Hjelp meg med et virus/orm

[norbat]

Det fungerte ikke helt slik det skulle.

 

Ta og last ned ny combofix, legg det på skrivebordet

Lag nytt cfscript.txt med følgende innhold:

 

killall::

Driver::

xjezcwq

Dnsverevagu

Hspapeeiwdm

 

Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xjezcwq]

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"2404:TCP"=-

 

Dra det over combofix-iconet og post loggen.

Hvis det fortsatt ikke fungerer, så tar vi det på en annen måte.

Endret 30. januar 2009 av norbat

[teflonhjernen]

hmmm lurer litt på hvordan dette gikk da maskinen rebootet under akten:(

 

Loggen følger vedlagt.

log3_30.01.2009.txt

[norbat]

Beklager at dette dryger, men det ser ut som om combofix ikke er helt up to date, så før vi prøver en annen fix, så gjør følgende:

 

Dobbeltklikk på klokkeslettet nede i høyre hjørne

Still datoen tilbake til 29.januar

 

Opprett deretter et nytt cfscript med følgende innhold som du drar over combofix-iconet.

 

killall::

Driver::

xjezcwq

Dnsverevagu

Hspapeeiwdm

 

NetSvc::

xjezcwq

 

Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\xjezcwq]

[HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List]

"2404:TCP"=-

[teflonhjernen]

For all del du må ikke beklage. Imponert over at noen gidder å hjelpe meg på en fredagskveld jeg:)

 

Har en good feeling denne gangen. Ingen feilmelding o.l.

log4_30.01.2009.txt

[norbat]

Fint. Det begynner å se bra ut

 

Det eneste som er litt suspekt er "2404:TCP"= 2404:TCP:ahdybkg oppføringen knyttet til brannmuren. Jeg er i tvil om denne tilhører denne infeksjonen eller om den er knyttet til et legalt program som benytter denne porten.

 

Gjør følgende:

 

Klikk: Start->Kjør

Skriv: regedit

 

Gå til følgende sti:

(Klikk på + tegnet framfor alle tom. GloballyOpenPorts. Klikk så på List)

 

HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\GloballyOpenPorts\List

 

Når du klikker på List, vil du få noen oppføringer i høyre felt.

Se om du finner oppføringen med navn: 2404:TCP og Data: 2404:TCP:ahdybkg

 

Hvis du finner denne der, så gjør følgende:

Høyreklikk på List, velg Eksporter. Lagre file en plass du evt. kan finne igjen senere.

Høyreklikk på 2404:TCP i høyrefelt og velg Slett.

Lukk regedit

Restart pc'n

Kjør combofix og post loggen.

[teflonhjernen]

Det ble nesten litt for mye for meg hehehe, men fikk det til tror jeg. Vedlagt følger loggen.

log5_30.01.2009.txt

[norbat]

Flott, da ser loggen grei ut hvis du vet hva fila Mumin2_Setup.exe er.

 

Hvis alt fungerer greit (du kommer inn på de sidene du ønsker etc...) så avintallerer du combofix ved å skrive combofix /u i kjør-feltet (start->kjør)

Dette vil også nullstille systemgjenopprettingen slik at du ikke blir infisert ved en evt. gjenoppretting senere.

 

Husk å stille dato tilbake

 

Sørg forøvrig at Java, Flash player og Adobe reader er oppdatert i tillegg til Windows.

 

Surt trygt.

Endret 30. januar 2009 av norbat

[teflonhjernen]

Tusen takk for all hjelp:) Vet ikke hva den exe saken er nei. Kan du hjelpe med en liten sak til? Det stod noe om et prg man kunne laste ned for å beskytte mot viruset. Jeg kan ikke laste den fordi jeg har norsk versjon av xp. Vet du hvordan jeg kan løse det? Vil gjerne slippe dette i en ny runde:)

[norbat]

Da kan du fjerne den fra registeret.

Bruk regedit, gå til:

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

 

Høyreklikk og velg slett på Mumin2_Setup.exe

 

Det som beskytter mot denne infeksjonen er en 'eldre' oppdatering av windows. Har du automatisk update av windows, så skulle denne ha blitt installert for 'lenge' siden.

 

Dette er den for norsk versjon: Sikkerhetsoppdatering for Windows XP (KB958644)

Endret 30. januar 2009 av norbat

[teflonhjernen]

Tusen millioner takk:) Nå håper jeg at jeg går en virusfri periode i møte. Det har vært en slitsom periode og spesielt da med tanke på den andre maskinen som jeg er så sinsykt avhengig av! Skal kjøre combofix på mandag og legge ut en logg til deg fra den andre maskinen. Så håper jeg den er clean også

[norbat]

Det må du gjerne gjøre

[teflonhjernen]

Bedre sent enn aldri kommer loggene fra butikk pcen min. Håper alt er bra der:)

log03.02.2009.txt

mbam_log_2009_02_03__17_53_01_.txt

[norbat]

Ting kan tyde på at du er/har vært infisert med Downadup som har herjet i div. nettverk rund omkring.

 

Gjør følgende:

 

Åpne notisblokk og kopier inn det som står i fet skrift under, lagre fila på skrivebordet som CFScript.txt.

Dra deretter fila over Combofix-iconet. Combofix vil starte igjen. Post loggen.

 

 

File::

c:\windows\system32\aumex.dll

 

Driver::

smfnppm

S12345

LMIRfsClientNP

 

Registry::

[-HKEY_LOCAL_MACHINE\System\ControlSet001\Services\smfnppm]

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\GloballyOpenPorts\List]

"5033:TCP"=-

 

Sjekk forøvrig etter Windows update slik at du vet at du har de siste oppdateringene for Windows.

Endret 4. februar 2009 av norbat

[teflonhjernen]

God kveld Norbat. Er det noe som tyder på at ting ikke er som de skal? Det var på den maskinen viruset startet nemlig. Jeg får ikke gjort det du beskriver før på dagen i morgen og da er du kanskje ikke her?

[norbat]

Pc'n er/har vært infisert med Downadup, og resten vil fjernes når du utfører fixen nevnt i tidligere post.

 

Jeg er her hver dag - sannsynlivis på dagtid også når du er på jobb...

[teflonhjernen]

Flott:) Du er en engel! Skal gjøre som du beskriver i morgen jeg da. Nå skal jeg ta med meg helt andre virus inn i drømmeland