Problemer med skrivebord m.m. ifm virus

[Lavender]

Hei.

 

Har hatt mye virus etc. på maskinen og er ikke sikker på om jeg har fått bort alt, selv om norman ikke finner noe mer. Fint om noen kan kikke på vedlagte filer, og se om det er noe grums.

 

Har kjørt mbam, combofix og deretter norman security suite.

 

Har nemlig problem med at skrivebordsbakgrunnen henger lenge (ca 1 min) etter oppstart, med ingen ikon synlig. Når ikonene endelig kommer frem, forsvinner skrivebordsbakgrunnen. Lurer på om dette kan være virusrelatert.

 

Dessuten slås brannmuren av rett som det er (den gjorde iallefall det tidligere), kan dette ha vært virus/spyware etc. som har gjort? Kan kanskje se ut som dette har gitt seg nå.

 

Kjempefint om noen har tid til å kikke på filene.

 

Vennlig hilsen

mbam_log_2009_01_31__18_09_12_.txt

Combofixlog.txt

[norbat]

Ting tyder på at userinit.exe er infisert og som er grunnen til at du får problemer med skrivebordet ditt. Før vi går videre vil jeg at du skal sjekke noen filer:

 

Gå til Virustotal og last opp følgende filer for sjekk:

 

C:\biin.exe

c:\windows\system32\senekafhmxorcc.dat

C:\pps.exe

c:\windows\system32\userinit.exe

 

Gi tilbakemelding på hva som evt. blir funnet på disse filene

[Lavender]

Tusen takk for raskt svar

 

Jeg får ikke testet før i morgen formiddag, maskinen er i et annet hus, men da melder jeg tilbake.

 

God kveld.

[norbat]

Før du gjør noe som helst, så tar du og laster ned en oppdatert versjon av Combofix. Post den nye loggen

[Lavender]

Her er den. Fikk nå en Normanmelding om at vertsfilen min var endret. Fikk ikke tatt skjermdump av den før maskinen gikk i restart etter combofix.

ComboFix2.txt

Endret 1. februar 2009 av Lavender

[norbat]

Fint. Combofix fikk fixet userinit-fila di.

 

Gå til Virustotal eller Jotti og sjekk følgende filer:

C:\biin.exe

C:\bacn.exe

C:\pps.exe

C:\lv.exe

 

Gi tilbakemelding på hva som evt. ble funnet.

[Lavender]

Resultatene ble da med Virustotal: biin og bach: 0

pps.exe: 1/39 : PrevX1 meldte "Malicious software"

lv.exe: 1/39: eSafe meldte "Win32.Banker"

[norbat]

Kunne du ha sjekket de 4 filene igjen og notert/postet hvilken MD5 hash-verdi de har?

(Denne verdien vil stå enten øverst eller nederst i søkresultatet)

 

Hvordan fungerer forøvrig pc'n?

[Lavender]

biin.exe: 0

MD5...: d92897a44a6dd0d59ff7d52011f82161

 

bacn.exe: 0

MD5...: 7418f3bc63c7f63203ff97185e7ba855

 

pps.exe: 1

MD5...: e98b0b5dfafb48b2267fab20312e0641

 

lv.exe: 1

MD5...: bc7181d4bd92cf195154525c4302fed0

 

 

Maskinen fungerer raskt og greit, det er kun det samme problem med skrivebordet i oppstarten. Ser også at brannmuren slås av innimellom, men jeg har deaktivert den tradløse forbindelsen til nettet en del mens oppryddingen har foregått, kan det være grunnen?

 

Legger ved skjermdump av hvordan unntakene i brannmuren er satt opp, er ting her jeg ikke vet om bør tillates (de 3 unntakene). Ble vist for stor fil, så jeg skriver dem bare ned:

Innkommende VPN-tilkobling (L2TP)

Innkommende VPN-tilkobling (PPTP)

IP-sikkerhet (IPsec - IKE)

 

Kjørte nettopp mbam som ikke fant noe.

Endret 2. februar 2009 av Lavender

[norbat]

Åpne notisblokk og kopier inn det som står i fet skrift under, lagre fila på skrivebordet som CFScript.txt.

Dra deretter fila over Combofix-iconet. Combofix vil starte igjen. Post loggen.

 

 

File::

C:\biin.exe

C:\bacn.exe

C:\pps.exe

C:\lv.exe

 

Folder::

c:\programfiler\%systemdir%

[Lavender]

Her er den.

log3.txt

[norbat]

Hvordan fungerer ting og tang nå?

 

Hvis det fortsatt er noen problemer, så gjør følgende:

Klikk: Start->Kjør

Skriv: chkdsk /f

Restart pc'n og la sjekken få kjøre.

 

Deretter skriver du sfc /scannow fra kjør-feltet.

Endret 2. februar 2009 av norbat

[Lavender]

Jeg måtte svare nei på spørsmål om noe med volum i oppstarten da jeg la inn chkdsk /f. Så restartet jeg og kjørte

sfc /scannow. Dette tok tid, og jeg måtte inn med xp-cd.

 

Men nå kommer skrivebordsbakgrunnen MED ikoner på plass kjapt og greit! :!:

 

Det som tar veldig lang tid nå, er oppstart av norman-programmet. Men jeg skal avinnstallere det (er bare en prøveversjon på 30 dager) og installere AVG igjen. Håper det hjelper.

 

Tusen takk for hjelpa!

[norbat]

Fint.

 

Avintaller combofix ved å skrive combofix /u i kjør-feltet (start->kjør)

Dette vil også nullstille systemgjenopprettingen slik at du ikke blir infisert ved en evt. gjenoppretting senere.

 

Sørg forøvrig at Java, Flash player og Adobe reader er oppdatert i tillegg til Windows.

 

Surt trygt.