Gå til innhold

Anbefalte innlegg

Jeg håper noen kan hjelpe meg med et virus-problem selv om jeg er teknisk tilbakestående:) For noen dager siden fikk jeg en mail fra Ventelo om at følgende virus er registrert:

 

Worm:W32/Downadup.AL

http://www.f-secure.com/v-descs/worm_w32_downadup_al.shtml

 

 

Jeg kommer ikke inn på noen internettsider som inneholder ord som virus, malware o.l. Så jeg får ikke scannet maskinen eller lastet ned antivirusprg. Håper noen her har geniale forslag til hvordan dette kan løses.

 

Til info så er dette en datakasse som jeg er veldig avhengig av. Det finnes ingen diskettstasjon på denne pcen.

Lenke til kommentar
Videoannonse
Annonse

Hei, og velkommen til forumet :)

 

Ingen diskettstasjon... Er det CD-rom eller USB-inngang på den da?

 

Gå til en maskin som ikke er infisert, last ned alle programmene som er linket til i veiledningen som er linket til øverst i signaturen min).

 

Når du har lastet ned alle programmene (Malwarebytes antimalware + Combofix), legger du filene inn på en USB-minnepinne, eller brenner programmene til en CD. Deretter flytter du USB-minnepinnen/CD-en til den infiserte pc-en, og gjør deretter som veiledningen ber deg om. Post loggene her i tråden din.

Endret av r2d290
Lenke til kommentar

Takk for svar. Nå har jeg fått den hersens dritten på min pc hjemme også:( Jeg har kjørt begge du la ut for de hadde jeg fra før av på min pc. Den finner ingenting.... legger ved kopi av loggen fra combofix

 

ComboFix 09-01-21.04 - 2009-01-29 22:25:05.4 - NTFSx86

Microsoft Windows XP Professional 5.1.2600.3.1252.1.1033.18.1014.524 [GMT 1:00]

Kjører fra: c:\documents and settings\\Skrivebord\ComboFix.exe

AV: avast! antivirus 4.8.1229 [VPS 081025-1] *On-access scanning disabled* (Outdated)

* Opprettet nytt gjenopprettingspunkt

.

 

((((((((((((((((((((((((((((((((((((((( Andre slettinger )))))))))))))))))))))))))))))))))))))))))))))))))

.

 

c:\documents and settings\\Programdata\02000000386ba955C.manifest

c:\documents and settings\\Programdata\02000000386ba955O.manifest

c:\documents and settings\\Programdata\02000000386ba955P.manifest

c:\documents and settings\\Programdata\02000000386ba955R.manifest

c:\documents and settings\\Programdata\02000000386ba955S.manifest

 

.

((((((((((((((((((((((((((( Filer Opprettet Fra 2008-12-28 til 2009-01-29 )))))))))))))))))))))))))))))))))

.

 

2008-12-31 10:58 . 2008-12-31 10:58 <DIR> d-------- c:\documents and settings\Carina Wulff\Programdata\vlc

2008-12-30 17:12 . 2008-12-30 18:59 <DIR> d-------- c:\documents and settings\Carina Wulff\Programdata\MozillaControl

2008-12-30 17:12 . 2008-12-30 17:12 <DIR> d-------- c:\documents and settings\All Users\Application Data\Graboid Inc

2008-12-30 16:58 . 2008-12-30 16:58 <DIR> d-------- c:\program files\VideoLAN

2008-12-30 16:58 . 2008-12-30 16:59 <DIR> d-------- c:\program files\Mozilla ActiveX Control v1.7.12

2008-12-30 16:58 . 2008-12-30 17:12 <DIR> d-------- c:\program files\Graboid

 

.

(((((((((((((((((((((((((((((((((((((((( Find3M Rapport ))))))))))))))))))))))))))))))))))))))))))))))))))))

.

2009-01-14 21:34 --------- d-----w c:\program files\Google

2008-12-13 06:40 3,593,216 ------w c:\windows\system32\dllcache\mshtml.dll

2008-12-11 10:57 333,952 ----a-w c:\windows\system32\drivers\srv.sys

2008-12-11 10:57 333,952 ------w c:\windows\system32\dllcache\srv.sys

2008-12-08 21:37 --------- d-----w c:\program files\Adobe Media Player

2008-12-08 21:36 --------- d-----w c:\program files\Common Files\Adobe AIR

2008-12-02 20:29 --------- d-----w c:\program files\MSN Messenger

2007-06-24 08:08 51,224 ----a-w c:\documents and settings\Carina Wulff\Programdata\GDIPFONTCACHEV1.DAT

2008-04-14 00:11 161,980 --sha-r c:\windows\system32\fypbcyby.dll

2008-09-30 19:18 16,384 --sha-w c:\windows\system32\config\systemprofile\Logg\History.IE5\index.dat

2008-09-30 20:17 32,768 --sha-w c:\windows\system32\config\systemprofile\Logg\History.IE5\MSHist012008093020081001\index.dat

2008-09-30 20:17 32,768 --sha-w c:\windows\system32\config\systemprofile\Temporary Internet Files\Content.IE5\index.dat

.

 

((((((((((((((((((((((((((((( snapshot_2009-01-19_20.45.07,03 )))))))))))))))))))))))))))))))))))))))))

.

- 2000-08-31 07:00:00 28,672 ----a-w c:\windows\Nircmd.exe

+ 2000-08-31 07:00:00 29,696 ----a-w c:\windows\Nircmd.exe

.

(((((((((((((((((((((((((((((((( Oppstartspunkter I Registeret )))))))))))))))))))))))))))))))))))))))))))))

.

.

*Merk* tomme oppføringer & gyldige standardoppføringer vises ikke

REGEDIT4

 

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ctfmon.exe"="c:\windows\system32\ctfmon.exe" [2008-04-14 15360]

"MsnMsgr"="c:\program files\MSN Messenger\MsnMsgr.Exe" [2007-01-19 5674352]

"swg"="c:\program files\Google\GoogleToolbarNotifier\GoogleToolbarNotifier.exe" [2007-06-21 68856]

"Mumin2_Setup.exe"="c:\downlo~1\MUMIN2~1.EXE" [2008-05-17 0]

"filehippo.com"="c:\program files\filehippo.com\UpdateChecker.exe" [2008-04-04 134144]

"PC Suite Tray"="c:\program files\Nokia\Nokia PC Suite 6\PCSuite.exe" [2007-12-10 695808]

 

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]

"ehTray"="c:\windows\ehome\ehtray.exe" [2005-08-05 64512]

"hpWirelessAssistant"="c:\program files\hpq\HP Wireless Assistant\HP Wireless Assistant.exe" [2006-05-03 458752]

"SunJavaUpdateSched"="c:\program files\Java\jre1.5.0_06\bin\jusched.exe" [2005-11-10 36975]

"igfxtray"="c:\windows\system32\igfxtray.exe" [2006-03-22 94208]

"igfxhkcmd"="c:\windows\system32\hkcmd.exe" [2006-03-22 77824]

"igfxpers"="c:\windows\system32\igfxpers.exe" [2006-03-22 118784]

"SynTPEnh"="c:\program files\Synaptics\SynTP\SynTPEnh.exe" [2006-06-17 794713]

"QPService"="c:\program files\HP\QuickPlay\QPService.exe" [2006-07-19 102400]

"HP Software Update"="c:\program files\Hp\HP Software Update\HPWuSchd2.exe" [2005-02-16 49152]

"QlbCtrl"="c:\program files\Hewlett-Packard\HP Quick Launch Buttons\QlbCtrl.exe" [2006-06-19 163840]

"Cpqset"="c:\program files\Hewlett-Packard\Default Settings\cpqset.exe" [2006-06-19 40960]

"RecGuard"="c:\windows\SMINST\RecGuard.exe" [2005-10-11 1187840]

"Reminder"="c:\windows\CREATOR\Remind_XP.exe" [2006-02-09 643072]

"QuickTime Task"="c:\program files\QuickTime\qttask.exe" [2006-12-26 282624]

"iTunesHelper"="c:\program files\iTunes\iTunesHelper.exe" [2006-10-30 256576]

"vptray"="c:\progra~1\SYMANT~1\SYMANT~1\vptray.exe" [2003-04-26 90112]

"MsmqIntCert"="mqrt.dll" [2008-04-14 c:\windows\system32\mqrt.dll]

"High Definition Audio Property Page Shortcut"="CHDAudPropShortcut.exe" [2006-06-02 c:\windows\system32\CHDAudPropShortcut.exe]

 

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]

"CTFMON.EXE"="c:\windows\system32\CTFMON.EXE" [2008-04-14 15360]

"Nokia.PCSync"="c:\program files\Nokia\Nokia PC Suite 6\PcSync2.exe" [2007-11-07 1294336]

"Picasa Media Detector"="c:\program files\Picasa2\PicasaMediaDetector.exe" [2007-10-23 443968]

 

c:\documents and settings\Carina Wulff\Start Menu\Programs\Startup\

Adobe Media Player.lnk - c:\program files\Adobe Media Player\Adobe Media Player.exe [2008-12-08 261120]

 

c:\documents and settings\All Users\Start Menu\Programs\Startup\

Adobe Gamma Loader.lnk - c:\program files\Common Files\Adobe\Calibration\Adobe Gamma Loader.exe [2007-01-02 110592]

CmmLogon.lnk - c:\program files\Fortech\ComMa32\Bin\CmmLogon.exe [2007-02-12 24064]

HP Photosmart Premier Hurtigstart.lnk - c:\program files\HP\Digital Imaging\bin\hpqthb08.exe [2005-09-24 73728]

Hurtigstart for Adobe Reader.lnk - c:\program files\Adobe\Acrobat 7.0\Reader\reader_sl.exe [2008-04-23 29696]

Microsoft Office.lnk - c:\program files\Microsoft Office\Office10\OSA.EXE [2001-02-13 83360]

NkbMonitor.exe.lnk - c:\program files\Nikon\PictureProject\NkbMonitor.exe [2006-12-12 118784]

 

[HKEY_LOCAL_MACHINE\system\currentcontrolset\control\securityproviders]

SecurityProviders msapsspc.dllschannel.dlldigest.dllmsnsspc.dll

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

"AntiVirusDisableNotify"=dword:00000001

"AntiVirusOverride"=dword:00000001

 

[HKEY_LOCAL_MACHINE\software\microsoft\security center\Monitoring\SymantecFirewall]

"DisableMonitoring"=dword:00000001

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]

"%windir%\\system32\\sessmgr.exe"=

"c:\\WINDOWS\\system32\\mqsvc.exe"=

"c:\\Program Files\\iTunes\\iTunes.exe"=

"%windir%\\Network Diagnostic\\xpnetdiag.exe"=

"c:\\Program Files\\Messenger\\msmsgs.exe"=

"c:\\Program Files\\MSN Messenger\\msnmsgr.exe"=

"c:\\Program Files\\MSN Messenger\\livecall.exe"=

 

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"2404:TCP"= 2404:TCP:ahdybkg

 

R1 aswSP;avast! Self Protection;c:\windows\system32\drivers\aswSP.sys [2008-08-26 78416]

R4 aswFsBlk;aswFsBlk;c:\windows\system32\drivers\aswFsBlk.sys [2008-08-26 20560]

S3 Asgosgo_1.;Asgosgo_1.;c:\windows\system32\drivers\kbdhid.sys [2006-09-13 14592]

S3 Hspapeeiwdm;Hspapeeiwdm; [x]

S4 Dnsverevagu;Dnsverevagu;c:\windows\system32\mstinit.exe [2006-03-16 12288]

S4 xjezcwq;Driver Task;c:\windows\system32\svchost.exe -k netsvcs [2006-03-16 14336]

 

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

xjezcwq

.

Innholdet i mappen 'Scheduled Tasks' (planlagte oppgaver)

 

2009-01-29 c:\windows\Tasks\Se etter oppdateringer for Windows Live Toolbar.job

- c:\program files\Windows Live Toolbar\MSNTBUP.EXE [2007-10-19 11:20]

.

.

------- Tilleggsskanning -------

.

uSearchMigratedDefaultURL = hxxp://www.google.com/search?q={searchTerms}&sourceid=ie7&rls=com.microsoft:en-US&ie=utf8&oe=utf8

uInternet Connection Wizard,ShellNext = hxxp://ie.redirect.hp.com/svs/rdr?TYPE=3&tp=iehome&locale=NB_NO&c=64&bd=pavilion&pf=laptop

uSearchURL,(Default) = hxxp://www.google.com/search?q=%s

IE: &Windows Live Search - c:\program files\Windows Live Toolbar\msntb.dll/search.htm

IE: E&xport to Microsoft Excel - c:\progra~1\MICROS~2\Office10\EXCEL.EXE/3000

DPF: {00C1329F-D6C9-46A2-8C3F-23F50977F0A5} - hxxp://www.liquidlab.se/smupdate/stallet/SetupInf.cab

.

 

**************************************************************************

 

catchme 0.3.1367 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net

Rootkit scan 2009-01-29 22:27:08

Windows 5.1.2600 Service Pack 3 NTFS

 

skanner skjulte prosesser ...

 

skanner skjulte autostart-oppføringer ...

 

HKLM\Software\Microsoft\Windows\CurrentVersion\Run

Cpqset = c:\program files\Hewlett-Packard\Default Settings\cpqset.exe????????????L?@? ????c??????`?@?????L?@

 

skanner skjulte filer ...

 

skanning vellykket

skjulte filer: 0

 

**************************************************************************

 

[HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xjezcwq]

"ServiceDll"="c:\windows\system32\fypbcyby.dll"

.

Tidspunkt ferdig: 2009-01-29 22:28:57

ComboFix-quarantined-files.txt 2009-01-29 21:28:35

ComboFix2.txt 2009-01-19 19:45:39

ComboFix3.txt 2008-10-25 19:03:50

ComboFix4.txt 2008-09-01 20:19:12

 

Pre-Run: 85 840 216 064 bytes free

Post-Run: 86,052,675,584 byte ledig

 

WindowsXP-KB310994-SP2-Pro-BootDisk-NOR.exe

[boot loader]

timeout=2

default=multi(0)disk(0)rdisk(0)partition(1)\WINDOWS

[operating systems]

c:\cmdcons\BOOTSECT.DAT="Microsoft Windows Recovery Console" /cmdcons

multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Windows XP Media Center Edition" /noexecute=optin /fastdetect

 

156 --- E O F --- 2009-01-14 07:14:57

Endret av teflonhjernen
Lenke til kommentar

Oppdater windows med riktig patch:

http://www.microsoft.com/technet/security/...n/ms08-067.mspx

 

Bruk ett av følgende programmer og se om ikke det kan ordne det automatisk:

(I prioritert rekkefølge)

 

1. Microsoft Windows Malicious Software Removal Tool

 

2. ftp://ftp.f-secure.com/anti-virus/tools/beta/f-downadup.zip

 

3. http://www.symantec.com/content/en/us/glob...FixDownadup.exe

 

Se forøvrig i følgende tråd som omhandler en Downadup-variant

 

Post deretter en ny Combofix-logg.

Endret av norbat
Lenke til kommentar

Takk for kjapt svar. Et av problemene dette viruset medfører er at jeg ikke kommer inn på noen som helst linker som har med virus eller antivirus å gjøre. Så når jeg klikker på linkene dine kommer det bare opp beskjed om at explorer ikke finner siden. de 2 siste har jeg allerede på pcen fra før min ble infisert. Den har jeg kjørt i dag, dvs den downadup saken.... kommer bare clean opp som resultat.

 

Jeg merket at jeg hadde dette viruset da syptomene er like som de på jobben. Bl.a. at når jeg åpner explorer kommer ikke startsiden opp, men kun en beskjed om at den ikke finner siden:( Jeg brukte en usb pinne før i dag for å laste over bl.a. combofix fra min maskin til den maskinen som først ble infisert. Skulle vel aldri ha tatt med med loggen tilbake på min maskin....

Lenke til kommentar

Den loggen viser mye interesant om W32/Downadup.AL ormen din. Den har forandret en del i registeret ditt, pluss lagt til en del. Dette er noe ormen har lagt til:

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]"2404:TCP"= 2404:TCP:ahdybkg

Pluss en del andre ting. Ormen deaktivert Antivirus programmet ditt med dette;

[HKEY_LOCAL_MACHINE\software\microsoft\security center]

 

"AntiVirusOverride"=dword:00000001 (Det siste tallet skulle ha vært 0)

 

Det er mulig å fjerne ormen, men det kan ta tid. Og det krever innsikt i hvordan å rote rundt i Windows registeret. Så for øyeblikket vil jeg ikke fortelle deg hvordan, med mindre du tar sjansen på å rote til maskinen din.

Lenke til kommentar
Sørg for at du kan se skjulte filer og mapper, samt skjulte operativsystemfiler

 

Gå til Virustotal (alt. Jotti og last opp følgende fil for sjekk:

c:\windows\system32\fypbcyby.dll

 

Tror ikke det er nødvendig, den filen du snakker om er den som starter dette

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Svchost - NetSvcs

xjezcwq

 

fypbcyby.dll starter Svchost, og når den har gjort det, stopper den sin egen service, slik at ormen gjemmer seg bak svchost servicen. Fant det på en side til Symantec. Filnavnet er ikke det samme fordi ormen lager disse filene med tilfeldige navn, men det som står i den loggen angående svchost, stemmer helt med det jeg fant.

Lenke til kommentar

teflonhjernen:

Hvis du får skannet nevnte fil, er jeg interessert i MD5-verdien som fila genererer. Den vil stå øverst søkeresultatet. Problemet er antakelig at du ikke får tilgang til verken virustotal eller jotti...

 

Har du forsøkt å kjøre en full skann med Microsoft Windows Malicious Software Removal Tool?

Den burde være oppdatert for dette.

 

Mumin2_Setup.exe, er satt til å starte opp sammen med Windows. Er dette et prog. du kjenner til?

 

----

Endret av norbat
Lenke til kommentar

hei dere,

 

jeg sliter skikkelig her for jeg skjønner jo ikke 2% av hva dere snakker om dessverre. Men noen gode nyheter. Jeg sendte en link til support på det innlegget som omhandler ormen her på forumet. Jeg tror de har klart å fikse det i dag....dvs den maskinen jeg bruker i butikken. Så fikk jeg en bekjent til å lage en usb pinne til meg med samme prg som ble anbefalt i innlegget om ormen (som rammet sykehuset). Jeg kjørte først en hurtigscan og den fant 1 infisert fil. Så kjørte jeg full scan og den fant 3 infiserte filer. Nå kjører jeg en malware scan og så tenkte jeg en ny combofix så jeg kan legge ut en ny logg til dere. Er det eventuelt noen måte jeg kan sjekke om viruset er borte eller ikke? Vil dere kunne se det i loggen? Takk for at dere hjelper dumme meg:)

Lenke til kommentar

Heisann,

Legg ut loggen fra combofix, så vil den vise om det fortsatt er noe å gjøre :)

 

Antar det er Microsoft Windows Malicious Software Removal Tool du refererer til over, da dette burde være oppdatert for denne infeksjonen.

Endret av norbat
Lenke til kommentar

Er det fortsatt problemer med å komme inn på de sidene som du tidligere ikke kom inn på?

 

 

Åpne notisblokk(start->alle programmer->tilbehør->notisblokk) og kopier inn det som står i fet skrift under, lagre fila på skrivebordet som CFScript.txt.

Dra deretter fila over Combofix-iconet. Combofix vil starte igjen. Post loggen.

 

6af2c97f0f4e497013ed9b32fc36b566.gif

 

Driver::

xjezcwq

Dnsverevagu

Hspapeeiwdm

 

Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xjezcwq]

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"2404:TCP"=-

 

Hvis du ikke helt skjønner hva du skal gjøre :) så kan du laste ned vedlegget under og lagre det på skrivebordet. Du lagrer det ved å høyreklikke på filnavnet og velger "Lagre lenket innhold som...".

Denne filen (cfscript.txt) drar du og slipper over combofix iconet (slik animasjonen over viser).

 

Vedlegg: cfscript.txt

Endret av norbat
Lenke til kommentar

Opprett en konto eller logg inn for å kommentere

Du må være et medlem for å kunne skrive en kommentar

Opprett konto

Det er enkelt å melde seg inn for å starte en ny konto!

Start en konto

Logg inn

Har du allerede en konto? Logg inn her.

Logg inn nå
×
×
  • Opprett ny...