY_LOCAL_MACHINE\software\microsoft\windows\Currentversion\policies\explorer\Run]

"xiWK5tFO9j"=-

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad]

"stren"=-

 

 

Skal jeg prøve denne versjonen også?

[snippsat]

Nei ta denne.

 

Kopiere fet tekst under bildet->åpne notisblokk og lim inn.

Lagre på skrivebordet som CFScript.txt

Gjør som på bildet combofix vil starte,Post logg c:\combofix.txt

 

File::

C:\WINDOWS\system32\ujarslid.exe

C:\WINDOWS\system32\mjkzcpsx.exe

C:\WINDOWS\system32\xarmhyvk.exe

C:\WINDOWS\system32\hwzmlcds.exe

 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"uihlpapi"=-

Endret 30. august 2008 av SNIPPSAT

[larsmyr]

Nei ta denne.

 

Kopiere fet tekst under bildet->åpne notisblokk og lim inn.

Lagre på skrivebordet som CFScript.txt

Gjør som på bildet combofix vil starte,Post logg c:\combofix.txt

 

File::

C:\WINDOWS\system32\ujarslid.exe

C:\WINDOWS\system32\mjkzcpsx.exe

C:\WINDOWS\system32\xarmhyvk.exe

C:\WINDOWS\system32\hwzmlcds.exe

 

Registry::

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"uihlpapi"=-

 

Da har jeg kjørt den, legger ved logg:

 

ComboFix.txt

[snippsat]

Da ser det bra ut.

---

Last ned kjør CCleaner

'Valg'->'Avansert'. Fjern avkryssingen framfor: "bare slett midlertidige filer som er eldere enn 48 t.

Kjør og register-renser"svar ja til og reparere"-->backup svar ja når du blir spørt.

Kjør register-renser et par ganger til alle feil er borte.

---

IE

Verktøy->popup blokkering på

---

Da bruker du pcen og gir tilbakemelding.